vendredi 30 septembre 2011

Une possible attaque informatique contre un aéroport indien

Les passagers de l'aéroport international Gandhi à New-Delhi ont connu un retour à l'age du stylo et de la plume (entendez sans informatique) plutôt éprouvant fin Juin. En effet, un problème dans le système de gestion de passagers et du terminal a occasionné des contrôles manuels et des retards.

Le point intéressant est qu'une entité officielle indienne (CBI) s'intéresse à la possibilité qu'une attaques informatique soit à l'origine de cette attaque. Il semblerait ainsi qu'un serveur participant à la gestion du système ait été soumis à des "scripts malveillants" occasionnant des dysfonctionnements et perturbant le système.

Un CUPPS est un système de gestion, au sein des aéroports permettant, visiblement, de gérer globalement des systèmes de compteurs, de zones et des embarquements...Ce système sert donc à gérer le bon fonctionnement d'un aéroport en respectant un certain nombre de régles et en s'interfaçant avec les informations et systèmes des compagnies aériennes...Un CUPPS semble être un système générique comme un progiciel de gestion pour SAP, par exemple. En voici un exemple dont on remarquera que, pour être un système à priori important dans la gestion d'une infrastructure, ce système peut faire appel à des produits sur étagères bien connus pour ses faiblesses...

Le fait qu'une attaque soit suspectée peut être attribué à l'existence d'éléments techniques (peu ou pas connus pour le moment) mais aussi à une question de contexte. Il semblerait ainsi qu'un CUPPS soit partie prenante de la sécurité des aéroports, un sujet dont vous avez forcément entendu parler alors que nous célébrons le souvenir du 11 Septembre.

Ainsi, il parait légitime que des enquêteurs s'intéressent à l'éventuelle compromission d'un système qui, s'il est affaibli, peut participer à la création de brèches dans la sécurité : contribuer à rendre plus facile l'accès à certaines zones d'un aéroport par exemple en vue d'une attaque plus complexe (une "APT" dans le réel en fait si mes lecteurs me pardonnent ce trait d'humour douteux).

Rappelons par ailleurs qu'un récent accord indo-américain mettait en avant, par la bande, l'intérêt et le caractère crucial des questions de sécurité pour les indiens. Notons aussi que les tendances récentes relatives à l'outsourcing sont peut-être de natures à pousser les autorités indiennes à être intraitables en matière de sécurité et d'informatique.

Source :

http://www.zdnet.com/blog/india/cbi-believes-cyber-attack-led-to-igi-airports-technical-problems-in-june/710

http://m.indianexpress.com/story_mobile.php?storyid=851365


vendredi 23 septembre 2011

Un nouveau traité avec du cyber !

A l'occasion du soixantième anniversaire de l'ANZUS, un traité de sécurité entre l'Australie et les Etats-Unis signé en 1951, les deux parties ont décidé de l'étendre au domaine de la coopération en matière de lutte informatique.

On ne connait pas encore les détails précis relatifs à ce traité mais on en saura peut-être plus lors de la prochaine visite du Président OBAMA en Australie.

Selon Reuters, c'est le premier accord de défense et de sécurité en-dehors de l'OTAN à intégrer ainsi la dimension "cyber"...Je reste légèrement dubitatif sur cette question eu égard à mes précédents articles sur les accords indo-américains, entre l'Inde et le Kazakhstan et USA-Canada.

Pour en savoir plus sur l'Australie et sa stratégie cyber, n'hésitez pas à vous référer à l'article de Si Vis Pacem publié sur AGS.

Pour en savoir plus sur les stratégies dans le cyberespace, n'hésitez pas à consulter le dernier ouvrage d'Alliance Géostratégique !

Source : http://www.theregister.co.uk/2011/09/15/cyber_crime_anzus/

jeudi 22 septembre 2011

Diginotar en faillite !

Un court billet aujourd'hui pour relayer l'information : l'entreprise Diginotar dont on parlait dans le billet précédent vient de mettre la clé sous la porte.

Comme le fait remarquer Sid, le nombre de boites ayant été définitivement fermées à cause d'une problématique de sécurité demeure rare. L'éditeur de sécurité F-Secure en propose d'ailleurs une liste.

COMODO, qui avait subi des désagrément comparables, semble pourtant toujours se "porter" assez bien.

Considérant l'augmentation de ce type de problèmes, la hausse des contraintes légales et l'attention grandissante qui y est portée, on peut se demander si le nombre de ces entreprises forcées à la faillite n'ira pas en grandissant.

Source : dans le texte

mercredi 21 septembre 2011

Pauvre SSL !

Il faut bien le dire, SSL n'est pas à la fête en ce moment...La compromission de l'autorité de certification DIGINOTAR a en effet fait beaucoup de bruits notamment parce que d'autres compromissions ont déjà eu lieu mais aussi parce que la société fournissait des certificats pour la PKI des autorités hollandaises.

Il semblerait par ailleurs que le hacker, ComodoHacker, qui se soit attaqué à ces entités soit identique...Cela dit, le Net étant ce qu'il est, il est difficile d'affirmer ici quoi que ce soit.

De plus, le "modèle" de sécurité qui existe derrière SSL est souvent remis en question. Un très bon article de Newsoft fait d'ailleurs le point sur cette question.

C'est donc dans un contexte difficile qu'intervient la publication d'une nouvelle information. En effet, une équipe de chercheurs en sécurité aurait réussi à trouver un moyen de décrypter les communications protégées par ce protocole.

Il s'agit d'une attaque tout à fait différente car dans le premier cas (diginotar), il y a usurpation des certificats afin de créer un faux sentiment de sécurité : la victime est persuadé d'aller sur un site de confiance mais, par un moyen tiers, en est détournée. Cependant, le site sur lequel elle arrive présente des similitudes graphiques et la présence du certificat n'alerte ni le navigateur, ni la victime et permet à l'attaquant de récupérer les informations.

Dans ce cas, il s'agit d'un cas potentiellement plus grave car il s'agit de décrypter les communications chiffrées entre un site légitime ET protégé et le navigateur du client. Pour cela, il suffirait d'insérer un bout de code javascript dans le navigateur de la victime ce qui ne parait pas infaisable dans le contexte du moment.

Il s'agit donc d'une attaque sur le fond cryptographique du protocole, ce qui est d'autant plus grave qu'elle n'était jusque-ici que théorique...Cela dit, l'article révèle aussi que si la démo devrait être fonctionnelle, l'implémentation parait tout de même assez difficile car le décryptage requiert du temps. De plus, ce "cheval de Troie cryptographique" semble ne fonctionner que sur la version 1.0 de TLS et pas les versions supérieures (qui sont cependant peu implémentées).

Ces problématiques techniques qui paraissent parfois un peu absconses sont pourtant au coeur des échanges sécurisées et de la confiance sur Internet. Elles ont donc, parfois, des conséquences plus stratégiques que vous pourrez découvrir dans le dernier numéro des cahiers de l'Alliance Géostratégique.

Source : dans le texte

mardi 20 septembre 2011

Une autre agence européenne...

Le 12 septembre, le Conseil Européen a autorisé la création d'une Agence Européenne de gestion opérationnelle des systèmes d'informations.

Cette agence ne remplace pas l'ENISA mais son action possédera un volet SSI prononcé en raison des systèmes dont elle aura la charge : Schengen 2 ou SIS II (qui permet l'échange d'informations entre les polices européennes), le système d'information sur les visas ou VIS (une base de données qui permet aux États membres d'entrer, de mettre à jour et de consulter les visas et les informations biométriques associées, par voie électronique) et le système "Eurodac" (un système informatique permettant de comparer les empreintes digitales des demandeurs d'asile et des immigrants illégaux).

Officiellement installée à Tallinn, capitale estonienne qui accueille également le centre de doctrines de l'OTAN sur la cyberdéfense, son "coeur" opérationnel sera néanmoins à Strasbourg. En cas de problème, un site de secours sera disponible en Autriche.

Cette disposition rappelle la création récente par l'Etat français d'une Direction Interministérielle des SI dont le champ d'application ne recouvre pas celui de l'ANSSI mais qui laisse présager une collaboration future très probable.

De manière similaire, l'Europe dispose déjà de l'ENISA, en Crète et maintenant d'une entité plus opérationnelle.

Pour en savoir plus sur les organisations mises en place en France ou ailleurs, n'hésitez pas à aller lire le CahierN°2 d'AGS consacré aux stratégies dans le cyberespace.



Source :

http://www.lemondeinformatique.fr/actualites/lire-une-agence-pour-gerer-les-systemes-d-informations-de-l-eu-34650.html

lundi 19 septembre 2011

Rentrée littéraire AGS & Teasing...

L'Alliance Géostratégique pense à vous ! Si vous êtes des déçus de la rentrée littéraire, AGS vous propose ainsi son Cahier N°2 consacré aux stratégies dans le cyberespace.

Placé sous la direction conjointe des éclairés et talentueux Ms Dossé et Kempf, cet ouvrage collectif jette un regard décomplexé et sans préconçus sur les stratégies applicables dans le cyberespace. L'auteur de ces lignes a eu le privilège d'y participer au travers de deux articles.

On pourra ainsi y trouver des références à la cybercriminalité mais il n'est pas question de traiter, de manière indépendante ce sujet : il s'agit réellement de se poser des questions sur ce nouvel avatar de la réflexion stratégique...

Afin de vous allécher, chers lecteurs, ce blog se propose d'évoquer rapidement des sujets liés aux articles afin de vous faire palpiter d'une envie d'en savoir plus...L'auteur essaiera de faire vivre ce blog toute la semaine dans ce sens...

Dans un de ses derniers ouvrages, M. Ventre évoque la question de l'attribution (Cyberespace et acteurs du cyberconflit)..En effet, en matière criminelle notamment, l'identification certaine est un pré-requis pour toute poursuite et condamnation...Mais est-elle absolument nécessaire dans le cadre d'autres types d'actions de sécurité et de défense ?

Dans une présentation quelque peu audacieuse, nous avons pu, par exemple, défendre qu'on pouvait avoir une stratégie de représailles à l'aveugle, bien que couverte par exemple par le droit international et des accords particuliers...En l'espère, des ordinateurs impliqués dans des attaques informatiques pourraient alors être des cibles de représailles...Bien évidemment, on trouve très vite des limites à de telles pratiques : si l'ordinateur tiers est utilisé consciemment afin de provoquer des représailles, la situation peut vite devenir inextricable...

Cela dit, la question demeure : la certitude l'identification par le biais de moyens techniques reste un vrai dilemne : quel droit protège-t-on en premier ? La liberté d'échanger ou la liberté de ne pas se faire pirater ?

Les enquêteurs en matière de criminalité informatique semble partager l'avis que souvent, les criminels sont arrêtés pour leurs fautes ou négligences dans le réel. Aussi, peut-être est-ce du côté d'une coopération internationale renforcée qu'il faut chercher...Elle n'est pas non plus sans poser de nombreuses questions...

Afin de continuer à ce sujet, je vous invite donc à consulter le Cahier N°2...

Bonne lecture !

mercredi 14 septembre 2011

La pratique de l'Outsourcing pointée du doigt...

A l'occasion de la publication d'un rapport par le "Intelligence and National Security Alliance’s (INSA) Cyber Council" concernant l'évaluation des menaces dans le milieu cyber, celui-ci dresse un constat assez cinglant à propos de la pratique de l'Outsourcing.

Pratique très à la mode il y a encore quelques années, cette pratique consiste à utiliser des ressources IT (hébergement mais aussi développement...) dans d'autres pays dont la particularité est de disposer d'une ressource humaine de compétence à peu prés équivalente à des coûts moindres.

Bien évidemment, l'Inde a longtemps été une destination de choix pour cette pratique mais il en existe d'autres. Ainsi, on a parfois fait référence à des call-centers hébergés dans les pays d'Afrique du Nord, à destination notamment des usagers pays francophones.

D'une certaine manière, c'est un peu la délocalisation en matière informatique. Mais ce sujet ne constitue pas forcément l'objectif ou la seule conclusion du rapport qui prétend mettre en avant la pratique de la "cyber-intelligence", c'est à dire l'acquisition et le traitement d'informations, notamment à vocations économique ou stratégique, dans le cadre spécifique du cyberespace.

Le rapport débute tout d'abord par une phase de description de l'environnement et des menaces associées. Malgré une vision assez classique, on pourra retenir quelques point intéressants et innovants comme la description d'une vision encore infantile du cyberespace comparée à la vision de la physique dans les années 1800 : bien que nous maîtrisions les aspects sous-jacents et notamment technique, les usages et les voies de développements sont encore méconnus et donc difficilement maîtrisables.

Une des causes en est le développement ininterrompu des technologies et solutions et on en trouverait une preuve dans l'absence d'un langage, vocabulaire ou encore lexique adopté, partagé et intuitivement utilisé par tous.

La question de l'Outsourcing est abordée juste après par une phrase annonçant sans ambages que les Etats-Unis ont utilisé largement l'outsourcing pour des raisons économiques sans prévoir les contrepoids permettant d'en assurer la sécurité. Plus encore, le rapport utilise une comparaison étonnante en déclarant que, au temps de la Guerre Froide, cette pratique aurait consisté à confier à l'URSS l'architecture des ponts, des systèmes de distributions d'électricité et une bonne partie des infrastructures vitales.

Bien que ce point particulier constitue une vision plus rarement mise en avant dans les rapports, la suite de ce document "n'invente pas la poudre" et évoque les menaces et les acteurs classiques avec d'ailleurs quelques approximations : si, dans le texte, les terroristes utilisent le net pour des questions d'organisations, l'importance donnée aux défaçages des sites du Pentagone demeure trop importante.

Au final, le rapport défend une position qui promeut une nouvelle discipline comme évoqué au début de ce billet. S'appuyant sur la description de l'environnement, de la menace, le document évoque également les coûts de la sécurité et l'inutilité d'une forme de "course aux armements" cyber entretenus dans une posture de défense/attaque classique.

Pour répondre à cela, les auteurs préconisent donc d'user de la cyber-intelligence, une forme nouvelle de collecte de données, d'analyse d’événements précurseurs permettant de prévoir et de réagir plus efficacement aux menaces...

Ce rapport est donc intéressant car il apporte quelques nouveautés dans la façon de considérer la menace dans le cyber. Pour autant, il n'évite pas certains écueils comme la dissuasion appliquée au cyber ou une appoche un peu simpliste de la menace.

Dans ces quelques réflexions intéressantes figurent en bonne place une critique de l'outsourcing. Dans le contexte de "cyber-sécurité" que nous connaissons, il est effectivement intéressant de se reposer la question du ration avantage/risque que créent ces actions. Pour autant, il faut aussi considérer que les "fonctions" informatiques des organisations ne semblent plus, depuis quelques temps, donner une priorité à l'outsourcing. Présentée comme la solution miracle pour ses baisses incroyables de coûts, cette délocalisation qui ne dit pas son nom a apporté son lot de problèmes que ce soit au niveau de la culture, des résultats...et bien d'autres éléments peu ou mal anticipés...Le rapport ne témoigne donc pas ici d'une folle originalité.

Source : dans le texte

mardi 13 septembre 2011

Conférence Cybersécurité et Neutralité

A noter le déroulement en ce moment d'une série de conférences aux Etats-Unis portant sur les thèmes indiqués dans le titre. Le bouillonnant député Tardy dont on connait l'implication sur les thèmes du numériques y participe et invite les internautes à poser des questions qu'il transmettra.

Le contenu même du titre révèle un tropisme très politique : la cybersécurité reste malgré tout un domaine très lié à la sécurité des SI voire aux questions de sécurité et de défense tandis que la neutralité est un domaine TRES politique et de gouvernance internet.

Il est possible de consulter le programmer sur le site du Député Tardy. Notons ainsi l'intervention de l'Ambassadeur français dans une série de conférences dont on
se demande quels sont les objectifs.


Source :

http://www.pcinpact.com/actu/news/65660-lionel-tardy-neutralite-cybersecurite.htm

mercredi 7 septembre 2011

Billet de rentrée - Dossier cyberdéfense

Pour ce billet de rentrée, je vous signale la publication par le Ministère de la Défense d'un dossier consacré aux questions de cyberdéfense.

Au-delà de ce dossier, l'auteur de ces lignes a eu le plaisir de voir un des articles, publiés pour Alliance Géostratégique, concernant la terminologie dans le cyber et plus précisément, une tentative de définition internationale.

Evitant les pièges de la confusion avec la guerre, le dossier précise certaines notions-clés comme la difficulté à imputer des attaques par la seule preuve informatique. Rappelant également les grandes catégories d'assaillants, les articles font appel à de très nombreuses sources étayant les propos : Daniel Ventre, Eric Filiol...

Par ailleurs, c'est l'occasion de découvrir la spécificité du ministère de la Défense en matière de SSI et d'organisation LID. Celui-ci, on le rappellera pour les néophytes, disposent d'entités spécifiques, notamment en matière de programmes, de développement mais aussi de veille et de réaction. Les autres ministères, de leur côté, disposent de certaines entités et ressources mais en moindre quantité et respectent les avis et directives de l'ANSSI qui détient ici un rôle très important.

Le dossier n'oublie pas les aspects internationaux et évoque le renforcement de ces capacités chez nos alliés ou ailleurs ou encore les prémisses du développement de ces compétences à un niveau multinational comme le montre l'exemple otanien ou européen.

Bref, c'est une très bonne synthèse qui n'hésite pas à montrer les aspects incertains ou douteux et balaie l'ensemble des problématiques de ce domaine spécifique dont l'importance va grandissante. Un must pour ceux qui, débutants, sont intéressés par ces questions !

A noter également, l'ouverture d'un nouveau fil twitter (@cidrisec) qui remplaçera l'actuel, appelé à fermer très probablement.

Bonne rentrée à tous !