Les experts en cybersécurité mettent depuis longtemps en garde contre les dangers de l’Internet public dans les cafés, les aéroports, les chambres d’hôtel et les lieux similaires. Lors de conférences comme Black Hat, où les responsables gouvernementaux recherchent cette semaine de nouvelles recrues, exposer les vulnérabilités des appareils mobiles est en quelque sorte un événement sportif. Certains participants se réjouissent de révéler le contenu du téléphone d’un visiteur sur un grand écran à la vue de tous. Il s’agit de rappeler clairement que se connecter à un réseau Wi-Fi public, ou activer des connexions Bluetooth, ou même la possibilité de faire un achat en appuyant sur un lecteur avec un téléphone, est une invitation à voir des données non cryptées par n’importe qui.
Et puis il y a le risque d’être falsifié. Sans citer d’incidents particuliers, l’avertissement de la NSA comprend une mise en garde selon laquelle les criminels ou les agences de renseignement étrangères peuvent mettre en place des systèmes Wi-Fi ouverts qui semblent provenir d’un hôtel ou d’un café, mais sont en réalité « un jumeau diabolique, pour imiter le Wi-Fi public attendu à proximité. (Lorsque les responsables du département d’État négociaient l’accord sur le nucléaire iranien en 2014 et 2015, de nombreuses puissances – des Iraniens aux Israéliens – ont déployé de tels systèmes dans les hôtels où les négociations étaient en cours, ont averti des responsables américains à l’époque.)
L’avertissement de l’Agence nationale de sécurité n’a été provoqué par aucune augmentation récente du nombre de criminels ou d’adversaires d’États-nations utilisant l’Internet public pour voler des informations ou organiser des piratages, selon des responsables. Au lieu de cela, il semble faire partie d’un effort considérablement accéléré du gouvernement américain pour sensibiliser à une gamme de vulnérabilités électroniques au cours des derniers mois.
Le président Biden a récemment publié un décret exigeant que les fournisseurs de logiciels qui vendent au gouvernement fédéral respectent une série de normes de cybersécurité. Il oblige également les agences fédérales à utiliser l’authentification à deux facteurs, de la même manière que les consommateurs reçoivent un message texte, avec un code, de leur banque avant d’accéder à leur compte.
Mercredi, s’exprimant lors du Forum sur la sécurité d’Aspen, Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies informatiques et émergentes, a répété son avertissement fréquent que l’administration devait rattraper le temps perdu en persuadant le public et les entreprises d’adopter des protections qui aurait dû être en place il y a des années. Elle a déclaré qu’un élément clé de la stratégie de l’administration était de « perturber l’écosystème » qui a fait des ransomwares une poursuite si rentable, et a reconnu que l’état des défenses de l’Amérique et sa résistance aux attaques étaient toujours « insuffisants ».
Les experts en cybersécurité mettent depuis longtemps en garde contre les dangers de l’Internet public dans les cafés, les aéroports, les chambres d’hôtel et les lieux similaires. Lors de conférences comme Black Hat, où les responsables gouvernementaux recherchent cette semaine de nouvelles recrues, exposer les vulnérabilités des appareils mobiles est en quelque sorte un événement sportif. Certains participants se réjouissent de révéler le contenu du téléphone d’un visiteur sur un grand écran à la vue de tous. Il s’agit de rappeler clairement que se connecter à un réseau Wi-Fi public, ou activer des connexions Bluetooth, ou même la possibilité de faire un achat en appuyant sur un lecteur avec un téléphone, est une invitation à voir des données non cryptées par n’importe qui.
Et puis il y a le risque d’être falsifié. Sans citer d’incidents particuliers, l’avertissement de la NSA comprend une mise en garde selon laquelle les criminels ou les agences de renseignement étrangères peuvent mettre en place des systèmes Wi-Fi ouverts qui semblent provenir d’un hôtel ou d’un café, mais sont en réalité « un jumeau diabolique, pour imiter le Wi-Fi public attendu à proximité. (Lorsque les responsables du département d’État négociaient l’accord sur le nucléaire iranien en 2014 et 2015, de nombreuses puissances – des Iraniens aux Israéliens – ont déployé de tels systèmes dans les hôtels où les négociations étaient en cours, ont averti des responsables américains à l’époque.)
L’avertissement de l’Agence nationale de sécurité n’a été provoqué par aucune augmentation récente du nombre de criminels ou d’adversaires d’États-nations utilisant l’Internet public pour voler des informations ou organiser des piratages, selon des responsables. Au lieu de cela, il semble faire partie d’un effort considérablement accéléré du gouvernement américain pour sensibiliser à une gamme de vulnérabilités électroniques au cours des derniers mois.
Le président Biden a récemment publié un décret exigeant que les fournisseurs de logiciels qui vendent au gouvernement fédéral respectent une série de normes de cybersécurité. Il oblige également les agences fédérales à utiliser l’authentification à deux facteurs, de la même manière que les consommateurs reçoivent un message texte, avec un code, de leur banque avant d’accéder à leur compte.
Mercredi, s’exprimant lors du Forum sur la sécurité d’Aspen, Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies informatiques et émergentes, a répété son avertissement fréquent que l’administration devait rattraper le temps perdu en persuadant le public et les entreprises d’adopter des protections qui aurait dû être en place il y a des années. Elle a déclaré qu’un élément clé de la stratégie de l’administration était de « perturber l’écosystème » qui a fait des ransomwares une poursuite si rentable, et a reconnu que l’état des défenses de l’Amérique et sa résistance aux attaques étaient toujours « insuffisants ».
— to www.nytimes.com
