lundi 28 février 2011

Cybersecurity and Internet Freedom Act of 2011

Nouvelle loi pour les Etats-Unis destinée à protéger le cyberespace et les systèmes d'informations américains. On se souviendra que l'année dernière, des sénateurs avaient proposé un projet de loi portant peu ou prou sur les mêmes sujets. Cette loi-ci n'en est qu'un nouvel avatar et elle n'est d'ailleurs pas encore votée !

D'ailleurs, ce sont peu ou prou les mêmes élus qui ont déposé ledit projet : Joe Lieberman,, Susan Collins, Tom Carper. Celui-ci comporte tout de même quelques éléments nouveaux et intéressants.

Peut-vous rappellerez-vous qu'à l'occasion de la sortie du précédent "act", un certain débat s'était engagé sur la capacité prétendument octroyée au Président des Etats-Unis de procéder à des actes unilatéraux sur les réseaux, autrement dit, en couper certains. On parlait alors de "Kill Switch".

J'avais déjà signalé dans ce blog que la notion de kill switch était déjà probablement contenue dans d'autres lois américains créés bien avant. Toutefois, la nouveauté ici est que les évènements égyptiens se sont déroulés...Or, l'équilibre entre la sécurité et la liberté est très délicat aux Etats-Unis puisque, selon les moments, l'un ou l'autre prédomine. Le fait, pour un pays, de couper l'accès à Internet des ses habitants a été ressenti comme contraire aux traditions libérales des USA.

Pour le reste, il y a assez peu de changements : nomination d'un "RSSI" dans chaque agence fédérale, mise en place d'un coordinateur sécurité au sein du DHS (un autre "cyberczar"..) et création d'un pan de l'organisation du DHS dédiée à ces questions (
National Center for Cybersecurity and Communications).

Si l'on s'intéresse de près aux pouvoirs du Président en cas de crise grave, on peut trouver :

  • The President can only declare a national cyber emergency when actual or imminent cyber attack would cause catastrophic consequences.
Des conséquences dramatiques seules justifient la déclaration d'un Etat d'urgence "cyber"...
  • Any measures ordered by the President must be "the least disruptive means feasible."
Les mesures se limiteront au strict nécessaire.
  • The President could only declare a cyber emergency for 30-day period and only for up to 120 days. After that, Congress would be required to specifically authorize further measures.
Un peu comme ailleurs, l'état d'urgence est maintenue 30 jours et jusqu'à 120 (4 mois !) puis le Congrès doit en valider la continuité.
  • A system or asset cannot be designated as covered critical infrastructure based solely on activities protected by the First Amendment to the United States Constitution.
Le système de déclaration d'infrastructures critiques doit être ré-évalué et ne plus être basé sur le 1er Amendement (qui contient notamment la liberté d'expression...).
  • The bill provides for an administrative process for an owner or operator to challenge the designation of a system or asset as covered critical infrastructure and expressly permits challenges of a final agency determination in federal court.
Un opérateur gérant une activité désignée comme critique peut mettre en cause cette qualification devant la justice (car elle entraine des frais et une logique de contrôle et de protection complexe très certainement).

Au final, et comme le dit le Sen. Liebermann, cette loi a pour but de mieux protéger le cyberespace et les infrastructures critiques. Le "Kill Switch" est oublié, non seulement de fait, mais également car il polarisait le débat autour d'une question mal posée. On n'est pas ici sans sentir l'influence probable d'un lobbying forcené. Concluons prudemment en disant que les éléments en présence ne permettent pas d'établir la liste effective des actions que peut prendre le Président en cas de "cyber crise"...

Tiens, d'ailleurs...qu'est-ce qu'une "cyber crise" ? La réponse n'est pas forcément dans ce texte de loi.

Source :

http://www.pcmag.com/article2/0,2817,2380680,00.asp

http://blogs.govinfosecurity.com/posts.php?postID=893


http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=229219377

mercredi 23 février 2011

National Cyber Security Strategy...pour la Hollande.

A son tour donc, les Pays-Bas dévoilent leur stratégie de Cyber Sécurité dans un document court mais intéressant. Il est notoire que les documents de stratégie finissent par se ressembler et celui-ci ne fait pas exception à la règle puisqu’il commence par établir la liste des raisons qui poussent le pays à développer de telles capacités :

=> Le caractère désormais incontournable des ICT. A noter que le document ne fait pas un usage extensif du terme « cyberespace » et lui préfère la notion, presque désuète, de ICT pour Informations & Communications Technologies…So web 1.0 !

Mais peut-être un peu plus « bon sens rassis ». La définition qui en est donnée accréditerait plutôt cette seconde thèse : « ICT is the entirety of digital information, information infrastructures, computers, systems, applications and the interaction between information technology and the physical world regarding which there is communication and information exchange. ». La Hollande leur attribue d’ailleurs environ 50% de la croissance annuelle en Europe et souhaite également devenir un leader dans les sociétés intégrant les ICT.

=> Comme il est d’usage, ce document reconnait également la vulnérabilité des sociétés aux risques induit par une utilisation grandissante de ces technologies. A cet égard, les exemples citées sont Stuxnet et le duo botnet/ver dénommé Bredolab.

En particulier, le second est intéressant car il a vu l’intervention de plusieurs forces de police de différents pays afin de mettre fin à ses activités alors qu’il était contrôlé depuis l’Arménie.

=> On retiendra également une définition de la cyber-sécurité, nouveau terme à la mode : « Cyber security is to be free from danger or damage caused by disruption or fall-out of ICT or abuse of ICT. The danger or the damage due to abuse, disruption or fall-out can be comprised of a limitation of the availability and reliability of the ICT, breach of the confidentiality of information stored in ICT or damage to the integrity of that information. »

J’avoue préférer la vision française qui semble donner à cette donner un contenu de protection des citoyens comme une forme de « sécurité routière » dans le cyberespace.

=> Caractère global : le document reconnait le caractère transnational à la fois des ICT mais également des menaces et des conséquences de la réalisation des risques. Les auteurs reconnaissent ainsi le caractère incertain de la provenance des cyber attaques mais également le fait que les mêmes « armes » servent différents intérêts et acteurs.

A cet égard, il met en avant l’indiscutable besoin de coopération entre pays mais également, il parait s’agir d’un des rares documents à avoir été rédigé directement en coopération avec des acteurs tiers, notamment dans le secteur privé… « This is why the cabinet presents the National Cyber Security Strategy which has been prepared with contributions from a broad range of public and private parties, knowledge institutes and social organisations »

Conséquemment, cette stratégie propose divers moyens de résoudre ces challenges et, une fois, encore, les points abordés en premier sont surprenants :

- Renforcer la coopération entre les initiatives de protection et de sécurité par, pour et sur Internet

- Établir un modèle pour le partenariat public-privé

- Responsabilité individuelle : cette notion est fondamentale. Toutes les autres stratégies parlent de protéger la société et les individus mais peu reconnaissent que l’individu détermine une part indéniable de son propre niveau de sécurité.

- Autre point intéressant : la nécessité de régulation est associée tout d’abord à un objectif d’autorégulation avant l’action législative et la régulation nationale. De plus, les mesures devront être prises avec un le respect d’un principe d’équilibre entre la sécurité et les droits préexistants et notamment les droits dits « fondamentaux ». Ici encore, c’est surprenant mais cela peut s’expliquer très bien par le caractère profondément libéral de ce pays.

- Enfin, le document établit le besoin d’une coopération internationale renforcée avec le développement de l’action de la Convention sur la Cybercriminalité.

Parmi les moyens dont compte se doter le pays :

- Un « Cyber Security Board » associant toutes les parties prenantes : business et secteur public notamment autour d’une même table avec des droits équivalents pour faire avancer les sujets

- Un « National Cyber Security Centre » pour développer et consolider les besoins d’expertise.

- Plusieurs éléments sur la protection des infrastructures vitales, en particulier les télécoms, et des nécessaires modifications législatives et réglementaires

- Préparation et publication d’un National Cyber Crisis Plan associé à la création d’un ICT Response Board (IRB) dont la composition sera mixte.

- Enfin, des efforts sur la lutte contre la cybercriminalité et l’inclusion des aspects cybers dans les missions des agences de lutte contre le terrorisme

En conclusion, cette stratégie reste comme une approche globale, claire et concise, qui écarte les problématiques sémantiques ou conceptuelles au profit d’une approche qui parait très pragmatique. Ce pragmatisme, s’il s’inscrit notamment dans la coopération extensive avec le secteur privé qui serait apte à nous donner quelques leçons (à d’autres aussi…) n’oublie pourtant pas ses valeurs. En effet, pas de sacrifice au profit de la sécurité comme d’autres pays y sont habitués : la préservation des droits civiques et des libertés est autant un enjeu qu’une priorité dans la mise en place d’un écosystème de sécurité…Une « petite » cybestratégie donc mais non des moindres !

Les USA peuvent-ils détruire nos noms de domaine ?

Cette question est souvent abordée dans de nombreuses conférences et l'intervention récente du Président du gNSO à l'ICANN me pousse à écrire ce billet.

Que s'est-il passé ? Le Président du gNSO, Stéphane Van Gelder s'est exprimé sur ces questions suite à de nombreuses "disparitions" de noms de domaine.

Qu'est-ce que le gNSO ? Il s'agit d'une instance de l'ICANN, le principal organisme de régulation du Net en ce qui concerne notamment les noms de domaines et les adresses IP. L'ICANN n'a pas l'autorité pour délivrer tous les noms de domaine car ceux-ci peuvent, par exemple appartenir à un pays, mais elle établit des règles en communs avec les acteurs afin de garantir une uniformité des traitements. Elle possède également des responsabilités dans la gestion de la racine d'Internet et dans la distribution des adresses IP à des agences intermédiaires qui les attribueront aux opérateurs.

Constituée en instances recouvrant des domaines particuliers, l'ICANN traite de nombreux sujets. Parmi ceux-ci, la question des gTLD est prégnante et "appartient" justement au gNSO. Les "gTLD" sont les "Generic Top Level Domain", c'est à dire les domaines de haut niveau n'appartenant pas à un état : .com, .org, .net, .biz, .aero...

Evidemment, il existe un corollaire, les ccTLD dont une partie de la gestion commune est réglée par le ccNSO...Le terme désigne les "Country Code Top Level Domain" ou encore les domaines de haut niveau représentant des pays : .fr, .us, .de, .be....Ce sont, évidemment, les plus nombreux.

Bien que moins nombreux en termes purement quantitatifs, les gTLD présentent deux caractéristiques essentiels : ils n'appartiennent pas à des pays et l'ICANN est dépositaire d'une réelle autorité de délégation à tel ou tel acteur pour leur gestion. Bien évidemment, elle ne peut la posséder pour un pays et son domaine, puisque celui-ci relève de la souveraineté de l'Etat...

Même s'il existe moins de gTLD, 18 contre environ 200 pour les ccTLD, les gTLD accueillent les "poids lourds" du système comme le .com.

Notons d'ailleurs plusieurs points intéressants :

- les USA sont les seuls à détenir des gTLD dédiés en plus de leur domaine-pays: le .mil pour les organisations militaires et le .gov pour ses administrations...

- l'ICANN n'est plus, depuis 2009, officiellement soumise à une tutelle du gouvernement américain.

- le .com est géré par une entreprise américaine, Verisign, qui gère également le .net et surtout, cerise sur le gâteau, possède la gestion opérationnelle du A-root, le premier des root-serveurs. Pour une présentation de la structure logique, technique et organisationnelle du DNS, je vous renvoie au site de l'AFNIC et à mon mémoire de M1.

- la gestion de la racine est toujours officiellement dévolue par le gouvernement des Etats-Unis à un opérateur et non pas par l'ICANN. L'ICANN fournit officiellement les informations à modifier au sein de la racine.

Qu'est-ce qu'il est reproché aux Etats-Unis ? De "faire disparaitre" certains noms de domaines !

En effet, et on comprend que cela vienne du gNSO, les Etats-Unis interviennent notamment sur les domaines génériques et particulièrement sur le .com pour détruire certains noms de domaines pointant sur des sites qu'ils jugent illégitimes et litigieux.

M. Van Gelder leur reproche notamment cet interventionnisme qui montre qu'il existe tout de même un fort contrôle des USA sur certaines "portions" du Net. Les formes de pressions usitées, l'activisme poussant à forcer l'ICANN à procéder à de telles demandes et au final, le contournement des règles constituent des atteintes réelles à la neutralité du net et à l'objet de la gouvernance Internet.

Cela ne préjuge pas évidemment de réelles raisons de faire disparaitre ces noms de domaines mais la manière reste très certainement litigieuse voire inquiétante.

Quelques remarques maintenant :

=> Faire disparaître un nom de domaine est insuffisant pour rendre un site inaccessible. Tant que celui-ci reste présent sur le réseau, il est atteignable et il peut même avoir des noms de domaines " de secours". C'est une partie de ce qui s'est passé pour Wikileaks, sans effets notables puisque on pouvait alors créer des noms de domaines alternatifs facilement en les faisant pointer vers le site en question (comme si je créais wikileaks.cidris.Fr)...

=> les USA n'interviennent pas pour le moment sur l'ensemble des gTLD...Et surtout, ils ne pourraient pas intervenir sur les ccTLD puisque ceux-ci relèvent pour la plupart d'un pan de la souveraineté nationale et qu'ils possèdent généralement leur propre DNS et leur maitrise de leur espace de nommage. Si ce n'est pas le cas, que la maitrise est incomplète par exemple, on pourrait s'attendre à un interventionnisme..

=> Il resterait bien un moyen, celui d'intervenir directement sur la racine...Mais, non seulement, l'effet ne serait pas immédiat et, plus encore, cela relèverait d'une acte diplomatique d'une gravité majeure...Enfin, ce serait utiliser un canon pour abattre une mouche !

=> Il est normal, logique et bienvenu qu'un pays puisse intervenir sur son espace d'adressage pour faire disparaitre des noms de domaines contraires à ses lois et règlements...Il n'est pas légitime qu'un autre acteur qu'un officiel puisse utiliser le sous-domaine "gouv.fr" par exemple.

Pour conclure et répondre à ma question, dans certains cas, les USA peuvent, oui, agir sur les noms de domaines dans certains cas limitatifs. Le cas litigieux est bien celui de l'intervention sur les domaines génériques mais est-ce vraiment étonnant ?

Pour vous protéger, achetez français :D

Source : http://www.spyworld-actu.com/spip.php?article14471

lundi 21 février 2011

Câblages et Développement..

Parfois oubliées lorsqu'on évoque le cyberespace, les infrastructures du Net font parfois de surprenants retour en force dans l'actualité. Parmi elles, les câbles sub-océaniques qui transportent prés de 90% du trafic Internet aujourd'hui sont des plus importantes.

Ces câbles dont j'ai mentionné à plusieurs reprises l'existence et l'importance ont parfois des conséquences, ou entrainent des enjeux, lourds. Ainsi, à titre d'exemple, plusieurs experts africains en télécommunications ont souvent reproché à la Gouvernance Internet à l'IUT, un malheureux état de fait : l'existence d'un câble unique entourant l'Afrique et soumis à un monopole...Bien évidemment, avec à la clé, des coûts conséquents.

N'étant absolument pas un expert des interconnexions sur le territoire africain, j'ai interrogé différents interlocuteurs qui m'ont confirmé cet état de fait. L'article en source participe également à confirmer la véracité de ce propos.

Ma question suivante a été : et les câbles enfouis sous la terre ? La réponse : la richesse représentée par les métaux contenus dans les câbles poussent les populations à les déterrer, les débiter et les revendre.

La conséquence a été notamment un développement des accès par satellites et plus récemment par le mobile. Contrairement à ce que l'on peut parfois croire, le développement mobile n'est absolument pas anodin en Afrique, loin de là. Ne généralisons pas bien évidemment mais il reste un fait : le mobile représente un mode de communication et de paiement non négligeable dans plusieurs pays.

Revenons à nos câbles dont je vous livre un petit aperçu de la répartition :



Toutefois, un renouveau semble apparaître avec le développement des nouvelles interconnexions fait presque craindre une sur-disponibilité en bande passante. Cette plaisanterie n'atténue en rien la réalité : il y a une amélioration des capacités en bande passante pour ce continent comme semble le montrer le schéma suivant :


Doit-on en déduire que c'est la fin de la pauvreté numérique pour l'Afrique ? Pas tout à fait semble-t-il car posséder l'infrastructure physique, c'est bien mais deux points au moins restent sensibles :

- l'acquisition de matériel nécessaires à la connexion chez les individus : les ordinateurs demeurent chers !

- l'existence d'opérateurs disposant des moyens, et proposant des offres raisonnables, pour transmettre les paquets sur ces câbles. En la matière, la "pauvreté" numérique de l'Afrique pose un problème à deux niveaux : 1/ parce qu'il demeure délicat pour elle d'imposer ses opérateurs dans les accords de peering (échanges de transports de données entre opérateurs) pour atteindre le monde entier car les opérateurs ne disposent pas de réseaux de taille importante susceptible d'intéresser de plus gros opérateurs...2/ Parce qu'historiquement, l'Afrique n'accueille que peu de points d'échange Internet qui constitue de réelle difficulté pour échanger du trafic notamment au niveau international.

En conclusion, nous retiendrons que cette évolution demeure bénéfique pour l'Afrique mais qu'elle constitue la première étape d'une démarche plus longue. A suivre donc... :D

Source :
http://www.lemonde.fr/week-end/article/2011/02/18/internet-en-afrique-la-fin-du-desert-numerique_1464281_1477893.html

jeudi 17 février 2011

Les USA aussi !

Un peu de provocation dans ce titre à l'heure où les stratégies concernant dans le cyberespace semblent fleurir.

Les Etats-Unis, par la voix de William J. Lynn III, sous-secrétaire d'Etat à la Défense, ont annoncé la publication de leur stratégie de défense dans le cyberespace, baptisée Cyber 3.0...

Parmi les points notables, la ré-affirmation du caractère militaire et "domanial" du cyberespace, considéré comme un espace de bataille. Parfois présenté comme une affirmation officielle originale, la création du Cyber Command, ancienne quoique récente prouve que cette affirmation n'a rien de nouveau...De même, la doctrine des opérations dans le cyberespace publiée par l'Armée de l'Air Américaine en juillet 2010 n'en fait pas mystère ! Rien de bien nouveau...

Au-delà de cela, je reste sceptique sur l'analogie persistante du cyber avec un "espace" à proprement parler. De nouvelles approches mettent au contraire en avant, le caractère transverse de ce qui est plutôt un "espace d'information" entre langages, communications, échanges...Les évolutions récentes ont certes donné un visage nouveau à tout cela mais l'Homme s'est toujours battu dans ce domaine qu'est l'information (par, pour ou contre).

Revenons sur les 5 points principaux de cette stratégie dévoilés par le discours officiel de M. Lynn en attendant l'intégralité de cette stratégie à paraitre :

=> Reconnaissance du cyberespace comme un champ de bataille à côté de l'air, la mer et la terre...

=> Bascule d'une défense passive à pro-active....Doit-on y voir une ouverture pour la lutte informatique offensive ? On notera toutefois la cohérence entre ce discours et celui que tenait M. Lynn sur la dissuasion dans le cyberespace, articulée autour d'une défense élevant le niveau requis pour l'attaque à un tel point que l'attaquant n'y verrait plus d'intérêt...L'article en référence indique assez mon point de vue à ce sujet qui tient en une phrase : cette approche parait excellente pour la défense mais n'en fait pas une doctrine de dissuasion.

=> Protection des infrastructures critiques, notamment celles connectées au cyberespace. A cet égard, rappelons que dés 2003, la National Strategy to Secure Cyberespace identifiait ces éléments comme indispensables et se faisait l'écho du caractère obligatoire du partenariat public-privé.

Mais le partenariat doit également valoir entre agences et Département américain et notamment le DHS ou autre. Notons l'amusante coïncidence alors que Mme H. Clinton vient de nommer un cybercoordinator pour le State Department, M. Christopher PAINTER (ancien senior director pour la cybersécurité at the National Security Council) qui aura en charge la coordination inter-département, intra-département et avec le Coordinateur National, M. H. Schmidt. N'oublions pas non plus, la signature du récent partenariat entre le DHS et la NSA/Cyber Command.

=> La coopération internationale est essentielle, notamment avec les alliés, pour bâtir une défense des systèmes d'informations efficace. On ne s'étonnera pas de cet aspect alors que les échanges et négociations ont pris une dimension non négligeable dans les derniers mois.

=> Le réservoir de compétences et de technologies doit rester suffisamment important pour garantir une maitrise et une souveraineté des Etats-Unis dans le domaine.

On peut donc voir à quel point nos stratégies sont proches, sans toutefois partager l'ensemble des concepts. On retiendra également que, dans son discours, M. Lynn aborde les Réservistes et la Garde Nationale comme une composante essentielle de ces aspects de défense et sécurité des SI...

En attendant la publication de l'intégralité de la stratégie, je vous laisse profiter des propos de M. Lynn :

I am also announcing a program to better utilize cyber expertise within the National Guard and Reserve. Our Department has many soldiers, sailors, airman, and marines who work in the civilian IT world, and who continue to serve their country in the National Guard or Reserves. To make better and more systematic use of their specialized skills, we will increase the number of Guard and Reserve units that have a dedicated cyber mission.

Source :

http://www.defense.gov/speeches/speech.aspx?speechid=1535

http://fcw.com/articles/2011/02/16/painter-state-department.aspx

mercredi 16 février 2011

La France a une stratégie de cyber-défense !

Ce court extrait provient d'un article plus long et fouillé que j'ai pu publier, en guise de première contribution sur le site de Alliance Géostratégique. N'hésitez pas à aller le consulter !

=====================================================

En complément de la modification de son décrêt, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) a publié une stratégie de défense des systèmes d’informations très intéressante et au moins autant attendue dont je vous propose ici une lecture très personnelle.

Ensuite, on peut réellement « rendre grâce » à l’ANSSI d’avoir proposé des définitions « officielles » de certains termes évitant ainsi les abus que ce blog a mis en avant plusieurs fois.

Parmi ces définitions :

=> Cybersécurité : état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

=> Cyberdéfense : Ensemble des mesures techniques et non-techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.

La cyber-sécurité est ainsi clarifiée : il s’agit en fait de SSI (Sécurité des Systèmes d’Informations) appliqué au strict cadre des systèmes reliés à Internet, je serais plus circonspect sur la cyber-défense. Non seulement parce que le « cyber-all » me parait dommageable mais également parce tous les systèmes d’informations essentiels ne sont pas dans le cyberespace. Lors d’une conférence, et avec l’ANAJ-IHEDN (Association des Auditeurs-Jeunes de l’Institut des Hautes Etudes de Défense Nationale), nous proposions plutôt :

=> Organisation et moyens de mise en œuvre des mécanismes de prévention des cyberattaques, c’est-à-dire les organisations, les doctrines, les moyens, les unités…participant, dans le public et le privé, à la protection des attaques provenant d’Internet. L’aspect global que nous souhaitions garder était alors cohérent avec le concept de Défense global du code de la Défense…

Je vous laisse ici juge de ce que vous préférez ! Je ne suis pas sur que cybersécurité soit nécessaire car nous disposions déjà des concepts adéquats en la matière mais, la clarification reste bénéfique !

Parmi les points notables, je retiendrais également la reconnaissance officielles des activités de lutte informatique sur Internet dans l’ensemble de leurs dimensions (activités d’espionnage inter-étatiques sur Internet, aspects « intelligence économique », propagande, les « cibles-SAIV » (Secteurs d’Activité d’Importance Vitale) et également l’aspect « sans frontières » du cyberespace…Rappelons que ce n’est pas le cas pour l’infrastructure Internet qui connait des frontières, pas forcément étatiques cependant !

Pour la suite de l'article, rendez-vous sur AGS : http://alliancegeostrategique.org/2011/02/16/la-france-a-une-strategie-de-cyber-defense/

Source : http://www.ssi.gouv.fr/site_article318.html

Typologie des pirates informatiques !

Une typologie intéressante relayée par Bruce Schneier sur les différentes catégories de pirates informatiques que l'on peut observer :

On trouve ainsi les catégories suivantes :

1. Cyber criminals
2. Spammers and adware spreaders
3. Advanced persistent threat (APT) agents
4. Corporate spies
5. Hactivists
6. Cyber warriors
7. Rogue hackers

Certaines me laissent un peu dubitatifs car je ne vois pas bien la différence entre un cyber-criminel et un APT Agents...

Le cyber-warriors serait donc un employé de l'état agissant au compte de la "violence légitime".

Je remarque que cette typologie reste basée sur un critère de motivation ou d'objectifs comme j'ai pu les utiliser moi-même dans le cadre de mes recherches. On trouve ainsi des objectifs pécuniaires, politiques, idéologiques et très "humains" (entendez de la malveillance un peu basique).

Comme le dit M. Schneier lui-même, elle est particulièrement intéressante !

Source : http://www.schneier.com/blog/archives/2011/02/the_seven_types.html

mardi 15 février 2011

ANSSI : Responsable LID !

Heureuse coïncidence ou non avec la fête du 14 Février ? L'ANSSI a en effet vu son décret (Décret n°2009-834 du 7 juillet 2009 ) modifié hier pour prendre en compte ses nouvelles compétences en matière de LID notamment.

L'Agence avait en effet annoncé de manière plus ou moins officielle que son rôle allait évoluer vers la prise en compte de cette fonction et l'extension de son champ de responsabilité.

En particulier, l'art. 3 nous apprend qu'" elle assure la fonction d'autorité nationale de défense des systèmes d'information. En cette qualité et dans le cadre des orientations fixées par le Premier ministre, elle décide les mesures que l'Etat met en œuvre pour répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et des opérateurs d'importance vitale et elle coordonne l'action gouvernementale "

On note par ailleurs son implication profonde en matière de systèmes d'informations accolés aux SAIV que l'Agence assistera. Ainsi, elle apportera son expertise " aux ministres coordonnateurs des secteurs d'activité d'importance vitale pour la protection de la sécurité des systèmes d'information des installations d'importance vitale."

Enfin, j'attire votre attention sur la composition de son comité stratégique qui permet de considérer toute l'importance accordée à ces questions par l'Etat Français

"Outre le secrétaire général de la défense et de la sécurité nationale qui en assure la présidence, le comité comprend :
― le chef d'état-major des armées ;
― le secrétaire général du ministère de l'intérieur, de l'outre-mer et des collectivités territoriales ;
― le secrétaire général du ministère des affaires étrangères et européennes ;
― le délégué général pour l'armement ;
― le directeur général de la sécurité extérieure ;
― le directeur général des systèmes d'information et de communication ;
― le directeur général de la modernisation de l'Etat ;
― le directeur central du renseignement intérieur ;
― le vice-président du Conseil général de l'industrie, de l'énergie et des technologies ;
― le directeur général de l'Agence nationale de la sécurité des systèmes d'information. "


De manière générale, cette évolution est bienvenue car elle donne un ancrage à la doctrine française, encore un peu floue, en matière de lutte informatique. Cette suite heureuse et cette continuité d'évolution en ces matière depuis le Livre Blanc sur la Défense et la Sécurité Nationale de 2008 participent à nous positionner comme un acteur important dans le domaine.

Reste maintenant à mesurer la portée de ces évolutions à l'internationale et notamment la perception de notre attitude, offensive ou défensive, à l'étranger. Enfin, demeurent des problématiques intéressantes de maitrises des technologies liées à la sécurité sur lesquelles nous semblons avancer, bien que doucement !

Source : http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020828212

vendredi 11 février 2011

Sécuriser..un dur travail ! (réflexion sur Night Dragon)

Une fois encore, nous voilà gratifiés d'un nom à la consonance drolatique pour qualifier un ensemble d'attaques informatiques à priori complexes.

Ce blog ne peut prétendre disposer des éléments permettant d'infirmer ou d'affirmer quoi que ce soit. Je remarquerais cependant que l'on persiste à attribuer tout cela à la Chine mais que les preuves ne sont pas toujours probantes.

Toutefois, en tant que "professionnel" de la sécurité, les éléments du scénario mis en avant dans ces attaques sont très intéressantes et méritent à mon sens, le débat. En effet, ils représentent pour moi l'ensemble des problématiques de sécurité auxquelles on est parfois confronté lorsqu'on travaille justement pour des systèmes de ce type.

Le contexte déjà : il s'agit de compagnies, donc des entités à but commercial souhaitant vendre leurs produits ou services, ici de l'énergie notamment. Elles disposent à cet effet de sites webs permettant de gérer le marketing, les offres, les clients, les paiements...Je vous engage à aller vérifier si les nôtres ne font pas de même...:D

Plus encore, force est de constater qu'une compagnie exploitant de l'électricité ou des sources d'énergie n'a pas comme cœur de métier l'informatique ! Souvent donc, ces entreprises font appel à des hébergeurs ou des compagnies gérant pour elles tout ou partie de leur système de gestion. Cela est tellement vrai que l'ANSSI a, par exemple, publié un Guide de Bonnes pratiques de l'hébergement...

On remarquera qu'il n'est pas nécessaire d'avoir un tel site pour subir de telles attaques. Un simple site institutionnel gérant par exemple les candidatures ou autres peut avoir les mêmes effets...

Enfin, l'usage immodéré du web dans les transactions commerciales et la gestion du client désignent généralement des systèmes complexes possédant en apparence et, pour le quidam, un simple site web "cachant" une cascade de serveurs complexes, bases de données, "gros" système...

Soyons donc clair : le contexte n'est pas une invention mais bien une réalité.

Reprenons les grandes étapes du scénario :

=> Compromission du serveur web : c'est évidemment quelque chose de plus en plus commun comme le montre non seulement les nombreuses failles de sécurité qui paraissent mais également les informations en provenance de la communauté de sécurité. Par ailleurs, il faut noter qu'il est parfois complexe pour l'hébergeur d'intervenir sur ces aspects car on entre directement dans le métier du client ! Cela renforce donc la probabilité de failles qui persistent si celui-ci n'est pas passionné par la sécurité !

=> Élévation de privilèges et accès aux zones réseaux mieux protégées : de même, cela demeure une constante dans les résultats des audits. La possibilité de rebondir une fois les protections périmétriques évitées est très forte. Une fois encore, cela se déroule à la limite des périmètres de responsabilité du client et de l'hébergeur, c'est donc difficile de la corriger parfois.

=> Capture des mots de passe : encore une fois, cela fait partie des "classiques". Cela suppose que l'hébergeur a une maturité de sécurité "moyenne" et qu'il utilise des outils de protection "moyens"...Les mots de passe se répètent parfois, les accès ne sont pas toujours chiffrés et authentifiés car les administrateurs sont surchargés. Ici, contrairement au premier niveau, la responsabilité incombera plus souvent à l'hébergeur. Toutefois, le client est parfois fautif car ses propres accès, qu'il aura demandé ne seront pas toujours sécurisés.

=> Je passerai sur les deux étapes suivantes car une fois l'accès au réseau interne et la détention de droits et mots de passe usurpés de type "administrateur", les opportunités offertes aux attaquants sont très grandes.

Je préférerais m'intéresser ici aux capacités de détection et de réaction des attaques car cela est particulièrement difficile. Il est plus compliqué qu'on ne le croit d'être averti que l'on est sous le coup d'une attaque car les assaillants peuvent se montrer très discrets, afin de persister, et effacer leurs traces.

Cela suppose donc à la fois une attitude attentive et proactive en matière de surveillance des réseaux et des comportements des machines et c'est là une vraie difficulté car cela suppose en général une maturité élevée en matière de sécurité.

Je conclurais l'analyse de l'attaque en attirant l'attention du lecteur sur la provenance des failles, souvent entre deux périmètres de responsabilité, celui du client et celui de l'hébergeur. Or, les relations ne sont pas toujours au beau fixe et avancées, causant de fait, des vulnérabilités. Il est donc particulièrement important, dans ce cadre de relations, d'avoir prévu des nombreux mécanismes certes mais également, d'entretenir une relation structurée et constante entre les responsables sécurité des deux entités..

Comme je le disais, je n'ai que peu d'éléments sur la véracité de ce scénario ou de ces éléments de contexte. Toutefois, je note la profonde cohérence de composantes du scénario qui m'ont inspiré ces quelques réflexions. J'espère qu'elles auront apporté quelques éléments d'informations à certains de mes lecteurs et créé, éventuellement, un débat serein parmi les autres...

A vos réactions !

Source :

http://www.zdnet.com/blog/security/hacking-attacks-from-china-hit-energy-companies-worldwide/8119

jeudi 10 février 2011

Fail...Samsung

Edit : Grâce à Electrosphère, nous avons ici la photo du fail en question. Une sympathique coïncidence a voulu qu'il soit plus ou moins au même endroit au même moment...

Je vous laisse profiter de l'image...




================================================================================

Une petite aventure amusante hier dans le métro parisien...Peut-être connaissez-vous les panneaux interactifs d'affichage Samsung ?



En fait, il s'agit de grand panneau de type LED à mon sens qui passe des publicités pour diverses marques..C'est électrique, donc pas de papier et visiblement, cela permettrait de faire de l'interactif, notamment avec les téléphones passant à proximité !

Malheureusement, je n'ai pas de photos pour le prouver mais hier, dans une station de métro, tous les panneaux subissaient un re-démarrage en règle qui visiblement, ne réglait pas la question (ca tournait en boucle)...

Le plus drôle, c'est que les caractères affichés m'ont rappelé certains sessions de démarrage de type..Linux ou Unix :D..Effectivement, quelques secondes après, on pouvait voir que le système utilisé était CentOS (le 5 me semble-t-il)...

On pouvait y voir le démarrage des interfaces, l'acquisition des adresses...bref, très amusant...

Fort de cela, peut-être des pirates malicieux se sont-ils amusés à causer des plantages ? Je pencherais plutôt pour un bug qui se serait répandu mais bon...je n'en sais pas plus.

Quoiqu'il en soit, je frémis à l'idée des images que certains pirates pourraient justement trouver amusant de mettre sur ces systèmes...

Source :

Pas de source et pas de photo et j'en suis bien désolé !

mardi 8 février 2011

Anonymous..encore

Un article intéressant dans le fond et la forme sur les activités d'anonymous...

J'avoue que la forme est très sympathique et amusante mais ne trahit pas le fond, ce qui rend l'article très équilibré !

http://blogs.orange-business.com/securite/2011/02/rencontre-avec-les-anonymous.html

lundi 7 février 2011

Cyber Fast Track !

C'est le nom d'une initiative assez originale et intéressante lancée par la DARPA aux Etats-Unis pour profiter de toutes les compétences.

Pour mémoire, la DARPA est l'agence de recherche travaillant sur les "projets avancés" parmi lesquels on a pu compter...Internet. A l'origine, le réseau relevait des capacités de résilience de la communication pour le gouvernement américain. A la fin des travaux, notamment menés par une communauté de recherche universitaire (parmi d'autres), une partie du réseau a évolué seul dans le domaine militaire tandis que l'autre est devenu ce que l'on connait aujourd'hui.

Revenons à notre sujet : il est avéré que les autorités américaines peinent parfois à recruter des individus compétents en matière de sécurité des SI. Relativisons ce point car il semble que ce problème soit plus important pour certaines administrations que pour d'autres.

L'idée de la DARPA est donc de fournir des idées et méthodologies innovantes en puisant dans les ressources des communautés "hacker" internet au sein desquelles on peut trouver des chercheurs, des passionnés, des professionnels...et de fournir ainsi une capacité à penser autrement.

Marquée par l'épisode "épique" du groupuscule L0pht qui avait fait une présentation devant le Congrès américain et affirmant être capable de faire tomber Internet en 30 minutes, la DARPA envisage donc de confier quelques projets, limités dans le temps et les ambitions à des individus ou des groupes décelables dans ces sphères.

L'histoire ne dit comment la DARPA envisage de choisir ou de contrôler les candidats car cela n'est pas sans poser quelques questions...de sécurité : rémunération, légitimité des intervenants...

Cette initiative n'a pas pour objectif de remplacer les habituelles références en matière de recherche et de développement mais pourrait fournir d'intéressantes idées et outils.

En France, je sais que plusieurs entreprises, grandes et petites, ne rechignent pas forcément à employer des talents issus de ces communautés en leur permettant d'entretenir officiellement des liens avec ces acteurs. Je ne sais pas, cependant, si des programmes alternatifs de ce type peuvent exister...

Une initiative intéressante donc mais surement pas évidente à mettre en œuvre !

Source : http://www.nextgov.com/nextgov/ng_20110204_8476.php

jeudi 3 février 2011

Le coût de la conformité...

Il y a près d'un an, je publiais un article sur l'apport de la conformité à la sécurité.

Sans aller jusqu'à dire que la conformité tue la sécurité, on peut toutefois rester dubitatif sur les effets à long-terme d'une telle approche. Rappelons la triste affaire du vol de plusieurs milliers de numéros de carte bleue en 2009 ! Or, certaines des sociétés victimes étaient certifiées PCI-DSS, la norme de sécurité liée à l'exploitation des "cartes bleues".

Ayant eu l'opportunité de partager et d'échanger avec des experts du domaine, l'apport des normes est de manière générale indéniable. Apportant son lot de bonnes pratiques, techniques ou organisationnelles, et proposant des méthodes de management adaptées, il y a une vraie évolution dans la vision de la sécurité. Ainsi, les normes récentes comme la "suite ISO 27000" est définie par le risque et l'adaptation des mesures choisies à des risques évalués.

Les limites doivent toutefois être bien connues :

- la normalisation s'applique sur un périmètre donné et délimité. En-dehors, le niveau de sécurité n'est pas forcément modifié. Cela est parfaitement logique car dans le cas contraire, on aurait une dispersion des efforts et des moyens préjudiciable à l'augmentation du niveau de sécurité.

- la normalisation n'est jamais définitive. C'est un effort permanent d'évaluation, de correction et d'amélioration propre à des systèmes dits "de qualité".

- l'évaluation des risques comporte une part subjective.

Il faut donc avoir un œil critique sur les effets d'annonce afin de bien percevoir les limites d'un tel exercice. Par ailleurs, toutes les normes ne se valent pas et certaines ne sont pas forcément les plus efficaces !

Toutefois, si je reviens sur ce sujet, c'est pour vous livrer l'information intéressante relayée par CNIS Mag. Une récente étude menée par l'institut Ponémon révèle que le coût moyen de certification aux Etats-Unis est d'environ 3,5 Millions de dollars.

Menée sur 160 sociétés dont 46 de dimensions internationales, cette étude se focalise sur de nombreuses normes dont la sécurité n'est pas toujours la priorité : PCI-DSS mais aussi Sarbanes-Oxley.

J'ai tendance à être très critique sur ces aspects pour une raison simple, c'est que la certification coute très cher et a développé un business exceptionnel basé sur des obligations légales, elles-mêmes inventées pour pallier à des problématiques passées...Un peu comme si on se préparait à gagner la dernière guerre :D !

Ainsi, la certification des comptes de type Sarbanes-Oxley fait notoirement suite aux scandales Enron et autres. Elle a toutefois été incapable de prévenir d'autres types de crises et de scandales...

Alors quoi ? Encore une norme pour pallier à la dernière crise ? Encore un avatar qui coutera des millions et embauchera des auditeurs à tour de bras qui partirons une fois épuisés ?

Pour cette raison, je ne souscris pas aux conclusions du rapporteur de l'étude qui prétend que le niveau global de sécurité s'améliore même si chaque dollar dépensé n'améliore pas systématiquement ladite sécurité. Je n'y crois pas car on se protège, peut-être contre UN ou QUELQUES types de fraudes et de problématiques de sécurité mais cela manque terriblement de vision globale.

J'avoue ne pas détenir une solution définitive en la matière mais tend à penser que la direction prise par la normalisation ISO 27001 fournit un cadre intéressant. En effet, le cadre méthodologie n'est pas outrageusement prescriptif et, de ce fait, n'est pas limité par des méthodes d'applications ou des secteurs donnés.

Pourtant, il fournit de nombreuses indications, indicateurs et points de contrôle permettant à toute organisation de développer son propre système de sécurité...

Il manquerait donc une contrepartie : un volet de contrôle et de répression, punition (le bâton de la "carotte" 27001) intelligente et organisée...

L'avons-nous ? Je n'en suis pas sur mais sans doute mes lecteurs en savent plus que moi à ce sujet !

Source :

http://www.cnis-mag.com/le-cout-de-la-conformite-35-m-par-entreprise.html

mercredi 2 février 2011

RIP IPv4...! Vive IPv6 !

Une nouvelle un peu effrayante en soi...Il y a quelques jours, IANA, l'organisation qui gère, notamment, la distribution des adresses IPv4 pour la globalité des acteurs a distribué à un RIR (Regional Internet Registries), a distribué les deux derniers "/8" réellement disponibles.

Je ne reviendrai pas sur les adresses IP en tant que telles ou sur le processus car je l'avais fait dans un article précédent.

En pratique, l'attribution de ces deux dernières portions de l'espace d'adressage entraine la distribution automatique des 5 dernières portions restants à chaque RIR, qui gère lui les portions attribuées sur une zone assimilée à un continent. Autrement dit, 5 continents, 5 RIRs, 5 derniers "/8"...

Bref, dans quelques jours, l'espace d'adressage IPv4 sera complétement attribué ! Cette date fatidique a été prévue de longue date et il existe de nombreuses solutions :

-> Translations d'adresses : oui mais le système est très imparfait pour certains protocoles plus exigeants !

-> IPv6 : la solution recommandée. Elle apporte certaines fonctionnalités mais connait ses propres vulnérabilités. Son principal défaut cependant, pour moi, serait de ne pas être facilement substituable à IPv4, ce qui oblige à des changements relativement importants au niveau des logiciels et/ou matériels. Cet état de fait, parmi d'autres, a pu décourager le développement et l'implémentation de cette nouvelle typologie d'adresse parmi les industriels et autres providers...

Bien sur, cela ne veut pas dire que demain, nous ne serons plus connectés mais cela entraîne quelques conséquences :

- une certaine instabilité sur l'avenir jusqu'à une phase de transition plus efficace. A cet égard, la gouvernance Internet a, selon moi, montré une certaine limite en étant incapable de faire prévaloir un intérêt supérieur à des intérêts particuliers.

- une hausse de la valeur de l'adresse : certains ont émis des craintes de "marché noir de l'IP".

- des accès moins évidents pour les nouveaux arrivants (pays en développements, zones moins développées...).

La période qui s'annonce sera donc très intéressante de ce point de vue et le changement attendu, de même envergure que l'adoption de DNSSEC.

Une conférence de presse devrait "acter" officiellement l'état de fait !

A suivre donc !

Source :

http://www.apnic.net/publications/news/2011/leading-global-internet-groups-make-significant-announcement-about-the-status-of-the-ipv4-address-pool
*

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

Pas si "anonymous" que cela...

Comme vous le savez sans doute, plusieurs arrestations ont eu lieu, dans plusieurs pays, en France, aux Etats-Unis et en Grande-Bretagne, suite aux attaques informatiques fomentées par le groupe "Anonymous" suite à l'affaire Wikileaks.

Si le groupe "Anonymous" a trouvé une certaine notoriété dans ses succès contre l'Eglise de Scientologie, ces éléments nous amènent à tirer quelques leçons :

- La notion d'hacktivisme entendue comme celle de ce groupe n'est pas anonyme de fait. Sur le net, il n'y a pas d'anonyme par défaut ou encore, de manière automatique de se "fondre dans la masse"...

Cependant, l'identification demeure délicate si on doit en avoir une preuve absolue ! Du genre de celles dont on a besoin pour déclencher des hostilités ou traduire en justice. Cela, nous le savons.

En revanche, certaines personnes croient, à tort, qu'Internet vous rend anonyme et discret car dissimulées derrière leurs écrans. Il n'en est rien !

N'oublions pas l'hypothèse intéressante de petits malins qui aurait usurpé des adresses en piratant un wifi par exemple, ce qui devient de plus en plus facile, surtout si l'on a besoin d'un système "tampon" en qui on n'a pas besoin d'accorder sa confiance.

- La notion de groupuscule et d'activisme tend à renvoyer à une forme de syndicalisation alors qu'il n'en est rien. Le propre d'Anonymous est que personne ne connait ou ne cherche à connaitre les autres membres. Ceux-ci en deviennent "jetables" et subordonné à leurs propres capacités en matière de sécurité et de protection (ceci pour ceux qui seraient tentés...).

Peut-être est-ce là la limite d'une telle approche, considérant, en plus, les limites de l'action d'Anonymous à l'encontre des "adversaires" de Wikileaks (banques, fournisseurs d'accès...). Peut-être les mésaventures de certains "membres" occasionnels refroidiront les masses de s'engager ? Ou bien, verra-t-on se multiplier les solutions de type VPN ou TOR ?

Ces quelques éléments d'observation, notés au fil de l'eau, alimentent une attention plus particulière que j'ai souhaité porter cette année à ce phénomène.

Source : http://uk.finance.yahoo.com/news/Global-police-moves-against-ftimes-637546786.html?x=0&.v=1