Un camp de manoeuvre pour la LID

Une information très intéressante a été publiée très récemment relative aux pratiques d'entraînements des professionnels de la lutte informatique aux Etats-Unis. Il semblerait ainsi qu'un camp d'entraînement spécifique aient été créés sous la forme d'une petite ville disposant d'une connectique accrue et de systèmes d'informations nombreux notamment en ce qui concerne les SI dits "vitaux".

NetWars CyberCity située prés de la ville de Turnpike dans le New-Jersey a été développée  en collaboration avec le SANS Institute, une entité spécialisée dans la formation en sécurité informatique. Un de ses objectifs est notamment de former les futurs spécialistes des forces armées américaines dans le domaine de la lutte informatique. Une des composantes de la formation apparaît à ce titre très défensive quand l'autre semble bien plus offensive.

Bien évidemment, la taille des infrastructures est réduite et les bâtiments miniatures. Les composants, en particuliers les systèmes informations supportant des services comme la fourniture d'électricité ou la gestion de l'eau, proviennent de systèmes réels utilisés au quotidien.

Afin d'élargir le débat, force est de constater que cette initiative renforce le pivot effectuée par la lutte informatique actuelle. Auparavant, l'action offensive sur les réseaux s'apparentait essentiellement à des actions qui n'étaient qu'indirectement liées à une pratique de "guerre" : les nombreux cas rapportés rappellent bien plus, pour ce que l'on en sait, des cas d'espionnage, de subversion ou encore de perturbation. Une action qui semble plus clandestine.

Toutefois, cette orientation qui vise à donner un contenu plus "guerrier" dans le sens plus conventionnel , à priori, de mener de la guerre et les affrontements est plus récente. Elle s'avère parfaitement cohérente avec les choix stratégiques que l'on peut connaître des Etats-Unis, en particulier le fait qu'une attaque informatique puisse recevoir une représailles par des moyens dits "conventionnels" justement. 

La réflexion pourra objecter plusieurs remarques dont par exemple que les temps nécessaires aux attaques informatiques ne sont pas compatibles avec la réactivité nécessaire aux conflits armés.  A cet égard, on rappellera que les conflits font justement l'objet de planification et d'entraînement, à l'aide de structures dédiées et de scénarios jugés pertinents. Il faut également se souvenir des récentes orientations données à la recherche, en particulier par l'intermédiaire du programme "Fast-track" de la DARPA qui semble pleinement répondre à ces besoins.

Note : sur les problématiques d'entraînement ou d'adaptation aux conflits, dont je ne suis pas spécialiste, je conseille vivement la lecture de ce blog : http://lavoiedelepee.blogspot.fr

Source :

http://it.slashdot.org/story/12/11/28/192242/real-world-cyber-city-used-to-train-cyber-warriors

https://www.sans.org/cyber-ranges/netwars

http://www.net-security.org/secworld.php?id=14026

Cyber-perles !

Suite à un récent article sur les méfaits de la consommation abusive de "cyber", il m'a paru nécessaire de vous proposer un petit recueil des quelques "perles" qu'il m'avait été donné de lire. Attention : humour caustique ci-dessous...vous aurez été prévenus.

Disclaimer : dénonçant l'usage abusif du terme et les biais intellectuels qui en dérivent, stigmatiser tel ou tel blogueur me parait tout à fait déplacé. Pour une fois, aucune source ne sera donnée. Un exemple pour illustrer cela : un excellent blogueur en défense, aéronautique ou autre peut ainsi utiliser un néologisme "cyber" de son cru afin d'illustrer un aspect précis à destination de son public de spécialistes sans qu'il soit nécessaire d'être plus précis. Rire oui...se moquer seulement s'ils le méritent vraiment ! Vous n'êtes pas obligés de croire que je n'ai les ai pas inventés mais c'est comme ça :D

- Cyber payload -

Une "charge utile" constitue la partie la plus intéressantes des données. En sécurité, elle est souvent associée à une d'autres données permettant d'exploiter une vulnérabilité, la charge utile étant souvent utilisée ensuite pour s'assurer un accès au système par exemple ou provoquer des comportements spécifiques.

Dans d'autres cas, lorsqu'on parle d'encapsulation, il s'agira de la partie purement constitué d'information non exploitées mais uniquement transportées. A l'opposé, des données positionnées dans des en-têtes (headers) seront des données utilisées par le ou les systèmes gérant des paquets sur un réseau par exemple.

La notion de "payload", bien qu'évidemment non spécifique à l'informatique, n'est pas nouvelle et se trouve même utilisée depuis bien longtemps tant en sécurité qu'ailleurs. Il est donc inutile de la "cyberiser".

- Cyber-information systems -

Pffff...alors que la notion de systèmes d'informations fait enrager bon nombre d'informaticiens, il faudrait en plus qu'il devienne "cyber".

Car, soyons en sûr, le cyber-information-system de Mme Michu est attaqué de toute part. Alors, entreprises, soyez vieux jeu, vous serez sécurisés, votre système d'information ne craindra rien et je subodore que votre système informatique doit prendre la poussière quelque part....

Bref...avant de devenir totalement psychédélique, celui-ci ne mérite guère plus.

- Cyber-rock - 

Le sens de celui-ci m'est inconnu : s'agit-il d'une forme de déni de service que l'on pourrait utiliser dans le cyber-moyen-orient pour cyber-lapider des cyber-épouses infidèles (cyber-infidèle ou pas) ? Ainsi, Jésus-Christ pourrait-il s'exclamer "qui n'a jamais cyber-pêché me jette la première cyber-pierre" !

Ou bien, c'est un nouveau style de musique qui, on peut rêver, est dépourvu de DRM et inconnu des acteurs de l'audiovisuel.

- Cyber-espionnage -

Celui-ci est pour James Bond : et oui, les producteurs de Skyfall se sont inspirés de l'aventure Stuxnet et le nouveau "Q" a tout du brillant geek. Bien trop "propre sur lui" pour aller démonter les rouages d'un Aston-Martin afin de lui coller des armes automatiques, il ne fait plus tant rêver. Et puis James Bond fait vieux maintenant : il a raté tous ses test...Qu'à cela ne tienne, si sa petite forme ne lui suffisait plus, qu'il s'en tienne au cyber-espionnage.

 - Cyber-power - 

Quant à celui-ci, j'ai toujours la vision, lorsque je le lis, de Gandalf lors de la célèbre scène du "Vous ne passerez pas". Chers lecteurs, vous jugerez.

- Cyber-investigation -

Celui-ci est une hérésie car il existe des disciplines à part entière dont les objectifs sont justement l'investigation sur des données informatiques ou au sein d'Internet :

Forensic informatic ou analyse informatique post-mortem par exemple. Un des objectifs est de retrouver un chemin suivi lors d'une attaque informatique sur une machine donnée ou dans un réseaux. L'utilisation est fréquente dans les cas où une procédure judiciaire nécessite un examen approfondi, conduit par un expert, d'un ou des systèmes informatiques, machines et disques durs.

OSINT ou recherche/renseignement en sources ouvertes qui spécifient un cas bien particulier de recherche et d’agrégation d'informations en libre disposition, le plus souvent sur le web (ouvert ou caché).

- Cyber-guerriers -

Chers lecteurs, il me faut vous l'avouer : lorsque j'ai trouvé celui-ci, mon coeur a manqué un battement. Fan des aventures de Dragon Ball, j'ai toujours rêvé de changer de coiffure aussi vite et d'avoir cette pulsation plasmatique autour de moi. Et cyber-guerrier me fait irrésistiblement penser à "super-guerrier".

Et quelque part, nous qui faisons parfois de la SSI, ne sommes-nous pas des cyber-guerriers, des super-guerriers du cyber-espace..volant sur les électrons ?

De fait, voici dorénavant ce qu'il en sera :

- un déni de service distribué deviendra un "cyber-kaméhaméha"

- les hackers russes sont les "cyber-gorilles de la pleine lune"

- la fibre optique, c'est le "cyber-nuage supersonique"...

- Cyber-super-héros -

Pour ce dernier, il me faut avouer avoir cru déceler une certaine dose d'humour dans le titre et la formulation de l'article. Et puis, il n'est pas très loin du précédent alors on s'arrêtera là.

- Cyber Skirmishes - 

On pourra le traduire par "cyber-escarmouches"...Une embuscade avec des câbles RJ-45 tendus entre deux unité centrales ? Des commandos de hackers positionnés dans les réseaux du web "underground" attendant d'attaquer, et, en guise de camouflage...Tor...Il faut bien se cyber-camoufler !

Pour finir, voici une idée originale : et si l'on remplaçait "cyber" par "schtroumpf"...De toute manière, on en fait le même usage et ça n'apporte pas grand chose.

Chers lecteurs, j'espère que ce post vous aura fait un peu rire. J'ose espérer également qu'il aura contribué à vous convaincre de la nocivité de l'emploi systématique d'un terme qui paralyse la recherche et la réflexion alors qu'il est semble nécessaire de trouver tout à la fois les concepts adéquats ou le moyen d'adapter l'existant.

Le Président OBAMA formalise les opérations informatiques offensives

Premier à l'avoir révélé, le Washington Post a ainsi publié un article annonçant la signature par le Président OBAMA, sans doute à la mi-octobre d'un document organisant les opérations militaires de nature informatiques et à vocation offensive.

La directive politique présidentielle n°20 (Presidential Policy Directive 20) établit ainsi un ensemble de critères et de guides ayant pour objectif d'encadrer l'action des agences officielles dans ce domaines. Ce document étant classifiée, nous en sommes donc réduits à croire l'organe de presse sur parole.

Un contexte bien particulier...

Une précision s'impose : ce document s'inscrit dans la suite d'une longue bataille au sein du Congrès américain qui n'a jamais permis d'aboutir à la rédaction d'un document faisant consensus sur l'organisation de ces fonctions et opérations.

De même, j'imagine déjà plusieurs lecteurs se demander l'utilité d'un tel document alors que la NSA existe depuis longtemps, le Cyber Command également, et qu'ils ne sont certainement pas restés inactifs depuis leur création. De plus, l'observation des unités impliquées est trompeur car comme le rappelait Daniel Ventre, les Etats-Unis intègrent des unités de guerre électronique dans leurs listes d'unités à vocation "cyber"...(sic)

Rappelons donc qu'il existe plusieurs types d'acteurs, officiels et officieux, menant différents types d'opérations. Certaines peuvent être tout à fait officielles et entrer dans le cadre d'une action militaire connue et publique. D'autres peuvent être discrètes mais demeurer officiels. Les dernières, enfin, seront clandestines et relèveront notamment des agences de renseignement, par exemple.

Pour étayer cette distinction, on pourra reprendre l'action des armées françaises en Afghanistan : publique, connue et officielle bien que certains éléments demeurent dissimulés afin de protéger les soldats. Les actions des dites "forces spéciales" sont très discrètes mais ne sont pas clandestines et les intervenants sont des "soldats" en uniformes et identifiables. Enfin, les action des services de renseignements (DGSE par exemple) sont souvent dits clandestins.

Le document du Président ne concerne donc, dans ma compréhension, que la première voire la seconde catégorie. La dernière quant à elle n'a sans doute pas attendu ce document pour agir.

Une différenciation des opérations

Toujours selon l'article, une distinction importante est faite :

- la "network defense" regroupe les actions de sécurité et de protection ou encore de défense des réseaux américains : l'article n'est pas plus précis.

- les "cyber operations" sont des actions offensives conduites par des entités militaires ou ayant cette vocation et dans le domaine de l'informatique et des réseaux.

Contrairement à ce qu'une partie des articles pourrait faire croire, il ne s'agit pas d'autoriser des contre-attaques ou de donner carte blanche à des geeks travestis en militaires. Ce document et les directives qu'il contient vise au contraire à formaliser les rôles des agences et leurs relations et à donner un cadre strict à des opérations offensives ou de contre-offensives.

A cet égard, le cas Stuxnet dont aucun des acteurs invoqués n'a reconnu la paternité (sauf erreur de ma part) n'entre pas dans ce type d'opérations mais bien plutôt dans une approche clandestine qui aurait ici, connu une forme d'échec justement.

Autre point, ces opérations auront notamment comme obligations de respecter l'ensemble des dispositions du droit des conflits armés.

Cette information est particulièrement intéressante car elle contribue à renforcer l'impression que les Etats-Unis souhaitent donner un contour et un aspect officiel à une pratique du conflit qui s'est jusqu'ici distingué par ses aspects dissimulés et se rapprochant beaucoup du renseignement. Passer d'une pratique de renseignement, même agressive, à un volet militaire plus classique, officiel n'est pas aisé et il n'est même pas acquis sur le succès sera au rendez-vous.

Source :

http://www.washingtonpost.com/world/national-security/obama-signs-secret-cybersecurity-directive-allowing-more-aggressive-military-role/2012/11/14/7bf51512-2cde-11e2-9ac2-1c61452669c3_story.html

http://www.informationweek.com/government/security/obama-secret-order-authorizes-cybersecur/240134945?cid=RSSfeed_IWK_security

http://fcw.com/articles/2012/11/14/cyber-order.aspx

DTN : Internet dans la fusée !

Lire l'article sur le blog de l'Alliance Géostratégique !

NATO CDX Cyber Coalition 2012

Lire l'article de Daniel Ventre sur le sujet : http://econflicts.blogspot.fr/2012/11/news-nato-cdx-cyber-coalition-12.html

Pourquoi j'aime la LID...

La LID pour Lutte Informatique Défensive et son corollaire plus sulfureux, la LIO (offensive) n'est ni sexy ni glamour ni...anglo-saxon. Tout le contraire du "cyber"...

J'ai fait le test : http://willusingtheprefixcybermakemelooklikeanidiot.com/ ...et effectivement, vu que je ne suis pas un auteur de science-fiction ou autre, l'emploi systématique du préfixe n'est pas approprié. Pour une saine qualité des propos tenus sur vos blogs, j'encourage tous les auteurs s'étant approprié ce sujet à faire également le test.

Vous l'avez deviné, cet article sera un billet d'humeur comme ce blog en a déjà vu quelques uns. Notons par ailleurs que je ne suis pas le seul : dans un récent article, Stéphane Bortzmeyer relevait quelques incohérences sur le sujet. Ce n'est pas non plus le premier article que je commets sur le sujet.

J'aime la LID parce que c'est "vrai"...

C'est une notion assez claire et qui ne préjuge de rien. C'est informatique, certes, c'est défensif ou offensif (on tape en premier ou où se protège) et puis la lutte, ça nous connait nous autres gaulois. D'ailleurs, ça pourrait même parler d'information si l'on voulait vraiment.

Deux raisons essentielles ont contribué à la création de cet article : le premier est l'usage sans commune mesure du terme sans une certaine retenue que l'on observait encore parfois. Le second est, corrélativement à l'inflation du sujet dans les médias spécialisés ou non, la profusion de nouveaux experts qui traitent ce sujet comme il traiterait n'importe quoi. 

De vagues questions demeurent parfois : faut-il comprendre la technique pour se permettre une analyse cyber ? Non, savoir éplucher les pommes de terre est suffisant, c'est d'ailleurs évident.

Après tout, c'est vrai que nous n'avons pas travaillé pendant plusieurs années pour acquérir une connaissance et des compétences sur le sujet. Verrait-on un expert en sécurité se mêler de géopolitiques ? Verrait-on un informaticien donner des conseils à un expert en droit international ? Je ne le crois pas mais visiblement l'inverse est possible.

"Charité ordonnée commence par soi-même" dit le proverbe. En avant pour l'auto-critique : il suffit de lire le titre de ce blog ou encore certains de mes récents articles. Je ne suis pas le dernier à utiliser ce fameux préfixe ou encore à formuler d'obscures hypothèses sur la nature du "milieu" ou que sais-je encore. Pour ma défense, Votre Honneur (encore un anglicisme..), une meilleure compréhension du message pouvait être une nécessité et induire des simplifications.

J'aime la LID parce que c'est simple...

Par exemple, ça ne préjuge pas de l'identité ou de la nature d'un domaine, d'un milieu ou encore d'une somme de technologies. Car après tout, quels travaux géopolitiques ou encore sociologiques ont-ils démontré qu'Internet était un "espace", ou encore un "milieu"...

Comme le disait Einstein : "Les choses devraient être faites aussi simples que possible, mais pas plus simples". D'ailleurs, n'hésitez pas à lire cet article du New-York Times : un émérite professeur y rappelle les problématiques de confiance inhérentes aux modèles informatiques actuels et ses solutions...D'ailleurs, il ne parle pas beaucoup de "cyber" mais bien plus de sa rencontre avec le célèbre scientifique.

Alors oui, nous usons parfois de simplifications afin de ne pas brouiller le message. Mais lorsqu'on se permet de simplifier, c'est parce que l'on maîtrise suffisamment un sujet pour mesurer les écarts que l'on comprend la légitimité des travers qu'imposent les sujets.

Et puis, à force d'écouter ces prétendus experts, ce que l'on ne fait pas, c'est élever le niveau de sécurité, former des gens, renforcer des organisations, se rappeler qu'on a des compétences et qu'on avait des industries, sensibiliser, rappeler et parfois même punir.

Enfin, un autre test pour ceux qui doutent encore : si parler "cyber" ne fait pas un expert, comment les distinguer ? C'est assez simple : il suffit de demander à chaque "expert" de refaire son discours sans jamais utiliser cette simplification, de conserver le même niveau de détail et le même apport de savoir...Et vous verrez assez vite à qui vous avez affaire.

J'aime la LID parce qu'au fond, c'est assez pratique

Comme ce n'est pas vraiment connoté ou marqué, ça n'empêche pas de réfléchir "stratégique". Même si on préférera une bonne vision globale, ça ne coupe pas des fondamentaux.

Par exemple, on peut faire de la sécurité informatique dans la LID, on peut également faire de la sécurité des informations ou de la SSI si on le souhaite.

On peut également analyser les évènements dans le détail tout en essayant de discerner des tendances globales : l'usage d'une technologie, la marque d'un groupuscule, l'implication d'un ou de plusieurs Etats...

Alors, de grâce, cessons d'entretenir la Peur, le Doute et l'Incertitude (traduction libre du FUD) en accolant du "cyber" à chaque discours. Et si ce n'était pas la rigueur intellectuelle, ce serait pour la langue française pour qui ce n'est même pas un mot !


Source :

dans le texte

Inflation de cyber incidents ?

Ou plutôt d'exercices visant à améliorer les capacités d'intervention et de coordination. 

La preuve en est apportée par l'Enisa qui publie un rapport dont les résultats sont issus d'une analyse de la plupart des exercices nationaux ou internationaux conduit entre 2002 et 2012.

Quelques fait intéressants que révèlent l'analyse :

- 64% des exercices sont volontiers internationaux en impliquant plus de 10 pays différents

- 57% des exercices font intervenir tant des acteurs publics que privés

- 74% des exercices conduits ont également une stratégie de communication, favorisant la sensibilisation du public (ou le FUD selon les opinions)

Le rapport en profite pour établir plusieurs recommandations parmi lesquelles la nécessité d'impliquer l'ensemble des acteurs, la conduite d'exercices à la complexité croissante et la nécessité de mettre en oeuvre des mécanismes d'apprentissage par retour d'expérience.

L'Enisa est ainsi "dans le vent" puisque plusieurs acteurs importants dans les différentes crises de sécurité informatique ont également été présents ces derniers jours. 

En particulier, les Etats-Unis et le Canada ont lancé un Joint Cybersecurity Plan soutenu conjointement par le Department of Homeland Security et le Public Safety Canada. Ce plan doit, selon les dirigeants, mettre en oeuvre un meilleur partage de l'information ainsi que des pratiques renforcées de coopération ainsi que des échanges de bonnes pratiques.

Enfin, l'Iran s'est également illustré récemment avec l'annonce d'un document dédiée à la "cyber-sécurité" dont la publication intervient pendant une semaine d’exercices dédiées à la défense passive. L'information que nous devons au blog E-conflict, est également importante par son contenue. La stratégie retenue se voudrait essentiellement défensive voire dissuasive.

Des exercices de nature "cyber" seront d'ailleurs menés pour la première fois par ce pays durant cette semaine spécifique. On se souviendra évidemment du cas Stuxnet qui avait mis l'Iran et son programme nucléaire au cœur de l'attention.

La conduite de ce type d'exercices est intéressant car comme on peut le voir, elle fait essentiellement intervenir des acteurs et des concepts associés au monde de la "sécurité" ou de la "sureté". L'approche stratégique récente (Livre Blanc 2008) marquait une fusion du monde sécurité et du monde défense en insistant sur les complémentarités : le cas iranien tend à illustrer ce fait. Pour autant, il semblerait que le monde anglo-saxon s'en éloigne puisque ce sont bien des acteurs de sécurité intérieure qui agissent aux Etats-Unis et au Canada. On rappellera d'ailleurs que malgré des appels pressants, les Etats-Unis semblent persister à diviser les domaines de responsabilités et à contenir NSA et Cyber-Command aux strictes nécessités de la conduite d'opérations militaires.

Source :

http://www.enisa.europa.eu/media/press-releases/the-anatomy-of-national-and-international-cyber-security-exercises-new-report-by-the-eu-cyber-security-agency-enisa

http://www.securityweek.com/us-canada-launch-joint-cybersecurity-plan

http://presstv.com/detail/2012/10/24/268414/iran-will-hold-firstever-cyber-drills/

http://french.irib.ir/info/iran-actualite/item/220878-le-nouveau-document-strat%C3%A9gique-de-la-cyber-d%C3%A9fense-iranien-sera-d%C3%A9voil%C3%A9