Le piratage de Microsoft met Biden au défi de la cyber-riposte

(Washington) Le piratage de la messagerie de Microsoft, deuxième cyberattaque majeure en quelques mois, met l’administration Biden sous pression sur sa capacité à riposter pour protéger les intérêts des États-Unis.

Face aux attaques qui exploitent les vulnérabilités des réseaux d’entreprises et de gouvernements menaçant la sécurité nationale, les experts estiment que des mesures fortes s’imposent, comme le « hack back », une cyber-riposte qui consiste à pirater en retour.

Le dernier piratage en date, celui de Microsoft Exchange, attribué à un groupe de pirates chinois soutenus par Pékin, a affecté au moins 30 000 organisations américaines, y compris des entreprises, des villes et collectivités locales aux États-Unis.

Cette attaque a été jugée « inhabituellement agressive ».

De plus, elle fait suite aux révélations selon lesquelles la Russie était probablement derrière le piratage massif, en décembre, du logiciel de l’entreprise texane SolarWinds, qui a secoué le gouvernement américain et la sécurité de grandes entreprises.

« Ces deux très gros incidents sont un test important pour les débuts de l’administration Biden », estime Frank Cilluffo, ancien conseiller à la sécurité intérieure de l’administration de George W. Bush, désormais directeur de l’Institut McCrary de l’Université d’Auburn.

Selon lui, la réponse de l’administration démocrate est d’autant plus importante qu’elle va « donner le ton » sur la manière dont elle compte riposter « à un cyber-comportement inacceptable ».

Ce sera aussi un message adressé au monde entier, pas seulement aux pirates. Car « tout le monde observe, acteurs étatiques et non étatiques » la capacité du gouvernement américain à réagir, dit-il.

James Lewis, spécialiste de la cybersécurité au Center for Strategic and International Studies, estime que les deux incidents sont la preuve que la stratégie américaine « ne fonctionne pas contre les adversaires les plus qualifiés et les plus dangereux ».

« Les avantages de l’espionnage sont infinis », poursuit-il. « L’équipe Biden le sait et essaie de changer les choses, mais on est loin d’avoir la solution. »

« Hacking back » ?

Jusqu’à très récemment, la notion de « hacking back » était considérée comme trop risquée politiquement, selon les normes internationales.

Mais un accord de 2019 entre 28 pays a établi un cadre juridique pour de telles représailles, explique M. Lewis.

« Le piratage par des entreprises privées est toujours illégal », mais un gouvernement peut faire valoir que le recours est légal pour un État en cas d’attaque d’ampleur, ajoute-t-il.

David Edelman, ancien conseiller en sécurité numérique de l’administration Obama, membre du Massachusetts Institute of Technology, relève que l’administration Biden est confrontée à des choix difficiles.

« L’administration a indiqué vouloir imposer des coûts (en représailles, NDLR), mais quel genre de coûts seraient proportionnels » à l’attaque ? interroge-t-il.

« Des inculpations ? Des sanctions » pour des agents installés en toute sécurité dans un pays étranger à des milliers de kilomètres ? demande-t-il également.

Réponse « chirurgicale »

Le mois dernier, Anne Neuberger, la conseillère principale en cybersécurité de la Maison-Blanche, avait déclaré que son équipe envisageait des représailles après l’attaque ayant visé SolarWinds.

« Ce n’est pas le seul cas de cyberactivité malveillante d’origine probablement russe, que ce soit pour nous ou pour nos alliés et partenaires », avait-elle ajouté.

Pour Frank Cilluffo, toute réponse devra être soigneusement élaborée, sans dommages collatéraux, à la manière d’une action militaire contre des cibles précises.

Cela pourrait signifier des mesures économiques, diplomatiques ou militaires, avance-t-il.

« Cela ne peut pas être traité uniquement comme un cyberincident », a-t-il insisté, préconisant d’intégrer la riposte à « la machinerie géopolitique et de sécurité nationale » du gouvernement américain.

Les différents types de réponses pourraient donc être adaptés en fonction de l’identité des personnes soupçonnées d’avoir mené la cyberattaque, que ce soit la Russie, la Chine, la Corée du Nord ou d’autres individus.  

« Attaquer un réseau informatique est clairement un des outils que nous avons à notre disposition », reconnaît-il.

« Mais nous voulons le faire de manière chirurgicale, de manière discriminatoire pour avoir, évidemment, un impact sur ceux que nous visons » et seulement eux, conclut-il.