mardi 28 décembre 2010

L'Allemagne renforce sa lutte informatique défensive...

A son tour, l'Allemagne fait évoluer son organisation de lutte informatique offensive en créant un "Centre National de Défense Électronique". Cette organisation devra répondre notamment aux nouveaux standards de lutte informatique qui devient progressivement une composante majeure de l'activité de l'OTAN.

Ce centre répond également à une constatation simple : la hausse des attaques et la multiplication des détections des tentatives d'intrusions. A noter que les officiels allemands n'hésitent pas à divulguer les origines "chinoises" des attaques.

Sans plus de précisions, on ne peut déduire exactement ce que représente la notion d'origine dans le discours : technique ou en termes de "volonté". Il n'en reste pas moins que l'Asie est réputée abriter un grand nombre de machines vérolées et disponibles comme relais pour des attaques diverses. Ce n'est le seul endroit...

Plutôt bon élève en matière de SSI, il faut également comprendre ce que représente cette innovation. En effet, alors que le domaine internet national français pointe au 18ème rang en matière de nombre de noms de domaine, celui de l'Allemagne est bel et bien le troisième derrière le .com et le .cn (chinois).

Plus rarement cité comme "LE" pays des nouvelles technologies (au contraire des USA, de la Chine, Russie, Corée du Sud, Brésil...), l'Allemagne a toutefois su prendre le virage internet tôt et a maintenu sa place.

Avec plus de 13 millions de noms de domaines enregistrés, il y a ici une indication de l'importance de la protection des réseaux mais également de l'importance de la SSI et de LID.

Source :

http://www.spyworld-actu.com/spip.php?article14304

http://www.bundesregierung.de/nn_774/Content/DE/Mitschrift/Pressekonferenzen/2010/11/2010-11-19-statement-bk-nato-rat-1.html

http://www.domainesinfo.fr/statistiques.php

http://www.novatim.com/newsletters/mai_2010/SIR8.html : pour la répartition géographique des machines infectées

vendredi 24 décembre 2010

.BANQUISE ? et Joyeux Noël

Je ne résiste pas à relayer la plaisanterie de Domaines Infos qui nous informe de la création du .banquise ouvert dés ce soir et évidemment dédié aux fans du Père Noël !

On y trouvera aussi quelques sympathiques clins d'oeil aux principaux "trolls" de la gouvernance : "premier arrivé, premier servi" ou encore les alphabets non latins !!!

J'arrête avec ces quelques plaisanteries et j'en profite pour sacrifier à une forme de tradition que plusieurs blogs ou liste de diffusion ont désormais adopté !

Je tenais donc à souhaiter de très bonnes fêtes et en particulier un Joyeux Noël à mes fidèles lecteurs.

Je les remercie ainsi de leur fidélité et de leurs commentaires, qu'ils soient publiés ou adressés en privé !

Merci à vous et profites-en bien !


Source :

http://www.domainesinfo.fr/actualite/2270/une-exclusivite-indom-l-ouverture-du-banquise.php

mercredi 22 décembre 2010

Fiche de lecture..

Peu à dire aujourd'hui sauf un conseil en matière de lecture : la relecture critique de Bruce Schneier de l'ouvrage "Cyber War: The Next Threat to National Security and What to Do About It".

Comme d'habitude, l'excellence de M. Schneier fait merveille et je suis dans l'ensemble d'accord avec son analyse (si on me le permet hein :) ). Je retiendrai en particulier les propos, du livre et du critique, sur les traités internationaux en matière de contrôle de lutte informatique.

Les auteurs, comme le critique, voient ainsi une très forte nécessité à mettre en place ces traités et négociations. Une des raisons invoquées est de contrôler une course aux armements qui devrait, selon leurs analyses, nécessairement arriver.

Je reste dubitatif sur les capacités réelles d'un traité quelconque à parvenir au contrôle du développement "d'armes" informatiques. D'une part parce que la notion d'arme me parait incomplètement adaptée aux méthodes de lutte informatique mais aussi parce qu'il me semble que les profils des acteurs de la lutte informatique ne relèvent que partiellement d'un contrôle étatique..

Cependant, j'admire la conclusion : à défaut de le faire de suite, il faut en parler, en discuter, analyser, évoluer afin d'avoir une action corrective ou préventive plus adaptée.

Source :


http://www.schneier.com/blog/archives/2010/12/book_review_cyb.html

lundi 20 décembre 2010

Informations en vrac...SpamHaus, Botnet, McConnell...

Quelques extraits de veille qui me paraissent intéressant :

- des chercheurs canadiens ont développé, sur une infrastructure haute-performance, un ensemble d'environ 3000 machines windows XP avant de lancer une infection sur ces machines à l'aide du botnet bien connu, Waledac. Cet effort a pour but de mieux comprendre les principes et méthodes de dissémination et de développer des méthodes d'éradication.

Des chercheurs français et américain notamment participent à ce projet qui parait particulièrement intéressant notamment lorsqu'on connait les problématiques juridique posées par ces botnets. Ainsi, si généralement, l'attaques de serveurs de Command&Control pose moins de soucis car ces machines "appartiennent" de manière plus complète au "botmaster", le cas des machines infectées, appartenant souvent à des particuliers "innocents" n'est pas évident : peut-on les "détruire" pour leur impact sur le système ? Peut-on mettre en cause la responsabilité de ces individus ? Sur quelle base juridique ?

Il est vrai qu'une technologie de "décontamination" à distance représenterait une solution alternative intéressante bien qu'également tendancieuse car elle supposerait de toute façon un accès à la machine qu'on appellerait "piratage" en d'autres temps ! La technologie ne peut donc répondre aux questions d'éthique et de droit à la place de l'humain ...

Source : http://www.technologyreview.com/computing/26938/?p1=A2

- “If you have kinetic war, you’re going to have cyber war…you’re going to have cyber espionage,” said Mike McConnell...

Une citation qui illustre ce que j'ai pu appeler la tendance "faucons du cyber"...Je me permettrais de répondre les choses suivantes :

=> Si une guerre se déclare, il y a aura bien avant des actes de hacktivisme (car les guerres ne se déclarent pas sans un contexte !) et des actes d'espionnage.

=> Il y a déjà des actes d'espionnage y compris entre pays alliés ou n'entretenant pas des relations violentes. Si l'on attend une guerre pour se préoccuper de sécurité informatique ou de SSI, les résultats seront désastreux...

=> Le cyber-espionnage est une bêtise que je pourrais rajouter dans mon lexique. Il s'agit d'espionnage utilisant à la fois le média et les outils les plus adaptés à sa réussite aujourd'hui...l'informatique.

=> Le cyber-espionnage est également une bêtise car aujourd'hui, toutes les pratiques de renseignement mêlent plus étroitement les aspects humains et techniques. Une illustration en est apportée dans une présentation faite cette année au C&ESAR.

- Une information récurrente mais intéressante : la volonté des armées américaines d'utiliser des plate-formes mobiles sur étagères (iphone, androïd) pour gérer des applications et matériels militaires. On apprend ainsi que l'entreprise ayant créé les missiles Patriot aurait également développé des applications, non pas pour lancer les missiles (ouf!) mais par exemple pour localiser ses coreligionnaires sur un champ de bataille....Avec les quelques chiffres récemment révélés sur les failles de ces plate-formes, les risques sont à craindre.


http://mobile.slashdot.org/story/10/12/19/2322237/US-Army-Considers-a-Smartphone-For-Every-Soldier


- Les limites du Hacktivisme ? Les mésaventures de wikileaks et la profusion des miroirs ont évidemment été vu par les communautés criminelles, opportunistes par nature, comme une occasion de générer des miroirs piégés...Fort heureusement, les sentinelles du web veillent et c'est ainsi que SpamHaus a pu alerter les internautes sur la dangerosité de certains mirroirs et domaines apparemment légitimes mais en fait utilisé à des fins malveillantes.

Le résultat a été un spectaculaire DDoS sur le site en question. Dans un message parvenu sur une liste, Steve Linford, un membre du SpamHaus a ainsi affirmé que son site était victime des "AnonOps".

Cet avatar renvoit notamment aux membre de Anonymous qui ont utilisé Internet et des dénis de service pour paralyser des sites (Amazon, Mastercard) qui auraient participé à la "répression" contre Wikileaks...Avec un succès mitigé !

Alors que les actions des Anonymous contre l'Eglise de Scientologie avait suscité à la fois une forme d'adhésion mais également été couronnées d'un certain succès, force est de constater qu'ici, cela relève d'une vaste erreur !

Faudrait-il y voir les limites de l'hacktivisme à la mode Anonymous ? Après tout, l'absence de chefs les conduit à se comporter un masse désorganisée soumise aux fantasmes et décision de chacun sous une vague idée ou un concept général qui justifie l'action...Et la manipulation trouve ici un creuset de choix !

Bref, si les capacités des mode d'action de type "hacktivisme" ne doivent pas être écartés en raison d'une véritable forme de "puissance", il faudra éviter de les considérer à tout coup comme une entité unique et cohérente dotée d'une volonté propre et de là, d'une forme de légitimité...

Casse-tête pour ceux qui devront en déduire un mode d'action et de traitement ou encore la recherche d'un "centre de gravité"....

http://it.slashdot.org/story/10/12/18/1738207/Spamhaus-Under-DDoS-Over-Wikileaksinfo

- C'est pourtant ce qu'a souhaité faire Interpol en créant un portail de déclaration des "cybercrimes" constaté, un peu à l'instar de I3C du FBI américain (Internet Crime & Complaint Center). L'usage permettra de voir le résultat !


http://www.bbc.co.uk/news/uk-politics-12004134

vendredi 17 décembre 2010

Petit lexique à l'usage des lecteurs....

Lors d'une présentation que j'ai eu l'opportunité de faire, en compagnie de collaborateurs avertis, j'ai pu parler des "faucons" du cyber, nom que j'ai donné à la tendance de coller du "cyber" partout et d'avoir un discours particulièrement belliciste et agressif vis-à-vis d'Internet.

Visiblement, je ne suis pas le seul puisque le blog News0ft conseille un test amusant : http://willusingtheprefixcybermakemelooklikeanidiot.com/

Bref, il m'est venu à l'idée d'établir un petit lexique évolutif dans le temps, éventuellement aidé des idées de mes lecteurs et permettant d'établir une forme de base de compréhension des adjonctions cyber que j'utilise.

Je préciserais également si je trouve le terme acceptable ou non en fonction de ce qu'il est censé représenter : un terme peut mal représenter une vraie réalité et donc être acceptable et améliorable mais un terme peut aussi très bien représenter une idée ou un concept saugrenue et donc inacceptable.

Le problème est souvent que personne n'a la même acception de tel ou tel mot. Aussi, je propose de donner éventuellement et d'abord, la mienne puis de la faire évoluer en fonction de vos idées et opinions (éclairées et construites s'entend :)...)

Commençons :

- CYBERESPACE : j'accepte ce terme car intuitivement on conçoit qu'Internet, ses multiples usages et technologies ont forgé une forme d'espace virtuelle dans lequel nous pouvons parfois avoir une ou plusieurs vies différentes qu'elles soient autonomes ou le prolongement d'une vie "réelle"...

- CYBERGUERRE : je n'accepte pas ! "La cyberguerre n'existe pas" disait Howard Schmidt, le cyberczar américain. La définition de la guerre est triple selon ma vision mais elle n'est pas réduite à un domaine virtuel sans lien direct avec la réalité. Je m'explique :

La guerre est un avatar juridique encadré par traités et des coutumes (qui représente en droit international une source valable, réelle et opposée par les instances internationales). Elle provient d'un souhait d'encadrer la violence des états et se définit selon des critères relativement précis.

La guerre est définie...par la réalité. Malgré tout ce que l'on peut dire, l'Afghanistan est pour moi, une guerre. Les ingrédients sont réunis : deux adversaires acharnés bien que de nature très différence, des objectifs politiques que l'on poursuit avec des moyens impliquant de la violence, l'implication directe ou indirecte de plusieurs peuples et malheureusement...des victimes civiles et combattantes.

La guerre, enfin, est un concept sociologique définie par plusieurs stratèges dont, bien sur, Clausewitz.

La cyberguerre n'est pas car : pas de victime, une violence inexistante ou limitée, pas toujours des objectifs politiques etc etc....

-CYBERSECURITE : je n'accepte pas trop non plus. De quoi parle-t-on ? On ne sait même pas. Je lui préfère nettement la notion de sécurité des systèmes d'informations intégrant des notions de sécurité informatique (technique) ou des notions plus organisationnelles voire très humaines comme peuvent prétendre le faire les disciplines de "l'intelligence économique" (encore un concept pas très heureux).

Pour moi, ce terme n'apporte rien en tant quel tel et il me parait inutile car incompréhensible ou réducteur.

-LUTTE INFORMATIQUE (offensive et défensive) : je suis plus proche de ces concepts qui bénéficient d'ailleurs d'une reconnaissance officielle, car ils me paraissent plus proches de la réalité. Il y a une notion de lutte entre deux groupes de hacktivistes pro-nationaux qui défendent leur idée de la nation en défigurant les sites d'un pays tiers ou d'une organisation tierce. Cette notion est présente également lorsque deux pays s'espionnent en usant de tiers de natures diverses et variées.

Bref, on est plus prés de la réalité d'après moi.

-CYBERCRIMINALITE : ce terme est devenu commun et est ambivalent pour moi. On prendra garde à ne pas confondre les entités, groupes et individus, agissant exclusivement grâce à Internet (revendeurs de 0day ou de botnets, de session DDoS...) de ceux qui l'utilisent pour ses facultés d'échange et d'organisation. Le terme peut aussi désigner l'ensemble des activités malveillantes à but lucratif commis sur Internet et grâce à Internet.

Il désigne donc, il est vrai, des formes de criminalité nouvelles par le "lieu" où elles s'appliquent mais pas forcément par la nature...On notera par ailleurs que ce terme est tout à fait impropre à de quelconques désignations ou actions juridiques. Pour cela, on pourra s'appuyer sur les lois Godfrain (notamment) qui ne parlent en aucun cas de cyber mais de STAD : Systèmes de Traitement automatisés de Données ou sur les lois plus classiques réprimant la criminalité.

Il est donc limité dans son usage à quelques contextes particuliers et notamment médiatiques et parfois, éventuellement sociologiques, lorsqu'on considère des groupes cybercriminels à proprement parler...Et encore, rien ne prouve pour le moment l'autonomie réelle de ces groupes criminels vis-à-vis des groupes classiques.

Prudence donc...

-CYBERWARFARE : je suis tangent sur ce terme car si on traduit souvent "warfare" par "art de la guerre", je suis très sceptique sur le point commun entre Impressions Soleil Levant (par exemple) et la violence propre à la guerre.

Quoiqu'il en soit et à défaut d'un meilleur terme en français, celui-ci pourrait représenter l'éventail des méthodes, usages, outils et techniques utilisés par ceux se situant dans un objectif de lutte informatique offensive ou défensive.

- CYBERDEFENSE : lors de la présentation que j'évoquais au début de cet article, nous avons choisi le concept de cyberdéfense comme étant situé un cran au dessus de celui de lutte informatique défensive car il intégrait les notions de résilience des populations notamment vis-à-vis de la subversion.

Cela dit, malgré cela, le terme reste peut-être encore un peu imprécis et je suis preneur de toutes les précisions que vous pourriez y apporter.

-Cyber-délinquance : Inutile. Il ne désigne rien de spécifique si ce n'est éventuellement le transfert de comportement socialement inacceptables sur Internet. Et là, il existe de meilleurs termes sans doute plus utiles pour les actions de correction et de prévention.

-Cybernétique : c'est une vraie discipline d'étude (http://fr.wikipedia.org/wiki/Cybern%C3%A9tique) ancienne et bien ancrée...

-Cyber-attaques : ce terme est pour moi délétère car il est trop médiatique et ne permet pas de comprendre ce qui a pu se passer. Il paralyse donc l'action et la réflexion. D'autres mots sont bien plus clair et descriptifs : attaque informatique dont les diverses formes sont documentés et connues, rumeurs et désinformations...

J'arrête ici ces quelques définitions en espérant que vous puissiez exprimer vos opinions et idées à ce sujet.

mercredi 15 décembre 2010

Avec précaution..Handle with care !

Edit : les infos du jour révèlent que l'audit lancé par les développeurs d'OpenBSD ont révélé deux failles dans les éléments de code associés à IPSec.

Cependant, comme le signale un des principaux collaborateurs du projet, ledit code a connu des modifications diverses au cours du temps. Rappelons que la révélation est intervenue à la fin de la clause de la non-divulgation de développeur à l'origine de l'information, soit 10 ans après !

En conséquence, affirmer que la cause de ces bugs est volontaire est déjà difficile. Faire porter la responsabilité à telle ou telle organisation est également délicat. Tout cela pour dire que, bien que les modifications soient suivies et enregistrées, sur une période de 10 ans, il faut se garder de conclusions hâtives...

En revanche, je pense que cela ne fait que confirmer les quelques leçons que j'ai cru pouvoir tirer de cet exemple : en matière de sécurité, la vérification fait partie des obligations...


================================================================================

Une information, à prendre avec beaucoup de précaution, m'a été donné aujourd'hui par un ami que je remercie. Elle illustre néanmoins quelques principes de sécurité qui paraissent intéressants de rappeler.

Une liste publique d'échange de mail a été le lieu choisi par l'un de ses membres pour révéler une information déroutante. Il s'agit d'une liste à vocation technique utilisée par la communauté technique développant OpenBSD. Il s'agit d'un système d'exploitation de type UNIX, libre, et clairement orienté sécurité. C'est à dire que ses développeurs sont très attentifs à ces questions et à la maitrise la plus aboutie du système.

Selon un de ses contacts, une entreprise, et ses collaborateurs auraient accepté des financements d'instances gouvernementales américaines pour introduire des portes dérobées (backdoors) dans le développement de composants réseau pour ce système d'exploitation. C'est tout de même relativement ennuyeux car le composant en question gère des fonctionnalités de sécurité réseau relativement avancé mais dont on espère beaucoup (IPSec pour ne pas le dire).

Je précise que bien que l'auteur de ces lignes ne déteste pas les aspects techniques, ce n'est pas le but de ce blog. Pour les plus techniques de mes quelques lecteurs, la source de cette article, comme toujours, vous donnera plus de précision.

En ces temps de "wiki-cyber-blabla", ce type d'information est à prendre avec des pincettes. L'information provient d'une source qui en connait une autre etc....J'ai pourtant choisi de diffuser cette information pour deux raisons principales : la prudence de l'auteur du mail ET ses recommandations de sécurité.

En effet, cette information, qu'elle soit vraie ou non, nous rappelle quelques mesures de sécurité particulièrement intéressantes :

1/ La sécurité par l'obscurité profite à la malveillance. Diffuser une telle information en recommandant un audit de code me parait une initiative bienvenue. Bien sur, on ne peut pas ré-auditer tous les codes à la moindre alerte mais la criticité éventuelle de ce composant justifie cet effort car son utilisation induit normalement un niveau de confiance supérieur, donc souvent, des usages de sécurité moins bien encadrés...Ex. : la sécurité des smartphones dont on use comme des PC en les protégeant comme....bref...

Plus généralement, ceci nous rappelle que l'introduction de la sécurité en amont dans un projet et la vérification, ou l'audit, sont des étapes de plus en plus incontournables.

2/ La maitrise des standards est un outil de souveraineté incontestable. Le fait même que cette hypothèse nous paraisse plausible et non tout à fait farfelue le prouve. On sent bien en effet que la possession de tels capacités d'intrusion serait à même d'intéresser tout acteur ayant des actions en termes de sécurité et de défense.

3/ La maitrise des matériels et des technologies est du même acabit. Etre dépendant d'une ou de quelques organisations et de leurs produits est un facteur de moindre maitrise qu'il convient d'évaluer et de faire évoluer !

4/ Quoi qu'on en dise, la sécurité des systèmes d'informations repose sur la notion de confiance et la capacité des systèmes et outils à transférer ces niveaux de confiance. Derrière un pare-feu, je me sens mieux...OU PAS!

Mais qu'importe, cela doit signifier une attention toute particulière sur les produits, techniques et technologies dont le but est d'élever le niveau de sécurité, donc d'élever la confiance car ils constituent, en quelque sorte, des SPOF...Peut-être une idée intéressante pour apprécier différemment les risques.

En conclusion, cette information peut être, ou non, une vraie nouvelle de type "breaking news". Elle reste néanmoins soumis à un impératif de vérification et de preuve. Elle a cependant l'avantage de donner un "petit coup de fouet" à ceux qui peuvent traiter de sécurité :).

Source :

http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

lundi 13 décembre 2010

Chronologie d'une attaque ordinaire...

A force de critiquer, mes quelques lecteurs vont déserter. J'ai donc aujourd'hui choisi de vous raconter une attaque informatique très ordinaire mais qui m'a permis de rire un peu...

Tout commence par un mail reçu dans ma boite aux lettres ! Intitulé "Urgence", celui-ci attire évidemment mon attention...

Envoyé par une personne que je connaissais, celle-ci me disait être dans une situation dramatique de danger immédiat...Détail amusant, la personne a également envoyé ce message à tout un carnet d'adresse dont quelques-uns également féru (voire plus) de sécurité...

A cette lecture, je reste dubitatif car ce n'est pas cohérente (faute d'orthographe, syntaxe très approximative et puis l'urgence par mail...bah, non...ca sent l'arnaque)

Bref, quelques recherches dans la mail non traité me donne une adresse IP d'origine. Subodorant qu'un escroc aura pas fait très attention, je fait quelques recherches et hop, je me retrouve en Côte d'Ivoire. Parvenant au même conclusion, les autres contacts et amis vont même plus loin en avertissant les autorités (CERT ivoirien notamment)...

Que s'est-il passé ?

=> un escroc a piraté une boite mail soit parce que la sécurité du système est basse ou mal configurée (ex. les questions secrètes ou encore le mail de secours avec un mot de passe trivial) soit parce que la machine de la victime a déjà été compromise.

=> celui-ci a écrit a tous les contacts afin d'espérer avoir un retour en utilisant une technique bien connue sous le nom de "fraude nigériane". Des esprits taquins parmi les contacts férus de sécu ont poursuivi le dialogue pour voir et celui-ci permet de voir que la personne finit toujours par demander de l'argent par le moyen le moins sécurité existant (la preuve finale!)

=> il est fort probable que l'escroc, flemmard par nature, utilise une adresse IP correspondant à son pays...Soit par un wifi ouvert, soit par sa propre box, soit un wifi piraté...bref...les présomptions sont fortes que l'attaque vienne bien du pays indiqué. Mais ce n'est pas une certitude suffisante pour en dégager une affirmation définitive !

J'espère que cette petite chronique vous aura amusé...En tout cas, nous sommes désolés pour la victime...

En conclusion : attention au mot de passe ! pensez à la chaine de sécurité de votre mail ! et à la sécurité de votre poste de travail...

Too much Wikileaks...et DNSSEC ?

Oui, j'en ai assez de wikileaks, wikiwars ou je ne sais quoi...On entend plus parler que de cela que ce soit dans la blogosphère, le net ou les journaux télévisés...

Comme si cela était nouveau ? Comme si cela était inattendu ? Comme si on n'avait déjà rien vu venir...

En plus, l'aspect médiatique autorise toutes les dérives, toutes les bêtises et fait oublier certains aspects plus importants.

Je concède que la mobilisation rapide et son intensité aient pu surprendre mais, et je suis désolé, cela n'a rien de nouveau ou d'extraordinaire...

Rien de nouveau : cela arrive fréquemment dans les pays où la liberté d'expression est mise à mal car ce sont les seules outils dont ils disposent pour échanger et se faire entendre. (rappelez-vous l'Iran, la Birmanie...)

Cela arrive aussi tous les jours en parallèle des conflits et des différents points de violence politique identifiables dans le monde.

Rien d'extraordinaire car comme le font remarquer les plus techniques des blogueurs sécurité, il suffit de relire quelques présentations pour constater l'activisme technique et les capacités de certains groupes pour avoir vraiment le frisson.

Et dans tout cela, qui se préoccupera du fait que la zone .net a été signée pour désormais utiliser DNSSEC ?

En effet, le .net est la première zone, par la taille (13 millions de domaines) à être signée et c'est donc une première.

Par ailleurs, ce gTLD est géré par VeriSign, gestionnaire également du .com et de 2 root servers (A et J).

On peut ainsi voir la signature du .net comme un prélude et un test grandeur nature avant la signature du .com et de la racine...A voir hein !

En bref, une évolution notable du système de nommage qui me semble bien plus importante que wikileaks ! (mais bon, c'est encore une opinion...)

Source :

http://gcn.com/articles/2010/12/10/dnssec-.net-domain-signs-on.aspx


Et les sources pour wikileaks me direz-vous ? Bah partout, partout, partout...du mauvais et du moins mauvais...Parfois du bon..mais toujours trop :D

lundi 6 décembre 2010

Stratégie de l'Identité américaine...

Un petit peu de (auto)publicité pour un article co-écrit avec un collègue...Mais chut...

L'article décrit le nouvel écosystème de gestion de l'identité sur Internet tel que proposé par Howard Schmidt, le cyberczar américain. Décliné en plusieurs articles, on y trouve :

- la description de l'environnement et son fonctionnement technique/non-technique

- les avantages/inconvénients

- les bouleversements occasionnés...

Bonne lecture à tous :)

Source :

http://blogs.orange-business.com/securite/2010/12/identite-sur-le-net-une-question-technique-et-politique---chapitre-1-quelles-sont-les-nouveautes.html

http://blogs.orange-business.com/securite/2010/12/identite-sur-le-net-une-question-technique-et-politique---chapitre-2-impacts-et-limites-12.html

dimanche 5 décembre 2010

Où l'on reparle de l'IUT, de la Russie et des traités "cyber"

Je vous conseille la lecture de l'article cité dans les sources qui retrace l'histoire et les racines de l'activisme russe et celui de l'IUT en faveur d'un traité concernant le cyberespace.

J'en retiens quelques points et notamment :

- le "background" de Hamadoun Touré, secrétaire général de l'IUT, ingénieur originaire du Mali et formé...en Russie. Les derniers rendez-vous de l'IUT ont confirmé le souhait très fort d'aboutir pour 2011 à la rédaction d'un tel traité.

- la première résolution proposée à l'ONU par la Russie sur le thème de "information security" date de 1998 ! Elle concernait effectivement la limitation des capacités de subversion d'un pays et en particuliers la capacité des "mots" à être des "armes". On y retrouve ainsi toute la composants si particulière des doctrines de sécurité russe en matière de cyberespace mais également l'approche soutenue par l'IUT de contrôle des armements.

- Un tel accord serait d'ailleurs déjà mis en oeuvre entre les pays de l'Organisation de Coopération de Shanghai dont les membres aurait approuvé un accord proposé par la Russie et définissant la guerre de l'information comme :

“confrontation between two or more states in the information space aimed at . . . undermining political, economic, and social systems [or] mass psychologic [sic] brainwashing to destabilize society and state.”

- A noter : aucune résolution de l'ONU en la matière, et notamment celles proposées par la Russie, ne se restreint au monde cyber. Le mot n'apparait même pas par la suite !

- Les analystes russes aurait déjà avancé que de telles opérations informationelles de déstabilisation conduites par un ou plusieurs pays envers un pays tiers pouvaient être considéré comme une agression au sens de la charte de l'ONU..ce qui, si ce point était accepté, serait susceptible de mettre également en jeu les traités de défense ou de sécurité collective.

- l'article pointe avec justesse les difficultés à appliquer purement et simplement les "lois de la guerre" (ici les convention de Genève et de la Haye ainsi que la charte de l'onu) en raison des difficultés à établir les notions d'attaquants et les limitations à la défense et à la réaction ou encore la protection des civils. Par ailleurs, il saisit justement la question du contrôle des armements impossibles dans ce contexte.

- Par ailleurs, si un tel traité de contrôle des armements voyait le jour, il est fort possible qu'il mette en oeuvre des mécanismes de contrôles associés comme il en existe aujourd'hui plusieurs (AIEA, TCO, FCE...). Cependant, il semble que les USA soient très réticents à cet exercice car ils auraient tendance à penser qu'ils seraient les seuls à appliquer de telles limitations. A noter d'ailleurs que la résolution russe proposée à l'ONU en 2008 sur de telles limitations a été refusé uniquement par les USA.

- Le rôle de la gouvernance et de l'ICANN est en particulier très discuté et remis en cause par l'ensemble des acteurs. Ainsi, l'ICANN n'est pas reconnue par l'UIT en tant que telle et n'est pas invitée aux rencontres de l'organisation internationale. J'ai déjà évoqué l'histoire de la gouvernance qui a donné à l'ICANN des pouvoirs que l'UIT souhaitait détenir. Il faut savoir que le Président Clinton, dont les relations avec l'ONU, étaient notoirement mauvaises, est à l'origine du système ICANN (indirectement) et le rejet de l'UIT considéré comme affligé de tous les défauts de l'ONU...

C'est tout de même un jeu dangereux que joue ici l'UIT. En insistant sur la souveraineté des Etats sur Internet et leur soi-disant légitime interventionnisme en la matière, elle attire, par son discours, des pays à tendance autoritaire notamment. Cela ne sera certainement pas forcément au bénéfice des populations qui n'adhéreront pas plus, dans l'avenir, à un système qui aura notoirement mis en danger leurs libertés...

Un excellent article, à mon sens, d'un observateur avisé et renseigné du domaine qui épargne les aspects techniques sans cependant tomber dans l'erreur. Un must :) !

Source :

http://www.worldaffairsjournal.org/articles/2010-NovDec/full-Gjelten-ND-2010.html

vendredi 3 décembre 2010

De l'hacktivisme à la minute pour Wikileaks !

Rarement j'aurais réagi si rapidement à l'actualité mais j'avoue que celle-ci vaut le détour !

Pour ceux qui ne suivent pas de très prés l'actualité, il se trouve que Wikileaks a de gros soucis en ce moment. Comme le montre, un récent article du Figaro, celui-ci a vu son nom de domaine (wikileaks.org) disparaitre puis soi-disant revenir. Cela dit, ma machine ne fait pas les résolutions donc je doute encore un peu..

Les pressions politiques augmentent comme le montre le même article du Figaro qui nous affirme ainsi qu'Amazon aurait proprement "viré" le mauvais coucheur. Celui serait désormais hébergé (entre autres) en France, chez OVS. Celui-ci, suite à une réaction pas très maligne mais bien sentie de Eric Besson (cf. le Figaro encore), a décidé de communiquer et de se protéger un peu, ce que cet hébergeur fait avec raison et à priori sans parti pris.

Cela dit, Wikileaks rencontre tout de même se sérieux problèmes de noms de domaines et de DNS (quoique j'arrive à résoudre le .ch) et ainsi une initiative originale est née, relayée notamment sur twitter.

Pour les fans du geek-world, on peut ainsi observer des détenteurs de noms de domaine créant des sous-domaines nouveaux pointant sur wikileaks. Ainsi, je pourrais créer le domaine wikileaks.cidris.fr pour aller sur les adresses IP des sites hébergées en France (par OVH) et en Suède.

Edit: Il semble qu'il y ait également de nombreux miroirs également. J'ai fait quelques tests et il semble qu'il y ait une portion de noms de domaines alternatifs mais également de véritables miroirs...A suivre !

Et évidemment, on peut s'amuser à y voir la prédiction de Peter Sunde sur le DNS en pair-à-pair se réaliser !

Je trouve qu'il y a beaucoup d'humeur, un brin d'anarchisme mais également beaucoup d'hacktivisme "pacifique" dans ces actions de particuliers qui s'opposent ainsi alors que plusieurs gouvernements et grandes sociétés fait tout pour faire disparaitre le site...La preuve que le contrôle du Net reste encore relativement complexe à moins de basculer dans le totalitarisme...

Source : Pas de source ici, je ne suis pas google, je ne fais pas du pub ou de relais car je ne souhaite pas prendre parti. Twitter est ouvert à tous :)

Information Assurance Range

Il y a quelques mois, ce blog se faisait l'écho des quelques informations disponibles sur le National Cyber Range, un outil de simulation suffisamment puissant pour tenter de mener de véritables opérations de lutte informatique à grande échelle.

Nous apprenons aujourd'hui que le Départment de la Défense américain (DoD) s'est octroyé une forme de "bac à sable" dénommé Information Assurance Range. Même si celui-ci n'est pas directement rattaché au précédent, il en possède, à priori, à une échelle moindre, les capacités essentielles.

Retenons qu'en effet, le National Cyber Range est développé par l'agence de recherche DARPA tandis que l'IAR appartient au DoD.

Sa fonction, d'après l'article, serait d'émuler un environnement comparable au Global Information Grid, le futur ensemble de systèmes d'informations et de communications du DoD. Il servirait ainsi à entraîner les équipes du DoD, programmer des exercices de lutte et de sécurité informatique entre les différentes agences du gouvernement américain.

Un élément intéressant dans l'arsenal d'un planificateur de la cyber-défense :D !

Pour conclure et faire le lien avec des posts précédents : il devrait être capable d'utilisation IPv6 dés 2011 !

Source :

http://gcn.com/Articles/2010/12/01/DOD-Launches-Cyber-Test-Range.aspx?Page=1

jeudi 2 décembre 2010

Communiqués de presse

Aujourd'hui, point d'analyse, je me borne à relayer deux informations très intéressantes émanant de l'ANSSI dont le rôle en matière de cyberdéfense à proprement parler s'affirme.

1/ L'EIC (Centre Informatique Estonien) et l'ANSSI ont signé un accord de coopération en matière de cyberdéfense. Cet accord formalise surtout des éléments de partage d'informations et de connaissance.

Pour ceux qui auraient vécu dans une caverne depuis 5 ans, rappelons que l'Estonie a été un des rares pays à subir des attaques informations produisant des effets notables au sein de la société et des organisations. Elle accueille depuis une centre de formation et de partage d'information de l'OTAN en matière de cyberdéfense, à Tallyn la capitale, le CCD COE.

L'Estonie est également un pays particulièrement "connecté", c'est à dire que les aspects les plus officiels de la vie des citoyens peuvent être réalisés sur le NET.

Très intéressant donc !

2/ L'ANSSI a participé à la réalisation de l'exercice de lutte informatique organisé par l'OTAN : Cyber Coalition 2010.

Le point notable à mon sens : le scénario. Celui-ci met en avant des opérations militaires menées par la coalition dans des territoires présentant des acteurs et des affrontements de types "asymétriques". Ceux-ci opèrent des actions de lutte informatique pour perturber les opérations menées par l'OTAN.

J'avoue apprécier beaucoup ce scénario en raison du continuum ainsi crée entre opérations militaires réelles et virtuelles.

Source :


http://www.ssi.gouv.fr/site_article267.html


http://www.ssi.gouv.fr/site_article269.html

mercredi 1 décembre 2010

RIP IPv4...vive Huawei !

Partisan d'une observation attentive de la gouvernance internet, l'auteur des lignes pense que se niche dans ces processus et organisations des éléments déterminants pour l'avenir de l'Internet (certes..) mais également de la cyber-défense.

Je tiens ainsi à signaler deux évènements notables :

- l'attribution récente de 4 "slash 8" ou encore /8 par l'ICANN a rendu l'espace d'adressage un peu plus restreint.

Rappelons les principes de la construction d'une adresse IP avant d'analyser l'information. Une adresse IP est une adresse attribuée à une machine dans un réseau. Contrairement à ce que l'on croit, l'adresse n'est ni stable ni même forcément unique dans le temps et par machine.

Une adresse IP, c'est ça : 54.87.56.76 par exemple. Elle est codée sur 32 bits, soit 4 octets (un octet = 8 bits). Un bit est une "quantité élémentaire d'information" dont la valeur est 1 ou 0...Facile jusque-là !

Considérons que nous pouvons maintenant écrire une telle adresse sur 32 chiffres différents dont la valeur est 1 ou 0 (et oui, l'informatique c'est binaire). Néanmoins, la répartition ainsi faite des octets a une importante non négligeable car elle entre notamment dans l'identification du réseau auquel appartient la machine.

En bref, si l'on regarde un peu plus prés, on peut ainsi s'apercevoir que ces groupes de 4 octets sont en fait des groupes de 4x8 bits (vous me suivez :D). Pour désigner un ensemble d'adresse, on va prendre une notion de dénominateur commun. Ainsi, parler d'un "/8" revient à parler de toutes les adresses dont le premier octet est commun.

Si les deux premier octet sont communs, on parlera de /16 puis de /24 et enfin, un /32 représente en fait une unique adresse...

Ex. 67.0.0.0/8 fait référence à toutes les adresses IP commençant par 67...

Autre point important, vu que l'on code sur 32 bits variant entre 0 et 1, nous avons donc 2^32 ou encore "2 puissance 32" possibilités, soit un peu plus de 4 milliards. Chacun des 4 octets (entre les points) vaut donc 8 bits, ce qui représente donc 2^8 adresses ou 256 possibilités.

Autrement dit, aucun des quatre composantes ne peut aller au-delà de 255 (dont le 0)...Il y a donc 256 "/8".

Aujourd'hui, l'ICANN vient de distribuer 4 /8. Il reste en tout 7 /8 mais en pratique uniquement 2 car en vertu d'un protocole d'accord, une fois ces deux /8 distribués, les 5 restants seront attribués aux entités de distribution locale.

Cet indice supplémentaire du rétrécissement de l'espace d'adressage doit quelque peu nous alerter car même si des solutions palliatives existent, elles apportent également leur lot de problème. Une vraie solution pourrait résider dans la version suivante du protocole IPv6, qui n'est que partiellement déployée et utilisée...Peut-être le sentiment d'urgence changera-t-il tout cela car l'on pourrait sinon craindre des phénomènes de "lutte" pour l'obtention et l'utilisation d'adresses IP. A ce sujet, il a déjà été avancé la possibilité de "marché noir".


- Second point : l'arrivée de Huawei parmi les partenaires et sponsors d'importance de l'ISOC Monde.

Ce point est notable pour plusieurs raisons à mon sens. Tout d'abord car il met en avant un certain manque de représentation dans le monde des infrastructures informatiques des entreprises françaises. On compte tout de même Alcatel-Lucent à un niveau équivalent à l'ISOC.

Cependant si Huawei est un vrai concurrent de Cisco, il m'est plus difficile d'appréhender la vraie position d'Alcatel-Lucent vis-à-vis de ces géants.

Enfin, être un partenaire n'est pas tout : il faut participer et innover. En la matière, il semble que les auteurs des RFC soient majoritairement liées à des entreprises connues et actives en matière d'influence technologique et donc politique. Ce point mériterait d'être complétement contrôlé mais il semble faire l'unanimité parmi les participants réguliers au processus d'innovation et de standardisation.

En effet, l'ISOC encadre le déroulement et le fonctionnement de l'IETF qui constitue un des organismes de standardisation du web. Être à la source de développements des futurs standards et être un partenaire d'importance peut donc constituer un facteur d'influence pour un industriel dont on soupçonne fortement les liens avec le monde politique de son pays d'origine...

Comme Cisco, quasi-monopole en son temps apportait des doutes et des craintes sur notre capacité à assurer notre souveraineté technologique, les démarches de Huawei peuvent également être interprétés comme une stratégie d'influence. Ceci pourrait se comprendre alors que la Chine semble avoir un dilemme à résoudre entre : sa volonté de maitrise et de contrôle, sa volonté d'attirer industriels et entreprises mais également sa volonté de regagner des réelles capacités au sein de la gouvernance Internet.

Je crois fermement que les processus et organisations de la gouvernance internet reflètent voire créent des réalités géopolitiques qui pourraient constituer de véritables défis dans les années à venir. J'espère vous en avoir convaincu.

Source :

http://tech.slashdot.org/story/10/11/30/2351245/Free-IPv4-Pool-Now-Down-To-Sevennobr-wbrnobr8s


http://isoc.org/wp/newsletter/?m=201011

http://www.isoc.org/orgs/members.php