En clair, le membre du Congrès essaye de rendre le piratage une sorte de légitime défense dès lors que vous avez été piraté en premier.
Graves a indiqué qu'il « attend avec impatience de présenter officiellement ACDC » à la Chambre des représentants dans les prochaines semaines.
Le projet de loi bipartite ACDC permettrait aux entreprises, qui pensent qu’elles subissent une attaque continue de leur réseau, de pirater ceux qui en seraient les responsables afin d'arrêter l'attaque ou de recueillir des informations qu’elles vont transmettre aux forces de l’ordre.
Selon le draft qui a été publié, le projet de loi « comporte des réserves telles que vous ne pouvez pas détruire les données sur l'ordinateur d'une autre personne, causer des blessures physiques à quelqu'un ou créer une menace pour la sécurité publique ».
Tom Graves
Selon Politico, qui a eu une exclusivité sur la nouvelle version du draft, « Les changements clés incluent : une exigence de déclaration obligatoire pour les entités qui utilisent une technique de défense active pour aider les organismes fédéraux d’application de la loi à s'assurer que ces outils sont utilisés de manière responsable ; une clause de temporisation de deux ans qui permettrait au Congrès de revoir la loi afin d'apporter des modifications; et une exemption permettant aux personnes ou aux entreprises de récupérer leurs données perdues si elles sont utilisées en se servant des techniques défensives, mais également si elles peuvent être récupérées sans détruire d'autres données ».
Mais les critiques ne le voient pas de cet œil. Pour Hitesh Sheth, le PDG de l’entreprise de cybersécurité Vectra Networks, « Pour commencer, lorsqu’il y a réplication, se pose la question fondamentale de savoir qui cibler. Notez qu'après une attaque numérique majeure, il faut généralement des semaines pour déterminer qui en est responsable et même ces déterminations sont couvertes d'incertitude. C'est parce qu'aucun point unique d'origine n'est apparent. Graves veut habiliter les entreprises américaines à se lancer dans des attaques informatiques dans le but de débusquer les méchants qui ont provoqué une attaque ».
De son côté, Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab, a indiqué que « Bien que l'intention de la proposition soit de rendre plus difficile le succès d’une attaque, cela soulève également une grande préoccupation au sein de la communauté ». Il a expliqué par exemple que « Fournir un “plan d'action” est loin d’égaler le fait de posséder une bonne formation ou une expertise juridique sur la façon de préserver les preuves qui seront confirmées devant un tribunal ». « Ce n'est qu'une question de temps pour que le premier criminel soit poursuivi et que les éléments de preuve soient rejetés en raison d'une mauvaise chaîne de garde ou de documentation ».
Hitesh Sheth
Comme cela a été démontré à maintes reprises, les attaquants sont de plus en plus conscients des techniques qu’ils peuvent employer pour que les preuves ne pointent pas dans leur direction : « avec la présentation de ce projet de loi, le résultat possible d'un tel acte peut être dévastateur. L'attribution correcte d'une attaque est une tâche déjà difficile et parfois impossible, en particulier pour une personne non formée ».
Hitesh Sheth évoque également le facteur temps : « Les attaques surviennent si rapidement que même les humains bien formés ne peuvent pas répondre efficacement. Les entreprises les plus avancées se défendent en utilisant l'intelligence artificielle, qui est suffisamment habile pour réagir assez rapidement et faire face aux menaces avancées telles que les récentes attaques de ransomware. Il n'y a absolument aucun moyen de créer une contre-offensive, de repérer les multiples ordinateurs cooptés qui nous ont attaqués, de trouver le point d'origine et de frapper de quelque manière que ce soit, les vrais méchants qui ont lancé l'attaque ».
Il ajoute que « Nous pourrions peut-être lancer des représailles, des semaines ou des mois après avoir été attaqué, mais nous ne pourrons certainement pas remonter à temps pour arrêter une attaque en cours. Les attaques ne se produisent pas de cette façon. Si vos appareils sont attaqués aujourd'hui, il est probable que les attaquants ont planté leurs logiciels malveillants dans votre réseau des mois à l’avance. Vous n'avez tout simplement pas pu les trouver parce que vos mesures de protection ne sont pas aussi avancées que les outils utilisés par vos adversaires ».
« En outre, nous n'avons pas suffisamment d'experts en cybersécurité pour répondre à ces attaques. On estime qu'aujourd'hui, il y a plus d'un million d'emplois en cybersécurité qui ne sont pas assurés, même avec des salaires élevés et de bons bénéfices. À l'heure actuelle, nous ne pouvons pas satisfaire aux exigences actuelles d'embauche des entreprises et des gouvernements pour la défense. Il n'y a pas de soldats cyber-réservistes à recruter pour former une armée offensive ».
Source : draft (au format PDF), Politico, tribune de Hitesh Sheth
Et vous ?
Que pensez-vous de cette proposition ?