Alors que son mandat à la Maison-Blanche prend fin au cours de la journée de mercredi, le président sortant Donald Trump a signé mardi un important décret ordonnant au ministère américain du Commerce de restreindre ou d'interdire les produits du Cloud Computing aux acteurs étrangers qui les utilisent pour des cyberopérations malveillantes, a déclaré mardi un haut responsable de l'administration. Le décret - qui devrait être publié le même jour, le dernier jour complet de la présidence de Trump - ordonne au ministère du Commerce de rédiger des mesures supplémentaires visant à contrecarrer l'utilisation étrangère de produits de Cloud Computing pour des cyberopérations malveillantes contre les États-Unis. Les fournisseurs devraient vérifier l'identité des clients selon les normes du gouvernement.
« Ce que nous avons vu dans cet espace, c'est que... un individu va louer des milliers de pièces de cette infrastructure à l'intérieur des États-Unis et les revendre à des acteurs qui en abusent ensuite », a déclaré le haut responsable de l'administration. « Cela donne au Secrétaire au commerce la possibilité de dire... "Il n'y a aucune raison pour que vous continuiez à avoir accès aux produits de la nation" », a ajouté la personne, notant que les restrictions pourraient s'appliquer aux juridictions ainsi qu'aux personnes et aux entreprises.
L'ordonnance impose également à l'agence de rédiger des règles dans un délai de six mois pour les fournisseurs américains d'infrastructures en tant que service (IaaS) afin de vérifier l'identité des étrangers avec lesquels ils font des affaires et de conserver certains dossiers. Les produits IaaS offrent aux personnes la possibilité d'exécuter des logiciels et de stocker des données sur des serveurs proposés à la location ou au crédit-bail sans avoir à assumer les coûts de maintenance et de fonctionnement de ces serveurs.
Les fonctionnaires américains travaillent sur cette directive depuis près de deux ans, a déclaré le fonctionnaire. Mais son dévoilement fera suite à une campagne massive de piratage informatique qui a utilisé la société technologique américaine SolarWinds comme tremplin pour pénétrer les réseaux des agences fédérales des États-Unis, ainsi que ceux de certaines entreprises américaines de premier plan comme Microsoft.
De hauts fonctionnaires et des législateurs américains ont affirmé que la Russie était responsable de la vague de piratage, une accusation que le Kremlin nie. Trump avait en décembre minimisé le piratage dans ses premiers commentaires sur la violation massive, tentant de disculper la Russie et suggérant l'implication de la Chine. Mais le Conseil national de sécurité a tweeté en janvier disant que « Le président DonaldTrump continue à augmenter toutes les ressources appropriées pour soutenir la réponse de l'ensemble du gouvernement au récent cyber-incident qui a affecté les réseaux gouvernementaux ».
Voici le contenu du décret présidentiel :
Section 1. Vérification de l'identité. Dans les 180 jours suivant la date de la présente ordonnance, le secrétaire au commerce (Secretary) proposera, pour avis et commentaires, des règlements qui obligent les fournisseurs américains d'IaaS à vérifier l'identité d'une personne étrangère qui obtient un compte. Ces réglementations doivent, au minimum :
(a) énoncer les normes minimales que les prestataires américains de services d'investissement doivent adopter pour vérifier l'identité d'une personne étrangère dans le cadre de l'ouverture d'un compte ou de la gestion d'un compte existant, y compris
(i) les types de documents et de procédures requis pour vérifier l'identité de toute personne étrangère agissant en tant que locataire ou sous-locataire de ces produits ou services ;
(ii) les dossiers que les fournisseurs américains de services d'investissement doivent conserver en toute sécurité concernant une personne étrangère qui obtient un compte, y compris les informations établissant :
(A) l'identité de cette personne étrangère et les informations la concernant, y compris son nom, son numéro d'identification national et son adresse ;
(B) les moyens et la source de paiement (y compris toute institution financière associée et d'autres identifiants tels que le numéro de carte de crédit, le numéro de compte, l'identifiant du client, les identifiants de transaction, ou l'identifiant du portefeuille de monnaie virtuelle ou de l'adresse du portefeuille) ;
(C) l'adresse de courrier électronique et les coordonnées téléphoniques, utilisées pour vérifier l'identité d'une personne étrangère ; et
(D) les adresses de protocole Internet utilisées pour l'accès ou l'administration et la date et l'heure de chacun de ces accès ou de chacune de ces actions administratives, liées à la vérification permanente de la propriété de ce compte par cette personne étrangère ; et
(iii) les méthodes permettant de limiter tout accès de tiers aux informations décrites dans le présent paragraphe, sauf dans la mesure où cet accès est par ailleurs conforme à la présente ordonnance et autorisé par le droit applicable ;
(b) prendre en considération le type de compte tenu par les fournisseurs américains d'IaaS, les méthodes d'ouverture d'un compte et les types d'informations d'identification disponibles pour atteindre les objectifs d'identification des cyberacteurs malveillants étrangers utilisant de tels produits et éviter d'imposer une charge excessive à ces fournisseurs ; et
(c) permettre au Secrétaire, conformément aux normes et procédures qu'il peut définir et en consultation avec le Secrétaire à la Défense, le procureur général, le Secrétaire à la Sécurité intérieure et le directeur du renseignement national, d'exempter tout fournisseur d'IaaS des États-Unis, ou tout type spécifique de compte ou de locataire, des exigences de toute réglementation émise en vertu de la présente section. Ces normes et procédures peuvent inclure la constatation par le Secrétaire qu'un fournisseur, un compte ou un locataire respecte les meilleures pratiques de sécurité afin de dissuader l'abus des produits IaaS.
Section 2. Mesures spéciales pour certaines juridictions étrangères ou personnes étrangères. (a) Dans les 180 jours suivant la date de la présente ordonnance, le Secrétaire proposera pour avis et commentaires des règlements qui exigent que les fournisseurs américains d'IaaS prennent l'une des mesures spéciales décrites au paragraphe (d) de la présente section si le Secrétaire, en consultation avec le Secrétaire d'État, le Secrétaire au Trésor, le Secrétaire à la Défense, le procureur général, le Secrétaire à la Sécurité intérieure, le directeur du renseignement national et, comme le Secrétaire le juge approprié, les chefs d'autres départements et agences exécutives (agences), le constate :
(i) qu'il existe des motifs raisonnables de conclure qu'une juridiction étrangère compte un nombre significatif de personnes étrangères offrant des produits IaaS des États-Unis qui sont utilisés pour des activités cybernétiques malveillantes ou un nombre significatif de personnes étrangères obtenant directement des produits IaaS des États-Unis pour les utiliser dans des activités cybernétiques malveillantes, conformément à la sous-section (b) de la présente section ; ou
(ii) qu'il existe des motifs raisonnables de conclure qu'une personne étrangère a établi un comportement consistant à offrir des produits IaaS des États-Unis qui sont utilisés pour des activités cybernétiques malveillantes ou à obtenir directement des produits IaaS des États-Unis pour les utiliser dans des activités cybernétiques malveillantes.
(b) En faisant des constatations en vertu de la sous-section (a) de cette section sur l'utilisation des produits IaaS des États-Unis dans des activités cybernétiques malveillantes, le Secrétaire doit considérer toute information que le Secrétaire juge pertinente, ainsi que les informations relatives aux facteurs suivants :
(i) Les facteurs liés à une juridiction étrangère particulière, y compris :
(A) la preuve que des cyberacteurs malveillants étrangers ont obtenu des produits IaaS des États-Unis auprès de personnes offrant des produits IaaS des États-Unis dans cette juridiction étrangère, y compris si ces acteurs ont obtenu ces produits IaaS par le biais de comptes de revendeurs ;
(B) la mesure dans laquelle cette juridiction étrangère est une source d'activités cybernétiques malveillantes ; et
(C) si les États-Unis ont conclu un traité d'entraide judiciaire avec cette juridiction étrangère, et l'expérience des agents de la force publique et des responsables de la réglementation des États-Unis en matière d'obtention d'informations sur les activités impliquant des produits IaaS des États-Unis provenant de cette juridiction étrangère ou transitant par elle ; et
(ii) Les facteurs liés à une personne étrangère particulière, y compris :
(A) la mesure dans laquelle une personne étrangère utilise les produits IaaS des États-Unis pour mener, faciliter ou promouvoir des activités cybernétiques malveillantes ;
(B) la mesure dans laquelle les produits IaaS des États-Unis offerts par une personne étrangère sont utilisés pour faciliter ou promouvoir des activités cybernétiques malveillantes ;
(C) la mesure dans laquelle les produits IaaS des États-Unis offerts par une personne étrangère sont utilisés à des fins commerciales légitimes dans la juridiction ; et
(D) la mesure dans laquelle des actions autres que l'imposition de mesures spéciales conformément à la sous-section (d) de la présente section sont suffisantes, en ce qui concerne les transactions impliquant la personne étrangère offrant des produits IaaS des États-Unis, pour se prémunir contre les activités malveillantes sur Internet.
(c) Le Secrétaire doit prendre en considération la ou les mesures spéciales à prendre en vertu de la présente section :
(i) si l'imposition d'une mesure spéciale créerait un désavantage concurrentiel important, y compris tout coût ou charge indu lié à la mise en conformité, pour les fournisseurs américains d'IaaS ;
ii) la mesure dans laquelle l'imposition d'une mesure spéciale ou le moment choisi pour l'imposer aurait un effet négatif important sur les activités commerciales légitimes impliquant la juridiction étrangère particulière ou la personne étrangère ; et
(iii) l'effet de toute mesure spéciale sur la sécurité nationale des États-Unis, les enquêtes des services de répression ou la politique étrangère.
(d) Les mesures spéciales visées aux paragraphes (a), (b), et (c) de la présente section sont les suivants :
(i) Interdictions ou conditions relatives aux comptes dans certaines juridictions étrangères : Le Secrétaire peut interdire ou imposer des conditions à l'ouverture ou au maintien auprès de tout fournisseur américain d'IaaS d'un compte, y compris un compte de revendeur, par toute personne étrangère située dans une juridiction étrangère dont il s'avère qu'un nombre significatif de personnes étrangères offrant des produits IaaS des États-Unis sont utilisés pour des activités cybernétiques malveillantes, ou par tout fournisseur américain d'IaaS pour ou au nom d'une personne étrangère ; et
(ii) Interdictions ou conditions imposées à certaines personnes étrangères : Le Secrétaire peut interdire ou imposer des conditions à l'ouverture ou au maintien aux États-Unis d'un compte, y compris un compte de revendeur, par tout fournisseur d'IaaS des États-Unis pour ou au nom d'une personne étrangère, si un tel compte implique une telle personne étrangère dont il s'avère qu'elle offre des produits IaaS des États-Unis utilisés dans des activités cybernétiques malveillantes ou qu'elle obtient directement des produits IaaS des États-Unis pour les utiliser dans des activités cybernétiques malveillantes.
(e) Le Secrétaire ne doit pas imposer aux fournisseurs américains d'IaaS l'obligation de prendre l'une des mesures spéciales décrites au paragraphe (d) de la présente section avant l'expiration d'un délai de 180 jours suivant la publication de la réglementation finale décrite au paragraphe 1 de la présente ordonnance.
Section 3. Recommandations pour les efforts de coopération visant à dissuader l'abus des produits IaaS des États-Unis. (a) Dans les 120 jours suivant la date de la présente ordonnance, le procureur général et le Secrétaire à la Sécurité intérieure, en coordination avec le Secrétaire et, si le procureur général et le Secrétaire à la Sécurité intérieure le jugent approprié, les responsables d'autres agences, engageront et solliciteront les réactions de l'industrie sur la manière d'accroître le partage d'informations et la collaboration entre les fournisseurs d'IaaS et entre les fournisseurs d'IaaS et les agences afin d'éclairer les recommandations visées au paragraphe (b) de la présente section.
(b) Dans les 240 jours suivant la date de la présente ordonnance, le procureur général et le Secrétaire à la Sécurité intérieure, en coordination avec le Secrétaire et, si le procureur général et le secrétaire à la sécurité intérieure le jugent approprié, les chefs d'autres agences, élaborent et soumettent au président un rapport contenant des recommandations visant à encourager :
i) le partage volontaire d'informations et la collaboration entre les fournisseurs américains d'IaaS ; et
ii) le partage d'informations entre les fournisseurs américains de services d'information et de sécurité et les organismes compétents, y compris la notification d'incidents, de crimes et d'autres menaces à la sécurité nationale, afin de prévenir tout nouveau préjudice pour les États-Unis.
(c) Le rapport et les recommandations prévus au paragraphe (b) de la présente section doivent prendre en compte les mécanismes existants pour ce partage et cette collaboration, y compris le Cybersecurity Information Sharing Act (6 U.S.C. 1503 et suivants), et doivent identifier toute lacune dans la législation, la politique ou les procédures actuelles. Le rapport doit également inclure :
(i) les informations relatives aux opérations des cyberacteurs malveillants étrangers, les moyens par lesquels ces acteurs utilisent les produits de l'IaaS aux États-Unis, les capacités et les techniques commerciales malveillantes, et la mesure dans laquelle des personnes aux États-Unis sont compromises ou involontairement impliquées dans ces activités ;
(ii) des recommandations concernant les protections en matière de responsabilité, au-delà de celles prévues par la législation existante, qui pourraient être nécessaires pour encourager les fournisseurs américains de services Internet à partager des informations entre eux et avec le gouvernement des États-Unis ; et
(iii) des recommandations pour faciliter la détection et l'identification des comptes et des activités qui impliquent des cyberacteurs malveillants étrangers.
Selon un commentateur, « Cela vise vraiment les fournisseurs de VPS qui permettent le paiement par Bitcoin, par exemple, et qui fournissent des points proxy pour anonymiser le trafic. Je suis sûr que cela aura un impact sur les grands acteurs d'une manière ou d'une autre, mais les petits opérateurs qui hébergent des VPS (IaaS) seront plus touchés ».
Le président démocrate élu Joe Biden, qui prêtera serment ce mercredi, pourrait facilement révoquer un décret émis à l'époque de la présidence de Trump.
Source : Maison-Blanche
Et vous ?
Qu’en pensez-vous ? Que pensez-vous d’une ordonnance prise dans les dernières heures de la présidence de Trump ? Quel impact aura cette ordonnance sur les fournisseurs d'infrastructures en tant que service (IaaS) ? Pensez-vous aussi que cette mesure aura plus d’inconvénients pour les petits opérateurs ?Voir aussi :
Une action en justice contre un décret de Trump insinue qu'il viole le droit des sociétés à la liberté d'expression, par sa répression des médias sociaux États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements » Les charges de travail sur le cloud public devraient doubler d'ici 2021, selon le dernier rapport de Spiceworks Les dépenses mondiales dans le cloud en 2019 ont dépassé les revenus combinés de Cisco, Dell, HPE et Lenovo selon IDC. Le tiers des 233 milliards de dépenses est allé à cinq entreprises