Jen Easterly, directrice de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), une unité du département de la Sécurité intérieure américaine, a dénoncé le peu d’efforts mis en œuvre par les grandes entreprises du pays pour lutter contre la cybercriminalité. Elle a notamment fustigé le comportement de Twitter ou encore de Microsoft.

Les produits numériques ne sont pas assez sécurisés, selon Easterly

La responsable a prononcé un discours à la Carnegie Mellon University alors que la Maison Blanche s’apprête à détailler une stratégie nationale visant à renforcer la cybersécurité du pays, en incitant, entre autres, les entreprises technologiques à créer des produits plus sûrs.

« Le risque que représente pour nous tous une technologie peu sécurisée est franchement beaucoup plus dangereux et omniprésent que les ballons espions, et pourtant nous nous sommes en quelque sorte permis de l’accepter », assure Jen Easterly. Selon elle, les mauvais logiciels et les pratiques dangereuses facilitent les attaques par rançongiciels qui paralysent les services essentiels, qu’il s’agisse de l’approvisionnement en énergie, de la production alimentaire, des hôpitaux ou des écoles. Par exemple, un oléoduc vital aux États-Unis a été mis à l’arrêt lors d’une cyberattaque de ce type en 2021.

Easterly juge la manière dont les entreprises combattant la cybercriminalité comme inefficace et dangereuse, c’est-à-dire en publiant régulièrement des correctifs de sécurité pour leurs produits. Elle explique que, de cette façon, toutes les failles ne sont pas repérées à temps, ce qui permet aux cybercriminels de pénétrer dans les organisations. L’administration Biden veut lutter contre l’existence de ces failles de sécurité, plutôt que de continuer à blâmer les organisations victimes pour leur manque de sécurité, rapporte Axios.

L’importance de l’authentification à double facteur

« Les fabricants de technologies doivent s’approprier les résultats en matière de sécurité pour leurs clients. Le gouvernement peut également jouer un rôle en transférant la responsabilité sur les entités qui ne respectent pas le devoir de diligence qu’elles doivent à leurs clients », continue la responsable de la CISA. Elle a notamment cité l’intérêt de la mise en place d’une authentification à double facteur obligatoire pour les utilisateurs.

Dans cette optique, elle s’en est pris à Microsoft et Twitter : environ un quart des entreprises clientes de la firme de Redmond et un tiers de leurs comptes administrateurs, qui peuvent accéder et permettre des changements sur plusieurs autres comptes, utilisent l’authentification multifactorielle. Moins de 3 % des utilisateurs de Twitter utilisent cette même fonctionnalité, selon le rapport de transparence 2021 de l’entreprise. Twitter a annoncé récemment que l’authentification à double facteur serait bientôt payante.

Jen Easterly conseille au réseau social d’être plus « réfléchi », selon Bloomberg. Elle rappelle en outre que les utilisateurs doivent bénéficier de la transparence des entreprises afin de pouvoir « prendre une décision » quant à l’utilisation d’un produit donné en fonction de sa sécurité. Elle a notamment encouragé les groupes à prendre exemple sur Apple : 95 % de ses utilisateurs iCloud se servent de l’authentification multifactorielle car la société active le paramètre par défaut.

La cybercriminalité en hausse

Enfin, la dirigeante n’exclut pas une législation visant à remettre la responsabilité sur les entreprises technologiques si leurs produits comportent un risque excessif. La stratégie américaine en matière de cybersécurité intervient alors que la cybercriminalité est en hausse depuis la pandémie. Les États-Unis sont, en outre, une cible privilégiée d’entités comme la Chine ou la Russie.

Reste à voir comment réagiront les entreprises concernées ; la mise en œuvre de telles mesures nécessite des changements systémiques dans la façon dont elles produisent et créent de nouveaux produits, y compris en changeant les langages de codage utilisés par les développeurs. En effet, Easterly a également préconisé une correction des problèmes de codage généralisés concernant la mémoire des logiciels.