La Maison Blanche affirme que la section 702 est essentielle pour la cybersécurité, mais les preuves publiques sont rares

May 13, 2023

ParTonya Riley

2 juin 2023

Depuis que l'administration Biden s'est prononcée en faveur de la réautorisation de l'article 702 de la loi sur la surveillance du renseignement étranger en février, la communauté du renseignement a souligné la menace croissante de cyberattaques étrangères contre les États-Unis comme un argument clé en faveur de l'outil de surveillance controversé.

Les responsables ont fait des déclarations larges et générales, pointant vers des applications de grande envergure, notamment contrecarrer de multiples attaques de rançongiciels contre des infrastructures critiques américaines, découvrir qu'un adversaire étranger avait piraté des informations sensibles liées à l'armée américaine et découvrir une cyberattaque contre des systèmes fédéraux critiques.

Pourtant, 15 ans après le début de l'histoire de la section 702, les exemples déclassifiés de cyberattaques contrecarrées sont rares. Depuis un peu plus de trois mois que l'administration Biden plaide publiquement pour le renouvellement de l'article 702, elle n'a pas mentionné un seul incident public spécifique où l'article 702 a été utilisé, malgré un terme marqué à la fois par de nombreuses cyberattaques et des démantèlements très médiatisés de pirates étrangers.

Ce manque de transparence et de spécificité ne semble pas aider l'administration Biden dans ce qui sera probablement une bataille acharnée pour que le Congrès réautorise l'autorité avant qu'elle ne prenne fin en décembre. Même certains des plus grands partisans de l'autorité ont exprimé leur frustration.

"Qu'il s'agisse d'aider à identifier les victimes afin qu'elles puissent être informées de l'attaque ou d'aider à identifier les acteurs du ransomware, 702 a été inestimable au cours des dernières années", a déclaré le sénateur Mark Warner, D-Va., à CyberScoop dans un e-mail. "Cependant, je suis frustré que davantage de ces exemples convaincants n'aient pas encore été rendus publics."

Le bureau de Warner a confirmé que la communauté du renseignement avait partagé des exemples de la cyber-importance de l'outil dans des contextes classifiés, mais a refusé de donner plus de détails.

"S'il est important que nous ne risquions pas les sources et les méthodes, il est également essentiel que nous expliquions au peuple américain ce qui sera perdu et comment il serait de plus en plus vulnérable aux cybercriminels et aux gouvernements étrangers si cette autorité devait expirer", a écrit le président du renseignement du Sénat.

Adam Hickey, ancien procureur général adjoint de la division de la sécurité nationale du ministère de la Justice, a fait écho aux préoccupations de Warner. "Je pense qu'ils se battent avec une main derrière le dos", a déclaré Hickey, maintenant associé du cabinet d'avocats Mayer Brown. "D'une part, vous ne voulez pas que les personnes mêmes qui constituent une menace comprennent vos capacités, car elles travailleront autour d'elles… D'autre part, vous ne voulez pas être si prudent pour éviter ce risque que vous perdiez l'autorité elle-même."

La réticence n'aide pas non plus la communauté des libertés civiles, qui a contesté les affirmations persistantes de la communauté du renseignement selon lesquelles toute réforme de la section 702 qui ralentirait les enquêteurs mettrait en péril la sécurité nationale américaine.

"Si c'est ce que le FBI va dire - non seulement c'est utile pour le cyber, mais c'est utile de cette manière préventive, de cette manière très rapide - je pense que cette affirmation doit pouvoir être étayée par quelques exemples", a déclaré Jake Laperruque, directeur adjoint du projet de sécurité et de surveillance du Centre pour la démocratie et la technologie.

L'article 702 a été adopté pour la première fois en 2008 en tant qu'amendement à la FISA, présenté initialement comme un outil clé dans la lutte américaine contre le terrorisme. L'autorité permet au gouvernement américain de collecter les communications basées aux États-Unis de non-Américains à l'extérieur du pays. La collecte des données des citoyens américains à l'aide de la section 702 est interdite, mais ces données sont souvent balayées par la surveillance dans le cadre d'une « collecte fortuite ». Ces données peuvent être recherchées par le FBI en vertu de certaines exigences légales.

Alors que le nombre de recherches du FBI sur 702 données a fluctué au fil du temps, le nombre de ces recherches liées à la cybersécurité a régulièrement augmenté. Dans une récente interview avec CyberScoop, un conseiller principal du FBI a confirmé qu'"environ la moitié" ou une "pluralité" des recherches dans la base de données de l'article 702 effectuées par l'agence aujourd'hui concernent l'enquête sur des cyberattaques malveillantes parrainées par l'État. Bien que le conseiller n'ait pas pu dire quelle était l'augmentation par rapport aux années précédentes, il a déclaré que cela reflétait un changement global dans le travail de l'agence vers davantage d'enquêtes sur la cybercriminalité.

"Notre utilisation de l'autorité au sein du FBI et dans l'ensemble de la communauté du renseignement pèse beaucoup plus lourdement sur le cyber maintenant qu'elle ne l'était il y a cinq ans", a déclaré le conseiller principal du FBI. "Une partie de cette utilisation de cette autorité reflète sa valeur et le fait que nous faisons simplement plus de travail dans ce domaine et que nous constatons que les cybermenaces augmentent avec le temps."

Bien que le conseiller du FBI n'ait pas pu partager d'exemples spécifiques, il existe des données limitées sur la manière dont les données de la section 702 sont apparues dans les cyber-enquêtes. Par exemple, dans son rapport annuel sur la transparence de 2022, l'ODNI a écrit que sur les 3,4 millions de recherches effectuées par le FBI en 2021, près de deux millions étaient liées à une enquête sur une tentative présumée de pirates informatiques russes de s'introduire dans des infrastructures critiques. Les recherches ont permis d'identifier les victimes potentielles, ont déclaré des responsables à l'époque.

Le nombre de recherches du FBI a considérablement diminué en 2022, en partie à cause d'une nouvelle méthodologie utilisée par le FBI pour compter les recherches.

"Les cyberattaques se produisent à plus grande échelle. Et par conséquent, la quantité d'informations collectées et interrogées sur les cyberattaques est juste proportionnellement plus importante", a déclaré Tom Bossert, l'ancien conseiller à la sécurité intérieure des États-Unis sous l'administration Trump. "Vous pouvez imaginer des centaines de milliers de tentatives de cyberattaques au cours d'une période donnée, et peut-être seulement cinq appels téléphoniques terroristes au cours de la même période."

À ses débuts, la section 702 était considérée comme un puissant outil de lutte contre le terrorisme, reflétant l'orientation de la communauté du renseignement à l'époque. En fait, certains des plus grands succès déclassifiés du programme consistent à déjouer des complots terroristes et à faire tomber leurs dirigeants. Plus récemment, l'été dernier, les renseignements de la section 702 ont mené à une opération réussie contre le chef d'Al-Qaïda, Ayman al-Zawahiri.

Ce n'est qu'en 2017, au milieu du dernier débat sur le renouvellement, que la cybersécurité a commencé à jouer un rôle plus important, avec des exemples de tentatives de ransomware déjouées éclipsant les références à l'Etat islamique et à d'autres cellules terroristes. Aujourd'hui, c'est souvent la première place lorsqu'il s'agit de discuter des menaces que les États-nations font peser sur la patrie. Dans son évaluation annuelle des menaces de 2023, le Bureau du directeur du renseignement national a classé la Chine, la Russie, la Corée du Nord et l'Iran et leurs cybercapacités parmi les principales menaces pour le pays.

Bossert, qui était en charge des efforts de l'administration Trump pour obtenir une nouvelle autorisation en 2017, considère que la nouvelle stratégie reflète en partie le changement d'orientation de la communauté de la sécurité nationale. "Je pense que beaucoup de gens percevront que la cyber-menace est réelle et omniprésente. Et moins de gens trouvent que la menace terroriste est aussi urgente", a-t-il déclaré. "Et j'aimerais penser que c'est parce que nous avons passé 20 ans à faire face à ce problème et à mettre en place des contrôles."

Les responsables affirment qu'une partie de la raison pour laquelle la section 702 est devenue si utile pour contrecarrer les acteurs étrangers est la nature compliquée des cyberattaques. Dans la majorité des cas, les attaquants utilisent l'infrastructure américaine comme nénuphar vers des cibles nationales. Les responsables du renseignement ont souvent souligné cela comme un défi lorsqu'ils essayaient de suivre l'activité d'acteurs étrangers sur le sol national, le notant comme un "angle mort" qui a contribué à l'échec de la détection des pirates russes lors de l'attaque de SolarWinds.

La section 702, disent-ils, remplit restaure cette visibilité. "C'est une autorité qui nous permet de faire des recouvrements contre une entité étrangère connue qui choisit d'utiliser l'infrastructure américaine", a déclaré le directeur de la cybersécurité de la NSA, Rob Joyce, à une foule lors de la conférence RSA en avril. "Et donc, cela garantit que nous n'offrons pas les mêmes protections aux acteurs malveillants étrangers qui se trouvent sur notre infrastructure que nous accordons aux Américains qui vivent ici."

"Je ne peux pas faire de la cybersécurité à la portée et à l'échelle que nous le faisons aujourd'hui sans cette autorité", a-t-il ajouté.

Le FBI et la NSA ne sont pas les seuls à louer cet outil. Cette semaine, un haut responsable du département d'État a expliqué comment l'outil est essentiel pour informer le travail des diplomates américains, y compris les problèmes de cybersécurité tels que la fraude informatique nord-coréenne.

L'industrie est une partie prenante potentielle que l'administration Biden n'a pas encore sérieusement courtisée dans la lutte pour renouveler l'article 702. Le conseiller principal du FBI a souligné à quel point le non-renouvellement de l'autorité nuirait à sa capacité à conseiller les responsables de la sécurité de l'information, inondés d'avertissements sur les vulnérabilités, sur les menaces spécifiques les plus urgentes.

"C'est l'une de ces choses qui nous permet d'atteindre des secteurs spécifiques et même des entreprises spécifiques pour dire, regardez, cette vulnérabilité spécifique est celle dont vous voulez vous occuper en ce moment parce que nous voyons certains types d'acteurs ciblant des entreprises, des entreprises comme vous, l'utiliser", a déclaré le conseiller principal du FBI. "Nous allons avoir une optique sévèrement restreinte dans toutes ces choses si nous sommes obligés de nous fier uniquement à d'autres outils."

L'ancien avocat général de l'Agence de sécurité nationale, Stewart Baker, a fait valoir que la communauté du renseignement devrait faire davantage pour démontrer à l'industrie comment elle peut bénéficier de la section 702. "Si j'étais RSSI, je voudrais peser sur les types d'avertissements, les types d'utilisations de ces renseignements en temps réel, qui me seraient particulièrement utiles."

Les entreprises doivent comprendre que si la section 702 disparaît, il en va de même pour cette intelligence, dit Bossert. "Ils ne devraient pas simplement considérer cela comme une menace pour la sécurité nationale. Ils devraient y voir une menace commerciale pour leur entreprise. Et ils devraient considérer le gouvernement américain comme un partenaire potentiel", a-t-il déclaré."S'ils s'attendent à ce que le gouvernement américain continue d'être un partenaire fiable… ils doivent comprendre que les informations sous-jacentes qu'ils doivent partager se trouvent dans les avoirs du gouvernement à cause d'autorités comme 702."

Le conseiller principal du FBI a déclaré à CyberScoop que l'agence cherchait des moyens d'accroître l'engagement de l'industrie sur le sujet. "Il y a une variété de parties prenantes différentes ici. Et l'industrie, en particulier lorsque nous parlons de cyber, est très importante", a déclaré le conseiller principal du FBI. "C'est donc quelque chose que nous allons examiner à l'avenir pour savoir comment nous pouvons commencer à les impliquer maintenant que cela commence vraiment à remonter au sommet de la conversation publique ainsi que de la conversation à Capitol Hill et dans d'autres circonscriptions des parties prenantes. "

Même s'il y avait plus d'exemples, il n'est pas clair si la prétendue valeur de l'article 702 dans la prévention de ces attaques peut surmonter les nombreuses critiques du programme, à la fois de la part des législateurs exerçant le pouvoir de le réautoriser et des groupes de libertés civiles cherchant à réformer le programme. La plupart des réactions politiques contre l'autorité s'articulent autour de préoccupations concernant des violations bien documentées des libertés civiles américaines, dont des exemples publics n'ont rien à voir avec des rançongiciels ou des acteurs étrangers infiltrant des infrastructures critiques.

Par exemple, une décision de justice américaine récemment déclassifiée de 2022 a conclu que le FBI avait recherché de manière inappropriée des informations sur les Américains dans la base de données FISA 278 000 fois, notamment pour espionner les campagnes politiques et les manifestants. Le rapport a suscité l'indignation des principaux démocrates et républicains qui insistent sur le fait que le programme ne peut pas être réautorisé sans réformes.

(Le FBI fait valoir qu'il a mis en œuvre de nouvelles mesures de conformité depuis que ces perquisitions ont eu lieu pour réduire les abus.)

Les responsables qui plaident pour la réautorisation de l'article 702 ont été vagues sur les réformes dont ils seraient prêts à discuter, soulignant plutôt que les changements ne devraient pas diminuer l'efficacité de l'outil. Les réformes recherchées par les défenseurs et les législateurs peuvent faire exactement cela, du moins aux yeux de la communauté du renseignement. Par exemple, le conseiller principal du FBI a déclaré qu'une exigence de mandat, l'une des principales demandes des réformateurs, rendrait difficile pour l'agence d'agir rapidement pour informer les victimes de ransomwares.

Laperruque de CDT a noté que les tribunaux reconnaissent depuis longtemps les exceptions d'urgence au processus de mandat. Des réformes telles que l'ajout d'une exigence de mandat à l'article 702, que la CDT et d'autres groupes préconisent, ne changeraient rien à cela.

"Cela n'empêchera pas l'article 702 d'être utilisé pour le cyber", a déclaré Laperruque. "Cela va empêcher l'utilisation du 702 sur Black Lives Matter et les membres du Congrès, ce à quoi nous avons vu le 702 utilisé ces dernières années."