mardi 31 août 2010

Cyberdissuasion à la mode Pentagone !

Avec un peu de retard, je m'attaque à l'analyse des propos tenus par le sous-secrétaire à la défense, William J. Lynn III, dans un article paru dans le journal spécialisé Foreign Affairs.

N'ayant pas lu l'intégralité de l'article, je me base sur ce qui est rapporté par les autres analystes. Malheureusement, le matériau n'est pas de première fraicheur mais on s'en contentera.

La démarche de communication du sous-secrétaire va de pair avec la conception et la mise au point d'une "stratégie" concernant exclusivement le cyberespace. Autrement dit, une forme de Livre Blanc de la "Cybersécurité" Nationale.

Quoi de neuf ici ?

Tout d'abord, une révélation assez surprenante sur laquelle on ne s'étendra pas : l'infection virale de 2008 et les fuites d'informations connexes. Selon les propos tenus par le sous-secrétaire à la Défense, la cause première est à relier à une clé USB infectée et aux efforts d'un service étranger de renseignement.

Cela renforce effectivement les tenants d'une sécurité du Poste de Travail plus drastique, oblitérant l'usage des périphériques et médias amovibles, justifiée par des conditions de travail particulières comme on en rencontre dans les milieux de la défense.

Cela laisse également songeur sur le niveau réel de protection des réseaux et administrations américaines alors que la sécurité et la défense sont parmi les points d'intérêts majeurs des Etats-Unis.

Autre point nouveau, l'approche résolument "offensive". L'approche du cyberespace reste très "paranoïaque" et décrit Internet presque comme "l'air que l'on respire" en même temps qu'un nouvel espace d'affrontement quasi-territorialisé aux côtés de la Mer, de l'Air, de l'Espace et de la Terre.

Cela permet ainsi d'avoir une approche relativement agressive et Lynn affirme ainsi que le Cyber Command et les différentes entités chargées de la cybersécurité ont développé différentes capacités d'interventions "violentes" dans le domaine. Il est donc aujourd'hui avéré que ces entités ont, ou auront rapidement, un réel pouvoir d'action offensif dans le cyberespace même si la préoccupation des effets collatéraux, notamment sur le commerce et la vie économique, reste une problématique majeure.


Ce qui n'est pas nouveau


=> la territorialisation du cyberespace comme ce blog l'a régulièrement signalé. Pour ma part, je doute un peu de cette doctrine mais l'avenir sera sans doute le meilleur arbitre.

=> l'approche globale renforçant le partenariat public-privé et l'intégration de l'industriel et du concepteur dans une approche "défense civile". On peut ici regretter que la vision française paraisse encore (pour ce que je peux en voir) encore trop basée sur une relation client-industriel. L'industriel restant dans son paradigme traditionnel de gains économiques et l'armée en positionnement de client, la défense globale ne bénéficie pas forcément de cette approche.

Ainsi, par exemple, la domination de Windows ou le manque d'intérêt pour la diversité logiciels et/ou l'interopérabilité "par le haut" ne paraissent pas forcément trouver des échos favorables. Seul la Gendarmerie ou le Parlement dispose pour le moment de solutions intégrées basées sur le logiciel libre...

Quelques doutes qui sont les miens et une vision uniquement basée sur de l'information publique. A relativiser donc !

Ce qui est contestable

Pour conclure sur l'approche de cette stratégie, on retiendra l'exemple de la dissuasion à la sauce "cyber".

De nombreux articles et essais ont tenté d'adapter le concept à Internet et au "cyberespace" afin de bénéficier de ses effets négatifs : baisse du niveau de conflictualité, très forte baisse du risque de confrontation globale, maintien d'un équilibre des forces...

De même, de très nombreux articles et mes propres analyses ont tenté de montrer en quoi cette tentative pouvait être illogique. L'impossibilité d'identifier l'attaquant, les risques de dégâts collatéraux ou encore, plus théoriquement, le manque de solidité de la notion "d'armes numériques" ont abouti à réfuter la théorie.

Le modèle américain est bâti autour de ce que j'appelle la théorie du "bastion": construire un ou des systèmes suffisamment résiliant, cadenassés, résistants et si bien protégés que cela dissuadera l'attaquant d'attaquer.

Je n'y crois pas pour 3 raisons principales :

=> Un tel système conduirait inexorablement à laisser de côté toutes les qualités d'ouverture et d'inter-opérabilité propre à Internet. Les communications deviendraient plus difficiles, l'innovation baisserait...On en reviendrait à une forme de Minitel (cf. l'analyse de M. Bortzmeyer sur la problématique BGP).

=> Alors que 80% des accidents de sécurité ont pour cause une défaillance interne, il faudrait donc avoir un système se protégeant de ses propres utilisateurs en permanence ou alors réformer l'utilisateur...L'exemple de la clé USB est ici très intéressant car ladite clé a été remise à un collaborateur interne qui l'a introduite sur le système : le coût de l'opération pour le service de renseignement externe est tellement bas que le système de dissuasion proposé et associé à cet exemple précis reste, à mon sens, rédhibitoire.

=> Aujourd'hui, le cybercriminel ou l'attaquant a : le temps, les ressources et l'impunité. Par définition, aucun système n'est infaillible : le code n'est que rarement sécurisé et parfaitement propre, par exemple, et la faille interne reste un "must".

Autrement dit, l'attaquant détient encore l'avantage et le conserve dans un système dit "de bastion" : ce système de dissuasion est déjà obsolète !

Ceci étant dit, un vrai système de dissuasion serait pour moi de modifier, justement, les conditions d'exercice de l'attaquant : amoindrir sa capacité à obtenir de l'argent en limitant le nombre de cibles potentielles, avoir des capacités de réaction et d'anticipation de grande envergure limitant ses "fenêtres d'action", partager l'information pour diminuer ses capacités à demeurer impunies...

Autrement dit, un système moins militaire mais plus orienté sur le renseignement et les activités internationales de police...

Quelques mots donc, sur cette "nouvelle" stratégique du Pentagone à propos du cyberespace !

Source :

http://www.washingtonpost.com/wp-dyn/content/article/2010/08/25/AR2010082505962.html

jeudi 26 août 2010

The Killing argument ou comment un Trojan peut tuer !

Fréquemment, en matière de sécurité informatique, on oppose l'argument de l'inocuité : un problème informatique ne peut pas tuer mais juste causer des dommages, plus ou moins importants, à l'organisation victime.

Plusieurs rapports ou experts ont cependant déjà alerté sur la capacité future des virus et autres malwares à attenter à la vie d'humains dépendants de systèmes basés sur l'informatique. A tel point que cette frontière paraissait déterminer un "niveau" de préoccupation ou encore un intérêt vis-à-vis de la protection de ses systèmes informatiques.

Cependant, s'il doit exister quelques cas de décés imputables plus ou moins directement à des malwares, ceux-ci n'ont pas forcément fait l'objet d'une publicité démesurée, pour des raisons de discrétion mais également en raison de l'impact "limité".

Limité, car en effet, la publication récente du rapport d'expertise portant sur le crash d'un avion de la Spanair en 2008 qui avait fait 154 morts pointe du doigt la responsabilité d'un malware.

Plus précisément, ledit malware aurait infecté un système central, appartenant à la compagnie, chargé de la gestion des alertes de sécurité renvoyés par les équipements de l'avion. Les alertes, non relayées à cause de la défaillance du système, n'ont pu donc être réparées et l'accumulation de problèmes a causé le crash.

Le rapport révèle cependant que la défaillance ne serait pas uniquement imputable au malware. Il révèle aussi que l'infection a pu se propager notamment à cause de l'utilisation de clés USB ou encore de VPN ouverts sur des ordinateurs dont la sécurité était bien moindre que le niveau de confiance auquel ils pouvaient accéder.

Comme nous le faisions remarquer précédemment, cette information fait entrer la notion de sécurité informatique dans une autre sphère, celle de la protection de la vie humaine. Même s'il est possible que des malwares ait déjà pu être cause de décés comme nous le disions, le nombre est ici trop important pour rester ignoré. De plus, la capacité d'un malware à passer outre un modèle de sécurité (celui de l'aviation civile) qui a su élever ce moyen de transport au plus haut niveau de sécurité et de protection, est préoccupante.

Il reste désolant de constater, à la fois, que les oiseaux de mauvaise augure avaient finalement pas tout à fait tort et qu'il faille attendre un tel désastre pour avoir un impact sur les consciences.

Source :

http://isc.sans.edu/diary.html?storyid=9433&rss

http://www.msnbc.msn.com/id/38790670/ns/technology_and_science-security/?gt1=43001

mercredi 25 août 2010

Groupes de hackers indo-pakistanais

A l'occasion d'un article sur l'hacktivisme déployé par divers groupes indiens et pakistanais, il nous est donné la possibilité de découvrir quelques uns de ces groupes.

Il est un fait avéré : l'Inde et le Pakistan entretiennent des relations très tendues et plusieurs guerres émaillent leur histoire commune. Détenteurs de l'arme nucléaire, la dissuasion joue à plein mais n'empêche pas de nombreux exutoires à une violence contenue.

L'un de ses exutoires est notamment le hacktivisme et une lutte acharnée par défaçage de sites webs et autres intrusions informatiques. Cet article est donc l'occasion de recueillir des informations intéressantes sur les groupes les plus véhéments et les plus connus.

Côté Pakistanais :

-Pak Cyber Army
-PakHaxors
-G-Force
-Anti-India Crew (AIC)

Côté Indien :

-ICW (Indian Cyber warriors)
-ICA (Indian Cyber Army)
-HMG (Hindu Militant Group)
-Indishell

A conserver donc car il est probable que ces groupes puissent faire l'actualité par la suite.

Source :
http://www.mid-day.com/specials/2010/aug/220810-pakistani-hackers-trojan-virus.htm

lundi 2 août 2010

Leçons d'un discours...

A l'occasion de la Black Hat 2010, célèbre conférence de sécurité informatique se tenant chaque année à Las Vegas, le Général Michael HAYDEN, ancien directeur de la CIA et de la NSA est intervenu sur les questions de lutte informatique et de cyberconflits.

S'il reste vrai que les USA sont les champions d'une forme d'ouverture et de publication accompagnée de la culture idoine, certains domaines restent largement couverts par le secret, n'en déplaise à Wikileaks. La NSA ou les missions du CYBERCOMMAND en font partie.

Le Général HAYDEN a donc tenu un discours intéressant parcourant l'étendue des problématiques stratégiques et de défense concernant la lutte informatique et le cyberespace.

3 points me paraissent à retenir :

=> la définition du cyberespace dans une perspective de défense. Prenant acte de l'identification du cyberespace comme un espace de lutte et de conflits, le Général fait remarquer qu'en la matière, cet espace a été créé par les hommes et non par Dieu. En la matière, ceux-ci ont relativement "mal travaillé" puisque ce terrain est bien plus propice aux attaques qu'à la défense. Pas de montages, de fleuves ou d'inconvénients stratégiques divers et variés.

=> La définition et les conséquences d'une stratégie de défense pour le cyberespace. Le Général HAYDEN faisait ainsi remarquer le manque de maturité dans la compréhension du cyberespace et des mécanismes d'affrontement et arguait le manque de clarté sur les règles d'engagement. On rappellera ainsi que le Général Alexander (le patron de l'USCYBERCOM) n'a pas répondu directement à cette question, placée sous le sceau de la confidentialité.

Il affirme, à cet égard, que 90% des efforts de réflexion et de conception de la NSA serait tournés vers l'attaque et non la défense, ce qui laisse songeur, pour le moins.

=> Enfin, il apporte sa contribution au débat concernant la cyberguerre en se plaçant du côté des modérés. Il rappelle ainsi que les vols d'informations ne sont en aucun cas qualificatifs d'une quelconque cyberguerre et relie cela au manque de vision des USA sur la questions des actes militaires dans le cyberespace (opérations, défense, attaque, conflits...).

Il conclue sur ce point en réaffirmant que l'espionnage est continuel entre Etats, qu'il soit physique ou qu'il profite des opportunités offertes par l'informatique. De cet état de fait résulte les continuels "attaques informatiques" sur les systèmes américains, agrégées dans des chiffres ahurissants que la presse relaie régulièrement.

On se souviendra d'ailleurs que ces mêmes publications de chiffres ne disent que très rarement en quoi consiste les "attaques" enregistrées. S'agit-il de simple "scan" de port un peu agressif ? de tentatives d'exploitations de failles ? de tout et du reste ?

Quoi qu'il en soit, le discours du Général HAYDEN révèle une approche tierce intéressante, équilibrée et qui prend résolument le contre-pied du courant "cyber". Cependant, cette vision conserve un tropisme militaire résolu qui lui fait souhaite des règles d'engagement précises et la transposition d'un "monde" militaire dans le cyberespace.

Or, rien ne dit que cette transposition est réellement possible et efficace, ni si une forme de militarisation du cyberespace est souhaitable.

Source :

http://www.darkreading.com/security/cybercrime/showArticle.jhtml



http://fcw.com/articles/2010/07/30/black-hat-michael-hayden-cyberwar.aspx

http://news.cnet.com/military-tech/8300-13639_3-42.html?keyword=Cyber+Command