En 2014, face à ce qui semblait être une vague irrésistible d’opérations cyber contre des entités détentrices de données personnelles – de l’Office of personnel management de la Maison-Blanche à la banque JP Morgan en passant par l’entreprise de grande distribution Target –, la communauté stratégique étasunienne évoqua l’idée de permettre aux victimes de se défendre plus activement, quitte à pénétrer et à perturber à leur tour les systèmes d’information de l’agresseur.
Cette pratique de hack back fut rebaptisée « cyberdéfense active » par les spécialistes du secteur, terme bientôt adopté par les décideurs et les législateurs. Un projet de loi, l’ACDC (Active cyberdefense certainty act) déposé en 2017 puis de nouveau en juin 2019 par le représentant républicain de Géorgie Tom Graves visait ainsi à permettre aux entités privées d’user de moyens de détection insérés dans leurs programmes ou leurs bases de données à des fins d’identification de l’agresseur. En d’autres termes, l’ACDC aurait autorisé la mise en place de mouchards et de systèmes d’écoute, voire de chiffrement de données, destinés à entraver ou à saboter les opérations criminelles ou d’espionnage. Parallèlement, les experts en cybersécurité et en sécurité de l’information remirent au goût du jour l’analogie des corsaires et des compagnies – États au motif que la configuration sécuritaire et souveraine dans le cyberespace s’apparentait à la protection du commerce maritime de l’époque moderne. En d’autres termes, il s’agissait de réfléchir à la possibilité que les pouvoirs publics puissent non seulement autoriser les entreprises à se défendre en répondant du tac au tac, mais également déléguer leurs pouvoirs de police à des entités privées.
Pour des raisons qui ne sont pas toutes propres aux États-Unis, ni le Congrès ni la Maison-Blanche n’avaient donné suite. Outre les risques éthiques, juridiques et politiques du hack back, il fallait prendre en compte un champ d’application potentiellement trop large, ouvrant la porte à des pratiques de plus en plus difficiles à encadrer. De plus, l’effort avait été placé sur la volonté de recentrer l’écosystème de cybersécurité autour des autorités publiques fédérales : création de la CISA en 2018, légalisation des cyberopérations offensives militaires en temps de paix par le Cyber Command en 2019 ou encore convergence des moyens d’entrave entre les différents acteurs de la sécurité nationale et de la lutte contre la criminalité organisée. Vis-à‑vis du secteur privé, trois modalités s’étaient structurées entre 2019 et 2024. En premier lieu, la symbiose opérationnelle entre les administrations de sécurité nationale (Cyber Command, NSA, FBI) et le secteur privé de cybersécurité et d’analyse de la menace, surtout après l’affaire SolarWinds à la fin de 2020. En second lieu, l’établissement de systèmes de partage ou de report d’informations entre le secteur privé et le secteur public, articulant participation active des services fédéraux, diffusion de standards en matière de cybersécurité vers les opérateurs d’infrastructures critiques et imposition de procédures de notification en cas d’incident cyber de la part de ces derniers. En troisième lieu enfin, la tentative de « refonder le contrat social de cybersécurité », c’est-à‑dire d’inciter les opérateurs et fournisseurs d’infrastructures numériques à mettre en œuvre la sécurité dès la conception et par défaut en se servant du levier de la commande publique.
Là comme en d’autres domaines, le retour de Donald Trump à la Maison – Blanche – dans un contexte beaucoup plus décomplexé et beaucoup plus volontariste en matière de politique publique – remet ces débats à la mode. Ainsi, durant le mois d’août, le représentant républicain de l’Arizona David Schweikert a déposé un nouveau projet de loi : le Scam farms marque and reprisal authorization act. Celui-ci permettrait au président des États-Unis « d’autoriser des entités du secteur privé à utiliser tous les moyens raisonnables et nécessaires afin de saisir, en dehors des frontières géographiques des États-Unis et de leurs territoires, toute personne et tout bien appartenant à un individu ou à un gouvernement étranger, selon le cas, que le président estime être membre d’une organisation criminelle ou complice d’une organisation impliquée dans la cybercriminalité et responsable d’un acte d’agression contre les États-Unis ». Autrement dit, cela rend possible l’émission de lettres de marque à la discrétion du président, potentiellement contre n’importe qui et n’importe où. Il s’agit là d’un précédent en ce qui concerne la cybersécurité, bien que la participation du secteur privé – y compris par des moyens préemptifs et offensifs – ne le soit pas à strictement parler.
