En 2014, face à ce qui semblait être une vague irrésistible d’opérations cyber contre des entités détentrices de données personnelles – de l’Office of personnel management de la Maison-Blanche à la banque JP Morgan en passant par l’entreprise de grande distribution Target –, la communauté stratégique étasunienne évoqua l’idée de permettre aux victimes de se défendre plus activement, quitte à pénétrer et à perturber à leur tour les systèmes d’information de l’agresseur.
Cette pratique de hack back fut rebaptisée « cyberdéfense active » par les spécialistes du secteur, terme bientôt adopté par les décideurs et les législateurs. Un projet de loi, l’ACDC (Active cyberdefense certainty act) déposé en 2017 puis de nouveau en juin 2019 par le représentant républicain de Géorgie Tom Graves visait ainsi à permettre aux entités privées d’user de moyens de détection insérés dans leurs programmes ou leurs bases de données à des fins d’identification de l’agresseur. En d’autres termes, l’ACDC aurait autorisé la mise en place de mouchards et de systèmes d’écoute, voire de chiffrement de données, destinés à entraver ou à saboter les opérations criminelles ou d’espionnage. Parallèlement, les experts en cybersécurité et en sécurité de l’information remirent au goût du jour l’analogie des corsaires et des compagnies – États au motif que la configuration sécuritaire et souveraine dans le cyberespace s’apparentait à la protection du commerce maritime de l’époque moderne. En d’autres termes, il s’agissait de réfléchir à la possibilité que les pouvoirs publics puissent non seulement autoriser les entreprises à se défendre en répondant du tac au tac, mais également déléguer leurs pouvoirs de police à des entités privées.
Pour des raisons qui ne sont pas toutes propres aux États-Unis, ni le Congrès ni la Maison-Blanche n’avaient donné suite. Outre les risques éthiques, juridiques et politiques du hack back, il fallait prendre en compte un champ d’application potentiellement trop large, ouvrant la porte à des pratiques de plus en plus difficiles à encadrer. De plus, l’effort avait été placé sur la volonté de recentrer l’écosystème de cybersécurité autour des autorités publiques fédérales : création de la CISA en 2018, légalisation des cyberopérations offensives militaires en temps de paix par le Cyber Command en 2019 ou encore convergence des moyens d’entrave entre les différents acteurs de la sécurité nationale et de la lutte contre la criminalité organisée. Vis-à‑vis du secteur privé, trois modalités s’étaient structurées entre 2019 et 2024. En premier lieu, la symbiose opérationnelle entre les administrations de sécurité nationale (Cyber Command, NSA, FBI) et le secteur privé de cybersécurité et d’analyse de la menace, surtout après l’affaire SolarWinds à la fin de 2020. En second lieu, l’établissement de systèmes de partage ou de report d’informations entre le secteur privé et le secteur public, articulant participation active des services fédéraux, diffusion de standards en matière de cybersécurité vers les opérateurs d’infrastructures critiques et imposition de procédures de notification en cas d’incident cyber de la part de ces derniers. En troisième lieu enfin, la tentative de « refonder le contrat social de cybersécurité », c’est-à‑dire d’inciter les opérateurs et fournisseurs d’infrastructures numériques à mettre en œuvre la sécurité dès la conception et par défaut en se servant du levier de la commande publique.
Là comme en d’autres domaines, le retour de Donald Trump à la Maison – Blanche – dans un contexte beaucoup plus décomplexé et beaucoup plus volontariste en matière de politique publique – remet ces débats à la mode. Ainsi, durant le mois d’août, le représentant républicain de l’Arizona David Schweikert a déposé un nouveau projet de loi : le Scam farms marque and reprisal authorization act. Celui-ci permettrait au président des États-Unis « d’autoriser des entités du secteur privé à utiliser tous les moyens raisonnables et nécessaires afin de saisir, en dehors des frontières géographiques des États-Unis et de leurs territoires, toute personne et tout bien appartenant à un individu ou à un gouvernement étranger, selon le cas, que le président estime être membre d’une organisation criminelle ou complice d’une organisation impliquée dans la cybercriminalité et responsable d’un acte d’agression contre les États-Unis ». Autrement dit, cela rend possible l’émission de lettres de marque à la discrétion du président, potentiellement contre n’importe qui et n’importe où. Il s’agit là d’un précédent en ce qui concerne la cybersécurité, bien que la participation du secteur privé – y compris par des moyens préemptifs et offensifs – ne le soit pas à strictement parler.
La proposition de D. Schweikert n’est pas une singularité : à la fin du mois d’août, l’organisation à but non lucratif Center for Cybersecurity Policy and Law organisait une conférence sur le thème des « Opérations cyberoffensives », en s’appuyant sur un rapport au titre évocateur (1) publié en mai par l’une de ses analystes. À cette occasion, les médias spécialisés n’ont pas manqué de souligner l’annonce par Sandra Joyce, vice – présidente du Threat Intelligence Group de Google, de la création d’une capacité de « disruption cyber ». Cette nouvelle unité, aux contours et prérogatives encore flous, se justifierait par la nécessité de passer d’une posture de renseignement proactive (permettant de détecter des opérations et de définir des opportunités pour y faire face) à une posture d’action (permettant de les entraver). À dire vrai, Google, tout comme Microsoft, a plusieurs fois utilisé l’arme judiciaire pour faire saisir des serveurs et noms de domaine, contribuant au démantèlement des réseaux et infrastructures utilisés par des criminels. Plus surprenant, le fournisseur de sécurité informatique britannique Sophos a publiquement fait état, fin 2024, d’une opération conduite contre des acteurs malveillants liés à la Chine entre 2018 et 2023. Dans ce cas précis, l’entreprise a exploité le fait que ses produits (notamment les pare – feu) étaient utilisés par ces acteurs pour recueillir des informations sur eux et agir préventivement sur des dispositifs compromis. Plus important, Sophos s’est appuyé sur la collaboration d’autres entreprises privées comme des forces de l’ordre.
Ces deux exemples suggèrent que la question cruciale aujourd’hui aux États-Unis porte sur l’encadrement de ces activités. Pour des raisons opérationnelles et organisationnelles, les autorités politiques pourraient choisir de légaliser certaines de ces pratiques, c’est-à‑dire simultanément de les officialiser et de les limiter à des cas ou champs d’application précis. Sur le plan opérationnel en effet, une piste consiste à limiter l’autorisation (ou la délivrance de lettres de marque) aux opérateurs des infrastructures numériques, plutôt que de s’en remettre à des entités de cybersécurité ou d’analyse de la menace pour « pirater les pirates ». Ces opérateurs servent ou maîtrisent tout ou partie des infrastructures. Par conséquent, outre que ce sont leurs produits et services qui sont exploités par les menaces, ils disposent de capacités de détection, voire d’action. Sur le plan organisationnel, ces dispositions ajouteraient peut-être une couche supplémentaire à l’écosystème étasunien de cyberdéfense, au risque de rejoindre d’autres États qui semblent avoir constitué des assemblages articulant services de renseignement, sociétés privées et chercheurs. À l’instar des cyberopérations offensives conduites par le Cyber Command en temps de paix, ce processus pourrait s’articuler autour de finalités précises (comme le démantèlement des « fermes à scam » dans certaines régions d’Asie du Sud-Est).
Quoi qu’il en soit, ces débats aux États-Unis peuvent se comprendre et s’interpréter au regard de trois phénomènes. En premier lieu, le contexte de cette seconde présidence Trump explique pourquoi le sujet revient sur la table : outre la rhétorique insistant sur l’agressivité et l’offensive – rhétorique d’ailleurs compensée par les déclarations du conseiller cybersécurité au National Security Council et du directeur national cyber –, il faut insister sur la perception de la menace grandissante que représentent les hackers chinois, présentés comme de plus en plus persistants et dangereux (Volt Typhoon et Salt Typhoon) ainsi que sur les interrogations relatives à la ressource humaine cyber. Dans cette perspective, les acteurs traditionnels semblent impuissants ou sous – dimensionnés. En second lieu, ces réflexions s’intègrent dans une tendance marquée à élargir et à fusionner les dimensions de sécurité nationale et de sécurité économique depuis le début du premier mandat Trump. Cette tendance se double depuis son retour d’une volonté de contrer les « ennemis intérieurs » autant que les menaces étrangères. En troisième lieu enfin, qu’il me soit permis de faire entrer ces discussions aux États-Unis sur le hack back et les lettres de marque dans la magistrale interprétation proposée par Arnaud Orain : elles témoignent de la fermeture, voire de la militarisation, des espaces communs – y compris via des acteurs privés – dans le contexte d’un retour au « capitalisme de la finitude » (2).
Notes
(1) Stacy O’Mara, « To Hack Back, or Not Hack Back? That is the Question … or is it? », Center for Cybersecurity Policy and Law, 28 mai 2025.
(2) Arnaud Orain, Le monde confisqué : essai sur le capitalisme de la finitude (XVIe-XXIe siècle), Flammarion, Paris, 2025.
Stéphane Taillat