L’initiative de la Federal Communications Commission (FCC), communment appele Rip and Replace , a rcemment pris une place centrale dans le dbat sur la cyberscurit aux tats-Unis. Intgre au projet de loi de dfense nationale pour l’anne fiscale venir, cette disposition vise liminer les quipements de tlcommunications d’origine chinoise jugs menaants pour la scurit nationale, tout en renforant la rsilience des infrastructures technologiques amricaines.
En 2022, la FCC a prsent de nouvelles rgles qui interdisaient la vente et l’importation d’quipements de communication fabriqus par les entreprises chinoises Huawei et ZTE. La FCC a dclar que l’utilisation de ces quipements par les entreprises amricaines comportait des risques inacceptables pour la scurit nationale des tats-Unis . En outre, ces directives restreignaient l’utilisation de certains systmes de vidosurveillance fabriqus en Chine.
Le projet de loi annuel sur la politique de dfense, sign par le prsident Joe Biden lundi, alloue 3 milliards de dollars pour aider les entreprises de tlcommunications retirer et remplacer les quipements non scuriss en rponse aux rcentes incursions de pirates informatiques lis la Chine.
La loi d’autorisation de la dfense nationale pour l’exercice 2025 dfinit la politique du Pentagone et les priorits du budget militaire pour l’anne, et comprend galement des mesures non lies la dfense qui ont t ajoutes lorsque le Congrs a termin ses travaux en dcembre. Le projet de dpenses de 895 milliards de dollars a t adopt par le Snat et la Chambre des reprsentants avec un large soutien bipartisan.
Les 3 milliards de dollars seraient consacrs un programme de la Commission fdrale des communications, communment appel rip and replace , visant se dbarrasser des quipements de rseau chinois pour des raisons de scurit nationale.
Ce programme a t cr en 2020 pour mettre au rebut les quipements fabriqus par le gant des tlcommunications Huawei. L’investissement initial s’levait 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient ncessaire pour liminer la vulnrabilit potentielle.
Les appels ralimenter le fonds se sont multiplis rcemment la suite de deux campagnes de piratage menes par la Chine, baptises Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont insr des codes malveillants dans des infrastructures amricaines et se sont introduits dans au moins huit entreprises de tlcommunications.
Une Cyber Force amricaine et la cration d’un programme de hackathon du ministre de la dfense
Le projet de loi comprend galement une exigence attnue pour le ministre de la Dfense de faire appel un tiers indpendant pour tudier la faisabilit de la cration d’une force cyberntique amricaine, ainsi qu’une valuation des modles organisationnels alternatifs pour les forces cyberntiques des branches de l’arme.
Le compromis final ne fixe aucune date limite pour la remise du rapport et supprime la quasi-totalit du texte approuv en dbut d’anne par la Chambre des reprsentants et le Snat, qui prvoyait une tude axe sur la cration d’un nouveau service militaire numrique.
La NDAA (loi sur la dfense nationale) fera du Joint Force Headquarters-Department of Defense Information Networks (JFHQ-DODIN), responsable de la dfense des rseaux du Pentagone dans le monde entier, un commandement unifi subordonn au U.S. Cyber Command. Cette mesure met l’organisation sur un pied d’galit avec la Cyber National Mission Force, plus offensive, qui a t promue en 2022.
Les ngociateurs de la loi ont rejet une demande du ministre de la dfense visant supprimer cette proposition.
Le NDAA de cette anne contient une disposition visant crer un programme de hackathon du ministre de la dfense, dans le cadre duquel des vnements seraient organiss quatre fois par an.
Projet de loi sur le renseignement ajout sans modification de la loi FISA
Comme c’est devenu une tradition ces dernires annes, le projet de loi annuel sur le renseignement a t ajout la loi sur la dfense nationale (NDAA).
Une disposition du Snat visant mettre un frein une loi sur la surveillance adopte en dbut d’anne a t laisse sur le carreau.
La version snatoriale de la loi aurait modifi la rautorisation de l’article 702 de la loi sur la surveillance du renseignement tranger (FISA) en renforant la dfinition des fournisseurs de services de communication lectronique (ECSP) qui peuvent tre contraints de fournir des informations au gouvernement.
Le projet de loi de la Chambre des reprsentants n’incluait pas cette correction et la question n’a pas t rsolue huis clos en raison de la rsistance des rpublicains de la Chambre des reprsentants, selon plusieurs sources du Congrs.
La mesure charge galement le secrtaire d’tat et le directeur du renseignement national de dsigner les ransomwares qui menacent les infrastructures essentielles des tats-Unis et rpertorie plus d’une douzaine de groupes criminels notoires – dont LockBit, Conti et REvil – en tant que cyberacteurs trangers hostiles .
Les dfenseurs de la vie prive et des liberts civiles critiquent depuis longtemps l’article 702, qui remonte au programme de surveillance sans mandat, autrefois secret, mis en place par l’administration Bush aprs les attentats terroristes du 11 septembre. Plus rcemment, la section 702 a galement t critique par les rpublicains qui se sont aligns sur l’hostilit du prsident lu Donald J. Trump l’gard des forces de l’ordre et des agences d’espionnage.
La nouvelle disposition a t rdige en termes vagues afin de masquer son objectif aux adversaires trangers. Mais le New York Times a rapport que la motivation derrire cette disposition tait une dcision de justice classifie, qui dclarait que la dfinition originale de la loi ne couvrait pas les centres de donnes de cloud computing.
Les dfenseurs de la vie prive ont toutefois dclar que la formulation vague de la loi pouvait tre interprte comme allant beaucoup plus loin et ouvrant la porte des abus. Par exemple, ils ont voqu la possibilit d’obliger un service de conciergerie qui nettoie les bureaux d’un journal installer du matriel d’coute sur les ordinateurs des journalistes qui parlent des sources trangres.
Le dbat public sur cette disposition a t compliqu par le fait que l’objectif de la modification est rest confidentiel et que les lgislateurs n’ont donc pas pu l’aborder directement. Toutefois, certains partisans de la modification ont reconnu que son libell allait au-del de ce que le gouvernement cherchait rellement accomplir. Nanmoins, la loi tant sur le point d’expirer, ils ont fait valoir qu’il n’y avait pas de temps pour amender un projet de loi et ont exhort le Snat l’adopter rapidement sans modification.
Le prsident de la commission snatoriale du renseignement, Mark Warner, dmocrate de Virginie, a dclar au cours du dbat qu’il collaborerait avec le Congrs pour affiner davantage cette disposition dans le cadre d’un projet de loi distinct sur le renseignement, plus tard en 2024.
Cette offre a fonctionn. Le Snat a rejet une proposition d’amendement visant supprimer la disposition dfectueuse du projet de loi, puis a adopt l’ensemble de la lgislation quelques minutes aprs l’expiration de l’article 702.
Les dfenseurs des droits de la vie prive, qui avaient dnonc l’largissement de la section 702, ont exprim leur frustration
Selon Elizabeth Goitein, du Brennan Center for Justice de la facult de droit de l’universit de New York, le fait de laisser cette disposition en place signifie qu’il existe un potentiel d’abus stupfiant .
Les snateurs ont accept de voter en faveur de cette disposition sur la base d’une promesse du prsident de la commission snatoriale du renseignement selon laquelle elle serait corrige dans une lgislation ultrieure , a-t-elle dclar. Aujourd’hui, les chefs de file de la Chambre des reprsentants tentent rtroactivement de rompre cet accord.
Le snateur Ron Wyden, un dmocrate de l’Oregon qui est sceptique l’gard des pouvoirs de surveillance du gouvernement, a dclar qu’il avait mis en garde contre cette extension. Si ce correctif n’est pas adopt et que la prochaine administration fait un usage abusif de ces nouveaux pouvoirs FISA, a-t-il dclar, personne ne pourra prtendre qu’il ne l’a pas vu venir.
Un document dclassifi rvle que le FBI a abus de la loi sur l’espionnage tranger 280 000 fois en un an
La section 702 de la FISA est cense permettre au gouvernement fdral d’espionner les communications appartenant des personnes trangres en dehors des tats-Unis, thoriquement pour prvenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels tlphoniques, les textes et les courriels changs avec des ressortissants amricains et sont stockes dans d’immenses bases de donnes. Ds lors, les agences de renseignement amricaines, telles que le FBI, la CIA et la NSA peuvent fouiller ces communications sans mandat. Cependant, les choses ne sont pas droules comme prvu par le cadre lgal.
Le document, hautement expurg, dtaille nanmoins des centaines de milliers de cas de violations de l’article 702. Il rvle que le FBI a abus de la loi sur l’espionnage 280 000 fois en un an. L’agence fdrale a ainsi espionn les courriels, les textes et autres communications prives des Amricains ou de toute personne se trouvant aux tats-Unis.
Parmi les recherches les plus proccupantes sur les Amricains, le FBI a effectu plus de 23 000 recherches sur des personnes ayant particip l’assaut du Capitole, 19 000 sur des donateurs de campagnes politiques et 133 sur des manifestants aprs l’assassinat de George Floyd par la police. Le snateur amricain Ron Wyden a qualifi ces rvlations de choquantes et a demand au Congrs de prendre des mesures strictes.
Dans le cas des manifestations « Black Lives Matter », la FISC (Foreign Intelligence Surveillance Court ou Cour amricaine de surveillance du renseignement tranger) a estim que les requtes du FBI n’taient pas raisonnablement susceptibles d’aboutir des informations de renseignement tranger ou des preuves d’un crime . L encore, il s’agit d’un excs de pouvoir en matire de surveillance trangre. La FISC indique que d’autres violations significatives ont t commises lors de recherches lies l’attaque du Capitole des tats-Unis le 6 janvier 2021, des enqutes sur des affaires de drogue et de gangs et des enqutes sur le terrorisme national. Le tribunal a rejet toutes les tentatives du FBI de lgitimer les recherches abusives qu’elle a effectues.
Des agents du FBI ont dclar qu’ils ne se souvenaient pas des raisons pour lesquelles ils avaient effectu certaines de ces recherches inappropries. D’autres ont affirm que les recherches sur les manifestants de Black Lives Matters taient correctes simplement parce qu’ils avaient t arrts. Le personnel a galement dclar que les recherches sur les personnes qui ont pris d’assaut le Capitole taient appropries parce que ces personnes taient gnralement considres comme une menace pour la scurit nationale. Bien qu’il soit expurg, le contenu du rapport a troubl le public et a suscit une vague de protestations contre le renouvellement de la section 702.
Le document dcrit le modle du FBI consistant effectuer des requtes larges et sans soupon. Jake Laperruque, directeur adjoint du projet Scurit et surveillance du Centre amricain pour la dmocratie et la technologie, a dclar que ces dernires rvlations devraient alerter le Congrs . Et pourtant…
Source : National Defense Authorization Act for Fiscal Year 2025
Et vous ?
Que pensez-vous de la cration d’un programme de hackathon du ministre de la dfense ?
Que pensez-vous de la loi FISA et de sa reconduction sans amendements ?
La suppression des quipements chinois comme Huawei est-elle suffisante pour garantir la cyberscurit des rseaux amricains, ou dautres menaces subsistent-elles travers dautres fournisseurs ?
Voir aussi :