L'initiative de la Federal Communications Commission (FCC), communément appelée « Rip and Replace », a récemment pris une place centrale dans le débat sur la cybersécurité aux États-Unis. Intégrée au projet de loi de défense nationale pour l'année fiscale à venir, cette disposition vise à éliminer les équipements de télécommunications d'origine chinoise jugés menaçants pour la sécurité nationale, tout en renforçant la résilience des infrastructures technologiques américaines.En 2022, la FCC a présenté de nouvelles règles qui interdisaient la vente et l'importation d'équipements de communication fabriqués par les entreprises chinoises Huawei et ZTE. La FCC a déclaré que l'utilisation de ces équipements par les entreprises américaines comportait des « risques inacceptables pour la sécurité nationale des États-Unis ». En outre, ces directives restreignaient l'utilisation de certains systèmes de vidéosurveillance fabriqués en Chine.
Le projet de loi annuel sur la politique de défense, signé par le président Joe Biden lundi, alloue 3 milliards de dollars pour aider les entreprises de télécommunications à retirer et à remplacer les équipements non sécurisés en réponse aux récentes incursions de pirates informatiques liés à la Chine.
La loi d'autorisation de la défense nationale pour l'exercice 2025 définit la politique du Pentagone et les priorités du budget militaire pour l'année, et comprend également des mesures non liées à la défense qui ont été ajoutées lorsque le Congrès a terminé ses travaux en décembre. Le projet de dépenses de 895 milliards de dollars a été adopté par le Sénat et la Chambre des représentants avec un large soutien bipartisan.
Les 3 milliards de dollars seraient consacrés à un programme de la Commission fédérale des communications, communément appelé « rip and replace », visant à se débarrasser des équipements de réseau chinois pour des raisons de sécurité nationale.
Ce programme a été créé en 2020 pour mettre au rebut les équipements fabriqués par le géant des télécommunications Huawei. L'investissement initial s'élevait à 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient nécessaire pour éliminer la vulnérabilité potentielle.
Les appels à réalimenter le fonds se sont multipliés récemment à la suite de deux campagnes de piratage menées par la Chine, baptisées Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont inséré des codes malveillants dans des infrastructures américaines et se sont introduits dans au moins huit entreprises de télécommunications.
Une Cyber Force américaine et la création d'un programme de hackathon du ministère de la défense
Le projet de loi comprend également une exigence atténuée pour le ministère de la Défense de faire appel à un tiers indépendant pour étudier la faisabilité de la création d'une force cybernétique américaine, ainsi qu'une « évaluation des modèles organisationnels alternatifs pour les forces cybernétiques » des branches de l'armée.
Le compromis final ne fixe aucune date limite pour la remise du rapport et supprime la quasi-totalité du texte approuvé en début d'année par la Chambre des représentants et le Sénat, qui prévoyait une étude axée sur la création d'un nouveau service militaire numérique.
La NDAA (loi sur la défense nationale) fera du Joint Force Headquarters-Department of Defense Information Networks (JFHQ-DODIN), responsable de la défense des réseaux du Pentagone dans le monde entier, un « commandement unifié subordonné » au U.S. Cyber Command. Cette mesure met l'organisation sur un pied d'égalité avec la Cyber National Mission Force, plus offensive, qui a été promue en 2022.
Les négociateurs de la loi ont rejeté une demande du ministère de la défense visant à supprimer cette proposition.
Le NDAA de cette année contient une disposition visant à créer un programme de hackathon du ministère de la défense, dans le cadre duquel des événements seraient organisés quatre fois par an.
Projet de loi sur le renseignement ajouté sans modification de la loi FISA
Comme c'est devenu une tradition ces dernières années, le projet de loi annuel sur le renseignement a été ajouté à la loi sur la défense nationale (NDAA).
Une disposition du Sénat visant à mettre un frein à une loi sur la surveillance adoptée en début d'année a été laissée sur le carreau.
La version sénatoriale de la loi aurait modifié la réautorisation de l'article 702 de la loi sur la surveillance du renseignement étranger (FISA) en renforçant la définition des « fournisseurs de services de communication électronique » (ECSP) qui peuvent être contraints de fournir des informations au gouvernement.
Le projet de loi de la Chambre des représentants n'incluait pas cette correction et la question n'a pas été résolue à huis clos en raison de la résistance des républicains de la Chambre des représentants, selon plusieurs sources du Congrès.
La mesure charge également le secrétaire d'État et le directeur du renseignement national de désigner les ransomwares qui menacent les infrastructures essentielles des États-Unis et répertorie plus d'une douzaine de groupes criminels notoires - dont LockBit, Conti et REvil - en tant que « cyberacteurs étrangers hostiles ».
Les défenseurs de la vie privée et des libertés civiles critiquent depuis longtemps l'article 702, qui remonte au programme de surveillance sans mandat, autrefois secret, mis en place par l'administration Bush après les attentats terroristes du 11 septembre. Plus récemment, la section 702 a également été critiquée par les républicains qui se sont alignés sur l'hostilité du président élu Donald J. Trump à l'égard des forces de l'ordre et des agences d'espionnage.
La nouvelle disposition a été rédigée en termes vagues afin de masquer son objectif aux adversaires étrangers. Mais le New York Times a rapporté que la motivation derrière cette disposition était une décision de justice classifiée, qui déclarait que la définition originale de la loi ne couvrait pas les centres de données de cloud computing.
Les défenseurs de la vie privée ont toutefois déclaré que la formulation vague de la loi pouvait être interprétée comme allant beaucoup plus loin et ouvrant la porte à des abus. Par exemple, ils ont évoqué la possibilité d'obliger un service de conciergerie qui nettoie les bureaux d'un journal à installer du matériel d'écoute sur les ordinateurs des journalistes qui parlent à des sources étrangères.
Le débat public sur cette disposition a été compliqué par le fait que l'objectif de la modification est resté confidentiel et que les législateurs n'ont donc pas pu l'aborder directement. Toutefois, certains partisans de la modification ont reconnu que son libellé allait au-delà de ce que le gouvernement cherchait réellement à accomplir. Néanmoins, la loi étant sur le point d'expirer, ils ont fait valoir qu'il n'y avait pas de temps pour amender un projet de loi et ont exhorté le Sénat à l'adopter rapidement sans modification.
Le président de la commission sénatoriale du renseignement, Mark Warner, démocrate de Virginie, a déclaré au cours du débat qu'il collaborerait avec le Congrès pour « affiner davantage » cette disposition dans le cadre d'un projet de loi distinct sur le renseignement, plus tard en 2024.
Cette offre a fonctionné. Le Sénat a rejeté une proposition d'amendement visant à supprimer la disposition défectueuse du projet de loi, puis a adopté l'ensemble de la législation quelques minutes après l'expiration de l'article 702.
Les défenseurs des droits de la vie privée, qui avaient dénoncé l'élargissement de la section 702, ont exprimé leur frustration
Selon Elizabeth Goitein, du Brennan Center for Justice de la faculté de droit de l'université de New York, le fait de laisser cette disposition en place signifie qu'il existe un potentiel d'abus « stupéfiant ».
« Les sénateurs ont accepté de voter en faveur de cette disposition sur la base d'une promesse du président de la commission sénatoriale du renseignement selon laquelle elle serait corrigée dans une législation ultérieure », a-t-elle déclaré. « Aujourd'hui, les chefs de file de la Chambre des représentants tentent rétroactivement de rompre cet accord.
Le sénateur Ron Wyden, un démocrate de l'Oregon qui est sceptique à l'égard des pouvoirs de surveillance du gouvernement, a déclaré qu'il avait mis en garde contre cette extension. « Si ce correctif n'est pas adopté et que la prochaine administration fait un usage abusif de ces nouveaux pouvoirs FISA, a-t-il déclaré, personne ne pourra prétendre qu'il ne l'a pas vu venir.
Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an
La section 702 de la FISA est censée permettre au gouvernement fédéral d'espionner les communications appartenant à des personnes étrangères en dehors des États-Unis, théoriquement pour prévenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels téléphoniques, les textes et les courriels échangés avec des ressortissants américains et sont stockées dans d'immenses bases de données. Dès lors, les agences de renseignement américaines, telles que le FBI, la CIA et la NSA peuvent fouiller ces communications sans mandat. Cependant, les choses ne sont pas déroulées comme prévu par le cadre légal.
Le document, hautement expurgé, détaille néanmoins des centaines de milliers de cas de violations de l'article 702. Il révèle que le FBI a abusé de la loi sur l'espionnage 280 000 fois en un an. L'agence fédérale a ainsi espionné les courriels, les textes et autres communications privées des Américains ou de toute personne se trouvant aux États-Unis.
Parmi les recherches les plus préoccupantes sur les Américains, le FBI a effectué plus de 23 000 recherches sur des personnes ayant participé à l'assaut du Capitole, 19 000 sur des donateurs de campagnes politiques et 133 sur des manifestants après l'assassinat de George Floyd par la police. Le sénateur américain Ron Wyden a qualifié ces révélations de choquantes et a demandé au Congrès de prendre des mesures strictes.
Dans le cas des manifestations "Black Lives Matter", la FISC (Foreign Intelligence Surveillance Court ou Cour américaine de surveillance du renseignement étranger) a estimé que les requêtes du FBI « n'étaient pas raisonnablement susceptibles d'aboutir à des informations de renseignement étranger ou à des preuves d'un crime ». Là encore, il s'agit d'un excès de pouvoir en matière de surveillance étrangère. La FISC indique que d'autres « violations significatives » ont été commises lors de recherches liées à l'attaque du Capitole des États-Unis le 6 janvier 2021, à des enquêtes sur des affaires de drogue et de gangs et à des enquêtes sur le terrorisme national. Le tribunal a rejeté toutes les tentatives du FBI de légitimer les recherches abusives qu'elle a effectuées.
Des agents du FBI ont déclaré qu'ils ne se souvenaient pas des raisons pour lesquelles ils avaient effectué certaines de ces recherches inappropriées. D'autres ont affirmé que les recherches sur les manifestants de Black Lives Matters étaient correctes simplement parce qu'ils avaient été arrêtés. Le personnel a également déclaré que les recherches sur les personnes qui ont pris d'assaut le Capitole étaient appropriées parce que ces personnes étaient généralement considérées comme une menace pour la sécurité nationale. Bien qu'il soit expurgé, le contenu du rapport a troublé le public et a suscité une vague de protestations contre le renouvellement de la section 702.
Le document décrit le modèle du FBI consistant à effectuer des requêtes larges et sans soupçon. Jake Laperruque, directeur adjoint du projet « Sécurité et surveillance » du Centre américain pour la démocratie et la technologie, a déclaré que « ces dernières révélations devraient alerter le Congrès ». Et pourtant...
Source : National Defense Authorization Act for Fiscal Year 2025
Et vous ?
Que pensez-vous de la création d'un programme de hackathon du ministère de la défense ? Que pensez-vous de la loi FISA et de sa reconduction sans amendements ? La suppression des équipements chinois comme Huawei est-elle suffisante pour garantir la cybersécurité des réseaux américains, ou d’autres menaces subsistent-elles à travers d’autres fournisseurs ?Voir aussi :
FISA prolongé pour deux ans : les États-Unis adoptent la loi controversée permettant d'espionner les conversations sans mandat. Joe Biden signe la loi après que Trump a tenté de la « tuer » La fuite d'un courriel du FBI souligne la nécessité d'une surveillance sans mandat des citoyens : « Le FBI doit utiliser des outils de surveillance pour démontrer leur importance », y est-il indiqué