Les États-Unis vivent actuellement une tempête de cybersécurité. La campagne de cyberattaques Salt Typhoon a mis les opérateurs téléphoniques à rude épreuve, tandis que le Congrès (Chambre des représentants et Sénat) cherche à comprendre comment des groupes malveillants étatiques chinois parviennent à se frayer aussi facilement un chemin. L’armée est également visée, accusée par deux sénateurs de ne pas sécuriser correctement ses communications non classifiées.

• Tempête de cybersécurité aux États-Unis, pleins feux sur le chiffrement des communications

Le directeur adjoint de la CISA, Jeff Greene, cité par NBC News, déclarait il y a deux semaines : « Notre suggestion, ce que nous avons dit aux gens en interne, n'est pas nouvelle : le chiffrement est votre ami, qu'il s'agisse de la messagerie texte ou de la capacité à utiliser des communications vocales. Même si l'adversaire est en mesure d'intercepter les données, si elles sont chiffrées, cela rendra la chose impossible ».

La CISA préparait des listes de recommandations plus précises selon les cibles. Elles ont été publiées les 17 et 18 décembre et contiennent des instructions ciblées, surtout à destination des administrations et des personnes dont le profil pourrait intéresser des pirates, par exemple pour leur place dans une hiérarchie ou leur implication politique.

Halte aux SMS et place au chiffrement de bout en bout

Sur les appareils mobiles, les conseils de la CISA paraitront évidents à toute personne intéressée par la sécurité. Elle demande de ne plus utiliser que des communications chiffrées de bout en bout, via des applications compatibles aussi bien avec iOS qu’Android pour simplifier l’interopérabilité des messages. L’agence ne fournit aucun nom, mais conseille de se renseigner sur le traitement des métadonnées par l’éditeur concerné.

Elle recommence également d’activer les mécanismes d’authentification multifactorielle compatibles FIDO partout où c’est possible. Les clés de sécurité comme les Yubico et Google Titan sont citées. Les clés d’accès sont présentées comme une « alternative acceptable ». Ces protections devraient couvrir tous les comptes principaux (Microsoft, Apple, Google…) et au moins tous ceux ayant trait aux e-mails et réseaux sociaux. Sur Gmail, il est conseillé d’activer l’APP (Advanced Protection Program). Et puisque l’on parle d’authentification multifactorielle, la CISA demande de se débarrasser de tout second facteur basé sur les SMS.

Les autres recommandations sont du même acabit : utiliser un gestionnaire de mots de passe (phrase de passe forte pour le protéger, mots forts et uniques pour tous les comptes), ajouter un code PIN, vérifier régulièrement les mises à jour logicielles, ne pas utiliser de solutions personnelles de VPN (« De nombreux fournisseurs de VPN gratuits et commerciaux ont des politiques de sécurité et de confidentialité douteuses », indique la CISA) et opter pour la dernière version du matériel chez le fabricant. Sur ce dernier point, l’agence ajoute que « les mises à jour logicielles seules ne permettront pas d'obtenir le maximum d'avantages en matière de sécurité ».

Configurer correctement les smartphones

Viennent également des conseils pour les iPhone et smartphone Android. Sur les téléphones d’Apple, il est ainsi recommandé d’activer le mode Isolation (que nous avions détaillé), de couper l’envoi automatique de SMS quand iMessage n’est pas disponible, de se servir d’iCloud Private Relay ou d’un service de DNS chiffré (1.1.1.1 chez Cloudflare, 8.8.8.8 chez Google, 9.9.9.9 chez Quad9…) ou encore d’inspecter les autorisations de chaque application pour ne laisser que ce qui est strictement nécessaire.

Sur Android, les conseils sont un peu plus nombreux : privilégier « les modèles des fabricants ayant de solides antécédents en matière de sécurité et s'engageant à effectuer des mises à jour de sécurité à long terme », n’utiliser le RCS que si le chiffrement de bout en bout est activé, configurer un DNS chiffré, vérifier dans Chrome que l’option « Toujours utiliser des connexions sécurisées » est active, configurer le niveau de protection renforcée dans la navigation sécurisée, vérifier que Play Protect est activé et contrôler les permissions des applications.

Cloud : les conseils laissent place aux instructions

« Les récents incidents de cybersécurité soulignent les risques importants posés par les mauvaises configurations et les contrôles de sécurité faibles, que les attaquants peuvent utiliser pour obtenir un accès non autorisé, exfiltrer des données ou perturber les services », a déclaré mercredi.

En conséquence, elle a publié une nouvelle Binding Operational Directive (directive opérationnelle contraignante) à l’attention de toutes les agences civiles fédérales utilisant le cloud. Il ne s’agit pas de conseils, mais bien d’instructions : les administrations doivent les appliquer, sous peine de sanction.

D’ici au 21 février prochain, elles doivent ainsi avoir identifié l’intégralité des actifs et tenir cet inventaire à jour une fois par trimestre. Le 25 avril au plus tard, les administrations devront avoir déployé tous les outils d’évaluation disponibles dans le cadre de la solution commerciale adoptée. D’ici le 20 juin, toutes les politiques en matière de solutions commerciales devront avoir été appliquées. Ces politiques n’existent pour l’instant que pour Microsoft 365, mais la CISA en ajoutera d’autres plus tard.

Les agences doivent également s’engager à mettre en œuvre toutes les futures mises à jour des politiques, les configurations sécurisées obligatoires, en plus d’identifier et expliquer tout écart qu’un outil d’évaluation signalerait.

La CISA, elle, s’engage à maintenir et mettre à jour une liste détaillée des politiques entrant dans le champ d’application de sa nouvelle directive (25 - 01). Toutes les agences et administrations fédérales seront prévenues des modifications apportées aux politiques. Elle se place en outre comme agent de coordination et de liaison pour toutes les opérations liées, promettant un accompagnement et des ressources.

Dans un an, l’agence fera le point sur les progrès accomplis. Un rapport sera alors envoyé au secrétaire d’État à la Sécurité nationale. On peut se demander toutefois comment le programme de la CISA évoluera avec le changement de gouvernement qui se profile, l'administration Donald Trump semblant privilégier l’attaque à la défense, comme nous le relevions la semaine passée.

• L’administration Trump voudrait en finir avec la cyberdéfense et privilégier le « hack back »