GlobalSecurity.org In the News

Richard Clarke, ancien conseiller à la Maison Blanche pour les questions de cybercrime, accuse Washington d'être encore «très XXe siècle» dans son approche. Lors d'une table ronde à Pittsburg, il y a quelques jours, il a fustigé la lenteur du nouveau département de la Sécurité du territoire. Le poste qu'il occupait jusqu'en février à la Maison Blanche a bien été transféré vers le nouveau superministère, en revanche, il est resté vacant. «C'est bien le signe que la cybersécurité n'est pas la priorité de l'administration», commente Michael Vatis, l'ancien directeur du «National Infrastructure Protection Center» au FBI. Finalement, lundi dernier, le gouvernement a nommé Amit Yoran à la tête du nouveau département, un vétéran de la sécurité informatique, transfuge de Symantec.

Château de cartes. Pour se rattraper, le département de la Sécurité du territoire annonce une conférence sur la «cybersécurité» en novembre. Personne pourtant n'en attend grand-chose. «C'est toujours la même chose», constate George Smith, de l'organisation Globalsecurity. org. De temps à autre, les politiciens font du bruit, le gouvernement parle du risque de "Pearl Harbour Digital" (1), tout le monde annonce un "réveil", on dresse des stratégies nationales... mais tout cela ne se traduit jamais par des actions concrètes. La vérité, c'est que les harangues ne mènent à rien.» Le problème, estime-t-il, c'est que cette approche a conduit à la construction d'un grand château de cartes. «Pendant des années, on a développé des modèles de logiciels servant à l'infrastructure des entreprises, qui, elles, ne prennent pas en compte la sécurité...» Selon lui, il faudrait forcer les entreprises à changer, bien qu'il n'y croie pas une seconde. «Les industriels sont très réticents à tout changement. Et l'administration n'en fait pas une priorité, parce que les dégâts des cybercrimes n'ont pas, dans le monde réel, un impact aussi grand que certains l'affirment.»

Comme de nombreux experts, George Smith considère que la seule façon de faire reculer les attaques serait de faire pression «avec plus de mordant» sur les vendeurs de logiciels, pour les amener à renforcer la sécurité de leurs produits. C'est aussi l'avis de Michael Vatis, devenu aujourd'hui consultant, qui suggère «sinon une réglementation, du moins des incitations». Par exemple : actuellement, les vendeurs de logiciels font signer à leurs clients des contrats qui les protègent contre toute action en justice. Selon Vatis, il suffirait au Congrès de rendre ces clauses inapplicables en cas de gros dégâts. «Le Congrès pourrait également obliger les entreprises utilisatrices de logiciels à rendre publiques les attaques sérieuses dont elles seraient victimes», ajoute-t-il. Mais ces propositions ont encore du mal à passer.

«Rendez-la heureuse» Côté répression, le FBI prend les choses un peu plus au sérieux. Toutefois, comme le constate Vatis, les ressources du FBI «augmentent bien moins vite que l'ampleur des attaques, qui sont de plus en plus sophistiquées». Depuis le 11 septembre, la priorité est le terrorisme, les malheurs de l'Internet arrivent loin derrière. A l'occasion d'auditions devant la Chambre des représentants, il y a quelques jours, un responsable du département de la Justice, John Malcolm, a passé un sale quart d'heure : «Pourquoi les cybercriminels sont-ils plus légèrement sanctionnés que les autres vandales ?» a interrogé le représentant de Floride, Adam Putnam, l'élu le plus sensible au sujet. John Malcolm a protesté, citant deux arrestations. «Il y a des centaines de virus lâchés chaque année, et vous ne pouvez vous souvenir que de deux inculpations ?» a rétorqué Putnam...

Les élus américains s'intéressent beaucoup plus aux spams, les courriers indésirables, qui représentent une vraie nuisance pour leurs électeurs : «doublez vos revenus», «rendez-la heureuse», «refinancez votre crédit»... La progression des spams est telle que c'est la survie même de l'e-mail qui est en question. En 2001, ils ne représentaient que 7 % des e-mails envoyés ; aujourd'hui, leur part est passée à 50 %. Certaines journées, AOL doit bloquer jusqu'à un milliard de spams pour protéger ses clients ! Cependant, dans un grand jeu du chat et de la souris, les spamers parviennent toujours à franchir les obstacles qui leur sont posés. Vingt-cinq Etats américains ont déjà adopté des textes sur les spams et le Congrès s'apprête à débattre du sujet.

Inefficacité. Toute la difficulté est de ne pas écorner au passage le sacro-saint «premier amendement» de la Constitution, qui défend la liberté d'expression. Plusieurs propositions de loi sont concoctées au Sénat et à la Chambre pour tenter de combattre cette vague montante. Charles Schumer, sénateur démocrate de New York, et Lindsay Graham, sénateur républicain de Caroline du Sud, proposent une «liste rouge» des internautes refusant d'être «spamés». Une piste considérée comme «inefficace» par Timothy Muris, le patron de la FTC (l'autorité de régulation du commerce). Autre proposition, celle de Ron Wyden (sénateur démocrate de l'Orégon) et Conrad Burn (républicain du Montana). Ils suggèrent que chaque courrier électronique soit doté d'une vraie adresse à laquelle il soit possible de répondre et que la FTC dispose de pouvoirs supplémentaires pour traquer les spamers... Toutes ces solutions font sourire les spécialistes ; car les auteurs de spams peuvent opérer d'où ils veulent, depuis les îles Caïmans ou la Biélorussie...

Selon James Halpert, avocat chez Piper Rudnick, spécialiste de l'internet, la seule façon d'endiguer la progression des spams serait de durcir sérieusement les lois pénales. «Les spamers peuvent toujours s'expatrier, bien sûr. Mais leurs campagnes vantent, pour la plupart, des produits américains. Par des menaces de sanctions pénales, on peut faire pression sur ceux qui sont derrière ces produits et qui sont les payeurs du système.» Deux sénateurs, Orrin Hatch (républicain de l'Utah) et Patrick Leahy (démocrate du Vermont) ont avancé une proposition suggérant des peines allant jusqu'à 5 ans de prison.