Cybersécurité : la nouvelle priorité des Etats-Unis

Il est presque passé inaperçu. Mardi 12 février, Barack Obama a signé un nouveau décret présidentiel sur la cybersécurité. En facilitant les échanges d'informations entre l'administration américaine, les agences d'information et les entreprises privées, ce texte cherche à renforcer la sécurité des infrastructures informatiques stratégiques. Signé quelques jours après une série d'attaques informatiques contre des entreprises et des médias américains, le décret s'inscrit dans un programme plus vaste de protection. Voici ce qu'il faut en retenir.

Renforcer la défense

Contrairement au danger des armes nucléaires, les cyberattaques n'émanent pas seulement d'une poignée de pays. Une nouvelle stratégie de défense s'avère donc nécessaire dans une période où les Etats-Unis sont devenus une cible de prédilection, comme l'affirmait le Wall Street Journal le 11 février.

Le journal américain a dévoilé un rapport classé secret, émanant de plusieurs services de renseignements, selon lequel les attaques contre les Etats-Unis avaient pour objectif d’affaiblir l'économie américaine. Le pays le plus agressif serait la Chine, qui chercherait "à pénétrer dans les systèmes informatiques des institutions et des entreprises américaines afin d'avoir accès à des données lui permettant d'acquérir une avance dans le domaine économique".

Le rapport nomme également trois autres pays engagés dans la bataille de la cyberintelligence économique, et qui ont déjà attaqué les Etats-Unis : la Russie et, plus surprenant, Israël et la France. 

Outre un partage plus facile des informations, le programme consacré a la cyberdéfense au Pentagone (dit "CyberCommand"), qui fait travailler 900 personnes actuellement, doit voir ses effectifs grimper à plus de 4 000 personnes, explique le New York Times.

Autoriser les attaques préventives

Même si les nouveaux programmes semblent miser principalement sur la défense, les Etats-Unis seraient prêts à aller plus loin. D'après le New York Times, un rapport secret accorderait au président Obama une plus grande liberté d'utilisation des attaques dites "de prévention".

"Les nouvelles politiques vont définir les modalités selon lesquelles les agences de renseignement pourront pénétrer les ordinateurs à distance, pour obtenir les informations sur les risques d’attaques potentielles contre les Etats-Unis. Avec l’autorisation du président, on pourra s’attaquer à ses adversaires avec un code destructeur, sans que la guerre soit déclarée", explique le journal.

Barack Obama aurait déjà donné son feu vert à une série de cyberattaques – sans jamais l'avouer – contre l'Iran, menée avec une arme redoutable : le ver Stuxnet. L'opération, répondant au nom de code "Jeux olympiques", était orientée contre les centrales d'enrichissement d'uranium iraniennes. "Les attaques contre l'Iran ont montré que les infrastructures d'un pays peuvent être détruites sans être bombardées ou sans envoyer de saboteurs", écrit le New York Times.

Cependant, pas question de se heurter au droit international, a tenté de rassurer un responsable américain dans l’article du New York Times. "Les Etats-Unis agiront conformément à leur droit intrinsèque à la légitime défense dans le cyberespace, comme le reconnaît le droit international, pour prévenir toute perte en vie imminente ou dommage significatif".  

Instaurer une nouvelle relation avec les pirates

Dans ce nouveau climat où les vers informatiques et les codes destructeurs deviennent de nouvelles armes de guerre, la défense américaine devrait changer sa relation de désamour avec les hackers (les pirates informatiques). Aux Etats-Unis, ils sont régulièrement envoyés en prison.

Aaron Swarts n’est pas le seul pirate à s'être suicidé, rappelle John Arquilla dans un article de Foreign Policy dénonçant la politique des Etats-Unis envers les hackers. Pourtant, "à l’heure où l’Etat investit massivement dans la cybersécurité, la demande des talents explose"  estimait déjà ZDNet (traduit en français par Courrier International) fin 2011.

D’ailleurs, l’Agence nationale de sécurité recrute déjà des experts informatiques lors d'événements tels que le Defcon, la conférence annuelle qui rassemble les plus grands pirates du net. 

Donner des gages aux internautes sur le respect de la vie privée

L’association américaine de défense de libertés individuelles (Aclu) a approuvé le décret Obama qui, estime-t-elle, "n'affecte pas négativement les libertés civiles", rapporte le journal américain The Hill. Le nouveau décret, lui, incite les fournisseurs d'accès à internet et les services comme Facebook ou Twitter à communiquer les informations qui pourraient mettre en danger des cibles militaires et des infrastructures, mais de façon "volontaire", et non plus obligatoire.

De quoi faire oublier le Cispa (Cyber Intelligence Sharing and Protection Act), une proposition législative apparue fin 2011 visant à donner aux Etats-Unis les moyens de lutter contre les cybermenaces. Dès son apparition, le texte avait provoqué des controverses. Le projet de loi prévoyait que, face à une cybermenace contre les Etats-Unis, les agences de renseignement américaines pouvaient demander à Twitter, Facebook ou Google de leur transmettre des messages, tweets ou e-mails d’internautes.

L'organisation non-gouvernementale qui défend la liberté de parole sur internet (EFF) estimait que le Cispa pourrait fragiliser la vie privée des internautes. En effet, la définition de la "cybermenace" était très floue.

Cependant, parallèlement au décret d’Obama, le controversé projet de loi Cispa refait surface : il devrait être remis dans le circuit législatif ce mercredi 13 février 2013.