La FCC espère améliorer la sécurité de l'internet

Bon nombre des défis de cybersécurité auxquels les organisations sont confrontées remontent à la façon dont Internet a été développé. En 1983, l'objectif était de créer un réseau qui favoriserait la collaboration entre plusieurs agences fédérales en se basant sur l'hypothèse que les terminaux étaient fiables. Personne à l'époque n'avait imaginé que l'internet deviendrait la colonne vertébrale dont dépend aujourd'hui une grande partie de l'économie mondiale, y compris un large éventail de services essentiels. Par conséquent, on a perdu l'occasion d'anticiper bon nombre des problèmes de sécurité qui nous préoccupent aujourd'hui.

Au fil des ans, de multiples propositions ont été faites pour résoudre ces problèmes. La dernière en date est une proposition envisagée par la Federal Communications Commission (FCC) qui obligerait les neuf plus grands fournisseurs de services de réseau à haut débit à divulguer confidentiellement comment ils ont renforcé la sécurité du protocole BGP (Border Gateway Protocol) qui définit les règles utilisées pour déterminer les meilleurs chemin d'accès pour transmettre des données sur Internet. Les petits fournisseurs de services à haut débit seraient tenus de fournir ces mêmes renseignements sur demande.

En théorie, du moins, s'assurer que le protocole BGP est plus sûr semble aller dans le bon sens, mais l'Internet Society, une entité à but non lucratif qui défend le développement ouvert de l'internet, et la Global Cyber Alliance, une organisation à but non lucratif qui se consacre à rendre l'internet plus sûr, s'y opposent. Dans une déclaration conjointe, les deux groupes de défense ont déclaré que cette proposition ralentirait le rythme des améliorations déjà apportées à la sécurité sur Internet.

En outre, les réglementations obligatoires en matière de routage peuvent nuire aux petits fournisseurs disposant de ressources limitées, ce qui entraîne une consolidation du réseau, une diminution du nombre de nouveaux fournisseurs et des entraves supplémentaires à l'entrée sur le marché.

Enfin, l'imposition de mesures de sécurité en matière de routage pourrait inciter d'autres pays à imposer des normes contradictoires, ce qui entraînerait une dégradation de la sécurité et de l'interopérabilité de l'internet, les réseaux s'efforçant de répondre à des ensembles d'exigences différents.

On ne voit pas très bien comment une simple demande d'information pourrait avoir un impact aussi négatif sur les fournisseurs de services, mais il est clair que l'évolution de l'internet suscite un intérêt commercial considérable. Le défi, c'est qu'il est difficile de savoir comment les problèmes de sécurité fondamentaux liés au BGP pourraient être abordés sans avoir d'impact négatif sur ces intérêts. La discussion s’orientera rapidement vers le niveau de coût et d’inconvénients potentiels que les organisations accepteront. Dans ce contexte, il sera important de se rappeler que de nombreuses organisations encourent déjà des coûts importants en déployant une infrastructure de sécurité de type zero-trust pour compenser le manque de sécurité qui pourrait mieux servir tout le monde si elle était intégrée, par exemple, dans le protocole BGP ou dans une autre solution. De nombreux responsables de la sécurité de ces organisations subissent également des pressions considérables pour justifier le retour sur investissement.

Au fil des ans, de multiples efforts ont été déployés pour réparer l'internet, avec un succès mitigé. De nombreuses organisations sont même allées jusqu'à créer et gérer leur propre connexion Internet privée qui se connecte à des services externes via des passerelles. Tous ces efforts ont un coût, simplement parce que les cybercriminels ont trouvé de multiples façons d’exploiter les faiblesses inhérentes à la sécurité Internet qui, à un moment donné, devront inévitablement être corrigées. Plus ce processus est long, plus l'application des correctifs nécessaires coûtera cher au final.