Discussion :

[Stéphane le calme]

Les entreprises victimes de piratage devraient-elles être autorisées à pirater à leur tour en légitime défense ?
Non, selon l'ancien directeur de la NSA

En juin dernier, le représentant républicain Tom Graves a expliqué que, selon lui, lorsqu’une entité (particulier ou entreprise) est victime de piratage, elle devrait pouvoir « se défendre » et aller « à la chasse aux pirates informatiques en dehors de leurs propres réseaux ». C’est l’essence même de la loi Active Cyber Defense Certitude (ACDC) dont l’ébauche a été présentée aux législateurs.

En clair, le membre du Congrès essaye de rendre au piratage une sorte de légitime défense dès lors que vous avez été piraté en premier.

Le projet de loi bipartite ACDC permettrait aux entreprises, qui pensent qu’elles subissent une attaque continue de leur réseau, de pirater ceux qui en seraient les responsables afin d'arrêter l'attaque ou de recueillir des informations qu’elles vont transmettre aux forces de l’ordre.

Selon le draft qui a été publié, le projet de loi « comporte des réserves telles que vous ne pouvez pas détruire les données sur l'ordinateur d'une autre personne, causer des blessures physiques à quelqu'un ou créer une menace pour la sécurité publique. »

Selon Politico, qui a eu une exclusivité sur la nouvelle version du draft, « Les changements clés incluent : une exigence de déclaration obligatoire pour les entités qui utilisent une technique de défense active pour aider les organismes fédéraux d’application de la loi à s'assurer que ces outils sont utilisés de manière responsable ; une clause de temporisation de deux ans qui permettrait au Congrès de revoir la loi afin d'apporter des modifications et une exemption permettant aux personnes ou aux entreprises de récupérer leurs données perdues si elles sont utilisées en se servant des techniques défensives, mais également si elles peuvent être récupérées sans détruire d'autres données. »

Tom Graves

Pourtant, l'ancien directeur de la NSA et la branche de la cybersécurité de l'armée américaine ne partagent pas cette façon de voir. Keith Alexander a déclaré que les entreprises ne devraient jamais être autorisées à pirater un groupe ou un individu en représailles pour avoir été piratées.

« Et si cela déclenchait une guerre ? Les entreprises ne peuvent pas déclencher une guerre, c'est une responsabilité inhérente du gouvernement, et les chances qu'une entreprise se trompe sont assez élevées », a-t-il déclaré.

Lors d'une conférence qu'il a donnée sur la cybersécurité à Manhattan, Alexander a déclaré qu'aucune entreprise, en particulier celles qui sont attaquées par des pirates parrainés par un État, ne devrait être autorisée à essayer de riposter par ses propres moyens. Utilisant l'exemple de Sony, qui a prétendument été piraté par la Corée du Nord à la fin de 2014, Alexander a déclaré que si Sony avait attaqué les pirates informatiques, cela aurait pu inciter le pays à déployer son artillerie en Corée du Sud.

« Nous aurions pu donner à Sony six gars de mon ancien endroit » , a-t-il dit, se référant vraisemblablement à la NSA, « et ils auraient battu la Corée du Nord à plate couture ». Cependant, cela n'aurait pas été une bonne idée, car cela aurait pu dégénérer en un conflit, et « c'est une responsabilité intrinsèquement gouvernementale. Si Sony ne peut pas se défendre, le gouvernement a le devoir de le faire. »

Raison pour laquelle Keith a soutenu qu’au lieu d’autoriser les entreprises à avoir ce genre de pouvoir, le gouvernement américain devrait non seulement pouvoir riposter s’il est attaqué par des pirates informatiques (comme il le fait déjà), mais devrait également avoir plus de pouvoirs et de responsabilités lorsqu'il s'agit d'arrêter les pirates informatiques avant même qu’ils n’entrent dans la partie, a-t-il ajouté.

Répondre à un piratage par un piratage a toujours été un sujet controversé dans les milieux de la cybersécurité et du gouvernement. Certains pensent que les entreprises devraient être autorisées à répondre de la sorte dès lors que les pirates ont commencé. D'autres sont persuadés qu'autoriser et rendre cela légal ouvrirait une boîte de Pandore avec des conséquences imprévisibles, telles que causer un incident diplomatique, ou entraver une enquête légitime des forces de l’ordre.

Source : MB

Voir aussi :

USA : un républicain prépare une loi qui prévoit que les entreprises piratées puissent faire de même en légitime défense

Et vous ?

Partagez-vous l'avis de l'ancien directeur de la NSA ou plutôt celui du républicain Tom Graves ?

[transgohan]

Nul ne devrait se faire justice lui même.

Sinon autant fermer les services de police et les tribunaux tout de suite car ils ne serviraient plus à rien.

[marsupial]

"Pour l'auto Défense et la légitime défense."
Stopper soi même l'àttaque et fournir les logs. Au moins pour les OIV et OIE. Malheureusement ce n'est pas applicable systématiquement. Donc en faire une loi devient inutile. Comme toutes les lois sur la sécurité donnant tous les droits de bafouer notre intimité.

[yoyo3d]

Ils ont peur d'être à leur tour la cible de ceux qu'ils ont eu en ligne de mire?

alors NON sans hésiter, même si la justice est loin d'être efficace dans ce domaine (et dans beaucoup d'autres d'ailleurs...), personne ne devrait se faire justice soit même.

c'est la porte ouverte à:
- tous les justiciers en herbes (et vas y que je te code un virus qui va se barrer n'importe ou...)
- la justice expéditive sans procès (ta boite me fait une concurrence déloyale??? ok je t'envoie mon virus inventé ci-dessus et advienne que pourra...)
...