mardi 31 janvier 2012

Classement McAfee /SDA des pays les plus "cybersécurisé"




Un rapport publié par Security & Defense Agenda avec le concours de McAfee propose à son tour un classement des pays en fonctions de leur capacité de résistance aux cyber-attaques.

Pour se faire, le rapport établit une note composée "d'étoiles" se basant sur divers critères comme "l'hygiène informatique", l'usage moyens des technologies de sécurité des réseaux, l'existence de stratégie ou encore l'existence de standards évolués de sécurité. Le rapport évalue également cette propension à créer un écosystème de sécurité en observant aussi la dépendance à Internet des pays. On trouve enfin des critères comme l'existence d'un ou plusieurs CERTs, notamment à vocation nationale, et la participation aux communautés formelles ou non de ces entités.

De manière tout à fait intéressante, le rapport octroie ses meilleurs étoiles (4 et demi) aux pays suivants : Finlande, Israël et Suède. L'Allemagne et la France se voient notés à 4 étoiles, ce qui les place relativement bien. Parmi les points pénalisants pour la France, le fait que les petites structures ne soient pas forcément capable d'intégrer les principes de sécurité : elle remplit cependant nombre de critères qui la place dans les pays de tête.

Dans un article précédent, on faisait référence à un autre classement qui mettait les USA, l'Australie et la Grande-bretagne dans les premiers. Ici, ils héritent respectivement de 4, 3,5 et 4 étoiles, ce qui ne les place plus dans le peloton de tête.

D'autres acteurs connus comme la Chine et la Russie doivent se satisfaire de 3 points bien que le rapport reconnaisse des lacunes dans leurs capacités à mesurer réellement la réalité.

Parmi les explications, il est avancé que le facteur déterminant dans la réussite à créer un écosystème de sécurité et des mesures efficaces est notamment la petite taille du pays.

Celui-ci, lorsqu'il recueille la meilleure note, est alors profondément dépendant à Internet mais également très avancé dans la conduite du partenariat public-privé. Par exemple, en Israël, l'intervention du gouvernement semble particulièrement importante et sévère en cas de manquement.

La Finlande semble également avoir une tradition de ce type de rapport, hérité de son modèle social et culturel. Elle semble également ne pas faire mystère de ses capacités d'attaque comme le souligne le rapport, critère qui n'apporte pas, dans le cas de la Chine et de la Russie, des "étoiles" en supplément.

Bien que le rapport laisse un peu dubitatif sur les capacités à générer des critères et objectifs de mesure efficaces et parlants - on trouve surtout des résultats d'entretiens - dans les paragraphes relatifs aux pays, la conclusion donne à réfléchir. En effet, alors qu'on apprend à peine que le Département de l'Energie aux Etats-Unis met en place un centre dédié à la sécurité (Joint Cybersecurity Coordination Center), on en vient à se demander si la taille ne fait pas tout à l'affaire.

En effet, alors que l'on évoque souvent le caractère très évolutif et la dissymétrie entre les capacités et la "mobilité" des attaquants (technique, géographique...), les "poids lourds" que sont les grands pays, sujet à des complexité administrative, pourraient avoir plus de difficulté à évoluer.

Comme souvent, de tels classement sont sujets à caution et doivent être interprétés avec prudence. Il n'en demeure pas moins que l'idée suggérée en conclusion demeure intéressante.

Source :

jeudi 19 janvier 2012

Sécurité privée et actions policières

L'actualité récente a largement évoquée le cas KoobFace, un malware dont la propagation s'appuyait largement sur Facebook dont il a fait d'ailleurs d'un anagramme en guise de nom.

La communauté de chercheurs en sécurité s'est notamment mobilisée et a permis de porter de sévères coups à l'organisation qui gérait le malware, notamment en publiant des noms, photos et en divulguant tout cela le plus largement possible.

Notons cependant que les auteurs ne seraient pas pour le moment inquiétés en Russie...Cette problématique de l'inaction des responsables policiers et judiciaires n'est pas automatiquement imputable à une forme de faiblesse coupable des services Russes. On la rencontre aussi dans d'autres pays comme la Roumanie où l'on évoque clairement une "hacker town"...On m'objectera, avec raison, que les pays de l'ex-urss possèdent suffisamment de points communs pour que ce ne soit qu'une question de regards détournés par les responsables de ces pays.

Peut-être..mais nous pouvons aussi penser que le mal est plus profond et il est connu : en l'absence d'autorité légitime et reconnue comme telle, il est très difficile de faire appliquer des lois et réglements qui parfois n'existent pas ou encore sont inapplicables car stoppés par les frontières. Un problème classique au sujet d'Internet.

On peut ici faire un parallèle avec le cas de la piraterie aux alentours de la Corne de l'Afrique et de la Mer Rouge...Les carences des états abritant les pirates mais également les problématiques de liberté des espaces maritimes ont conduit à des solutions diverses. Par exemple, en France, il a été décidé de collaborer avec les armateurs privés afin de former des EPE (équipe de protection embarquée), des militaires à bords de bateaux privés.

La problématique ici était notamment d'éviter l'embrasement de la situation et des scénarios sordides voire pire causés par des équipes de sécurité privées mais ne respectant que partiellement les classiques règles d'engagement ou plus généralement, les modes de comportement que s'imposent les forces militaires étatiques. Un choix pourtant fait par d'autres pays mais refusés en France.

Et pourtant, dans le domaine de l'Internet, on constate que c'est exactement cela qui vient de se passer. Dans un article récent, on peut apprendre comment Facebook, victime du malware également qui s'appuyait sur ses services, a sévi contre l'organisation et ses serveurs C&C afin d'en arrêter la propagation et d'en limiter les effets.

S'il est dit que le géant devrait partager les résultats de ses actions avec des services officielles, il n'est mentionné nul part qu'il y a eu coopération ou même autorisation. Pourtant, cela n'est pas du domaine de l'impossible car il y a quelques mois, le FBI s'attaquait fermement à un malware de manière similaire, avec toutefois tout l'encadrement juridique voulu.

La question que l'on peut alors se poser est la dérive de capacité de sécurité orientées vers l'offensive et conduisant à des formes de guerres larvées perpétuelles sur le Net. D'aucuns diraient que c'est déjà le cas. Sans doute...Mais que cela améliore globalement le niveau de sécurité et apporte une réelle valeur ajoutée me laisse profondément dubitatif : force doit rester à la loi et à ses représentants sous peine de tout y perdre...

Cela nécessite sans doute de profonds changements dans les modes de relations entre états mais un acteur privé agissant ainsi, qui plus est de son propre chef (pour autant qu'on le sache) parait une dérive à terme dangereuse.


Source : dans le texte

lundi 16 janvier 2012

Cyber Power Index

Une initiative intéressante du cabinet de consultants Booz Hallen Hamilton est disponible en ligne. Il s'agit d'un classement des pays "puissances du cyber" si l'on prend une certaine liberté avec la traduction.

L'idée, qui n'est pas nouvelle, consiste à proposer un index et un classement des pays disposant de capacités réelle dans le cyberespace. Pour proposer une mesure relativement objective, le classement s'appuie sur ce qui semble être une sorte d'analyse risque-pays.

Fréquemment utilisé dans le domaine des assurances par exemple, ce type d'approche permet de "noter" (eh oui...sans doute un peu comme une agence de notation) un pays et d'estimer le niveau de risque qu'il présente afin, par exemple, de déduire les montants d'une police d'assurance si on veut y faire des affaires et s'assurer.

Notons quelques points qui paraissent ici intéressants pour l'auteur :

=> un peu de fierté tout d'abord avec une 6ème place intéressante pour la France. Comme on a pu le faire remarquer précédemment, les efforts de la France sont parfois difficilement perceptibles car le secret demeure marqué. Néanmoins, avec une poste marquée depuis le Livre Blanc de 2008 et de récents efforts autour de l'ANSSI notamment (mais pas uniquement si l'on regarde les lois de dépense pour l'année à venir), ces éléments ont été retenus par le cabinet.

=> les 3 premiers pays sont anglo-saxons, avec dans l'ordre : Grande-Bretagne, USA et Australie suivi du Canada et de l'Allemagne

=> Il est très intéressant de s'intéresser assez précisément aux données utilisées pour attribuer les notes. Celles-ci sont réparties en 4 catégories :

- Environnement juridique et régulation qui s'intéresse à l'engagement du gouvernement et les plans numériques, de cyberdéfense etc etc...
- Le contexte social et économique : innovation, situation du marché informatique...
- L'infrastructure technique : accès et qualité des accès au cyberespace incluant la téléphonie mobile mais aussi les serveurs dits sécurisés
- Importance au sein des industries : à quel point les NTICs imprègnent les autres industries y compris la défense, la finance ou l'énergie.

Malgré des critères très globaux et intéressants, laissons-nous aller à quelques critiques. Tout d'abord, la qualification de "sécurisé" est appliqué à un serveur si celui-ci utilise du chiffrement pour les échanges sur Internet. Si l'on parle de SSL (et j'ai tendance à penser que c'est cela), on se relira avec profit des articles récents.

Continuons avec le classement des premiers : non seulement, on se souviendra que la Grande-Bretagne était plus connue récemment pour ses pertes fréquentes et en grande quantité de données mais tous les articles récents relatifs aux Etats-Unis montrent aussi des grandes faiblesses en matière de sécurité et quelques récents scandales également comme le cas Wikileaks...

Certains articles sont également intéressants dans leur interprétation du classement et donne quelques clés de compréhensions supplémentaires.

Vous l'aurez compris, ce classement prône une vision assez orientée des choses (ex. l'usage d'une Smart Grid...) mais apporte une quantité d'informations relatives aux critères choisis qui sont particulièrement intéressantes.

Notons également que cette notion de "puissance numérique" bien qu'elle ne soit pas réellement nouvelle, demeure toujours intéressante à étudier et comprendre, notamment lorsque l'approche est particulière, comme c'est le cas ici.

Source : dans le texte

vendredi 13 janvier 2012

Profil de hacktiviste à tendance radicale

Un article intéressant de Foreign Affairs s'intéresse aux profils des "jihadistes" que l'on trouve notamment sur les forums. Parmi eux, l'article s'est visiblement intéressé à une frange parmi les plus agressive, de ceux qui ont servi à une radicalisation progressive puis plus active et enfin réelle de certains acteurs. Ainsi, lors des arrestations, on se rendait compte que de nombreux jihadistes avait un passé commun au sein de ces réseaux.

De manière un peu ironique, l'article se demande ce qui pousse ces acteurs, qui ne se radicalisent pas forcément dans la réalité, à participer et à passer de très nombreuses heures sur ces forums et y participer très activement. En effet s'interroge l'article, quel est l'intérêt de ces acteurs alors qu'ils ne sont pas payés et passent leur temps à poster des liens des vidéos et liens et à réagir sur les articles des autres ?

Certaines explications avançaient l'argument de la psychologique spécifique, et violente, du terroriste en puissance tandis que d'autres arguaient d'un hypothétique caractère violent et intrinsèque à l'Islam. Toutefois, il existe d'autres explications.

Ainsi, selon d'autres chercheurs, la passion, le temps investi et les modes d'échanges, de débats et de relations ne sont pas sans rappeler d'autres types d'échanges sur Internet. Allant plus loin, l'auteur émet l'hypothèse que les "trolls", les compétitions entre joueurs, et autres sujets très débattus se situent dans un mode de relation et d'échange identique.

Une des causes serait l'effet de compétition qu'offre, par exemple, les jeux en ligne mais également tous les éléments agrémentant la participation d'une récompense : notoriété, réputation, score, hiérarchie au sein des forums etc etc...Dénommé "gamification", ce type de relation ou d'expérience sociale s'inscrit dans un cadre qui privilégie la compétition à l'amusement et détourne parfois l'échange de son but premier.

Ainsi, de nombreux forums de type "islamistes" ont implémenté ce système de gains de points, conçus comme permettant de discriminer entre le bon et le mauvais message. D'autres semblent avoir conçu leur système comme trop facile car la réputation n'inspire pas confiance. Or, sur le web, et dans tout système décentralisé et en absence de référence "absolue", le recours à la réputation permet de distinguer entre le légitime et l'illégitime.

L'article conclu sur l'exemple spécifique d'un recruteur de ces réseaux qui aurait échangé avec nombre d'auteurs d'actions terroristes (fusillade Fort Hood, bombe à Times Square...) et qui aurait bénéficié de cet effet de "gamification" et de compétition pour la notoriété.

Cet article apporte un regard assez innovant, que je ne connaissais pas, sur la radicalisation sur le web et ses mécanismes. Comme toute approche de nature sociologique, elle n'est pas évidente à confirmer mais mérite d'être réfléchie. Une meilleure connaissance des ressorts de ces phénomènes constitue aussi un bon moyen d'y trouver des parades.

Source : dans le texte

jeudi 12 janvier 2012

Renouveau dans la gouvernance ?

Inutile de le nier, le rôle des gouvernements et autres forces étatiques dans le cyberespace ne cesse de croître. Cet aspect était évoqué dans plusieurs articles précédents et on peut simplement le constater par la croissance de la production de texte relatifs à ces aspects et qui dépassent le strict cadre de la sécurité. Ainsi, la majorité des doctrines ou stratégies émises se réserve le droit d'intervenir ou considère les processus de la gouvernance comme un point d'attention.

Le rôle prépondérant et spécifique des Etats-Unis au sein de la gouvernance a fait débat et demeure controversé. Toutefois, il faut accorder une forme de succès, peut-être en demi-teinte, à la gouvernance : elle continue d'exister et elle assure certains services importants. Ainsi, du côté de l'ICANN, on peut considérer que certains cadre juridiques ou pratiques économiques se sont améliorés. Du côté de l'IETF, la production des standards a permis des évolutions, en cours et ont concouru à l'amélioration de la sécurité...Notez que la difficulté réside notamment dans la multiplicité et le grand nombre des acteurs et que l'Internet demeure malgré tout et encore "UN".

Ce rôle, comme nous le disions, est pourtant remis en cause au sein même du gouvernement. Ainsi, Larry Strickling, sous-secrétaire d'Etat au Commerce pour la Communication et l'Information, l'organisme de contact principal de la gouvernance, affirme que le rôle trop fort des états dans ces processus serait de nature à bouleverser l'équilibre et le rendre inefficace à l'avenir.

Allant plus loin, il ajoute que selon lui, un Internet contraint par un traité de droit international perdrait toute l'attractivité qui a permis aux innovateurs d'en développer les différents aspects et qu'un contrôle accru serait une forme de mort de l'innovation et conduirait le système à stagner.

Promouvant également l'approche "multi-stakeholder", pour multi-partenaires au sein de la gouvernance, une approche en vigueur depuis plusieurs années, cette déclaration et cette vision semble être assez nouvelle dans l'administration américaine. Elle parait également être partagée par plusieurs ministères car le représentant à l'OCDE des Etats-Unis défendait pour sa part des principes généraux, non réduits à des politiques étatiques simples ou des accords internationaux, de nature à permettre le développement d'un Internet libre.

Cette évolution de ton correspond également à une thématique de l'internet comme outil de liberté mise en exergue par les révolutions arabes et les contraintes imposées par des régimes dictatoriaux. Pour autant, l'administration américaine peut également avoir plusieurs actions et se constituer comme un froid joueur d'échecs : ce discours n'empêche pas la conduite d'opérations offensives ou les actions d'influence, y compris par le monde privé, des standards et pratiques de la gouvernance.

Un sujet à évaluer dans le temps..

Source :

Vol de numéros bancaires et atteintes scada en Israël

Conformément à un des commentaires publiés suite à un de mes articles, il semblerait que les vols des numéros de carte bleue soit imputable à très peu d'individus (peut-être un seul) qui plus est, fort éloigné de la zone en question.

Le contexte demeure toutefois empreint de tensions entre les déclarations "cyberterroristes" des officiels et les affrontements, par web interposé et dans la réalité, avec certaines factions palestiniennes.

Dans ce même environnement d'affrontement, un affilié du collectif Anonymous et antisec a publié une liste sur Pastebin. Selon eux, cela permettrait d’accéder à des systèmes de type SCADA dont la criticité a été maintes fois évoqué sur ce blog (encore récemment dans les commentaires) et dans le milieu de la SSI.

Source: dans le texte

mercredi 11 janvier 2012

Des innovations en structures de sécurité

On ne pourra désormais plus dire que les fondements d'Internet ne sont plus sécurisés. En effet, l'arrivée de DNSSEC est désormais bien ancrée dans la réalité et devrait apporter un plus indéniable en matière de sécurité.

Qu'est-ce que le DNS ?

Le DNS est tout à la fois un système, une organisation et une technologie...En ce qui concerne la partie système, elle repose sur une technologie associant les adresses numériques de vos machines et serveurs (les IP) à un nom de domaine. Lorsque vous demandez "www.google.fr", il vous est indiqué une adresse comme 209.85.135.147 (pas contrôlée).

Considérant que, peu ou prou, une large majorité d'applications utilisent le DNS pour leur fonctionnement, ce système est au coeur d'Internet...Il a malheureusement connu un certain nombre d'attaques et se sont ainsi révélées plusieurs vulnérabilités. C'est le cas de la fameuse "faille Kaminsky".

Celle-ci a, parmi d'autres raisons, pousser à l'adoption d'un standard nouveau, DNSSEC pour DNS sécurisé, utilisant des mécanismes de signature cryptographique. Ces mécanismes assurent notamment une chaîne de confiance dans les réponses qui sont données lorsque un navigateur interroge un serveur DNS.

Relativement complexe à mettre en oeuvre, elle est pourtant une recommandation de plus en plus suivi puisque Comcast, un des grands fournisseurs américains a annoncé avoir procédé à la signature d'un nombre important de ses domaines (+ de 5000)...Cela représente un progrés certains dans l'évolution de l'infrastructure de sécurité du Net.

A noter également que la problématique de la sécurité de la Smart Grid, le réseau "intelligent" et évolué de distribution d'électricité aux Etats-Unis connait un renouveau. Après que la majorité des acteurs ait exprimé des craintes sur la sécurité, une étape vient d'être franchie.

Il s'agit d'un projet mené avec le secteur privé et désirant aboutir à la création d'un modèle de sécurité, et de mesures de la sécurité, adapté à cette problématique spécifique. Dénommé "Electric Sector Cybersecurity Risk Management Maturity", ce modèle pourrait apporter quelques innovations intéressantes en matière de mesures de la sécurité et d'évolution.

Notons, tout de même, que le secteur de la sécurité semble se poser beaucoup de questions actuellement en remettant en cause, par exemple, certaines approches, organisations et autres normes de la SSI. C'est un des axes traités par nos soins (avec le blog ami Si-Vis) dans notre chronique sur AGS.

Des sujets qui montrent donc une certaine évolution, à suivre toutefois, avec un oeil critique.

Source : dans le texte

mardi 10 janvier 2012

Physionomie de lutte informatique

Deux messages intéressants ont suscité de l'intérêt chez votre serviteur. Tout d'abord, une analyse du blog de sécurité d'OBS qui évoque une forme de loi du Tallion dans le domaine de la lutte informatique et des échanges de "horions numériques".

L'auteur, sans s'en rendre compte, évoque une forme d'organisation des acteurs hostiles et pratiquant une forme de violence sur Internet car, pour pratiquer la loi du Tallion, il faut une organisation sociale. Un rapide retour historique nous rappelle que les luttes et vengeances d'un âge bien antérieur au nôtre ont trouvé dans ce code la première forme de justice sociale. Et c'est bien dans un texte de loi que l'on en retrouve une des premières expression (Code d'Hamourabi). C'est, il faut bien s'en rendre compte, une forme d'organisation qui est tout à fait contraire à l'anarchie à laquelle on l'assimile parfois.

Cette forme d'organisation que j'évoquais dans un post précédent possède, à mon sens, une structure sociale certaine. Pour ma part, j'y vois quelques chose de bien plus clair, déterminé et volontariste, quand l'auteur n'y voit que des échanges violents...J'en veux notamment pour preuve un article de l'excellent D. Danchev, spécialiste des arcanes de la cybercriminalité qui détaille justement une de ces organisations. Il y démonte ainsi une partie de la structure d'un des vers particulièrement actif, Koobface.

Je trouve aussi très intéressant certains termes employés dans ce message. En particulier : riposte proportionnée à l'agression, la tentation de "tirer les premiers", frappes offensives au titre de la dissuasion...

Tout cela n'est pas sans rappeler, pour ceux qui apprécient le domaine, les thèmes, logiques et approches de la dissuasion dans ses différents aspects et progressions que l'on identifie lorsqu'on effectue une approche un peu historique de la chose.

Assisterait-on à une progression de l'idée de la dissuasion globale intégrant le cyberespace, comme nous en évoquions l'idée dans un interview il y a quelques jours ?

Source : dans le texte

lundi 9 janvier 2012

Du nouveau...et de l'ancien en SSI

Un petit post sécurité pour revenir à certaines matières qui me plaisent aussi beaucoup. Bien que dédié aux questions plutôt doctrinales et stratégiques, l'auteur se commet parfois sur des posts relatifs à la sécurité.

J'en profite pour rappeler que le flux twitter @cidrisec est disponible et remplace l'ancien, appelé à disparaître. Et je remercie également tous ceux qui ont eu la bonté de s'y abonner et de lire mes quelques élucubrations.

Quelques informations presque classiques peuvent appeler quelques commentaires :

- tout d'abord, divers établissements financiers israéliens auraient subi une suite d'attaque permettant de dérober de nombreux (6000 au moins selon les articles) numéros de carte bancaire. Notons que certains responsables font une glissade potentiellement dangereuse en accusant les ressorts du terrorisme d'avoir perpétré cette attaque. N'est-il pas parfois dangereux d'être aussi certains des motivations des acteurs : l'action qui s'ensuit est alors orientée alors qu'ici, c'est peut-être simplement une question d'opportunité et de "gros sous".

- je signale l'excellent article, à mon sens, paru sur le blog Orange Business Sécurité. Ce message rappelle quelques vulnérabilités intéressantes de la fonctionnalité VLAN - Virtual LAN ou encore réseau virtuel - offerte par certains équipements informatiques de réseaux (switchs). Pour les plus néophytes, ces appareils offrent des fonctionnalités d'accès aux réseaux et d'interconnexions (en théorie, au sein d'un même réseau).

La "mode" et les avantages indéniables de la virtualisation (souplesse, économies) ont aussi participé à la popularité croissante de ce type d'outils...Effectivement, il est connu que ce type d'outils sont très utilisés au sein des entreprises spécialisées en hébergement et fournitures de services informatiques.

L'idée est la suivante : un "LAN" est le réseau sur lequel se situe par exemple votre poste de travail ou votre ordinateur personnel, derrière la "box"...Ce réseau est dit "local", parfois "privé" et n'accède pas directement à l'internet par exemple. Il s'oppose justement au WAN, les réseaux étendu ou large comme peut l'être Internet.

Créer un VLAN sur un équipement réseau, c'est créer un LAN virtuel que l'on distinguera des autres par l'attribution de ports (les prises réseau) spécifiques (c'est le cas dans l'exemple de l'article) : le port 1 et 3 sont dans le VLAN 1 et le 2 et 4 dans le VLAN 2...

Il existe d'autres manières de distinguer des VLAN sur les équipements, par exemple, en leur attribuant un numéro que les équipements connectés devront "présenter" lors des échanges avec cet équipement : celui-ci prendra garde à ne pas mélanger les informations numérotées en fonction justement de ce numéro...

Pour autant, tout cela diminue, comme le montre l'article, le niveau de sécurité par rapport au bon vieux LAN disposant de ses câbles et équipements dédiés. Ainsi, l'intégrité et la confidentialité des informations sont susceptibles d'être menacées en autorisant des VLAN différents à échanger. La disponibilité peut être impactée car si un équipement "tombe", l'ensemble des LAN (virtuels) qu'ils hébergent ne sont plus servis.


Assisterait-on à une forme de pratique des attaques bien plus organisées encore, et peut-on imaginer une forme de tactique, ou de stratégie au choix, des acteurs malveillants consistant à s'attaquer à tous les producteurs de sécurité afin de mieux percer leurs failles et celles de leurs produits ?

On se rappellera des attaques menées contre RSA qui auraient ensuite permis de mener des attaques sur des entités utilisant leur système de sécurité.

Une tendance à suivre...

Source : dans le texte

vendredi 6 janvier 2012

Budget "cyber" du Pentagone

Le budget américain pour la Défense a été présenté jeudi par le biais d'un document stratégique précisant des orientations fortes dans un contexte assez pressant de réduction des dépenses. Ainsi, il est envisagé une réduction d'environ 490 milliards sur une période de 10 ans.

Malgré tout, les USA resteront le pays le mieux dotés en matières de budgets de la défense car une statistique semble affirmer que leur budget demeurera supérieure aux budgets cumulés des 10 puissances suivantes.

Toutefois, comme c'est parfois le cas outre-atlantique, les documents et textes officiels relatifs aux budgets contiennent des informations intéressantes. Ainsi l'on peut apprendre que tout le monde ne sera pas perdant dans ces coupes budgétaires. Au contraire, les domaines du renseignement et de la cyber-sécurité/défense verront leurs budgets augmenter.

Avec un budget de 3.2 milliard de dollars pour 2012 uniquement et consacré strictement aux domaines de la cyber-sécurité, le secteur peut s'avérer satisfait. Et cela ne semble pas s'arrêter là.

En effet, comme on l'évoquait récemment pour le cas du Japon, il semblerait que la vision de l'offensive informatique trouve sa place dans les textes émis. Le document qui établit ainsi les autorisations de dépense budgétaires pour les USA prévoiraient ainsi un ensemble de mesures élargissant les prérogatives américaines dans la lutte pour la protection des réseaux.

Toujours selon le texte de loi, ce type d'action resterait strictement encadrée et notamment soumis aux décisions du Président ainsi qu'aux lois de la guerre et celles du War Powers Resolution.

Il est intéressant de constater que ce type d'action, qui sort du strict cadre de l'action de services de sécurité et de renseignement pour entrer dans le domaine de l'action militaire plus classique, deviendra peut-être une des "tendances" pour 2012 comme l'hacktivisme l'a été pour 2011.

Source : dans le texte

jeudi 5 janvier 2012

Des satellites pour hacker

Une information intéressante relayée ici et là et qui fait l'actualité depuis la dernière conférence du CCC. Il s'agit d'un projet initié par plusieurs hackers et consistant à développer un réseau de satellites construits et gérés par des groupes de hackers dans le but, notamment mais pas que, de fournir des réseaux de secours en cas de perturbation de quelque nature que ce soit : politique, climatique...

Ce projet est lié à un autre, également relatif aux problématiques spatiales et aéronautiques dénommé "Constellation". Ce projet, pré-existant, a notamment pour objectif de mener des études de manières distribuées en utilisant, pour quelques moments, une partie de la puissance de calcul de vos ordinateurs.

Pour 2034, le groupe se fixe le projet ambitieux de "déposer" un hacker sur la Lune. Il n'est pas fourni cependant de date de lancement de la "flotte" de satellites. De même, on en sait peu sur les moyens financiers et autres.

Il n'en demeure pas moins que ce sujet est intéressant car il illustre une fois de plus la volonté et la nouvelle forme de "pouvoir" que sont les hacktivistes et hackers idéalistes de toute sorte. Bien sûr, pour le moment, cela semble plutôt prêter à rire car la transition dans la réalité des capacités online très importantes de ces hackers laissent dubitatifs. N'oublions cependant pas qu'Internet, bien que basé sur une technologie développée et récupérée par des militaires, a démarré avec une bande de chercheurs dans des universités..Cet esprit de créativité est donc tout à fait cohérent avec cette mouvance.

On ne parlera pas des conséquences du fait qu'il existerait alors des réseaux tout à fait libre, contrôlés par des individus dont les opinions libertaires et parfois naïves sont de nature à constituer un terreau fertile pour des gens moins bien intentionnés.

Pour ceux qui souhaiteraient en savoir plus, un fil twitter existe ainsi qu'une mailing-list.

Source :


mercredi 4 janvier 2012

Virus Japonais...Info ou intox ?

L'information relayée par plusieurs sources est assez intéressante : les autorités japonaises développeraient, à des fins de sécurité et de défense, des outils de lutte informatique offensives parfois appelées "virus" dans certaines sources.

La construction de ces outils ferait suite à des multiples attaques informatiques visant à dérober des secrets au sein des conglomérats japonais dont une des caractéristiques est d'avoir de multiples activités dont des programmes pour la défense japonaise.

Rappelons également que le Japon est contraint par sa constitution, elle-même prenant sa source dans une histoire bien connue, à des forces d'auto-défense, avec une nuance forte par rapport à nos armées et leurs modalités d'action. Toutefois, cela ne contraint pas leurs capacités technologiques et les forces d'auto-défense maritime japonaise ne sont absolument pas négligeables : je vous invite à lire l'article sur les rivalités avec la marine chinoise.

Cette limitation n'empêche pas les japonaise de participer aux opérations internationales comme celles menées en Irak ou en Afghanistan avec un rôle non-combattant cependant.

Toutes ces limitations peuvent peut-être en partie expliquer l'interdiction qui est faite de développer des virus et autres outils malveillants. Les sources ne précisent cependant pas si l'interdiction ainsi faite incombe aux acteurs classiques, à tous les acteurs ou alors aux acteurs militaires.

Cette distinction est importante car il semblerait que le virus ait été développé par une entreprise privée dans le cadre de contrats avec les autorités japonaises. Sujet particulièrement sensible, il semble que jusqu'à maintenant, ce soit surtout des services bien particuliers des états qui soient engagés dans la réalisation de ce type d'outils. Notons bien qu'à ce sujet, on ne connait pourtant pas forcément grand chose si ce n'est que la prérogative de l'offensive au plan international demeure clairement régalienne.

Considérant la réticence habituelle des états à s'engager officiellement sur un sujet qui présente de nombreuses incertitudes, c'est ici une nouveauté que d'en voir une déclaration quasi-officielle, même si elle est indirecte : c'est le cas lorsque les responsables nippons déclarent souhaiter faire évoluer la loi pour permettre l'utilisation de tels outils.

Enfin, on notera que les comparaisons avec Stuxnet sont un peu "osées" car le contexte parait bien différent :

- l'objectif des outils développés semble être pour le moment de mener des "contre-attaques" afin d'identifier puis de neutraliser les sources identifiables des attaques. On n'est pas dans l'offensif "pur" avec un objectif à priori clair et unique.

- la reconnaissance officielle de quoi que ce soit à son sujet n'a jamais eu lieu même indirectement, à mon sens.

- L'attribution à un quelconque gouvernement est loin d'être certaine : on a pu lire tout à ce sujet et notamment la quasi-totalité des pays possédant éventuellement ce genre de capacités ont été pointés du doigt.

"Info" plutôt qu' "intox" donc pour cette "innovation" japonaise qui présente des caractéristiques méritant de s'y attarder.

Source :


mardi 3 janvier 2012

Meilleurs voeux 2012 & SSI

En ce début d'année, je souhaite adresse à tous mes lecteurs mes meilleurs voeux pour 2012 !

Commençons donc bien l'année avec la continuité de la chronique initiée avec le blog ami Si-Vis Pacem relative aux problématiques de la démarche SSI telle que nous avons pu la connaître dans différentes organisations.



Notre objectif est de tenter d'appréhender les principales difficultés de cette démarche et de proposer, éventuellement, quelques idées ou principes permettant de déroger à des habitudes qui n'ont pas montré une réelle efficacité.

N'hésitez donc pas à réagir et surtout à proposer vos idées et retours d'expérience si vous le souhaitez. Car nous le savons tous, s'il est relativement aisé d'établir un constat, il est plus dur d'en dénicher les racines (ce que nous tentons de faire) et d'évoluer vers une meilleure pratique.

Bonne lecture et bonne année à tous !