mardi 26 juillet 2011

Informations en vrac...Hacktivisme et Crime organisé

A l'affut de la nouvelle croustillante de l'été car rappelons-le, les évènements en Estonie et Géorgie s'étaient déroulés pendant l'été, la saison parait assez calme pour le moment...Pourtant, l'été avec ses vacances et le relâchement d'une certaine discipline est propice aux attaques des pirates en tout genre..."Vigilance constante" comme dirait un "sorcier" de notre connaissance...

Quelques informations intéressantes tout de même :

Tout d'abord, un communiqué de Simon Moores, un membre important du International E-crime Congress fait état d'une analyse intéressante du phénomène hacktiviste. Au final, la conclusion de l'anayse est assez classique : les hacktivistes sont manipulables mais il est vrai que la tendance marquée des "Lulzsec" et autres "Anonymous" à manifester une forte autonomie peut cacher cette réalité.

Moores rappelle ainsi le cas des "Brigades Rouges" des années 70 ou encore les liens des organismes de renseignement et de sécurité du bloc de l'est avec les mouvements pacifistes et anti-nucléaires.

Par ailleurs, il est vrai que le propre des organisations hacktivistes nées sur Internet est d'être décentralisée. Bien que fondamentalement capable d'une réelle coordination et organisation (elles l'ont prouvées), il demeure aussi un espace de liberté, un flou entre les membres qui ne se connaissent pas. Cet espace parait, selon Moores, propice à des manipulations par divers services. Bien évidemment, il n'existe aucune preuve de cela. Peut-être donc, un nouvel éclairage pour la lecture et l'analyse des récents évènements et ceux à venir.

La seconde nouvelle contribue à formaliser une "inquiétude" déjà relayée sur ce blog. En effet, les Etats-Unis viennent de publier une nouvelle stratégie (encore!) non pas dédiée à une thématique cyber mais à la lutte contre la criminalité organisée.

Pour autant, la stratégie reconnait la part prise par les activités "cyber" des organisations criminelles : organisation, communication, recrutement...Les activités purement cybercriminelles, c'est-à-dire celles consistant à voler ou extorquer de l'argent pas des moyens uniquement "cyber" sont également évoquées.

Cependant, malgré la reconnaissance du phénomène, le document fait état d'un vrai besoin de coordination internationale en particulier pour répliquer aux phénomènes de réticulation et d'internationalisation de ces entités criminelles. En matière de cybercriminalité pourtant, elle ne cite même pas la Convention de Budapest bien qu'elle s'engage à suivre les "voies" internationales existantes.

A plusieurs reprises, les documents publiés ces derniers temps ont omis cette référence, pourtant pertinente, et il serait à craindre la multiplication de partenariats bilatéraux, ce qui n'arrangera personne sauf les Etats-Unis. Cette analyse d'une tendance qui n'en est peut-être pas une sera donc à confirmer dans le temps. Il parait cependant important de voir cette convention encore peu ratifiée devenir un instrument international plus fort et donc, plus efficace.

Source :

http://www.pcpro.co.uk/news/security/368851/foreign-spy-masters-could-infiltrate-hacker-groups

http://www.nextgov.com/nextgov/ng_20110725_6053.php


http://www.whitehouse.gov/blog/2011/07/25/new-strategy-combat-evolving-threat

mercredi 20 juillet 2011

Un accord de cybersécurité Indo-Américain

Les Etats-Unis et l'Inde ont signé ce mardi, un protocole d'accord pour coordonner leurs efforts en matière de cybersécurité. Ce MoU - Memorandum of Understanding n'est pas contraignant pour les parties en tant que tel : il ne s'agit donc pas d'un traité ou d'un accord diplomatique plein mais plutôt d'une déclaration d'intention.

On notera qu'il a été signé par Jane Holl Lute, sous secrétaire au U.S. Department of Homeland Security (DHS) et R. Chandrashekhar, secrétaire India's Department of Information Technology. Il s'agirait donc plutôt d'un accord "technique" au sens de la création de procédures et protocoles notamment entre les CERT nationaux des deux pays.

Cet accord et son contexte appellent plusieurs commentaires :

=> d'une part, ces accords s'inscrivent très certainement dans les stratégies américaines récentes.

=> il existe un cadre international de partage d'informations, la Convention de Budapest. Il est un peu dommage, alors que cet outil fournit déjà un cadre existant et relativement éprouvé. Si les USA nous ont habitué à des mener des négociations bilatérales en parallèle d'initiatives plus larges, on se demande si la multiplication des accords bilatéraux sert bien l'objectif d'un partage d'information destiné à améliorer la sécurité. L'établissement d'un "U.S.-India Strategic Dialogue" 2009 n'est certainement pas étranger à tout cela...

=> Remarquons que les signataires sont le DHS, d'un côté, soit une entité chargée de la sécurité intérieure aux Etats-Unis et propulsée au coeur de la cybersécurité américaine par les dernières décisions. Côté Indien, il ne s'agit pas d'un organisme de sécurité mais plus spécifiquement du ministère chargé des question de l'information et des télécommunications.

Une pierre de plus dans la construction de l'édifice diplomatique américain dédié aux question de sécurité dans le cyberespace.

Source :

http://www.nextgov.com/nextgov/ng_20110719_3252.php

lundi 18 juillet 2011

DOD Strategy for Operating in Cyberspace

Un énième document stratégique américain a donc été publié le 14 Juillet et annoncé par le Sous-secrétaire d'Etat à la Défense William J. Lynn, un acteur désormais incontournable de ces questions au sein des administrations de défense américaine.

Un autre document donc qui nous donne l'occasion de rappeler d'autres publications récentes, également américaine et qui structurent la vision des Etats-Unis :

- International Strategy for Cyberespace rédigée et publiée par la Maison Blanche et dont la vocation n'est pas uniquement militaire.

- Une proposition législative globale de la Maison Blanche dont la publication coïncidait avec la précédente stratégie mais qui ne semble pas apporter de réelles nouveautés.

- des discours un peu étonnants sur la dissuasion autour de "Cyber 3.0".

- des options législatives complexes et pas forcément toujours abouties et remises en cause alors que le Sénateur McCain (candidat malheureux à la présidence) propose de dédier un comité unique dans les chambres législatives américaines.

Ce dernier document est donc un travail proposé par le Ministère de la Défense américain et livre donc une vision résolument défense et militaire. Il n'est pas forcément question de sécurité ici justement ou de développement, de gouvernance internet mais bien de défense. Dans tous ces documents, il est évident que la position et le statut de l'auteur implique une vision et des objectifs bien différents. Notons toutefois la position de Wired qui se demande si ce document reflète réellement les positions du DoD.

Comme de "coutume", ce blog vous propose une lecture transversale et critique du document pour essayer d'en extraire des informations intéressantes.

L'introduction, classique, nous rappelle la très forte croissance d'Internet ces dernières années et envisage une pénétration croissante de l'outil dans le quotidien de nos vies. Cependant, rappelons l'objet et l'origine de la stratégie, "défense", concerné ici notamment par l'interaction avec la base industrielle de Défense. Rappelons ainsi que des compromissions des plans et informations techniques concernant l'aviation militaire américaines auraient été effectuées.

La dépendance du DoD s'exprime aussi au travers de ses propres besoins et fonctionnement. La nuance est à faire car, bien que la tendance actuelle intègre les réseaux "privés" au sein du cyberespace, les réseaux militaires présentent aussi de substantielles différences. Cela ne les empêche pas d'utiliser aussi Internet malgré leur remarquables ressources ( 15 000 réseaux et 16 millions d'ordinateurs)...Remarquons aussi l'énormité des chiffres.

Il est intéressant de constater que le document semble tout de même un peu partagé entre 3 visions du cyberespace :

- une vision mettant en avant l'interaction de l'usage du Net par le domaine civil avec la défense du pays et les capacités du DoD. C'est ici que les notions de protection des libertés d'usage et de langage prennent tout leur sens.

- une vision mettant en avant les risques et les menaces. Cette vision classique justifie les documents étudiés ici.

- une vision souvent omise car plus ancienne et qui s'enracine dans les tendances technophiles et les notions de multiplicateur de force qui ont été vues dans ces technologies. Des théories comme la RMA Revolution of Military Affairs et NCW - Network Centric Warfare ont ainsi appuyé ce développement et cette dépendance technologique. Peut-être ont-ils également permis aux USA de devenir la première puissance mondiale (ou bien est-ce la simple "quantité" ?) mais ils sont clairement aujourd'hui un besoin essentiel tout autant qu'un facteur de risque.

L'analyse des menaces met en avant à la fois la dépendance aux technologies et composant pour le DoD dans le cadre des ses infrastructures et opérations. Elle évoque aussi les caractéristiques du net : ouverture vs. identification, connectivité vs. contrôle de l'intégrité...Encore une fois, demeure la sensation que le DoD se pose presque en "victime" d'Internet et de l'usage incontrôlé d'une technologie qui ne présente pas les garanties attendues pour ces usages spécifiques uniquement.

S'il parait compréhensible que la Défense américaine ne maitrise qu'imparfaitement ses relations avec sa base industrielle, on est beaucoup plus sceptique lorsqu'il s'agit d'utiliser des technologies type "Internet" en termes de protocoles sur des réseaux et pour des usages spécifiques réclamant des fonctionnalités ou service de sécurité supplémentaire.

Pour répondre à ces menaces tout en préservant les potentialités du Net, ce qui n'est pas sans rappeler la notion de "résoudre la quadrature du cercle", le document établit 5 étapes stratégiques :

=> Considérer le cyberespace comme un domaine d'opération. Organiser, entrainer et s'équiper afin de tirer le meilleur possible du cyberespace.

Plusieurs articles et analyses en ont compris que le DoD notifiait ainsi sa vision d'Internet comme un champ de bataille...Ce blog considère que cette analyse et trop rapide : l'espace extra-atmosphérique participe ainsi des opérations militaires et n'est pas, par traité international et dans les faits, un champ de bataille en tant que tel.

Offrant une synthèse intéressante du système de défense "cyber" américain, ce premier point conclut par l'obligation d'organiser des cyber "red teams" associés à des exercices d'envergure susceptibles d'orienter la planification.

=> Le DoD devra utiliser de nouveaux concepts afin de protéger ses systèmes et réseaux.

Parmi ces concepts, on trouve celui de la "cyber-hygiène" qui semble faire figure de panacée numérique...La cyber-hygiène semble cependant, à la lecture, n'être qu'une compilation des pratiques classiques en SSI (systèmes mise à jour, formation, sensibilisation, renforcement des matériels...).

Un second concept repose sur la dissuasion et le fait de limiter les attaques. C'est une théorie presque classique en sécurité informatique qui veut qu'à mettre des barrières de sécurité, on hausse le niveau nécessaire à l'attaque, décourageant certains assaillants. Poussée à bout, la logique voudrait qu'un très fort niveau de sécurité, agile et adaptable, soit susceptible de décourager tous les assaillants...Pour le moment, ce n'est que théorique et la prime revient toujours à l'attaquant.

=> Le DoD établira des partenariats avec l'ensemble des acteurs afin de faciliter l'application globale d'une cyber-stratégie

Cet aspect comprend deux points : le soutien du DHS dans sa mission de pilote des efforts de SSI pour l'ensemble du gouvernement et l'établissement de partenariat public-privé plus efficace et susceptible de soutenir les efforts et objectifs du DoD. Une attention particulière est portée aux produits susceptibles d'être construits à l'étranger (on se souviendra des matériels cisco contrefaits).

=> Le DoD établira des partenariats avec les alliés et des partenaires internationaux afin de promouvoir la cyber-sécurité.

On remarquera tout d'abord la capacité extraordinaire du DoD car un ministère d'un pays est donc capable de conclure directement des accords avec des partenaires étrangers. Il ne s'agit pas ici de diplomates agissant pour le pouvoir politique mais bien d'une capacité semble-t-il indépendante. Celle-ci semble cependant s'inscrire dans le document de la Maison Blanche, International Strategy for Cyberespace.

Ici, on peut songer à la conduire d'exercice dans le cadre de l'OTAN ou la participation à des exercice aux Etats-Unis avec la participation de pays comme la France. On peut également songer à la construction de capacités, autour de forces communes, dans le cadre des extraordinaires capacités de planification de l'OTAN. Cela supposerait cependant que les autres pays communiquent aussi ouvertement sur le déploiement de ces capacités et la mise en place de ces unités.

=> Le DoD développera une capacité "cyber" notamment par le recrutement et la formation afin d'élever globalement le niveau de sécurité et notamment par l'innovation

L'objectif, ambitieux, est de catalyser les capacités afin de procurer une ressource humaine bien formée et entrainée, susceptible de conduire les "opérations" dans le cyberespace entendues par le DoD. A nouveau, le DoD établit une nécessité de modifier les approches traditionnelles, par exemple en utilisant de manière plus intensive la Réserve et la Garde Nationale.

Un autre changement profond peut être trouvé dans la modification des cycles d'achat afin de les adapter : rapidité, développement et tests incrémentaux plutôt que "one-shot", limiter les spécificités des configurations, création de niveaux de sécurité différents en fonction des besoins, approche "défense en profondeur" dans les pré-requis de sécurité...

Si la nécessité d'évoluer rapidement ne fait aucun doute, le fait de limiter les configurations personnalisés (ou customisation) conduit à se demander si l'approche des produits "par étagères" n'est pas une mauvaise solution également...A moins que les capacités à imposer de stricts normes de sécurité aux industrielles soient particulièrement fortes.

Au final, cette stratégie laisse un peu sur sa faim le lecteur avisé qui souhaite en savoir un peu plus. Rappelons cependant que cette stratégie n'est qu'une version non protégée et donc potentiellement expurgée des vraies décisions et actions que pourraient prendre le DoD.

Cette thèse également exposée par Wired parait très probable car, tout bien considéré, ce document n'est qu'une longue liste de voeux pieux ("DoD will do" ceci, cela et encore ceci) dont l'ancrage dans la réalité laisse parfois dubitatif.

Appelant à l'utilisation de concepts nouveaux, on voit surtout la réutilisation de nombreux classiques, à quelques exceptions près. Enfin, comme on l'a signalé, le document mélange allégrement les problématiques et axes de travaux ce qui ne clarifie pas les positions...

Décidément, non, ce document n'apporte pas grand chose et pose surtout beaucoup de questions sur la partie confidentielle de ce document...

Source :

http://www.defense.gov/news/newsarticle.aspx?id=64690

http://defense-jgp.blogspot.com/2011/07/la-strategie-americaine-dans-le.html

http://www.nextgov.com/nextgov/ng_20110714_5684.php

mercredi 6 juillet 2011

Résolution "cyber" à l'OSCE ?

Une initiative intéressante se déroule actuellement à l'OSCE : un parlementaire Belge aurait déposé une proposition de résolution, sponsorisée par la Russie et les Etats-Unis conjointement.

L'OSCE est une organisation particulière car elle existe depuis les années 70 et se focalise sur les questions de sécurité au sens large. De plus, comprenant 56 membres et traitant des questions militaires, elle est aussi une des rares organisations où les Etats-Unis et la Russie peuvent échanger et avancer de manière un peu plus libre semble-t-il.

Contrairement à l'OTAN par exemple où les récentes publications et décisions concernant le cyberespace ne sont pas prises en commun avec la Russie.

Réunis cette semaine à Belgrade, les parlementaires de l'Organisation préparent une déclaration dite "de Belgrade" qui permet notamment de guider ses décisions à venir.

Soutenu par les deux pays, Francois Xavier de Donnea a donc proposé une résolution commune dont l'objectif, modeste pour le moment serait notamment le partage d'informations sur les capacités militaires que pourraient développer les pays.

Cette proposition qui ne serait qu'un début a le mérite d'être signé par ces deux pays. Notons tout de même l'absence de la Chine, autre grand acteur du Net. Elle intervient également comme pour confirmer les hypothèses et conclusion émises lors du Colloque Droit et Cyberguerre.

Un autre "forum" international donc pour lancer de telles discussions après l'ONU, l'UIT, l'OTAN, l'UE...mais pour quelle réussite ?

Source :

http://www.nextgov.com/nextgov/ng_20110705_7349.php

vendredi 1 juillet 2011

Rules of cyberwar pour la GB...

Un récent article révèle des informations intéressantes sur les actions entreprises par la Grande-Bretagne en matière d'actions militaires dans le domaine informatique.

Quelques semaines avant, on apprenait que le Président Obama signait un Executive Order afin de codifier les règles d'engagement des attaques informatiques. Malgré les limites évidentes à l'exercice, on pouvait observer une transition dans la réalité de ces actions militaires construites afin d'avoir des effets dans le cyberespace.

L'article en question semble ainsi affirmer que le développement par la Grande-Bretagne de capacités d'actions offensives dans le cyberespace irait de pair avec l'écriture de telles règles selon Nick Harvey, secrétaire d’Etat aux forces armées britanniques.

L'évolution des budgets puis celle des organisations laissait pressentir, pour la Grande-Bretagne que ce développement serait conséquent alors même que la réduction des forces armées est par ailleurs drastique.

On reste toutefois dubitatif, dans cet article, par l'adoption libre du terme de dissuasion "cyber" par le même Nick Harvey. Auparavant réservé au strict domaine nucléaire et tout de même utilisé avec prudence par les officiels, cet usage rompt avec une certaine pratique semble-t-il.

Il reste à voir si ce concept fera recette dans les approches prônées par certains pays alors même que son usage et sa réalité sont loin de faire l'unanimité et de présenter une réalité forte.