vendredi 22 juin 2012

Émergence d'un Cyber-système

Dans un article récent, il nous était donné l'occasion de constater les prémisses de la construction d'une logique de dissuasion plus globale appuyée par quelques faits et sortant de la théorie. Dans la continuité de cette démarche, une analyse transversale de plusieurs éléments semble permettre d'évoquer la création d'un cyber-système. 

Que peut-on entendre par là ? Passionné d'analyse stratégique, la tendance de l'auteur est généralement de représenter les situations, phénomènes en fonction des acteurs, de leurs capacités, de leurs objectifs. L'interaction entre leurs capacités (ou pouvoirs) et leurs objectifs, avec les autres acteurs, est alors très révélateur de la logique interne à l'objet observé.

L'hypothèse ici est le développement d'une dimension du système international intégrant pleinement, et non pas de manière indirecte ou inavouée, le "cyber-espace" et ses affrontements spécifiques ou ses logiques propres. Ce que j'appelle le cyber-système afin de simplifier et en l'absence de meilleur terme.

L'objectif n'étant pas ici de prouver cette existence mais d'en évoquer la création, nous nous bornerons à évoquer quelques faits que la lecture et la veille auront permis de centraliser.

De manière générale, la construction d'un tel système international n'est pas une idée nouvelle mais bien une tendance observable depuis sans doute quelques années. La compréhension des intérêts par les états et de l'importance du cyberespace a su faire évoluer les pratiques. C'est donc par l'émergence de l'état et des "sociétés" d'état que l'on pourra constater cette émergence.

Voyons plutôt !

Notons tout d'abord des appels de plus en plus fréquents à des "cyber-traité" : Bruce Schneier, praticien reconnu de la cryptographie puis de la sécurité informatique, appelle ainsi dans un article récent, qui a su créer un certain buzz, à l'émergence de tels ententes entre états.

Reconnaissant que se déroule une course aux armements informatiques, il analyse la capacité de celle-ci à déstabiliser et à rendre plus dangereux le cyber-espace, et au-delà, le système international dans lequel nous visons. Sa réponse se trouve dans un traité international qui reconnaîtra tout à la fois la menace, les tendances en plaidant pour le développement de négociations qui tendront à rendre moins certain le basculement vers la militarisation du cyber-espace.

Il est également possible d'observer la formation de "blocs" ou de sous-systèmes d'acteurs présentant des intérêts communs bien que divergents sur le long-terme. Ainsi, les Etats-Unis apparaissent parfois bien seul tant par leur niveau d'influence disproportionné (par rapport aux autres pays) sur Internet par l'intermédiaire de l'ICANN que par leurs capacités militaires. Bien que soutenu, en théorie, par les autres pays "occidentaux", des divergences peuvent apparaître et nous y reviendrons.

Parmi les autres blocs, la Chine, la Russie et les pays émergents sont également considérables. Leurs initiatives multiples en sont la preuve. Ainsi, dans une brillante analyse en 4 articles, M. Mueller mettait en avant l'évolution de l'Union International des Télécommunications, sa prise de position sur la cyber-sécurité et la volonté de ses membres de renforcer les "pouvoirs" de l'Etat par le biais de diverses propositions de ses Etats-membres traduisant notamment l'influence de ces états. Ainsi, plusieurs états arabe, inquiets du passage par Israël de leur flux de communications, aurait influencé une proposition visant à permettre à un Etat d'ordonner des régulations sur le routage de ces communications en vue de les protéger.

Ces états ne s'arrêtent pourtant pas là : ainsi une récente proposition réalisée par un universitaire et un industriel chinois, au sein de l'IETF, proposait la création d'un niveau supplémentaire entre la racine et les TLSs. Ces "Internet Autonomes" permettrait à un pays A de créer son propre "google" par exemple, ainsi qu'à un pays B sous la forme suivante : www.google.com.A. et www.google.com.B.

Une analyse quelque peu ironique de cette proposition, d'un point de vue technique, ne permet pas d'écarter le "signal" que constitue une telle proposition.

Enfin, les dialogues bilatéraux ou multilatéraux ne cessent pas. Comme en témoigne l'article de M. Segal, les discussions entre chinois et américains ne sont pas aisés mais persistent ! En particulier, et comme pour donner raison à l'analyse de M. Schneier, la Chine semble quelque peu "refroidie" par les dernières révélations sur les Stuxnet, Duqu et Flame qui mettent en cause le gouvernement américain. De leur côté, les Etats-Unis n'ont de cesse de réclamer la fin d'un coûteux espionnage industriel.

Que serait une dimension du système international sans l'ONU ? Celle-ci est bien présente, ne serait-ce que par l'UIT que l'on a déjà évoqué. Mais si la logique de blocs a pu persister depuis 1998, avec par exemple, la proposition d'un code de conduite en 2011 par la Russie, la Chine et des pays d'Asie Centrale, il semble qu'une évolution soit en train de naître.

Ainsi, et nous l'évoquions ci-dessus, le "bloc" occidental n'est pas "lisse" comme en témoigne la proposition par plusieurs pays d'une série de recommandations adressée au Secrétaire Général de l'Organisation. Parmi ces pays : United States, Belarus, Brazil, Britain, China, Estonia, France, Germany, India, Israel, Italy, Qatar, Russia, South Africa and South Korea.

La notion de "bloc" utilisée ici peut paraître maladroite : elle vise à marquer les esprits en mettant en avant la radicalisation de certains acteurs passant d'une prudence à des positions bien plus marquées. Cette évolution constitue pour nous, comme dans le cas de la dissuasion, le marqueur du passage à une vision du cyberespace et de la place de l'état en son sein. Comme toujours, une attention continue devra être mise en oeuvre pour saisir les tendances.

Source : dans le texte

mercredi 20 juin 2012

Guide sur la Cybersécurité des systèmes industriels

L'ANSSI publie un ensemble de documents, constitués d'un guide et d'un cas pratique sur la sécurité des systèmes industriels. 

Ce cas particulier, parfois évoqué sous le vocable SCADA, est lié aux systèmes informatiques qui permettent de contrôler et de commander des processus industriels et les composants. Dans certains cas, ils sont particulièrement critiques et appellent donc à une protection renforcée.

Il est à noter qu'un des enjeux récents est le glissement d'une série de systèmes et normes informatiques et de réseaux sui generis vers un monde informatique classique, presque "bureautique", mais continuant à gérer de tels processus.

Une source à lire attentivement pour tous les responsables informatiques, notamment en milieux industriels.

Source :

http://www.ssi.gouv.fr/fr/anssi/publications/communiques-de-presse/l-anssi-publie-un-guide-sur-la-cybersecurite-des-systemes-industriels.html

vendredi 15 juin 2012

Liste des nouveaux domaines internet potentiels

L'ICANN vient de publier la liste des nouveaux TLD : Top-Level Domains de nature "générique" qui doivent pouvoir continuer le processus d'élargissement des domaines. 

Ces "gTLD" s'opposent au "ccTLD" que l'on connait bien pour être des représentants des pays ".fr, .de". Au contraire de ces derniers et comme le signale l'article, les domaines génériques sont au nombre de 22 actuellement (contre 280 pour les autres).

Associés à ces domaines potentiels, les porteurs des projets devront prouver leur capacité à entrer dans le fonctionnement de l'ICANN en particulier lors de la suite du processus. Toutefois, certains d'entre eux (.security ou encore .sex) ont été déposés par plusieurs organisations et il faudra donc trancher.

D'autres comme le ".DOCS" font l'objet d'un projet déposé à la fois par Google et Microsoft. Google et Microsoft ont également déposé chacun un domaine en référence à leurs outils : Bing ou Android ou encore Windows.

Source :

mardi 12 juin 2012

L'Inde développe sa LIO ou comment la cyber-dissuasion évolue !

Le contexte est décidément propice aux démonstrations de capacités. C'est en tout cas ce que l'on pourrait penser à la lecture des articles affirmant que l'Inde n'hésiterait plus à développer des capacités offensives dans le domaine informatique.

La révélation, par le New York Times, des fruits de leurs investigations tendrait à prouver une responsabilité du Président américain B. Obama dans le développement des Stuxnet, Duqu et autres Flame. Ces informations, vraies ou non, ont provoqué, et c'est une analyse toute personnelle, une vraie modification des rapports de force dans la logique des affrontements entre états sur Internet.

Évoquons un instant la dissuasion. Il est vrai qu'elle semble à de nombreux experts tout à la fois un référentiel improbable autant qu'une réalité technique impossible. Des articles récents cependant, dont certains produits par AGS proposent une évolution d'un modèle figé par l'arme nucléaire.

Or, s'il semble un fait acquis que l'arme nucléaire a participé à une réduction drastique des conflits de grande ampleur, il semble pertinent de penser que des conflits de nature parfois très violentes persistent, même sous des formes bien différentes. Avisé lecteur, tu songes au "terrorisme" et aux divers modes d'action que l'on rencontre dans un monde qualifié de moins en moins sur et tu rencontres ici ma pensée.

Mais le fait de la lutte informatique participe aussi des actes de conflits, même si sa "violence" directe n'est pas toujours immédiatement mesurable. Et c'est précisément ce manque de certitudes et ces errements qui engendrent, à mon sens, une prudence bien naturelle. 

D'aucun pourrait dire que les autorités ou les entités pouvant exercer ce type d'actions (privées ou publiques d'ailleurs) sont dissuadées d'une plus grande publicité et d'actions volontaires en la matière. Le manque d'information incitant naturellement à une plus grande prudence, au moins oratoire, associée aux renforcements de la sécurité - un discours très en vogue - et à des tests divers et variés.

Or, ces éléments sont bien réels : la discrétion sur les capacités offensives n'est pas illusoire, le discours volontariste sur la sécurité non plus et les exercices sont fréquents. Pourtant, l'article du NYC pourrait bien changer les choses.

En effet, si l'on peut affirmer dorénavant que les Etat-Unis sont capables de telles actions, le contexte qui dissuadait les acteurs de se prononcer et les poussait à la discrétion est bouleversé. On peut d'ailleurs observer que ces révélations pourraient faire partie d'un choix délibéré de modifier profondément les logiques actuelles pour les remplacer par une approche plus ouverte. 

Une transparence accrue sur le développement de ces capacités serait d'ailleurs constitutif d'un rapprochement avec les logiques de dissuasion et pourrait aboutir à la rédaction d'accords internationaux que l'on plusieurs fois évoqué. Notons par ailleurs que les Etats-Unis disposent maintenant d'une expérience réelle de ce type d'actions et surtout des erreurs commises. La publicité autour des malwares en question en est une mais on trouve également trace dans les projets récents de la DARPA autour des processus accélérés de développements de produits offensifs.

Enfin, notons les annonces d'emploi publiées par la NSA ces derniers temps et qui ne font plus mystère de l'offensif.

L'ensemble des éléments tendent à dessiner une évolution profonde dans le monde de la lutte informatique en particulier entre états. Cette évolution vers une affirmation des capacités offensives pourrait être analysée uniquement comme une radicalisation des positions, ce qui semble tout à fait possible. Elle peut aussi être vue comme une forme alternative de dissuasion, plus proche des modèles connus et conçue comme un objectif à long-terme où les instruments classiques de la diplomatie pourraient également être utilisés évacuant également les questions d'attributions des attaques.

Comment s'étonner alors que l'Inde renforce ses capacités offensives !

Source :