Cyberdissuasion à la mode Pentagone !

Avec un peu de retard, je m'attaque à l'analyse des propos tenus par le sous-secrétaire à la défense, William J. Lynn III, dans un article paru dans le journal spécialisé Foreign Affairs.

N'ayant pas lu l'intégralité de l'article, je me base sur ce qui est rapporté par les autres analystes. Malheureusement, le matériau n'est pas de première fraicheur mais on s'en contentera.

La démarche de communication du sous-secrétaire va de pair avec la conception et la mise au point d'une "stratégie" concernant exclusivement le cyberespace. Autrement dit, une forme de Livre Blanc de la "Cybersécurité" Nationale.

Quoi de neuf ici ?

Tout d'abord, une révélation assez surprenante sur laquelle on ne s'étendra pas : l'infection virale de 2008 et les fuites d'informations connexes. Selon les propos tenus par le sous-secrétaire à la Défense, la cause première est à relier à une clé USB infectée et aux efforts d'un service étranger de renseignement.

Cela renforce effectivement les tenants d'une sécurité du Poste de Travail plus drastique, oblitérant l'usage des périphériques et médias amovibles, justifiée par des conditions de travail particulières comme on en rencontre dans les milieux de la défense.

Cela laisse également songeur sur le niveau réel de protection des réseaux et administrations américaines alors que la sécurité et la défense sont parmi les points d'intérêts majeurs des Etats-Unis.

Autre point nouveau, l'approche résolument "offensive". L'approche du cyberespace reste très "paranoïaque" et décrit Internet presque comme "l'air que l'on respire" en même temps qu'un nouvel espace d'affrontement quasi-territorialisé aux côtés de la Mer, de l'Air, de l'Espace et de la Terre.

Cela permet ainsi d'avoir une approche relativement agressive et Lynn affirme ainsi que le Cyber Command et les différentes entités chargées de la cybersécurité ont développé différentes capacités d'interventions "violentes" dans le domaine. Il est donc aujourd'hui avéré que ces entités ont, ou auront rapidement, un réel pouvoir d'action offensif dans le cyberespace même si la préoccupation des effets collatéraux, notamment sur le commerce et la vie économique, reste une problématique majeure.


Ce qui n'est pas nouveau

=> la territorialisation du cyberespace comme ce blog l'a régulièrement signalé. Pour ma part, je doute un peu de cette doctrine mais l'avenir sera sans doute le meilleur arbitre.

=> l'approche globale renforçant le partenariat public-privé et l'intégration de l'industriel et du concepteur dans une approche "défense civile". On peut ici regretter que la vision française paraisse encore (pour ce que je peux en voir) encore trop basée sur une relation client-industriel. L'industriel restant dans son paradigme traditionnel de gains économiques et l'armée en positionnement de client, la défense globale ne bénéficie pas forcément de cette approche.

Ainsi, par exemple, la domination de Windows ou le manque d'intérêt pour la diversité logiciels et/ou l'interopérabilité "par le haut" ne paraissent pas forcément trouver des échos favorables. Seul la Gendarmerie ou le Parlement dispose pour le moment de solutions intégrées basées sur le logiciel libre...

Quelques doutes qui sont les miens et une vision uniquement basée sur de l'information publique. A relativiser donc !

Ce qui est contestable

Pour conclure sur l'approche de cette stratégie, on retiendra l'exemple de la dissuasion à la sauce "cyber".

De nombreux articles et essais ont tenté d'adapter le concept à Internet et au "cyberespace" afin de bénéficier de ses effets négatifs : baisse du niveau de conflictualité, très forte baisse du risque de confrontation globale, maintien d'un équilibre des forces...

De même, de très nombreux articles et mes propres analyses ont tenté de montrer en quoi cette tentative pouvait être illogique. L'impossibilité d'identifier l'attaquant, les risques de dégâts collatéraux ou encore, plus théoriquement, le manque de solidité de la notion "d'armes numériques" ont abouti à réfuter la théorie.

Le modèle américain est bâti autour de ce que j'appelle la théorie du "bastion": construire un ou des systèmes suffisamment résiliant, cadenassés, résistants et si bien protégés que cela dissuadera l'attaquant d'attaquer.

Je n'y crois pas pour 3 raisons principales :

=> Un tel système conduirait inexorablement à laisser de côté toutes les qualités d'ouverture et d'inter-opérabilité propre à Internet. Les communications deviendraient plus difficiles, l'innovation baisserait...On en reviendrait à une forme de Minitel (cf. l'analyse de M. Bortzmeyer sur la problématique BGP).

=> Alors que 80% des accidents de sécurité ont pour cause une défaillance interne, il faudrait donc avoir un système se protégeant de ses propres utilisateurs en permanence ou alors réformer l'utilisateur...L'exemple de la clé USB est ici très intéressant car ladite clé a été remise à un collaborateur interne qui l'a introduite sur le système : le coût de l'opération pour le service de renseignement externe est tellement bas que le système de dissuasion proposé et associé à cet exemple précis reste, à mon sens, rédhibitoire.

=> Aujourd'hui, le cybercriminel ou l'attaquant a : le temps, les ressources et l'impunité. Par définition, aucun système n'est infaillible : le code n'est que rarement sécurisé et parfaitement propre, par exemple, et la faille interne reste un "must".

Autrement dit, l'attaquant détient encore l'avantage et le conserve dans un système dit "de bastion" : ce système de dissuasion est déjà obsolète !

Ceci étant dit, un vrai système de dissuasion serait pour moi de modifier, justement, les conditions d'exercice de l'attaquant : amoindrir sa capacité à obtenir de l'argent en limitant le nombre de cibles potentielles, avoir des capacités de réaction et d'anticipation de grande envergure limitant ses "fenêtres d'action", partager l'information pour diminuer ses capacités à demeurer impunies...

Autrement dit, un système moins militaire mais plus orienté sur le renseignement et les activités internationales de police...

Quelques mots donc, sur cette "nouvelle" stratégique du Pentagone à propos du cyberespace !

Source :

http://www.washingtonpost.com/wp-dyn/content/article/2010/08/25/AR2010082505962.html

The Killing argument ou comment un Trojan peut tuer !

Fréquemment, en matière de sécurité informatique, on oppose l'argument de l'inocuité : un problème informatique ne peut pas tuer mais juste causer des dommages, plus ou moins importants, à l'organisation victime.

Plusieurs rapports ou experts ont cependant déjà alerté sur la capacité future des virus et autres malwares à attenter à la vie d'humains dépendants de systèmes basés sur l'informatique. A tel point que cette frontière paraissait déterminer un "niveau" de préoccupation ou encore un intérêt vis-à-vis de la protection de ses systèmes informatiques.

Cependant, s'il doit exister quelques cas de décés imputables plus ou moins directement à des malwares, ceux-ci n'ont pas forcément fait l'objet d'une publicité démesurée, pour des raisons de discrétion mais également en raison de l'impact "limité".

Limité, car en effet, la publication récente du rapport d'expertise portant sur le crash d'un avion de la Spanair en 2008 qui avait fait 154 morts pointe du doigt la responsabilité d'un malware.

Plus précisément, ledit malware aurait infecté un système central, appartenant à la compagnie, chargé de la gestion des alertes de sécurité renvoyés par les équipements de l'avion. Les alertes, non relayées à cause de la défaillance du système, n'ont pu donc être réparées et l'accumulation de problèmes a causé le crash.

Le rapport révèle cependant que la défaillance ne serait pas uniquement imputable au malware. Il révèle aussi que l'infection a pu se propager notamment à cause de l'utilisation de clés USB ou encore de VPN ouverts sur des ordinateurs dont la sécurité était bien moindre que le niveau de confiance auquel ils pouvaient accéder.

Comme nous le faisions remarquer précédemment, cette information fait entrer la notion de sécurité informatique dans une autre sphère, celle de la protection de la vie humaine. Même s'il est possible que des malwares ait déjà pu être cause de décés comme nous le disions, le nombre est ici trop important pour rester ignoré. De plus, la capacité d'un malware à passer outre un modèle de sécurité (celui de l'aviation civile) qui a su élever ce moyen de transport au plus haut niveau de sécurité et de protection, est préoccupante.

Il reste désolant de constater, à la fois, que les oiseaux de mauvaise augure avaient finalement pas tout à fait tort et qu'il faille attendre un tel désastre pour avoir un impact sur les consciences.

Source :

http://isc.sans.edu/diary.html?storyid=9433&rss

http://www.msnbc.msn.com/id/38790670/ns/technology_and_science-security/?gt1=43001

Groupes de hackers indo-pakistanais

A l'occasion d'un article sur l'hacktivisme déployé par divers groupes indiens et pakistanais, il nous est donné la possibilité de découvrir quelques uns de ces groupes.

Il est un fait avéré : l'Inde et le Pakistan entretiennent des relations très tendues et plusieurs guerres émaillent leur histoire commune. Détenteurs de l'arme nucléaire, la dissuasion joue à plein mais n'empêche pas de nombreux exutoires à une violence contenue.

L'un de ses exutoires est notamment le hacktivisme et une lutte acharnée par défaçage de sites webs et autres intrusions informatiques. Cet article est donc l'occasion de recueillir des informations intéressantes sur les groupes les plus véhéments et les plus connus.

Côté Pakistanais :

-Pak Cyber Army
-PakHaxors
-G-Force
-Anti-India Crew (AIC)

Côté Indien :

-ICW (Indian Cyber warriors)
-ICA (Indian Cyber Army)
-HMG (Hindu Militant Group)
-Indishell

A conserver donc car il est probable que ces groupes puissent faire l'actualité par la suite.

Source :
http://www.mid-day.com/specials/2010/aug/220810-pakistani-hackers-trojan-virus.htm

Leçons d'un discours...

A l'occasion de la Black Hat 2010, célèbre conférence de sécurité informatique se tenant chaque année à Las Vegas, le Général Michael HAYDEN, ancien directeur de la CIA et de la NSA est intervenu sur les questions de lutte informatique et de cyberconflits.

S'il reste vrai que les USA sont les champions d'une forme d'ouverture et de publication accompagnée de la culture idoine, certains domaines restent largement couverts par le secret, n'en déplaise à Wikileaks. La NSA ou les missions du CYBERCOMMAND en font partie.

Le Général HAYDEN a donc tenu un discours intéressant parcourant l'étendue des problématiques stratégiques et de défense concernant la lutte informatique et le cyberespace.

3 points me paraissent à retenir :

=> la définition du cyberespace dans une perspective de défense. Prenant acte de l'identification du cyberespace comme un espace de lutte et de conflits, le Général fait remarquer qu'en la matière, cet espace a été créé par les hommes et non par Dieu. En la matière, ceux-ci ont relativement "mal travaillé" puisque ce terrain est bien plus propice aux attaques qu'à la défense. Pas de montages, de fleuves ou d'inconvénients stratégiques divers et variés.

=> La définition et les conséquences d'une stratégie de défense pour le cyberespace. Le Général HAYDEN faisait ainsi remarquer le manque de maturité dans la compréhension du cyberespace et des mécanismes d'affrontement et arguait le manque de clarté sur les règles d'engagement. On rappellera ainsi que le Général Alexander (le patron de l'USCYBERCOM) n'a pas répondu directement à cette question, placée sous le sceau de la confidentialité.

Il affirme, à cet égard, que 90% des efforts de réflexion et de conception de la NSA serait tournés vers l'attaque et non la défense, ce qui laisse songeur, pour le moins.

=> Enfin, il apporte sa contribution au débat concernant la cyberguerre en se plaçant du côté des modérés. Il rappelle ainsi que les vols d'informations ne sont en aucun cas qualificatifs d'une quelconque cyberguerre et relie cela au manque de vision des USA sur la questions des actes militaires dans le cyberespace (opérations, défense, attaque, conflits...).

Il conclue sur ce point en réaffirmant que l'espionnage est continuel entre Etats, qu'il soit physique ou qu'il profite des opportunités offertes par l'informatique. De cet état de fait résulte les continuels "attaques informatiques" sur les systèmes américains, agrégées dans des chiffres ahurissants que la presse relaie régulièrement.

On se souviendra d'ailleurs que ces mêmes publications de chiffres ne disent que très rarement en quoi consiste les "attaques" enregistrées. S'agit-il de simple "scan" de port un peu agressif ? de tentatives d'exploitations de failles ? de tout et du reste ?

Quoi qu'il en soit, le discours du Général HAYDEN révèle une approche tierce intéressante, équilibrée et qui prend résolument le contre-pied du courant "cyber". Cependant, cette vision conserve un tropisme militaire résolu qui lui fait souhaite des règles d'engagement précises et la transposition d'un "monde" militaire dans le cyberespace.

Or, rien ne dit que cette transposition est réellement possible et efficace, ni si une forme de militarisation du cyberespace est souhaitable.

Source :

http://www.darkreading.com/security/cybercrime/showArticle.jhtml


http://fcw.com/articles/2010/07/30/black-hat-michael-hayden-cyberwar.aspx
http://news.cnet.com/military-tech/8300-13639_3-42.html?keyword=Cyber+Command

Informations sur un diplôme TRES intéressant...

Un petit effort publicitaire pour un diplôme universitaire très intéressant, celui du CDPIAC : www.cdpiac.org

Enseigné par une équipe multi-disciplinaire basée à Toulouse, le diplôme se focalise sur l'étude des conflits et des disciplines liées à la sécurité.

Militaire, chercheurs, juristes, sociologues, consultants, mathématicien forment une équipe diverse passionnée par les questions de la sécurité...

J'y suis intervenu dans le domaine des cyberconflits et espère pouvoir y intervenir à nouveau pour l'année à venir. Mais, je fais surtout un peu de communication autour de ce diplôme qui a le mérite d'aborder très librement, et sans parti pris, les questions de sécurité et de défense et d'en démontrer les causes communes.

A conseiller à tout ceux qui souhaiteraient avoir une autre vision de la sécurité, publique, privée, interne ou internationale et de la défense...

Pour toute information : http://www.conflits-securite.org/

Deux pays font état de leur doctrine de "cyber-sécurité"

Les craintes liées aux attaques en provenance d'Internet notamment sur les infrastructures critiques, ou vitales, continuent de faire des émules. Souvent revient, d'ailleurs, le cas de l'adolescent de 17 ans capable de faire tomber un système ou de s'y introduire afin de perpétrer on ne sait quel attentat...(qui a dit "War Games" :) )

Cela dit, et sans poursuivre plus loin une ironie malséante, il parait réellement déterminant, à l'heure d'aujourd'hui, pour un pays de concevoir une stratégie un tant soi peu globale. Les modèles de sécurité dont ce blog faisait état très récemment ne saurait que bénéficier, à priori, de de la définition d'une stratégie.

Le Canada, faisant le constat de ces craintes partagées, a ainsi réuni un ensemble d'expert qui ont pu faire le point sur les manquements. Ainsi, en 2004, le Canada prévoyait un effort de 700 millions de dollars pour la sécurité globale dont uniquement 5 pour les aspects "cyber-sécurité".

Un document serait en préparation mais malgré la discrétion ayant entouré le projet, les éléments qui ont filtré inquiètent les partenaires. Le document se concentrerait sur la sécurisation des réseaux et notamment des réseaux publics.

A contrario, les experts plaident pour une vision inspirée de celle des USA, plus globale, publique et privée et mettant également en jeu une doctrine et une vision politique (liberté sur le net par exemple).

Du côté de l'Inde, ce n'est pas la première fois que l'on parle de cyber-stratégie (ça devient de pire en pire => excusez mes raccourcis!).

Un peu moins précis dans sa démarche globale, l'armée indienne révèle cependant la mise en places de réseaux sécurisés destinés uniquement à assurer les communications militaires.

Élément notable, ils assurent que la norme ISO27001, norme globale visant à assurer la mise en place d'un système, adapté aux risques, de management de la sécurité de l'information, a été utilisé afin de garantir un haut niveau de sécurité.

Enfin, l'Armée aurait également établi un CERT, Computer Emergency Response Team, afin de gérer les crises informatiques.

La "mode" de la cybersécurité ne passe donc pas encore et entraîne d'autres pays dans le sillage. On remarquera que l'Inde, pourtant, a un intérêt tout particulier à l'assurance d'un haut niveau de sécurité : qui irait confier tout ou partie de ses ressources informatiques à un pays incapable d'assurer sa propre sécurité ?

Source :

http://timesofindia.indiatimes.com/tech/news/internet/Cyber-war-Indian-Army-gearing-up/articleshow/6187297.cms

http://www.scmagazineus.com/a-cyber-strategy-for-canada/article/174642/

Sécurité de l'information: inventer un nouveau modèle !

Une petite réaction à l'article de M. Pierre CARON, de Lexsi, disponible sur le blog de la société.

Résumons simplement son propos, en essayant de ne point trahir sa pensée :

1/ Le coût des fraudes, le nombres de victimes et les problématiques actuelles rencontrées en matière de sécurité de l'information, SSI ou sécurité informatique ne diminuent pas.

2/ Au contraire, la menace mute alors que les messages, les outils et les modèles largement utilisés - je ne conçois ici que les outils de la désormais célèbre "Mme MICHU" - restent dramatiquement inadaptés...Et cela ne s'arrange pas..

Par ex. SSL et le modèle de confiance associé qui a subi de nombreux coups de boutoir...

Par ex. les réseaux sociaux incitent à une confiance imméritée en partie car le message reste : ne pas engager de discussion ou de relation avec un inconnu, surtout si celui-ci envoie un pièce kointe.

3/ Le modèle de sécurité a failli...Changeons-le ! Et pourquoi pas, « répression des victimes / sensibilisation des fraudeurs » (je cite)...

J'avoue que j'ai failli sauter au plafond. Cela rappelle par trop HADOPI. Mais, en réfléchissant un peu mieux, on se demande si cela, effectivement, ne serait pas plus efficace.

Les dispositions d'HADOPI génèrent, en théorie, une externalité positive pour la sécurité en obligeant les utilisateurs à sécuriser leurs machines et accès wifi. Tant bien que mal, l'autorité devrait publier une série de moyens certifiés, et simplifiés, pour permettre à l'utilisateur lambda de sécuriser tout cela un peu mieux et contribuer, donc, à l'élévation générale du niveau de sécurité.

J'avoue également, mais peut-être me traitera-t-on de dégénéré autoritaire voire pire, que ce qui me plait dans cette démarche, c'est la responsabilisation de l'utilisateur.

Il n'est évidemment pas question de le rendre définitivement responsable car il pourra, mais dans un sens aussi, devra, mettre en place des moyens de sécurisation, s'exonérant ainsi de sa responsabilité en la transférant sur l'éditeur ou le responsable de l'efficacité de l'outil (et cela me plait aussi que d'imposer une obligations de moyens, ou pire, de résultat aux éditeurs d'anti-virus)

La responsabilité de l'utilisateur me plait bien car trop souvent, celui-ci veut avoir le beurre, l'argent du beurre et le sourire de la crémière :

=> le beurre : aller sur internet partout, tout le temps, de n'importe quelle manière

=> l'argent du beurre : utiliser tous les services rendant la vie si facile, en particulier ceux impliquant des aspects financiers ou l'identité de la personne

=> le sourire : ne jamais avoir de problème...

Mais, je dirais, le concept du "yaka faukon"...ne fonctionne pas ici. Internet, c'est un peu, pour moi, comme la navigation maritime : n'y vont que ceux qui en acceptent les risques, ont pris le temps de s'informer et ont mis en place les dispositifs ou mesures de sécurité adéquats..

De cette attitude désinvolte, l'utilisateur ne retire que des problèmes mais ne peut, ni ne souhaite, se passer du net. L'avantage, donc, de ce déplacement de responsabilité est qu'il redevient acteur de ses activités sur Internet et qu'il est obligé d'adopter une conduite prudente et adaptée ou d'accepter les risques inhérents à une attitude délibérément dangereuse.

Par ailleurs et rappelons-le, le concept de défense globale s'adapte bien à Internet. Et quiconque défend mieux sa machine, contribue également à la défense de l'ensemble. On peut donc faire un lien avec les problématiques de défense.

Toutefois, je ferais un reproche à la vision de M. CARON. Les utilisateurs d'Internet présentent d'importantes différences caractérisées par des capacités différentes à intégrer la dimension sécurité. L'âge, les études, l'intérêt ou encore le milieu sont susceptibles de sérieusement impacter la capacité d'un individu à prendre en main les techniques ou à intégrer les comportements adéquats. Et même, les très jeunes aujourd'hui présentent de sérieuses difficultés à intégrer la dangerosité liée à la publication sans limite de leur vie privée sur le net...

Tout cela renforce quand même le besoin d'une éducation, d'une formation continue et d'une sensibilisation. Rien n'oblige cependant à ce que les modèles d'éducation ou de sensibilisation demeurent identique : un renouveau en ce domaine serait très certainement bénéfique.

On gardera à l'esprit que rien ici n'est totalement incompatible pourtant avec le modèle proposé...Ainsi, le modèle du permis de conduire consiste bien à donner à celui qui le passe les moyens d'assurer sa sécurité, celle des autres et à mieux assumer sa responsabilité sur la route.

Quoi qu'il en soit, il est vrai qu'aujourd'hui, les modèles de sécurité posent parfois quelques problèmes. J'essayais d'ailleurs d'en proposer de nouveaux dans ma thèse pro et l'apport de M. CARON est de poser les bases d'un débat qui s'avérera, j'en suis sur, très intéressant voire déterminant.