La cybersécurité a besoin d’un nouveau système d’alerte

La dernière attaque étrangère réussie contre plusieurs cibles sur le sol américain n’était pas le 11 septembre. C’était en décembre dernier. SolarWinds, un fournisseur de logiciels ciblant une cyberattaque, a frappé le gouvernement américain, Microsoft et des sociétés de cybersécurité telles que CrowdStrike et FireEye. Contrairement au 11 septembre, l’attaque SolarWinds a fait ses dégâts sous le couvert de l’obscurité. Cela n’a pas entraîné de pertes en vies humaines, mais les cyberattaques sont extrêmement coûteuses et de plus en plus fréquentes.

Des attaquants malveillants exploitent des vulnérabilités déjà connues ou découvrent de nouvelles vulnérabilités «zero day». Les attaques liées à SolarWinds telles que Sunburst et Supernova en sont des exemples. L’attaque du ransomware WannaCry, qui a ciblé Microsoft Windows en 2017, a utilisé une vulnérabilité connue pour infecter plus de 200000 ordinateurs et infliger peut-être des milliards de dollars de dégâts.

On pourrait penser que les États-Unis sont protégés contre les vulnérabilités connues. Mais une étude de 2019 a révélé un écart moyen de 133 jours entre la découverte d’une vulnérabilité et la divulgation d’informations à ce sujet au public. En règle générale, cette période est utilisée pour créer un «correctif» qui corrige la vulnérabilité. Mais près de la moitié des attaques utilisant des vulnérabilités connues se produisent pendant cette fenêtre, avant que le correctif ne soit terminé. Considérez-les comme des trous dans les clôtures de périmètre autour des ambassades américaines dans le monde entier. Il y aurait un tollé s’il fallait 133 jours pour colmater les trous, que les terroristes ont entre-temps utilisés pour lancer des attaques réussies. Pourtant, c’est le triste état de la cybersécurité aux États-Unis aujourd’hui.

Lorsqu’une vulnérabilité est découverte, l’Institut national des normes et de la technologie, qui gère la base de données nationale sur les vulnérabilités, met beaucoup de temps à parler au fournisseur dont le produit contient la vulnérabilité, à estimer sa gravité, à comprendre le code du logiciel, à évaluer la difficulté d’un attaquant. aurait à l’exploiter, et assurer la disponibilité d’un patch. Les vendeurs sont souvent peu incités à coopérer ou à corriger une vulnérabilité; le produit touché peut être ancien, non rentable ou en voie d’être éliminé, et parfois le problème ne semble tout simplement pas atteindre le niveau de préoccupation sérieuse.

Ça ne va pas. L’Amérique a besoin d’un centre national d’alerte précoce en matière de cyber-vulnérabilité. Tout comme un météorologue est constamment à la recherche de systèmes de tempête, un centre d’alerte précoce fouillerait les composants logiciels et matériels largement utilisés à la recherche de vulnérabilités. Il découvrirait de nouvelles faiblesses avant les adversaires, fortifiant les défenses et augmentant les coûts de montage d’une attaque. La Chine, la Russie, l’Iran et la Corée du Nord ont accès à une expertise moins chère. La seule façon de garder une longueur d’avance et de protéger les données et la propriété intellectuelle des États-Unis est d’investir gros.

Vous pourriez également aimer...