Les dispositions relatives aux logiciels sécurisés, à la cryptographie résistante aux attaques quantiques et à d’autres technologies sont supprimées.
Les professionnels de la cybersécurité expriment leurs inquiétudes concernant un récent décret exécutif publié par la Maison Blanche qui évince les exigences en matière de sécurisation des logiciels utilisés par le gouvernement, de punition des personnes qui compromettent les réseaux sensibles, de préparation de nouveaux schémas de cryptage qui résisteront aux attaques des ordinateurs quantiques et d’autres contrôles existants.
Le décret présidentiel (DP), publié le 6 juin, annule plusieurs décrets clés en matière de cybersécurité mis en place par le président Joe Biden, dont certains dataient de quelques jours seulement avant la fin de son mandat en janvier. Un communiqué accompagnant le DP de Donald Trump affirmait que les directives de Biden « tentaient d’introduire des questions problématiques et gênantes dans la politique de cybersécurité » et constituaient un « marché politique ».
Pro-business, anti-réglementation
Les ordres spécifiques abandonnés ou assouplis par Trump incluaient ceux exigeant (1) que les agences fédérales et les entrepreneurs adoptent des produits avec un cryptage quantique dès qu’ils sont disponibles sur le marché, (2) un cadre de développement de logiciels sécurisé (SSDF) rigoureux pour les logiciels et services utilisés par les agences fédérales et les entrepreneurs, (3) l’adoption de régimes résistants au phishing tels que la norme WebAuthn pour la connexion aux réseaux utilisés par les entrepreneurs et les agences, (4) la mise en œuvre de nouveaux outils pour sécuriser le routage Internet via le protocole Border Gateway, et (5) l’encouragement des formes numériques d’identité.
À bien des égards, les décrets présidentiels sont autant des démonstrations de force qu’un moyen d’élaborer une politique judicieuse. Les directives de Biden en matière de cybersécurité s’inscrivaient principalement dans cette seconde catégorie.
Les dispositions relatives au cadre de développement logiciel sécurisé, par exemple, sont nées des conséquences dévastatrices de l’ attaque de la chaîne d’approvisionnement de SolarWinds en 2020. Lors de cet incident, des pirates informatiques liés au gouvernement russe ont piraté le réseau de SolarWinds, un service cloud largement utilisé. Ils ont ensuite déployé une mise à jour malveillante qui a distribué une porte dérobée à plus de 18 000 clients, dont de nombreux sous-traitants et agences du gouvernement fédéral.
Les départements du Commerce, du Trésor, de la Sécurité intérieure et les Instituts nationaux de la santé ont tous été compromis. De nombreuses entreprises privées, parmi lesquelles Microsoft, Intel, Cisco, Deloitte, FireEye et CrowdStrike, ont également été piratées.
En réponse, un décret de Biden a exigé que l’Agence de cybersécurité et de sécurité des infrastructures établisse un formulaire commun d’auto-attestation que les organisations vendant des logiciels critiques au gouvernement fédéral respectaient les dispositions du SSDF. L’attestation provenait d’un dirigeant de l’entreprise.
Le décret présidentiel de Trump supprime cette exigence et ordonne à l’Institut national des normes et de la technologie (NIST) de créer une implémentation de sécurité de référence pour le SSDF, sans autre exigence d’attestation. Cette nouvelle implémentation remplacera la norme SP 800-218, l’implémentation de référence actuelle du SSDF par le gouvernement, bien que le décret présidentiel de Trump exige que les nouvelles directives s’en inspirent.
Les critiques ont déclaré que ce changement permettrait aux entrepreneurs du gouvernement de contourner les directives qui les obligeraient à corriger de manière proactive les types de vulnérabilités de sécurité qui ont permis la compromission de SolarWinds.
« Cela permettra aux utilisateurs de cocher la case “Nous avons copié l’implémentation” sans pour autant respecter l’esprit des contrôles de sécurité de la SP 800-218 », a déclaré Jake Williams, ancien hacker de la NSA et aujourd’hui vice-président de la recherche et du développement pour l’entreprise de cybersécurité Hunter Strategy, lors d’une interview. « Très peu d’organisations respectent réellement les dispositions de la SP 800-218, car elles imposent des exigences de sécurité contraignantes aux environnements de développement, qui ressemblent généralement à des environnements de développement immersifs. »
Le décret présidentiel de Trump annule également les exigences imposées aux agences fédérales pour l’adoption de produits utilisant des schémas de chiffrement invulnérables aux attaques quantiques. Biden a mis en place ces exigences afin de dynamiser la mise en œuvre de nouveaux algorithmes résistants aux attaques quantiques, actuellement développés par le NIST.
« Nous nous sommes retrouvés avec une orientation moins ferme et moins de directives, là où nous n’avions déjà pas grand-chose », a déclaré Alex Sharpe, fort de 30 ans d’expérience en gouvernance de la cybersécurité. Lui et d’autres experts du secteur préviennent que la transition vers des algorithmes résistants aux attaques quantiques constituera l’un des plus grands défis technologiques jamais relevés par les gouvernements et le secteur privé. Cela engendrera des frictions et des résistances à la refonte complète des piles logicielles, des bases de données et des autres infrastructures existantes, qui sera nécessaire.
« Maintenant que le mécanisme d’application a été supprimé, de nombreuses organisations seront moins susceptibles de s’en occuper », a-t-il déclaré.
Trump a également abandonné les instructions données aux départements d’État et du Commerce pour encourager les principaux alliés étrangers et les industries étrangères à adopter les algorithmes PQC du NIST.
D’autres changements imposés par l’EO comprennent :
- Interdire au Département du Trésor de sanctionner les personnes aux États-Unis impliquées dans des cyberattaques contre les infrastructures américaines. Le communiqué de la Maison Blanche indiquait que cette modification empêcherait « tout usage abusif contre des opposants politiques nationaux ».
- Suppression de la déclaration disant que le protocole BGP, principal moyen d’acheminement du trafic sur Internet, est « vulnérable aux attaques ». Sont également supprimées les exigences existantes obligeant le Département du Commerce, en collaboration avec le NIST, à publier des directives sur la mise en œuvre de « méthodes de sécurité BGP opérationnellement viables », telles que l’infrastructure à clés publiques de ressources et la création d’autorisations d’origine de route pour les réseaux gouvernementaux et les fournisseurs de services sous contrat. Ces défenses sont conçues pour prévenir les types d’attaques et d’incidents BGP qui ont détourné des adresses IP appartenant à des banques et autres infrastructures critiques.
- Abandon du projet de l’administration Biden d’encourager l’utilisation de documents d’identité numériques. La Maison Blanche a déclaré que la mise en œuvre des cartes d’identité numériques « risquait de provoquer des abus généralisés en permettant aux immigrants illégaux d’accéder abusivement aux prestations sociales ».
« Je pense que c’est très favorable aux entreprises et anti-réglementation », a déclaré Williams à propos de l’orientation générale du nouveau décret. Outre l’assouplissement des exigences SSDF, il a ajouté : « La suppression des messages de sécurité BGP est un cadeau pour les FAI, qui savent qu’il s’agit d’un problème, mais qui savent aussi que sa résolution leur coûtera cher. »
Sharpe a déclaré que la plupart des exigences supprimées « étaient tout à fait logiques ». Faisant référence à Trump, il a ajouté : « Il parle du fardeau de la conformité. Qu’en est-il du fardeau de la non-conformité ? »
Source: https://arstechnica.com/security/2025/06/cybersecurity-take-a-big-hit-in-new-trump-executive-order/
Mes données on beau être chez moi, celles que mes fournisseurs me réclament (eau, électricité, impôt, banques, fai (déjà piraté au moins 3 fois), etc…) ne le sont pas. Ma carte d’identité est chez sony (compte playstation verouillé oblige, sony piraté aussi) et chez un fournisseur d’accès. Après, piraté ou pas, allez savoir à qui ces boîtes vendent vos infos. Youpi !
Nouveautés
Réduction massive des coûts API
Performances
Le “raisonnement simulé” expliqué
Pistes d’amélioration
Conclusion