Analyse | Les sénateurs présentent un projet de loi pour protéger les logiciels libres

Bienvenue au Cybersécurité 202 ! Je me suis amusé à modérer le panel de la Cyberspace Solarium Commission hier, même si une photo de moi en train de le faire a fait croire aux gens sur Twitter que je n’y prêtais pas attention.

Ci-dessous : les groupes de défense des droits civiques affirment que les réseaux sociaux n’en font pas assez contre la désinformation électorale à l’approche des élections de mi-mandat, et le FBI donne plus de détails sur les cyberattaques de l’Iran contre l’Albanie. Première:

Exclusif: les chefs de panel du Sénat poussent la législation à résoudre les problèmes soulevés par la vaste vulnérabilité log4j

Lorsque les chercheurs ont découvert l’année dernière une vulnérabilité dans le système log4j open source omniprésent qui aurait pu affecter des centaines de millions d’appareils, la branche exécutive est passée à l’action et les grandes entreprises technologiques se sont regroupées avec la Maison Blanche.

Maintenant, les dirigeants de la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales présentent une législation pour aider à sécuriser les logiciels open source, signalés pour la première fois par The Cybersecurity 202. Président Gary Peters (D-Mich.) et républicain de haut rang Rob Portman (Ohio) prévoient de tenir un vote la semaine prochaine sur le projet de loi qu’ils coparrainent.

Les logiciels open source que les bénévoles peuvent voir, modifier, construire et entretenir sont presque partout, du jeu vidéo Minecraft à Apple iCloud en passant par les appareils utilisés dans des secteurs allant des soins de santé à l’énergie.

La législation Peters/Portman ordonnerait à la Cybersecurity and Infrastructure Security Agency de développer un moyen d’évaluer et de réduire les risques dans les systèmes qui reposent sur des logiciels open source. Plus tard, la CISA étudiera comment ce cadre pourrait s’appliquer aux infrastructures critiques.

  • L’incident log4j a présenté une menace sérieuse pour les systèmes fédéraux et les entreprises d’infrastructures critiques, notamment les banques, les hôpitaux et les services publics sur lesquels les Américains comptent chaque jour pour les services essentiels, a déclaré Peters dans une déclaration écrite. Cette législation bipartite de bon sens aidera à sécuriser les logiciels open source et à renforcer davantage nos défenses en matière de cybersécurité contre les cybercriminels et les adversaires étrangers qui lancent des attaques incessantes sur les réseaux à travers le pays.

Un ingénieur travaillant pour la société technologique chinoise Alibaba en novembre a découvert le bogue log4j, connu sous le nom de Log4Shell, et l’a signalé à l’Apache Software Foundation, qui gère le projet. En décembre, le personnel du jeu vidéo Minecraft a signalé le défaut d’une version du jeu que les pirates pourraient utiliser pour prendre le contrôle des ordinateurs des joueurs, provoquant la propagation du problème au public.

Il y a eu une réponse assez importante du gouvernement.

  • La CISA a informé les dirigeants de l’industrie, a émis une ordonnance d’urgence pour que les agences fédérales corrigent le problème et a publié conjointement une alerte avec le FBI, l’Agence de sécurité nationale et les gouvernements du monde entier.
  • En janvier, la Maison Blanche avait fait venir des dirigeants d’Apple, de Microsoft et d’autres grandes entreprises technologiques.
  • Le comité sénatorial de la sécurité intérieure a tenu une audience à ce sujet en février.
  • Le même mois, la Federal Trade Commission a averti les entreprises de remédier à la faille ou de faire face à d’éventuelles poursuites judiciaires.

Et pourtant, Log4Shell n’a jusqu’à présent causé aucun dommage généralisé connu.

  • Le Cybersecurity 202 a précédemment exploré certaines des raisons à cela; par exemple, des attaques peuvent avoir eu lieu mais n’ont pas été signalées.
  • Les responsables de la CISA ont depuis déclaré que cela prouvait l’efficacité d’un programme de partage d’informations entre l’agence et les dirigeants de l’industrie.
  • Un autre facteur potentiel est que certains professionnels de l’industrie ont réduit leur utilisation de logiciels open source, même si beaucoup pensent que les logiciels open source sont globalement aussi sûrs, voire plus sûrs, que les logiciels à source fermée, car de plus en plus de personnes les examinent publiquement.

Cela ne signifie pas que Log4Shell ne pose toujours pas de risques. En juillet, le comité fédéral d’examen de la cybersécurité a qualifié le bogue log4j d’endémique et a déclaré qu’il constituerait un danger pendant des décennies. Et les membres du House Energy and Commerce Committee ont demandé en août aux agences une mise à jour sur la manière dont elles traitaient la vulnérabilité.

Log4j est l’une des vulnérabilités logicielles les plus graves de l’histoire, sous-secrétaire à la politique du Département de la sécurité intérieure Robert Argents dit cet été.

Voici comment fonctionne la législation Peters-Portman :

  • Il ordonne à CISA d’embaucher des experts open source dans la mesure du possible.
  • Il donne à l’agence un an pour publier un cadre sur les risques liés au code open source. Un an plus tard et périodiquement par la suite, la CISA effectuerait une évaluation des composants de code open source que les agences fédérales utilisent couramment.
  • De plus, deux ans après la publication du cadre initial, la CISA devrait étudier s’il pourrait être utilisé dans des infrastructures critiques en dehors du gouvernement et éventuellement travailler avec un ou plusieurs secteurs d’infrastructures critiques pour tester volontairement l’idée.
  • D’autres agences auraient également des rôles à jouer, comme le Bureau de la gestion et du budget qui publie des conseils aux directeurs fédéraux de l’information sur l’utilisation sécurisée des logiciels open source.

Portman a déclaré que le projet de loi garantira que le gouvernement américain anticipe et atténue les vulnérabilités de sécurité des logiciels open source afin de protéger les données les plus sensibles des Américains.

Au moins un cyber-expert notable soutient la législation.

S’il était promulgué, il constituerait une étape historique pour un soutien fédéral plus large à la santé et à la sécurité des logiciels open source, Trey Herrdirecteur de la Cyber ​​Statecraft Initiative au Atlantic Councils Scowcroft Center for Strategy and Security, a déclaré dans un communiqué écrit.

Quoi qu’il advienne de la législation Peters-Portman dans un Congrès où il y a encore beaucoup de travail à faire avant la fin de l’année, certains des correctifs potentiels pour les problèmes de sécurité des logiciels open source ne relèvent pas de la responsabilité du gouvernement.

Des groupes de défense des droits civiques reprochent aux entreprises de médias sociaux de ne pas en faire assez pour contrer la désinformation électorale

Cinq douzaines d’organisations de défense des droits civiques ont plaidé auprès des parents de Facebook Meta, Twitter, TikTok et YouTube pour renforcer les systèmes de modération de contenu qui, selon les organisations de défense des droits civiques, ont permis aux affirmations sans fondement de Trump de se propager, mais à moins de deux mois des élections de mi-mandat, les membres de la coalition Change the Terms dit qu’elle a vu peu de réponses de la part des entreprises, Naomi Nix rapports.

Dans des notes de service, la coalition a déclaré que le parent de Facebook, Meta, autorise toujours les publications soutenant l’idée que les élections de 2020 ont été volées, que l’interdiction de Twitter sur la désinformation de 2020 n’est pas systématiquement appliquée et que YouTube n’investit pas suffisamment de ressources pour lutter contre les contenus problématiques dans des langues autres que l’anglais.

Les commentaires des militants des droits civiques ont mis en lumière les pressions politiques auxquelles les entreprises technologiques sont confrontées dans les coulisses alors qu’elles prennent des décisions à enjeux élevés sur les messages potentiellement enfreignant les règles à laisser ou à supprimer au cours d’une saison de campagne au cours de laquelle des centaines de sièges au Congrès sont en place. à gagner, écrit Naomi. Les groupes de défense des droits civiques et les dirigeants politiques de gauche accusent les plates-formes de la Silicon Valley de ne pas en faire assez pour supprimer les contenus qui induisent le public en erreur ou incitent à la violence en période de prudence politique.

Les entreprises de médias sociaux ont défendu leurs pratiques.

  • YouTube applique ses politiques en permanence et quelle que soit la langue dans laquelle se trouve le contenu, et a supprimé un certain nombre de vidéos liées aux conditions intermédiaires pour violation de nos politiques, a déclaré la porte-parole de YouTube, Ivy Choi, dans un communiqué.
  • TikTok a répondu aux questions de la coalition et apprécie son engagement continu avec Change the Terms car nous partageons des objectifs de protection de l’intégrité des élections et de lutte contre la désinformation, a déclaré la porte-parole de TikTok, Jamie Favazza.
  • Twitter se concentre sur la promotion d’informations électorales fiables et sur l’application vigilante de ses politiques, a déclaré la porte-parole de Twitter, Elizabeth Busby. Eh bien, continuez à impliquer les parties prenantes dans notre travail pour protéger les processus civiques.
  • Le porte-parole de Facebook, Andy Stone, a refusé de commenter les affirmations de la coalition, mais il a souligné un communiqué de presse d’août sur la façon dont la société avait déclaré qu’elle prévoyait de promouvoir des informations précises sur les élections de mi-mandat.

Les sénateurs demandent à un haut responsable du renseignement d’examiner le plan d’Apple d’utiliser des puces chinoises

Un groupe de sénateurs des deux partis a demandé au directeur du renseignement national Avril Haines pour examiner la menace pour la sécurité posée par le projet d’Apple d’utiliser des puces de mémoire du fabricant de puces chinois YMTC dans son nouvel iPhone 14, Ellen Nakashima rapports.

Apple avait précédemment déclaré que les puces YTMC n’étaient pas utilisées dans ses produits et qu’elle évaluait l’opportunité d’utiliser les puces pour certains iPhones vendus en Chine. Toutes les données utilisateur stockées sur ces puces sont entièrement cryptées, a déclaré la société. La société a réitéré à The Post qu’elle ne prévoyait pas d’utiliser les puces des iPhones vendus en Chine. Il a refusé de commenter la lettre.

Mais les sénateurs craignent que les téléphones ne se frayent un chemin sur le marché mondial, selon un assistant du Sénat qui s’est exprimé sous couvert d’anonymat car ils n’étaient pas autorisés à commenter le dossier.

Les sénateurs veulent également que Haines examine ce qu’ils ont dit être le rôle de YMTC dans l’aide à d’autres entreprises chinoises, y compris le fabricant d’équipements de télécommunications Huawei, qui est soumis à des contrôles américains stricts à l’exportation, écrit Ellen. Et ils veulent qu’elle examine les liens présumés des YMTC avec l’armée chinoise.

Les pirates iraniens étaient dans les réseaux albanais depuis plus d’un an avant la cyberattaque, selon le FBI

Les pirates, qui se faisaient appeler Homeland Justice, ont eu accès aux réseaux du gouvernement albanais pendant cette période et ont volé des e-mails, ont déclaré le FBI et la CISA. Ils ont finalement mis des logiciels de rançon sur les réseaux, et lorsque les autorités albanaises ont commencé à réagir, les pirates ont déployé des logiciels malveillants destinés à supprimer des données des réseaux.

L’Albanie a rompu les liens à propos du piratage, et c’était la première fois qu’un gouvernement réagissait de manière aussi agressive à une cyberattaque.

En septembre 2022, des cyberacteurs iraniens ont lancé une autre vague de cyberattaques contre le gouvernement albanais, utilisant des [tactics, techniques and procedures] et des logiciels malveillants comme les cyberattaques de juillet, ont déclaré le FBI et la CISA dans leur rapport. Celles-ci ont probablement été commises en représailles à l’attribution publique des cyberattaques de juillet et à la rupture des relations diplomatiques entre l’Albanie et l’Iran.

Des enquêteurs européens sur les logiciels espions critiquent Israël et la Pologne (Associated Press)

L’armée américaine a acheté un outil de surveillance de masse qui inclut la navigation sur Internet, les données de messagerie (carte mère)

Un sénateur dénonce l’agence judiciaire américaine pour avoir « bloqué » une enquête sur une cyberattaque (CyberScoop)

L’antivirus utilisé par des millions a bloqué tous les sites Google par erreur, semant le chaos (Motherboard)

Les pirates demandent une rançon à LAUSD des semaines après la cyberattaque qui a déclenché l’arrêt du système (ABC7)

Échangeur de carte SIM enlevé, battu, détenu pour une rançon de 200 000 $ (Krebs on Security)

La fuite de Grand Theft Auto VI est le cauchemar de Rockstars, le rêve de YouTubers (Nathan Grayson)

Merci d’avoir lu. À demain.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite