mardi 20 mars 2012

DARPA à l'honneur !


Relativement discrète à l'origine, la DARPA ou Defense Advanced Research Project Agency est une entité de recherche relevant du Department of Défense américain, autrement dit le Ministère de la Défense.

Elle est désormais relativement bien connue du grand public, et dispose même d'un site Internet, pour plusieurs raisons : sa responsabilité dans le processus de genèse de ce qui est aujourd'hui notre Internet, le fait qu'elle soit une entité de pointe dans la recherche et la création de technologies pour les forces armées et enfin, sa capacité et légitimité à penser à des choses que l'on jugerait parfois un peu folles...Mais après tout, comment imaginer un réseau "unique" connectant le globe !

Ces derniers jours ont été l'occasion de parler à nouveau de cette entité, bien évidemment dans le cadre des éléments qui nous intéressent, au travers de deux projets intéressants.

Le premier provient d'un retour d'expérience des opérations militaires menées en Libye : il semblerait qu'à l'origine, des militaires américains aient envisagés de bloquer les systèmes de défense aériens libyens avant le déclenchement des opérations aériennes de l'OTAN. Toutefois, les outils alors en leur possession ne leur aurait pas permis d'agir et de réagir à la vitesse souhaitée : il est évoqué une durée d'un an pour développer un produit susceptible de produire les effets attendus.

Cela n'étonne pas forcément si l'on se rappelle un peu des particularités de Stuxnet : l'adaptation au contexte. La vision de la lutte informatique offensive parait parfois un peu bousculée par les habitudes induites par les intrusions constatées sur Internet notamment au travers d'outils spécialisés et popularisés par certains "script-kiddies". Pour autant, on pourra se rappeler que l'adaptation à une technologie spécifique et un contexte particulier (hors-réseau par exemple) n'est absolument pas évident et demande de très bien connaître la cible pour en déduire ses vulnérabilités et définir des mesures offensives efficaces.

C'est pourquoi il a été décidé, notamment par le sous-secrétaire d'Etat à la Défense, William J. Lynn III ainsi que par un représentant du Joint Chief of Staff d'affecter un budget de 500 millions de dollars à la DARPA.

Parmi les objectifs fixés et en cohérence avec l'analyse très personnelle développée ci-dessus, on retrouve la nécessité de :

- disposer d'outils permettant d'agit de manière conjointe avec les outils des forces armées notamment en termes de temps et d'échelle..

- disposer de programmes de type "fast track" permettant de développer rapidement des outils ayant des effets militaires perceptibles dans une perspective de temps compatibles avec les opérations. La notion de "fast track" étant parfois un peu antinomique avec celle de recherche..

- disposer de moyens pouvant "franchir" les absences de connexion : tous les systèmes de commandement et autres réseaux militaires n'étant pas automatiquement reliés à Internet, bien au contraire (comme le signale l'article).

Ces quelques éléments semblent parfois étonnants car on se demande en effet comment considérer la possibilité d'avoir des actions offensives dans le cyber sans se préoccuper des systèmes militaires que l'on cible et du fait que certains sont potentiellement anciens et pas forcément atteignables par Internet.

Peut-être que le passage au "public" de ces informations démontrent alors un certain niveau de maturité ? Ou que cette décision doit être lié à une perspective de dissuasion globale telle que nous l'évoquons parfois dans ce blog ou avec l'Alliance géostratégique ?

Quoi qu'il en soit, ces informations démontrent une évolution pratique et semble-t-il plus rigoureuse des perspectives d'offensives informatiques que les USA semblent vouloir intégrer dans l'ensemble des moyens militaires disponibles - l'action militaire n'étant ni le renseignement ni les actions confidentielles que l'on peut imaginer.

A noter que la DARPA intervient aussi dans des projets impactant profondément les structures et logiques de sécurité. S'agissant du second projet que nous évoquions ci-dessus, celui-ci s'adresse aux problématiques de mot de passe. Chacun connait le dilemme entre un mot de passe considéré comme "fort ", par exemple "4Foeioj61_é&2Tu" et notre pauvre capacité humaine à le retenir.

Depuis longtemps cependant, des tentatives sont faites pour reconsidérer cela. Certains experts considèrent par exemple que les modalités de conservation, chiffrement et transmission des mots de passe doivent devenir la référence en matière de mesure de la capacité de résistance d'un mot de passe.

L'initiative de la DARPA tend plus à supprimer l'usage du mot de passe en mesurant des caractéristiques humaines personnelles et non imitables comme notre manière de taper un "login" ou un identifiant. Tout cela pourrait être associé à des mesures permanentes du comportement comme l'usage de "leurres" qu'un usager légitime reconnaîtrait comme tel alors qu'un usager non-légitime irait ouvrir et serait reconnu comme tel....Bienvenue à l'ère de l'informatique comportementale !

La DARPA est donc de retour au coeur des enjeux de sécurité et de défense, au moins dans le milieu de l'informatique, avec deux informations qui démontrent peut-être qu'elle ne l'a jamais quitté ! Ces innovations, en particulier sur la notion d'outils militaires informatiques, sont également révélateurs d'une tendance plus marquée que, jusqu'ici, l'on pouvait considérer plus "fantasmée" que réellement matérialisée.

Sources :



1 commentaire:

  1. Plusieurs remarques, en vrac et "ouvertes" :
    - Très intéressant, ton aperçu sur l'informatique comportementale : as-tu déjà publié dessus ?
    - Sur la temporalité requise pour "attaquer" : cela semble prouver qu'on fabrique une arme en fonction de la cible, ce qui nécessite "anticipation".
    - DU coup : y a-t-il une arme cyber "absolue" ? je renvoie d’ailleurs à la nouvelle du retrovirus japonais, présenté comme universel : est-ce possible ?
    - conséquence stratégique : le modèle de dissuasion (même à l’intérieur du seul cyberespace, et sans même considérer son interaction avec les autres espaces stratégiques) est-il possible,si non seulement la question de l'attribution pose difficulté, mais qu'en plus celle de la réactivité de la riposte pose aussi problème ?
    - Dernière question : une des "défense" ne consiste-t-elle pas justement à isoler les système (soit par non connexion physique à Internet, soit par décalage générationnel, soit par toute autre mesure) ? Bref, la privatisation des réseaux comme rempart premier dans une stratégie générale de défense (tout comme le château médiéval est d'abord entouré de douves qui le séparent de l'extérieur, sans même parler de l'épaisseur et de la hauteur de ses murs ni de sa structure en plusieurs cercles concentriques autour du donjon).
    égéa

    RépondreSupprimer