Inefficace, peu pertinent... Les critiques officielles pleuvent sur le National Infrastructure Protection Center (NIPC), ce “machin” du FBI chargé de lutter contre les dangers (supposés) de la cyber-guerre...
La parano américaine en matière de guerre électronique n’a guère de limites. C’est d’ailleurs pour se prémunir contre toute attaque (potentielle) que le National Infrastructure Protection Center (NIPC) avait été mis en place, sous la présidence de Bill Clinton. Les spécialistes de la sécurité informatique souriaient depuis longtemps à l’évocation de ce nom. Connu pour ne publier que des alertes sans intérêt, le NIPC, émanation du FBI se voulait, un peu comme le CERT, l’une des autorités morales autorisées à parler de problèmes de sécurité.
Mais, aujourd’hui, ce sont des critiques tout à fait officielles qui lui tombent sur le dos. Celles du General Accounting Office (GAO), l’équivalent américain de notre Cour des Comptes. Que dit cet organisme dans son rapport de près de 110 pages ? Entre autres choses, que “les efforts déployés pour mettre en place une capacité d’alerte plus robuste ont été minés, d’une part, par le manque d’expertise et, d’autre part, parce qu’il n’existe pas de réseau national ou gouvernemental permettant de collecter et d’analyser les informations sur les incidents” informatiques. Le GAO relève également que le NIPC utilise, trop souvent, le travail des autres pour produire ses alertes. Mais aussi, qu’elles ne concernent, la plupart du temps, que des sujets d’intérêt moyen et ne sont pas prospectives. Les attaques sont déjà en cours, les virus sont déjà dans les ordinateurs lorsque le NIPC se réveille, notent les experts du GAO...
81 alertes en trois ans : le bilan est maigre
Ces déclarations du GAO à propos du NIPC (et qui pourraient fort bien s’appliquer au CERT CC) laissent rêveur... Pourquoi donc faut-il que l’...tat américain mette en place des infrastructures coûteuses et inefficaces pour se protéger d’un péril mal identifié ?
Ce constat d’échec doit faire pouffer dans les salles informatiques. En effet, Bugtraq est justement un réseau d’alerte de la communauté des hackers qui permet de prévoir où les problèmes vont éclore. À titre d’exemple, les récentes alertes de sécurité sur IIS, le serveur Web de Microsoft et sur Windows 2000 laissent penser que des attaques à grande échelle vont avoir lieu... Alors que les abonnés à la mailing list Bugtraq reçoivent en moyenne une vingtaine d’alertes de sécurité par jour, le NIPC a produit en tout et pour tout 81 “alertes” depuis sa création en février 1998... À croire que le volontariat fonctionne mieux que la volonté d’...tat...