Incidents associés
La capacité du gouvernement fédéral à lutter contre le cyberespionnage, les piratages informatiques destructeurs et les escroqueries du crime organisé décline sous l'administration Trump, au moment même où l'intelligence artificielle décuple ces menaces, selon des entretiens avec des responsables actuels et anciens ainsi qu'avec des experts externes en cybersécurité.
« Un nouveau leadership est nécessaire pour protéger notre pays face à la recrudescence des cybermenaces », a écrit la Cybersecurity Coalition, un groupement professionnel d'entreprises de sécurité et de géants de la technologie tels que Microsoft, Google et Cisco, dans une lettre adressée à la Maison Blanche la semaine dernière. Le groupe a évoqué l'utilisation croissante de l'IA par les cybercriminels et a demandé une plus grande collaboration avec le secteur privé.
Ce groupe d'entreprises faisait écho aux inquiétudes exprimées par des experts et des membres des deux partis au Congrès concernant un repli stratégique, notamment la réduction d'un tiers des effectifs de l'Agence de cybersécurité et de sécurité des infrastructures (CISA). Ces licenciements étaient motivés à la fois par la colère du président Donald Trump suite aux avertissements antérieurs de l'agence concernant la propagande étrangère et par la volonté générale de la Maison Blanche de réduire les dépenses publiques.
« Alors que nos adversaires accélèrent leurs progrès en matière d'IA, la cyberdéfense fédérale a été affaiblie », a déclaré Chris Krebs, directeur fondateur de la CISA sous la première administration Trump, avant d'être limogé pour avoir affirmé que l'élection de 2020 n'avait pas été piratée. « La stratégie est floue, les effectifs sont réduits et nos capacités sont fortement diminuées. Qu'on le veuille ou non, nous ne sommes pas aussi performants aujourd'hui que nous devrions l'être. »
L'administration Trump a nié tout affaiblissement de ses cyberdéfenses.
« La CISA remplit avec constance sa mission principale en faisant preuve d'une collaboration opérationnelle quotidienne, en accélérant le partage de renseignements et en renforçant notre défense de la cybersécurité et des infrastructures critiques à travers le pays », a déclaré Marci McCarthy, directrice des affaires publiques de l'agence, qui a refusé de mettre un représentant à disposition pour des interviews.
Dans un nouvel exemple de menaces émergentes, la société d'IA Anthropic a révélé ce mois-ci que des pirates informatiques soutenus par le gouvernement chinois avaient exploité son outil de programmation Claude pour créer des agents autonomes. Ces derniers ont mené avec succès une campagne d'espionnage sophistiquée contre de grandes entreprises technologiques, des institutions financières, des sociétés chimiques et des agences gouvernementales.
Selon la société, ces agents d'IA, quasiment sans supervision humaine, ont découvert d'importants ensembles de données cibles et des failles de sécurité non corrigées dans les logiciels les protégeant. La Chine a nié toute implication dans ce piratage présumé. Les agences américaines compétentes n'ont pas commenté le rapport d'Anthropic, mais celui-ci a incité la commission de la sécurité intérieure de la Chambre des représentants à convoquer, mercredi, le PDG de l'entreprise à témoigner.
L'IA facilite la recherche de nouvelles vulnérabilités par les espions en permettant aux programmes informatiques d'analyser d'immenses quantités de code à la recherche de failles logiques ou autres anomalies. La rapidité d'exécution des commandes permet également aux criminels de tenter de pirater simultanément un plus grand nombre de systèmes. Les directives gouvernementales sont rares alors que les entreprises déploient des fonctionnalités plus risquées, comme les navigateurs IA, qui ont accès à une quantité bien plus importante de données personnelles et professionnelles et peuvent être piratées.
Des attaques récentes ont permis de tromper des programmes d'IA installés sur les ordinateurs des victimes et de les amener à effectuer des tâches pour le compte de l'attaquant, notamment la recherche de mots de passe et d'identifiants de comptes de cryptomonnaies.
Parallèlement, une note interne de novembre du directeur par intérim de la CISA, révélée la semaine dernière par la publication spécialisée Cybersecurity Dive, indiquait que l'agence était confrontée à un taux de vacance de poste d'environ 40 % dans ses principaux domaines d'activité et prévoyait de nouvelles embauches. Outre les personnes licenciées délibérément, d'autres ont déclaré en entrevue avoir quitté leurs fonctions pour des opportunités mieux rémunérées dans le secteur privé ou par frustration face à un manque de leadership et de stratégie. McCarthy, la porte-parole de la CISA, a refusé de commenter la note de service.
Alors que la fermeture des services gouvernementaux a exacerbé le déficit de capacités en matière de cyberdéfense, plus d'une douzaine de personnes ont indiqué en entrevue que la réouverture ne permettrait pas d'inverser les réductions constatées depuis la réentrée en fonction du président Donald Trump le 20 janvier. Tous les responsables actuels ont témoigné sous couvert d'anonymat par crainte de représailles.
Des experts en cybersécurité, au sein et en dehors de l'administration, font état de plusieurs obstacles.
Le Congrès n'a pas encore confirmé la nomination d'un nouveau directeur pour la CISA, qui relève du département de la Sécurité intérieure, ni pour la NSA, l'agence du département de la Défense chargée du renseignement d'origine électromagnétique. La Maison-Blanche n'a pas encore désigné de candidat à la tête de la NSA. Concernant la CISA, le sénateur démocrate Ron Wyden (Oregon) a bloqué en avril la nomination d'un candidat largement soutenu, dans l'attente de la publication par l'agence d'un rapport de 2022 sur la sécurité des opérateurs téléphoniques.
Cette situation plonge les deux principales agences de cyberdéfense dans l'incertitude quant à leurs priorités et leur stratégie, selon ces sources.
Par ailleurs, la Commission fédérale des communications (FCC) a voté ce mois-ci l'abandon des normes de sécurité des télécommunications qui avaient été imposées suite à la découverte du piratage des principaux opérateurs téléphoniques par une équipe gouvernementale chinoise connue sous le nom de Salt Typhoon.
« L'abrogation de ces règles laisse certains des réseaux les plus importants du pays sans protection », a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes sous la présidence de Joe Biden, et auparavant directrice de la cybersécurité de la NSA. « Le piratage par la Chine de plusieurs opérateurs télécoms américains, parfois des piratages qui se sont étalés sur plusieurs années sans être détectés, a mis en évidence l'insuffisance de la cybersécurité de nombreux opérateurs pour se défendre contre cette menace. »
Le mois dernier, la FCC a qualifié ces règles d'« illégales et inefficaces » et a déclaré adopter une « approche agile et collaborative pour protéger le pays contre les cyberattaques », dans le cadre de laquelle les opérateurs de télécommunications se sont engagés individuellement à mettre en place des mesures de protection renforcées.
Un haut responsable de l'administration a nié tout affaiblissement des défenses américaines, s'exprimant sous couvert d'anonymat conformément aux directives du service de presse. Il a affirmé que les progrès de la Maison Blanche dans certains domaines devaient rester confidentiels et que les coupes budgétaires à la CISA étaient justifiées par les ambitions excessives et la dérive de sa mission. Sean Cairncross, directeur national de la cybersécurité à la Maison-Blanche, doté d'un large pouvoir de supervision mais de compétences limitées, a déclaré la semaine dernière lors d'une conférence que l'administration s'attachait à infliger des pertes aux adversaires et publierait prochainement un document stratégique.
D'autres responsables, actuels et anciens, ont affirmé que l'attention du gouvernement fédéral s'était égarée.
« Cette administration ne prend pas la cybersécurité particulièrement au sérieux », a déclaré un ancien responsable du contre-espionnage. « Cela fait des mois que personne n'a parlé de Salt ou de Volt Typhoon [les pirates informatiques soutenus par la Chine qui ciblent les opérateurs télécoms et les entreprises de services publics], alors que le problème persiste. »
Certes, même pendant la paralysie des services fédéraux, la CISA a continué d'alerter les entreprises sur les attaques en cours et d'enjoindre les agences à prendre des mesures de protection sous quelques jours en cas d'urgence.
Par ailleurs, un groupe de travail sur la sécurité des acquisitions fédérales a publié sa première ordonnance en septembre, interdisant à Acronis, fournisseur suisse de logiciels de sécurité et de sauvegarde fondé par un expatrié russe, de participer aux marchés publics et de sous-traitance liés au renseignement – une mesure que l'administration Biden avait envisagée sans la mettre en œuvre depuis des années.
« Cette modification n'affecte en rien la capacité d'Acronis à servir ses clients non gouvernementaux aux États-Unis ni ses clients dans les 150 autres pays où nous sommes présents », a déclaré l'entreprise dans un communiqué.
Le département du Commerce pilote un processus interministériel distinct permettant d'interdire des produits étrangers, même dans le cadre de transactions privées, pour des raisons de sécurité nationale. Cependant, plusieurs décisions visant à prendre de telles mesures sont bloquées au plus haut niveau du département pendant les négociations commerciales avec la Chine, ont indiqué au Washington Post des sources proches du dossier. Certaines d'entre elles ont affirmé que ces interdictions potentielles étaient suspendues car les dirigeants souhaitaient les utiliser comme monnaie d'échange avec la Chine. « On ne peut pas garantir la sécurité par le biais de transactions de cette nature », a déclaré l'une d'elles.
Parmi les mesures en suspens figure une proposition d'interdiction des routeurs Internet domestiques et professionnels à bas prix et parmi les plus vendus de TP-Link Systems, une entreprise issue d'une filiale chinoise. Le 30 octobre, jour même où le Washington Post publiait un article sur cette proposition, les présidents républicains de cinq commissions de la Chambre des représentants ont demandé au secrétaire au Commerce, Howard Lutnick, des informations sur sa gestion du dossier TP-Link et de 18 autres entreprises soupçonnées par des agences gouvernementales d'avoir des liens avec la Chine. Le département du Commerce a refusé de commenter.
TP-Link a déclaré être désormais une entreprise américaine et qu'il serait plus logique d'imposer des exigences de sécurité à tous ses équipements plutôt que d'en interdire certains en fonction de l'origine de leurs composants. « Partir du principe que tout produit utilisant des pièces ou de la main-d'œuvre chinoise est automatiquement un dispositif d'écoute pour le PCC [Parti communiste chinois] est, au mieux, une simplification excessive, et dans la plupart des cas, tout simplement faux », a déclaré jeudi Matt Wyckhouse, consultant en sécurité chez TP-Link.
Une analyse exhaustive de la gestion des menaces dans le cyberespace par l'administration a été publiée le mois dernier par les responsables de la Commission Solarium sur le cyberespace, qui rendent compte chaque année des progrès accomplis dans la mise en œuvre de chacune des 82 recommandations initiales de la Commission.
Cette année, le sénateur Angus King (indépendant, Maine), coprésident de la Commission, et Mark Montgomery, directeur exécutif, ont conclu pour la première fois que les défenses du pays s'étaient affaiblies.
« La capacité de notre nation à se protéger et à protéger ses alliés contre les cybermenaces stagne et, dans plusieurs domaines, se détériore », ont-ils écrit. « La technologie évolue plus vite que les efforts fédéraux pour la sécuriser. Parallèlement, les coupes budgétaires dans les programmes de cyberdiplomatie et de recherche scientifique, ainsi que l'absence de direction stable au sein d'agences clés comme la CISA (Agence pour la cybersécurité et les infrastructures), le Département d'État et le Département du Commerce, ont encore freiné les progrès. »
Montgomery a déclaré en entrevue qu'il était particulièrement préoccupé par la diminution des effectifs fédéraux en matière de cybersécurité, tant par le volume important de ces effectifs que par le fait que les réductions de postes touchent de jeunes employés encore en période d'essai et les cadres supérieurs, qui peuvent prétendre à des indemnités de départ. En octobre, la dernière d'une longue série de vagues de licenciements a touché une équipe de la CISA chargée de contacter les cibles potentielles de piratage et de les informer sur les protections disponibles.
« Ce n'était pas seulement excessif, c'était une cible mal définie », a déclaré Montgomery, contre-amiral à la retraite et ancien membre de l'administration présidentielle, à propos des conséquences de l'investiture. « Ils créent des problèmes pour l'année prochaine et les années à venir. »
Un autre groupe d'anciens responsables a également affirmé dans des documents publiés ce mois-ci que les menaces dépassent la capacité de riposte des États-Unis. « Malgré sa puissance, les États-Unis restent vulnérables aux cyberattaques en raison de la complexité immense et croissante du cyberespace et de décennies de luttes bureaucratiques internes », a conclu ce groupe, connu sous le nom de Projet sur la technologie et la sécurité nationale.
« Le temps joue contre la défense », a écrit Jane Lute, ancienne secrétaire adjointe du département de la Sécurité intérieure. « Avec l'accél�ération rapide de l'intelligence artificielle sous toutes ses formes, les cybercriminels disposent désormais d'un arsenal d'outils bien plus puissant pour nuire et commettre des crimes, non seulement dans le cyberespace, mais dans tous les domaines imaginables. »