L'initiative de la Federal Communications Commission (FCC), communément appelée « Rip and Replace », a récemment pris une place centrale dans le débat sur la cybersécurité aux États-Unis. Intégrée au projet de loi de défense nationale pour l'année fiscale à venir, cette disposition vise à éliminer les équipements de télécommunications d'origine chinoise jugés menaçants pour la sécurité nationale, tout en renforçant la résilience des infrastructures technologiques américaines.En 2022, la FCC a présenté de nouvelles règles qui interdisaient la vente et l'importation d'équipements de communication fabriqués par les entreprises chinoises Huawei et ZTE. La FCC a déclaré que l'utilisation de ces équipements par les entreprises américaines comportait des « risques inacceptables pour la sécurité nationale des États-Unis ». En outre, ces directives restreignaient l'utilisation de certains systèmes de vidéosurveillance fabriqués en Chine.
Le projet de loi annuel sur la politique de défense, signé par le président Joe Biden lundi, alloue 3 milliards de dollars pour aider les entreprises de télécommunications à retirer et à remplacer les équipements non sécurisés en réponse aux récentes incursions de pirates informatiques liés à la Chine.
La loi d'autorisation de la défense nationale pour l'exercice 2025 définit la politique du Pentagone et les priorités du budget militaire pour l'année, et comprend également des mesures non liées à la défense qui ont été ajoutées lorsque le Congrès a terminé ses travaux en décembre. Le projet de dépenses de 895 milliards de dollars a été adopté par le Sénat et la Chambre des représentants avec un large soutien bipartisan.
Les 3 milliards de dollars seraient consacrés à un programme de la Commission fédérale des communications, communément appelé « rip and replace », visant à se débarrasser des équipements de réseau chinois pour des raisons de sécurité nationale.
Ce programme a été créé en 2020 pour mettre au rebut les équipements fabriqués par le géant des télécommunications Huawei. L'investissement initial s'élevait à 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient nécessaire pour éliminer la vulnérabilité potentielle.
Les appels à réalimenter le fonds se sont multipliés récemment à la suite de deux campagnes de piratage menées par la Chine, baptisées Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont inséré des codes malveillants dans des infrastructures américaines et se sont introduits dans au moins huit entreprises de télécommunications.
Une Cyber Force américaine et la création d'un programme de hackathon du ministère de la défense
Le projet de loi comprend également une exigence atténuée pour le ministère de la Défense de faire appel à un tiers indépendant pour étudier la faisabilité de la création d'une force cybernétique américaine, ainsi qu'une « évaluation des modèles organisationnels alternatifs pour les forces cybernétiques » des branches de l'armée.
Le compromis final ne fixe aucune date limite pour la remise du rapport et supprime la quasi-totalité du texte approuvé en début d'année par la Chambre des représentants et le Sénat, qui prévoyait une étude axée sur la création d'un nouveau service militaire numérique.
La NDAA (loi sur la défense nationale) fera du Joint Force Headquarters-Department of Defense Information Networks (JFHQ-DODIN), responsable de la défense des réseaux du Pentagone dans le monde entier, un « commandement unifié subordonné » au U.S. Cyber Command. Cette mesure met l'organisation sur un pied d'égalité avec la Cyber National Mission Force, plus offensive, qui a été promue en 2022.
Les négociateurs de la loi ont rejeté une demande du ministère de la défense visant à supprimer cette proposition.
Le NDAA de cette année contient une disposition visant à créer un programme de hackathon du ministère de la défense, dans le cadre duquel des événements seraient organisés quatre fois par an.
Projet de loi sur le renseignement ajouté sans modification de la loi FISA
Comme c'est devenu une tradition ces dernières années, le projet de loi annuel sur le renseignement a été ajouté à la loi sur la défense nationale (NDAA).
Une disposition du Sénat visant à mettre un frein à une loi sur la surveillance adoptée en début d'année a été laissée sur le carreau.
La version sénatoriale de la loi aurait modifié la réautorisation de l'article 702 de la loi sur la surveillance du renseignement étranger (FISA) en renforçant la définition des « fournisseurs de services de communication électronique » (ECSP) qui peuvent être contraints de fournir des informations au gouvernement.
Le projet de loi de la Chambre des représentants n'incluait pas cette correction et la question n'a pas été résolue à huis clos en raison de la résistance des républicains de la Chambre des représentants, selon plusieurs sources du Congrès.
La mesure charge également le secrétaire d'État et le directeur du renseignement national de désigner les ransomwares qui menacent les infrastructures essentielles des États-Unis et répertorie plus d'une douzaine de groupes criminels notoires - dont LockBit, Conti et REvil - en tant que « cyberacteurs étrangers hostiles ».
Les défenseurs de la vie privée et des libertés civiles critiquent depuis longtemps l'article 702, qui remonte au programme de surveillance sans mandat, autrefois secret, mis en place par l'administration Bush après les attentats terroristes du 11 septembre. Plus récemment, la section 702 a également été critiquée par les républicains qui se sont alignés sur l'hostilité du président élu Donald J. Trump à l'égard des forces de l'ordre et des agences d'espionnage.
La nouvelle disposition a été rédigée en termes vagues afin de masquer son objectif aux adversaires étrangers. Mais le New York Times a rapporté que la motivation derrière cette disposition était une décision de justice classifiée, qui déclarait que la définition originale de la loi ne couvrait pas les centres de données de cloud computing.
Les défenseurs de la vie privée ont toutefois déclaré que la formulation vague de la loi pouvait être interprétée comme allant beaucoup plus loin et ouvrant la porte à des abus. Par exemple, ils ont évoqué la possibilité d'obliger un service de conciergerie qui nettoie les bureaux d'un journal à installer du matériel d'écoute sur les ordinateurs des journalistes qui parlent à des sources étrangères.
Le débat public sur cette disposition a été compliqué par le fait que l'objectif de la modification est resté confidentiel et que les législateurs n'ont donc pas pu l'aborder directement. Toutefois, certains partisans de la modification ont reconnu que son libellé allait au-delà de ce que le gouvernement cherchait réellement à accomplir. Néanmoins, la loi étant sur le point d'expirer, ils ont fait valoir qu'il n'y avait pas de temps pour amender un projet de loi et ont exhorté le Sénat à l'adopter rapidement sans modification.
Le président de la commission sénatoriale du renseignement, Mark Warner, démocrate de Virginie, a déclaré au cours du débat qu'il collaborerait avec le Congrès pour « affiner davantage » cette disposition dans le cadre d'un projet de loi distinct sur le renseignement, plus tard en 2024.
Cette offre a fonctionné. Le Sénat a rejeté une proposition d'amendement visant à supprimer la disposition défectueuse du projet de loi, puis a adopté l'ensemble de la législation quelques minutes après l'expiration de l'article 702.
Les défenseurs des droits de la vie privée, qui avaient dénoncé l'élargissement de la section 702, ont exprimé leur frustration
Selon Elizabeth Goitein, du Brennan Center for Justice de la faculté de droit de l'université de New York, le fait de laisser cette disposition en place signifie qu'il existe un potentiel d'abus « stupéfiant ».
« Les sénateurs ont accepté de voter en faveur de cette disposition sur la base d'une promesse du président de la commission sénatoriale du renseignement selon laquelle elle serait corrigée dans une législation ultérieure », a-t-elle déclaré. « Aujourd'hui, les chefs de file de la Chambre des représentants tentent rétroactivement de rompre cet accord.
Le sénateur Ron Wyden, un démocrate de l'Oregon qui est sceptique à l'égard des pouvoirs de surveillance du gouvernement, a déclaré qu'il avait mis en garde contre cette extension. « Si ce correctif n'est pas adopté et que la prochaine administration fait un usage abusif de ces nouveaux pouvoirs FISA, a-t-il déclaré, personne ne pourra prétendre qu'il ne l'a pas vu venir.
Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an
La section 702 de la FISA est censée permettre au gouvernement fédéral d'espionner les communications appartenant à des personnes étrangères en dehors des États-Unis, théoriquement pour prévenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels téléphoniques,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Stéphane le calme
