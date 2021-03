Lors d’une audience sur SolarWinds vendredi dernier devant les comités de surveillance de la Chambre et de la sécurité intérieure, des représentants américains ont saisi une déclaration de l’ancien PDG de SolarWinds selon laquelle, en 2017, un stagiaire avait affiché par erreur un mot de passe, «SolarWinds123», sur Internet public qui aurait pu fournir un acteur malveillant avec un accès complet au serveur de mise à jour de l’entreprise.

Pourquoi est-ce important: Les audiences du Congrès de la semaine dernière – et la réponse confuse et déroutante au piratage par certains décideurs politiques, spécialistes de l’industrie et agences gouvernementales – ont souligné les tensions inhérentes à la «réalisation» de la cybersécurité dans un monde d’objectifs transversaux et souvent mutuellement exclusifs.

Bien que le mot de passe compromis ne soit qu’une théorie sur la façon dont les services de renseignement russes ont pu compromettre SolarWinds – et rien ne prouve que c’était en effet la façon dont ils ont accompli leur intrusion initiale – un membre incrédule du Congrès s’est jeté sur l’idée qu’un tel potentiel un échec monumental de la cybersécurité aurait pu provenir d’une erreur humaine aussi banale.

Les erreurs humaines fournissent un bon cadrage facile à comprendre pour des problèmes complexes, particulièrement attrayant pour les politiciens et les acteurs privés dans la mesure où il individualise la responsabilité – sur les épaules d’un seul stagiaire, pas moins, avec SolarWinds – tout en évitant les problèmes structurels plus profonds en jeu dans la cyber-sécurité.

Bien sûr, les erreurs individuelles peuvent avoir et ont parfois des effets systémiques massifs. L’un des plus grands coups d’État du renseignement de l’histoire des États-Unis, le projet Venona, est né d’une erreur de la Seconde Guerre mondiale commise par des responsables soviétiques dans laquelle certaines clés des «tampons uniques» – parmi les formes les plus sûres de communications codées – ont été utilisées deux fois, permettant aux cryptanalystes américains de déchiffrer les chiffrements soviétiques.

L’échec humain a également conduit à des compromis massifs à l’ère numérique, avec des effets mortels dans le monde réel.

Par exemple, en 2004, un officier de la CIA a tenté d’envoyer un message numérique crypté à l’un des actifs de l’agence en Iran – mais, dans une sorte de «copie carbone» de l’enfer, a par erreur inclus dans la transmission des informations qui «pourraient être utilisées pour identifier pratiquement tous les espions que la CIA avait en Iran », a rapporté James Risen dans son livre de 2006« State of War ».

Malheureusement, cet actif en particulier iranien était en fait un agent double, et les services de sécurité iraniens ont rassemblé le réseau iranien de la CIA à la suite de ce seul message bâclé.

La grande image: Bien que l’erreur humaine soit une menace de cybersécurité toujours présente – vous ne pouvez pas empêcher tout le monde de cliquer sur un lien malveillant – il y a des problèmes plus profonds et plus épineux au travail. Et ceux-ci ne peuvent pas être résolus, s’ils sont effectivement résolubles, sans échanger certains biens importants contre d’autres.

Le partage de plate-forme facilite la vie des entreprises – et des pirates aussi

L’omniprésence aujourd’hui des prestataires de services gérés, les entreprises qui externalisent des plates-formes pour la gestion informatique et d’autres fonctions de réseau de base, garantit que les entreprises ont moins de connaissances et de contrôle sur les logiciels exécutés sur leurs systèmes.

La facilité de ne pas développer ces capacités en interne (si cela est même possible) – gain de temps pour les employés, augmentation de l’interopérabilité et peut-être plus important encore, avantage positif sur les résultats – est potentiellement partiellement compensée par ce qui peut être un risque accru provoqué par l’utilisation de ces services.

L’utilisation de tels fournisseurs peut rendre ses propres réseaux plus opaques, et en utilisant ces plates-formes, les entreprises importent également toutes les failles qui pourraient tranquillement sommeiller en leur sein – comme cela s’est produit, de manière désastreuse, avec SolarWinds.

De plus, les compromis via les chaînes d’approvisionnement logicielles comme SolarWinds sont particulièrement pernicieux car il est si difficile de déterminer leur origine, et une fois qu’ils se sont propagés d’une entreprise à l’autre, ou d’une plate-forme à l’autre, extirper les pirates peut être un cauchemar logistique et de contre-espionnage.

Les entreprises privées sous-traitent le travail à d’autres entreprises privées, qui fournissent elles-mêmes des services aux agences gouvernementales, qui elles-mêmes ne réalisent peut-être pas à quel point elles sont exposées, même sur des réseaux non classés.

La ligne du bas: Les impératifs du commerce à une époque de concurrence acharnée et la nécessité de garantir le bon fonctionnement des grandes bureaucraties complexes à l’ère numérique entraîneront inévitablement des risques de cybersécurité accrus, même si les organisations ou les agences gouvernementales tentent d’instaurer une sécurité «zéro confiance» des modèles.

Pas de balles d’argent pour la cyberdéfense

Il n’y aura jamais de «solution miracle» dans la cyberdéfense – et s’il y en avait, cela serait probablement considéré comme totalement inacceptable, grâce à des normes et des hypothèses profondément ancrées partagées entre les institutions et les acteurs américains de la cybersécurité.

Par exemple, la National Security Agency ne peut pas surveiller tous les fournisseurs de services Internet privés américains dans le cadre d’un système de détection précoce massif contre les cybermenaces.

Même à supposer qu’un tel arrangement soit possible ou souhaitable, étant donné les violations potentiellement vastes des libertés civiles, il pourrait y avoir plus de raisons piétonnes de s’y opposer.

Les systèmes d’interception légaux qui concentrent le pouvoir concentrent également le risque: si une puissance étrangère accédait secrètement à un tel système et s’y enfouissait, cela pourrait être cataclysmique.

Entre les lignes: Les réseaux numériques privés sont intrinsèquement fragmentés et opaques pour les étrangers, ce qui exclut tout type de réponse en amont unique.

Aux audiences du Congrès de la semaine dernière, par exemple, le président de Microsoft, Brad Smith, a suggéré d’imposer des obligations légales aux entreprises privées de signaler les violations, ce qui pourrait aider à endiguer la propagation de certains compromis en facilitant le partage d’informations importantes.

Mais il s’agit toujours d’un effort d’atténuation et non de prévention pure et simple.

D’autres propositions lancées occasionnellement – comme l’idée que les entreprises privées devraient pouvoir «pirater» les attaquants dans leurs réseaux – sont au mieux fantaisistes et au pire délirantes.

Tensions entre attaque et défense dans le cyberespace

Les cyberopérateurs offensifs des États-Unis visera à manipuler l’environnement informatique au sens large. Les défenseurs des secteurs public et privé, quant à eux, ont leurs propres prérogatives. Ces besoins seront toujours sous tension – et sont très probablement insolubles.

La grande image: Bien que la NSA effectue un important travail défensif, cette dépendance à l’insécurité et la facilitation de celle-ci sont partie centrale des travaux de la NSA.

En effet, selon un document de la NSA divulgué en 2013, la NSA a mené un «SIGINT Enabling Project» secret, dont l’objectif était d’engager «les industries informatiques américaines et étrangères à influencer secrètement et / ou à exploiter ouvertement la conception de leurs produits commerciaux. … [to] rendre les systèmes en question exploitables grâce à la collection SIGINT. »

Rien ne souligne plus clairement la tension dans le travail de la NSA que la preuve qu’elle a poussé ce qu’elle savait être une norme de cryptage défectueuse sur le National Institute of Standards and Technology (NIST), de sorte que le NIST en 2006 le validerait (sans le savoir) comme sûr. pour un usage général – pendant que la NSA était capable de le craquer.

De plus, la NSA et la CIA besoin de garder secrètes les vulnérabilités de toutes sortes afin de les exploiter contre des cibles de renseignement. S’attendre à ce qu’ils ne le fassent pas serait une folie.

Le «processus d’équité des vulnérabilités» du gouvernement fournit un cadre formel (quoique largement secret) pour déterminer s’il faut divulguer les bogues connus à des parties extérieures.

Mais c’est une décision prise dans gouvernement en ce qui concerne ses propres prérogatives, qui peuvent ne pas correspondre parfaitement au bien-être ou aux souhaits du grand public.

Il y a d’autres cas là où le gouvernement et les intérêts publics pourraient ne pas s’aligner.

Précisons que les législateurs voulaient, par exemple, exiger que les produits Microsoft répondent à certaines normes de sécurité pour un usage grand public.

Et si ces normes interféraient avec d’importants programmes de collecte pour la CIA ou la NSA, dont les cibles à l’étranger exécutaient Windows? À quels besoins faut-il donner la priorité si la sécurité nationale est considérée comme en jeu? Et qui devrait prendre cette décision?

Entre les lignes: De nombreux responsables américains du renseignement considèrent la porosité et l’insécurité même du domaine numérique comme une opportunité et un avantage structurels immenses. Ils voient de bonnes raisons d’exploiter ces moyens de collecte dans le cadre des activités de renseignement du pays à l’étranger (et parfois dans le pays). Oui mais: De telles activités n’atténuent pas les risques ou l’insécurité en ligne. En fait, ils l’augmentent presque certainement plus largement. Certains soutiennent que ce compromis peut valoir la peine d’être fait. Mais c’est néanmoins un compromis.

L’essentiel: en cybersécurité, nous n’aurons jamais tout

Le philosophe Isaiah Berlin a écrit …

«La notion du tout parfait, de la solution ultime, dans laquelle coexistent toutes les bonnes choses, me semble non seulement inatteignable – c’est un truisme – mais conceptuellement incohérente; Je ne sais pas ce que veut dire une harmonie de ce genre. Certains parmi les Grands Marchandises ne peuvent pas vivre ensemble. C’est une vérité conceptuelle. Nous sommes condamnés à choisir, et chaque choix peut entraîner une perte irréparable. »

Berlin parlait de choix moraux – comme les «biens» de liberté et d’égalité, qui s’excluent souvent mutuellement.

En cybersécurité, ces «biens» – qui sont souvent enracinés dans des prérogatives plus profondes de la sécurité nationale, de la vie privée individuelle et du système de libre entreprise – fonctionnent aussi parfois à des fins intrinsèques. Nous ne pouvons pas tous les maximiser simultanément.

Ma bulle de pensée: La poursuite de la cybersécurité, ainsi que le maintien géré des cyber-insécurités souhaitables, doivent être supervisés par les décideurs. Ils doivent au public un compte rendu plus complet de leur calcul éthique et pratique.

