mardi 30 octobre 2012

Pourquoi j'aime la LID...

La LID pour Lutte Informatique Défensive et son corollaire plus sulfureux, la LIO (offensive) n'est ni sexy ni glamour ni...anglo-saxon. Tout le contraire du "cyber"...

J'ai fait le test : http://willusingtheprefixcybermakemelooklikeanidiot.com/ ...et effectivement, vu que je ne suis pas un auteur de science-fiction ou autre, l'emploi systématique du préfixe n'est pas approprié. Pour une saine qualité des propos tenus sur vos blogs, j'encourage tous les auteurs s'étant approprié ce sujet à faire également le test.

Vous l'avez deviné, cet article sera un billet d'humeur comme ce blog en a déjà vu quelques uns. Notons par ailleurs que je ne suis pas le seul : dans un récent article, Stéphane Bortzmeyer relevait quelques incohérences sur le sujet. Ce n'est pas non plus le premier article que je commets sur le sujet.

J'aime la LID parce que c'est "vrai"...

C'est une notion assez claire et qui ne préjuge de rien. C'est informatique, certes, c'est défensif ou offensif (on tape en premier ou où se protège) et puis la lutte, ça nous connait nous autres gaulois. D'ailleurs, ça pourrait même parler d'information si l'on voulait vraiment.

Deux raisons essentielles ont contribué à la création de cet article : le premier est l'usage sans commune mesure du terme sans une certaine retenue que l'on observait encore parfois. Le second est, corrélativement à l'inflation du sujet dans les médias spécialisés ou non, la profusion de nouveaux experts qui traitent ce sujet comme il traiterait n'importe quoi. 

De vagues questions demeurent parfois : faut-il comprendre la technique pour se permettre une analyse cyber ? Non, savoir éplucher les pommes de terre est suffisant, c'est d'ailleurs évident.

Après tout, c'est vrai que nous n'avons pas travaillé pendant plusieurs années pour acquérir une connaissance et des compétences sur le sujet. Verrait-on un expert en sécurité se mêler de géopolitiques ? Verrait-on un informaticien donner des conseils à un expert en droit international ? Je ne le crois pas mais visiblement l'inverse est possible.

"Charité ordonnée commence par soi-même" dit le proverbe. En avant pour l'auto-critique : il suffit de lire le titre de ce blog ou encore certains de mes récents articles. Je ne suis pas le dernier à utiliser ce fameux préfixe ou encore à formuler d'obscures hypothèses sur la nature du "milieu" ou que sais-je encore. Pour ma défense, Votre Honneur (encore un anglicisme..), une meilleure compréhension du message pouvait être une nécessité et induire des simplifications.

J'aime la LID parce que c'est simple...

Par exemple, ça ne préjuge pas de l'identité ou de la nature d'un domaine, d'un milieu ou encore d'une somme de technologies. Car après tout, quels travaux géopolitiques ou encore sociologiques ont-ils démontré qu'Internet était un "espace", ou encore un "milieu"...

Comme le disait Einstein : "Les choses devraient être faites aussi simples que possible, mais pas plus simples". D'ailleurs, n'hésitez pas à lire cet article du New-York Times : un émérite professeur y rappelle les problématiques de confiance inhérentes aux modèles informatiques actuels et ses solutions...D'ailleurs, il ne parle pas beaucoup de "cyber" mais bien plus de sa rencontre avec le célèbre scientifique.

Alors oui, nous usons parfois de simplifications afin de ne pas brouiller le message. Mais lorsqu'on se permet de simplifier, c'est parce que l'on maîtrise suffisamment un sujet pour mesurer les écarts que l'on comprend la légitimité des travers qu'imposent les sujets.

Et puis, à force d'écouter ces prétendus experts, ce que l'on ne fait pas, c'est élever le niveau de sécurité, former des gens, renforcer des organisations, se rappeler qu'on a des compétences et qu'on avait des industries, sensibiliser, rappeler et parfois même punir.

Enfin, un autre test pour ceux qui doutent encore : si parler "cyber" ne fait pas un expert, comment les distinguer ? C'est assez simple : il suffit de demander à chaque "expert" de refaire son discours sans jamais utiliser cette simplification, de conserver le même niveau de détail et le même apport de savoir...Et vous verrez assez vite à qui vous avez affaire.

J'aime la LID parce qu'au fond, c'est assez pratique

Comme ce n'est pas vraiment connoté ou marqué, ça n'empêche pas de réfléchir "stratégique". Même si on préférera une bonne vision globale, ça ne coupe pas des fondamentaux.

Par exemple, on peut faire de la sécurité informatique dans la LID, on peut également faire de la sécurité des informations ou de la SSI si on le souhaite.

On peut également analyser les évènements dans le détail tout en essayant de discerner des tendances globales : l'usage d'une technologie, la marque d'un groupuscule, l'implication d'un ou de plusieurs Etats...

Alors, de grâce, cessons d'entretenir la Peur, le Doute et l'Incertitude (traduction libre du FUD) en accolant du "cyber" à chaque discours. Et si ce n'était pas la rigueur intellectuelle, ce serait pour la langue française pour qui ce n'est même pas un mot !


Source :

dans le texte

lundi 29 octobre 2012

Inflation de cyber incidents ?

Ou plutôt d'exercices visant à améliorer les capacités d'intervention et de coordination. 

La preuve en est apportée par l'Enisa qui publie un rapport dont les résultats sont issus d'une analyse de la plupart des exercices nationaux ou internationaux conduit entre 2002 et 2012.


Quelques fait intéressants que révèlent l'analyse :

- 64% des exercices sont volontiers internationaux en impliquant plus de 10 pays différents
- 57% des exercices font intervenir tant des acteurs publics que privés
- 74% des exercices conduits ont également une stratégie de communication, favorisant la sensibilisation du public (ou le FUD selon les opinions)

Le rapport en profite pour établir plusieurs recommandations parmi lesquelles la nécessité d'impliquer l'ensemble des acteurs, la conduite d'exercices à la complexité croissante et la nécessité de mettre en oeuvre des mécanismes d'apprentissage par retour d'expérience.

L'Enisa est ainsi "dans le vent" puisque plusieurs acteurs importants dans les différentes crises de sécurité informatique ont également été présents ces derniers jours. 

En particulier, les Etats-Unis et le Canada ont lancé un Joint Cybersecurity Plan soutenu conjointement par le Department of Homeland Security et le Public Safety Canada. Ce plan doit, selon les dirigeants, mettre en oeuvre un meilleur partage de l'information ainsi que des pratiques renforcées de coopération ainsi que des échanges de bonnes pratiques.

Enfin, l'Iran s'est également illustré récemment avec l'annonce d'un document dédiée à la "cyber-sécurité" dont la publication intervient pendant une semaine d’exercices dédiées à la défense passive. L'information que nous devons au blog E-conflict, est également importante par son contenue. La stratégie retenue se voudrait essentiellement défensive voire dissuasive.

Des exercices de nature "cyber" seront d'ailleurs menés pour la première fois par ce pays durant cette semaine spécifique. On se souviendra évidemment du cas Stuxnet qui avait mis l'Iran et son programme nucléaire au cœur de l'attention.

La conduite de ce type d'exercices est intéressant car comme on peut le voir, elle fait essentiellement intervenir des acteurs et des concepts associés au monde de la "sécurité" ou de la "sureté". L'approche stratégique récente (Livre Blanc 2008) marquait une fusion du monde sécurité et du monde défense en insistant sur les complémentarités : le cas iranien tend à illustrer ce fait. Pour autant, il semblerait que le monde anglo-saxon s'en éloigne puisque ce sont bien des acteurs de sécurité intérieure qui agissent aux Etats-Unis et au Canada. On rappellera d'ailleurs que malgré des appels pressants, les Etats-Unis semblent persister à diviser les domaines de responsabilités et à contenir NSA et Cyber-Command aux strictes nécessités de la conduite d'opérations militaires.

Source :

http://www.enisa.europa.eu/media/press-releases/the-anatomy-of-national-and-international-cyber-security-exercises-new-report-by-the-eu-cyber-security-agency-enisa

http://www.securityweek.com/us-canada-launch-joint-cybersecurity-plan

http://presstv.com/detail/2012/10/24/268414/iran-will-hold-firstever-cyber-drills/

http://french.irib.ir/info/iran-actualite/item/220878-le-nouveau-document-strat%C3%A9gique-de-la-cyber-d%C3%A9fense-iranien-sera-d%C3%A9voil%C3%A9

mardi 16 octobre 2012

Le cyberespace est-il "espace" ?

Observateur depuis quelques temps de l'évolution des moeurs et des modes d'affrontements sur Internet ou dans le cyberespace, il semble se produire récemment des évolutions notables. Ce que l'on appelle parfois des "signaux faibles" semblent apparaître ça et là.

Le discours de Léon Panetta prononcé récemment est ainsi instructif : celui-ci évoque de manière directe à la fois le besoins de maîtriser les aspects offensifs pour mieux les comprendre mais également le fait de disposer d'une capacité déjà fortement structurée. Comme si tout cela concourrait à la mise en place d'une forme de "dissuasion", le patron de la NSA et du Cyber-Command, le Général Keith Alexander évoquait tout aussi récemment le développement de ces capacités.

On retiendra ainsi 3 points qui me paraissent essentiels :

- le discours désormais dénué de "langue de bois" qui décrit l'existence de capacités offensives. Rappelons le contexte législatif problématique du moment où les acteurs sont en attente d'arbitrages au sein des institutions parlementaires avant la nouvelle loi relative à la "cyber-sécurité ;

- bien que généralement l'on repousse la "dissuasion" comme une forme de stratégie applicable au cyberespace, il est bon de se souvenir que dissuader un acteur de commettre une action ne passe pas forcément par un missile nucléaire. Avertir ou montrer ses muscles est également une partie du processus : chaque enfant dans une cour d'école pourra vous le démontrer. La concomitance de ces discours n'est pas sans lien avec l'affirmation d'une forme de "puissance" dans ce domaine ;

- enfin, un aspect interpelle dans le discours de M. Panetta : sa confiance dans la capacité des Etats-Unis à localiser les acteurs d'attaques informatiques et de leur appliquer les traitements et punitions liés à leurs actions. Ceci a de quoi interpeller car jusqu'ici, la notion d'invisibilité sur Internet et l'impossibilité d'imputer formellement constituait une donnée structurante.

Bien évidemment, l'on sait depuis longtemps qu'il est possible de retrouver des responsables d'actes délictueux ou des attaquants informatiques, surtout lorsque les flux sont surveillés. Il demeurait toutefois relativement acquis qu'un attaquant motivé, intelligent et disposant de quelques moyens pouvait assez facilement demeurer dans l'ombre.

Info ou intox ?...Une affaire à suivre !

Mais l'évolution ne s'arrête pas là. Après avoir insisté sur la nature "géographique" et spatiale du..cyberespace, il semble que cela ne suffise plus. On ne compte plus aujourd'hui les articles, mémoires et autres opinions faisant d'Internet un nouvel espace de bataille, à l'égal des autres (sans doute aussi sur ce blog).

On prédisait même une évolution du domaine comme on a pu le voir sur mer puis dans les airs. C'était oublier une donnée fondamentale : air, mer ou terre sont des données fortement exogènes à l'homme. Les propriétés physique des espaces aériens et maritimes sont des données constantes et stables , pré-existantes à l'humain.

A contrario, Internet ou le "cyberespace" est un espace construit, non seulement physiquement et techniquement par l'homme. Il est également construit car on a souhaité lui donner du sens et des particularisme, le qualifier et identifier des caractéristiques. Il demeure pourtant un "espace" instable, mouvant et très évolutif sous la pression des technologies et des usages.

Ainsi, le très célèbre M. Libicki produit-il un récent article dont le titre suffit : "Cyberspace Is Not a Warfighting Domain" !...et l'on trouve dans la citation d'introduction des réflexions parallèles à celles évoquées plus haut.

Autre élément : une publication évoquait dernièrement les difficultés rencontrées par l'Air Force dans l'usage de la définition du cyberespace. Pour les non-familiers, il est bon de rappeler que cette composante de l'armée américaine avait rajouté le cyberespace dans sa devise qui incluait l'air, l'espace et bientôt le cyber ! C'est dire si la confusion jouait déjà à plein.

Aujourd'hui, cette approche, matérialisée dans une doctrine semble poser de nombreux problèmes notamment au niveau des moyens à mettre en oeuvre obligeant ainsi les responsables à faire évoluer leur vision.

C'est ainsi : le cyberespace qui était autrefois Internet se modifie. Il n'est pas constant, il n'est pas "fini" et peut évoluer de mille manières. Sa compréhension technique est un atout indispensable à l'analyste qui devra aussi saisir la notion d'usage et l'inter-pénétration avec la société. En matière stratégique, il doit visiblement être redéfini : c'est un besoin qui semble impératif à plusieurs acteurs et qui devra être attentivement suivi.

Source :

dans le texte

vendredi 5 octobre 2012

Cyber Europe 2012...quelle profondeur ?

L'ENISA, l'agence européenne chargée des questions de sécurité des systèmes d'informations a réuni hier prés de 300 personnes dans la conduite d'un exercice de lutte informatique. Un précédent opus de cet exercice avait réuni en 2010 plusieurs participants.

Au-delà du chiffre des 300 professionnels de la sécurité, quelques éléments sont intéressants :

- 4 pays étaient invités en tant qu'observateurs et 25 pays ont directement participé, ce qui est relativement intéressant pour l'Europe actuelle.

- plus de 1000 incidents impliquant un volet "cyber" ont été joués et traités par les participants.

- le secteur public européen n'était pas le seul contrairement à 2010 semble-t-il. Des acteurs de la finance, des fournisseurs d'accès ou de services sur Internet ou encore des acteurs du eGovernement étaient également impliqués.

Trois objectifs ont été retenus pour cet exercice qui s'inscrivait dans un cadre général impliquant un important déni de service sur des infrastructures et des services importants. Selon le scénario, le DDOS retenu aurait pour capacité d'ennuyer sérieusement des millions de citoyens. Une forme étendue de ce qui a pu se passer en Estonie donc.

Les 3 objectifs de l'exercice :

- Mesurer l'efficacité et la capacité des mécanismes et procédures d'échanges et de réactions actuelles notamment en matière de flux d'information en cas de crise

- Analyser les capacités de coopération entre le privé et le public

- Identifier les marges de progression dans la gestion européenne des crises "cyber"

Ce type d'exercice demeure largement fictif car "sur-table" mais toujours intéressant. La participation d'acteurs privés est un facteur de réalisme et de crédibilité. L'aspect déni de service pose question car on peut se demander si les attaques actuelles sont bien représentées par cette méthode. Toutefois, peu de détails sont livrés et on reste un peu sur notre faim.

Une remarque finale : après tout, ce type d'attaque n'est-il pas un des rares, voire le seul, à faire intervenir officiellement des représentants de gestion de crise par pays ? En effet, une attaque plus intrusive de type "APT" dont l'objectif pourrait être l'espionnage ferait-elle l'objet d'une communication entre états ?

Source :




mercredi 3 octobre 2012

SHA-2 est mort ? Vive SHA-3...

Pas tout à fait ! Toutefois, le NIST, l'organisme américain vient de révéler que l'algorithme Keccak venait de remporter le concours menant à la décision de lui octroyer la grande responsabilité de devenir le SHA-3 et donc, de fait, un standard. 

C'est l'occasion de revenir sur les impacts stratégiques potentiels de ces décisions...

Quelques précisions préalables pour les lecteurs non-techniciens. La famille des SHA est une famille de procédés cryptographiques permettant d'assurer des fonctions de hachage (c'est le terme retenu en français). Le terme SHA signifie d'ailleurs "Secure Hash Algorithm".

De tels outils sont utilisés pour calculer l'empreinte unique de données et sont souvent utilisées en cryptographie et en informatique pour s'assurer de l'intégrité d'une donnée envoyée : l'expéditeur expédie l'information et son empreinte et le destinataire calcule, avec la même méthode, l'empreinte de la donnée. Si elle est identique, cela permet de s'assurer qu'elle n'a pas été modifiée : la signature électronique est un bon d'exemple d'usage sécurisé de cette propriété.

Ce type d'outils est également utilisé pour la conservation des mots de passe sur nos ordinateurs. Une fois le mot de passe entré, l'ordinateur applique la méthode et conserve l'empreinte. Celle-ci sera comparée à celle qui sera issue du même calcul appliqué au mot de passe fourni lors d'une connexion ultérieure. Si les deux sont identiques pour un identifiant d'accès commun, alors l'authentification est un succès.

Ces outils sont donc des méthodes si l'on peut dire qui illustrent déjà des aspects intéressants :

- ces méthodes s'appuient sur des propriétés indispensables : pas de collision (deux données différentes ne doivent pas avoir la même empreinte) et souvent l'absence de capacité à "remonter" à la donnée initiale à partir de l'empreinte. Ces propriétés sont trouvées dans les mathématiques, par exemples en utilisant des fonctions mathématiques : l'injection par exemple (rappelez-vous vos cours de maths !)

Les vulnérabilités identifiées dans les précédentes fonctions de hachage sont parfois dûes à des problématiques de méthodes. C'est bien souvent une méthode trop "faible" qui est en cause.

-  ces algorithmes doivent ensuite être implémentés dans des logiciels qui seront effectivement utilisées par nos ordinateurs. C'est également un facteur de vulnérabilité car le logiciel utilisant la méthode peut faire l'objet de ses vulnérabilités propres. C'est le cas le plus fréquent.

Le NIST est donc un organisme de standardisation américain dont un équivalent français est l'AFNOR. Son objectif est donc la sélection et la production de standard au travers d'une procédure, ici une "compétition". SHA-3 est donc le nom du standard utilisant l'algorithme Keccak (qui n'est pas une danse balinaise).

La compétition fait donc intervenir de nombreuses équipes (dont une française au moins) dont les produits seront examinés. J'avoue ne pas bien connaître les détails sur la compétition et les critères désignant les vainqueurs et perdants.

Pour autant, doit-on en conclure que l'adoption d'un nouveau standard est imputable à des faiblesses identifiées dans le précédent ?

Et bien, non, absolument pas...Le précédent SHA-2, qui est en fait une famille de protocoles, a été proposé par la NSA et n'a pas fait l'objet de vulnérabilités inhérentes à sa méthode. Des implémentations se sont cependant montrées vulnérables. SHA-1 a également été proposé par la NSA mais il a depuis été possible de produire des collisions et ce avec une difficulté décroissante depuis plusieurs années.

SHA-3 est annoncé comme très intéressant par les auteurs en ce qui utilise une approche rapidement différente de son prédécesseur. Une attaque réussie sur SHA-2 n'aurait donc pas d'effet car la version 3 n'est pas une "simple" amélioration.

Quelques remarques maintenant :

- ces algorithmes ne sont pas les seuls mais une fois adoptés par le NIST, possède une "force" de par leur statut de standard qui leur donne une visibilité importante. De fait, l'adoption et l'usage en masse leur confère une importance que l'on ne peut écarter ;

- le développement, jusqu'ici par la NSA, est un sujet délicat. Le fait que SHA-1 se soit montré vulnérable ne doit pas forcément être compris comme le fait que la vulnérabilité était voulue. De nombreux chercheurs et acteurs observent à la loupe ce type d'outils et communiquent sur les résultats. Il demeure cependant vrai que le temps nécessaire et la complexité inhérente à la découverte de ces failles est sans commune mesure avec celui qui la connaîtrait déjà ;

On peut également songer à la question suivante : vaut-il mieux posséder un standard relativement robuste que l'on protège presque autant que lui-même sert à protéger les données (une forme de sécurité par l'obscurité) ou un standard régulièrement éprouvé ? 

- c'est également l'occasion de donner à des entités, publiques ou privées, américaines une position renforcée associée à des avantages économiques certains ;

- il est enfin possible d'analyser le fait que le NIST la promulgation d'un nouveau standard alors que l'ancien demeure fiable comme un souhait de conserver une maîtrise technologique. Si l'on considère la première remarque, celui qui demeure l'autorité officielle de désignation des standards continue à posséder une autorité incontestable ;

Cette information, anodine en apparence, est l'occasion de revenir sur la puissance de la norme et son influence. Le cas des standards de cryptographie est encore plus intéressant car il appelle la notion du secret et de la sécurité. En guise de conclusion, on pourra réfléchir à la question suivante : dans l'avenir, devrions-nous préférer une norme française ou une norme chinoise, ou encore russe ?

Source :




mardi 2 octobre 2012

La cyber-défense se fait étriller...

Une fois n'est pas coutume, un article analytique très intéressant développe une thèse selon laquelle les systèmes actuels de cyber-défense américains et européens ne sont absolument pas adaptés aux menaces du moment. Ce billet aura pour but d'en exposer les principaux arguments :

Ainsi, Chris C. Demchak reproche-t-elle aux entités comme le Cyber Command de perpétrer une vision trop militaro-centrée qui répondrait par exemple à des pratiques agressives que l'on pourrait observer dans une guerre déclarée. Cette situation ne serait ainsi pas propre à développer une capacité de résilience face aux attaques informatiques modernes.


Si le fait de confier le poste de chef du cyber-command et directeur de la NSA à un seul individu semble apporter un gain de compétences et de ressources, l'auteur trouve que les restrictions légales empêchant par exemple la NSA d'apporter son aide ou ses compétences aux domaines civils n'est pas souhaitable. Selon elle, c'est priver l'ensemble des secteurs critiques d'une aide précieuse que le DHS ne peut prétendre aujourd'hui apporter.

La séparation des rôles étant pour elle une forme de relique de la guerre froide, il prétend au contraire que dans un monde interconnecté au sein duquel la porosité des frontières est patente, cela ne peut suffire. De plus, l'action de la criminalité organisée tend à poser autant de problèmes que les menaces étatiques et profiter de telles organisations.

Du côté européen, l'auteur analyse nos dispositifs  comme une suite d'actions nationales  à vocation économiques essentiellement : il s'agit de protéger nos intérêts économiques en s'appuyant sur l'acteur majeur du secteur, le FAI. Selon elle, une telle approche qui sous-estime également la transnationalité de cette forme de criminalité est un facteur d'échec.

Elle retient enfin 9 attitudes ou critères permettant d'éclairer ces manquements :

- une analyse trop tournée vers le conflit inter-étatique qui empêche de prendre en comptes les attaques actuelles et ses effets dramatiques sur notre système "socio-technical-economic";

- nous séparons trop la résilience des perturbations notamment dans l'analyse et l'affectation des ressources ;

- trop d'importance est donnée aux systèmes militaires, gouvernementaux ou critiques (du secteur privé) au détriment des secteurs et systèmes ayant un rôle prépondérant dans le bon fonctionnement de nos économies ;

- nous sous-estimons la "puissance" de la criminalité ;

- trop d'investissements sont faits afin de renforcer un système qui est par sa conception non propice à la sécurité (j'en parlais ici) au lien de renforcer les bases, notamment de l'internet ;

- l'approche de la sécurité est encore trop technique, ignorant les interactions entre humain et technologique, en particulier les comportements qui tendent à rechercher les failles d'un système ;

- le coût de la résilience ou des perturbations ne sont envisagés qu'à court terme et ignore les impacts de long-terme, créant des vulnérabilités exploitables par un adversaire déterminé ;

- il y a trop peu d'investissement dans la formation, la connaissance et le capital humain de la cybersécurité. En particulier, les intérêts décidant des priorités de formation sont trop liés à des priorités économiques de court-terme ;

- l'usage de l'approche par les risques ou par l'assurance contre les effets de la réalisation de ces risques au lieu d'une approche intégrée multinationale encourage les attaquants à cibler de multiples états ;

Cette analyse très tranchée de l'organisation de la cyberdéfense présente de nombreux aspects intéressants, en particulier sur la séparation des acteurs et des périmètres de responsabilité ou encore les démarches logiques utilisées dans l'analyses des menaces ou enfin sur le manque de maîtrise du système dans son état actuel.

Au contraire, certains aspects sont tout à fait ignorés comme par exemple le fait que les restrictions imposées à la NSA peuvent provenir d'un souhait de protéger les libertés individuelles. Quant à certains aspects, ils demeurent parfois nébuleux. Enfin, on s'interroge sur les indicateurs utilisés pour affirmer que la criminalité est moins prise en compte que l'action sur les système dits "stratégiques" par d'autres états.

Ce texte demeure toutefois très éclairant et pourra utilement nourrir toute réflexion ultérieure sur la construction de capacités de "cyber-défense".


Source :