Le FBI a actuellement le pouvoir d’accéder à des ordinateurs privés à l’insu ou sans le consentement de leurs propriétaires, et de supprimer des logiciels. Cela fait partie d’un effort gouvernemental pour contenir les attaques continues contre les réseaux d’entreprise exécutant le logiciel Microsoft Exchange, et c’est une intrusion sans précédent qui soulève des questions juridiques sur jusqu’où le gouvernement peut aller.
Le 9 avril, le tribunal de district des États-Unis pour le district sud du Texas a approuvé un mandat de perquisition autorisant le ministère américain de la Justice à mener l’opération.
Le logiciel que le FBI supprime est un code malveillant installé par des pirates pour prendre le contrôle de l’ordinateur d’une victime. Les pirates ont utilisé le code pour accéder à de vastes quantités de messages électroniques privés et pour lancer des attaques de ransomwares. L’autorité sur laquelle le ministère de la Justice s’est appuyé et la manière dont le FBI a mené l’opération ont créé d’importants précédents. Ils soulèvent également des questions sur le pouvoir des tribunaux de réglementer la cybersécurité sans le consentement des propriétaires des ordinateurs ciblés.
En tant que spécialiste de la cybersécurité, j’ai étudié ce type de cybersécurité, surnommé la défense active, et comment les secteurs public et privé se sont appuyés les uns sur les autres pour la cybersécurité pendant des années.
La coopération public-privé est essentielle pour gérer le large éventail de cybermenaces auxquelles les États-Unis sont confrontés. Mais elle pose des défis, notamment pour déterminer jusqu’où le gouvernement peut aller au nom de la sécurité nationale. Il est également important que le Congrès et les tribunaux supervisent cet exercice d’équilibre.
Piratage du serveur Exchange
Depuis au moins janvier 2021, les groupes de piratage utilisent des exploits zero-day – c’est-à-dire des vulnérabilités jusque-là inconnues – dans Microsoft Exchange pour accéder aux comptes de messagerie. Les pirates ont utilisé cet accès pour insérer des web shells, des logiciels qui leur permettent de contrôler à distance les systèmes et les réseaux compromis. Des dizaines de milliers d’utilisateurs et d’organisations de messagerie ont été touchés. L’un des résultats a été une série d’attaques de ransomwares, qui chiffrent les fichiers des victimes et détiennent les clés pour les déchiffrer contre une rançon.
Le 2 mars 2021, Microsoft MSFT,
a annoncé qu’un code de groupe de piratage nommé Hafnium avait utilisé plusieurs exploits zero-day pour installer des shells Web avec des noms de fichiers et des chemins uniques. Cela rend difficile pour les administrateurs de supprimer le code malveillant, même avec les outils et les correctifs que Microsoft et les entreprises de cybersécurité ont publiés pour aider les victimes.
Le FBI accède à des centaines de ces serveurs de messagerie dans les réseaux d’entreprise. Le mandat de perquisition permet au FBI d’accéder aux web shells, de saisir le mot de passe précédemment découvert pour un web shell, d’en faire une copie à des fins de preuve, puis de supprimer le web shell. Le FBI, cependant, n’était pas autorisé à supprimer tout autre logiciel malveillant que les pirates auraient pu installer lors de la violation ou à accéder au contenu des serveurs.
Ce qui rend cette affaire unique est à la fois la portée des actions du FBI pour supprimer les coquilles Web et l’intrusion sans précédent dans des ordinateurs privés sans le consentement des propriétaires. Le FBI a entrepris l’opération sans consentement en raison du grand nombre de systèmes non protégés dans les réseaux américains et de l’urgence de la menace.
L’action démontre l’engagement du ministère de la Justice à utiliser «tous nos outils juridiques», a déclaré le procureur général adjoint John Demers dans un communiqué.
Le nombre total d’entreprises compromises reste obscur étant donné que le chiffre est expurgé dans les documents judiciaires, mais il pourrait s’agir de 68 000 serveurs Exchange, ce qui affecterait potentiellement des millions d’utilisateurs de messagerie. De nouvelles attaques de logiciels malveillants sur les serveurs Microsoft Exchange continuent de faire surface et le FBI continue d’entreprendre des actions autorisées par les tribunaux pour supprimer le code malveillant.
Défense active
Le virage vers une stratégie américaine de cybersécurité plus active a commencé sous l’administration Obama avec la mise en place du Cyber Command américain en 2010. L’accent à l’époque restait sur la dissuasion par le déni, ce qui rend les ordinateurs plus difficiles à pirater. Cela inclut l’utilisation d’une défense en couches, également connue sous le nom de défense en profondeur, pour rendre plus difficile, coûteuse et longue la pénétration des réseaux.
L’alternative est de s’attaquer aux hackers, une stratégie appelée défendre en avant. Depuis 2018, le gouvernement américain a intensifié sa défense, comme le montrent les actions américaines contre des groupes russes lors des cycles électoraux de 2018 et 2020 au cours desquelles le personnel du Cyber Command américain a identifié et perturbé les campagnes de propagande en ligne russes.
L’administration Biden a poursuivi cette tendance, associée à de nouvelles sanctions contre la Russie en réponse à la campagne d’espionnage SolarWinds. Cette attaque, que le gouvernement américain attribue aux pirates informatiques connectés aux services de renseignement russes, a utilisé des vulnérabilités de logiciels commerciaux pour pénétrer dans les agences gouvernementales américaines. Cette nouvelle action du FBI repousse également les limites de la défense active, dans ce cas pour nettoyer les conséquences des violations domestiques, mais sans la connaissance – ou le consentement – des organisations concernées.
La loi et les tribunaux
La loi sur la fraude et les abus informatiques interdit généralement l’accès à un ordinateur sans autorisation. Cette loi, cependant, ne s’applique pas au gouvernement.
Le FBI a le pouvoir de supprimer le code malveillant des ordinateurs privés sans autorisation grâce à une modification en 2016 de la règle 41 des Règles fédérales de procédure pénale. Cette révision a été conçue en partie pour permettre au gouvernement américain de lutter plus facilement contre les botnets et d’aider d’autres enquêtes sur la cybercriminalité dans des situations où l’emplacement des auteurs restait inconnu. Il permet au FBI d’accéder à des ordinateurs en dehors de la compétence d’un mandat de perquisition.
Cette action met en évidence le précédent et le pouvoir des tribunaux de devenir des régulateurs de la cybersécurité de facto qui peuvent habiliter le ministère de la Justice à nettoyer les déploiements à grande échelle de code malveillant du type de celui observé dans le piratage Exchange. En 2017, par exemple, le FBI a utilisé la règle 41 élargie pour supprimer un botnet mondial qui collectait des informations sur les victimes et utilisait leurs ordinateurs pour envoyer des courriers indésirables.
Des problèmes juridiques importants restent non résolus avec l’opération actuelle du FBI. L’un est la question de la responsabilité. Et si, par exemple, les ordinateurs privés étaient endommagés lors du processus de suppression du code malveillant par le FBI? Un autre problème est de trouver un équilibre entre les droits de propriété privée et les besoins de sécurité nationale dans des cas comme celui-ci. Ce qui est clair, cependant, c’est que sous cette autorité, le FBI pourrait pirater des ordinateurs à volonté, et sans avoir besoin d’un mandat de perquisition spécifique.
Sécurité nationale et secteur privé
Rob Joyce, directeur de la cybersécurité de la NSA, a déclaré que la cybersécurité était la sécurité nationale. Cette déclaration peut sembler incontestée. Mais cela laisse présager un changement radical dans la responsabilité du gouvernement en matière de cybersécurité, qui a largement été laissée au secteur privé.
Une grande partie de l’infrastructure critique américaine, qui comprend les réseaux informatiques, est entre des mains privées. Pourtant, les entreprises n’ont pas toujours fait les investissements nécessaires pour protéger leurs clients. Cela soulève la question de savoir s’il y a eu une défaillance du marché dans le domaine de la cybersécurité lorsque les incitations économiques n’ont pas été suffisantes pour aboutir à des cyberdéfenses adéquates. Avec les actions du FBI, l’administration Biden peut implicitement reconnaître une telle défaillance du marché.
Scott Shackelford est professeur agrégé de droit des affaires et d’éthique, directeur exécutif de l’atelier Ostrom et président du programme de cybersécurité, IU-Bloomington, tous à l’Université de l’Indiana. Ceci a été publié pour la première fois par The Conversation – «Le FBI fait irruption dans les ordinateurs des entreprises pour supprimer le code malveillant – cyberdéfense intelligente ou action excessive du gouvernement?»
.