mardi 9 avril 2013

Technique ET Tactique...preuve par l'exemple

Source : McAfee Blog
Comme souvent, la veille quotidienne fournit matière à réflexion. Illustrons l'article de la veille par une mise en oeuvre d'une analyse duale. 

Rappelons rapidement les conclusions en commençant par ré-affirmer un élément : la notion de "technique ET tactique" illustre bien la nécessité du recours à des champs d'analyse variés dans une perspective de lutte informatique. Elle n'en reste pas moins approximative. Nous sommes cependant certains que les lecteurs en comprendront la portée et les limites.

Le premier article qui participe de la rédaction de cet article a été rédigé par Zythom. Cet excellent blogueur, d'une modestie rare, travailleur acharné et expert judiciaire explique de manière tout à fait convaincante la place de l'expert judiciaire. Il montre également de manière particulièrement pertinente la positions ambiguës de ce dernier qui n'est ni le spécialiste absolu ni le généraliste incompétent mais bien l'intermédiaire entre deux mondes.

Son travail est d'abord de comprendre l'ensemble des données techniques, de s'approprier les réflexions et les outils du spécialiste puis de les transcrire, sans les trahir, dans une démarche qui emporte des conséquences graves (judiciaires).

Remplaçons maintenant l'aspect judiciaire par l'aspect politique/conflits et conservons les aspects techniques. Nous obtenons le profil assez bien dessiné de l'analyste en matière de conflits informatiques. Preuve, par l'exemple, que celui-ci n'est pas rigide ni n'appartient à l'un de nos deux champs.

Le second article, qui fournit la "belle" image de cet article, provient du blog McAfee concernant l'analyse des codes malveillants. Il contient les prémisses de ce que l'on pourrait attendre en matière de réflexions. Prenons quelques exemples :

- le début de l'article s'intéresse à ce qui apparaît comme une tentative de dissimulation ou de discrétion. Lorsque nous les formulons ainsi, les concepts évoqués sont de l'ordre de la conflictualité. En s'intéressant aux détails, nous constatons que le concepteur du code a joué avec les en-têtes de fichiers  en modifiant le début d'un fichier ".zip" pour le faire apparaître comme de l'encodage de caractères en UTF-8.  Il a également intégré un dispositif permettant d'obtenir des signatures (hashes) différentes en intégrant des variations notamment sur une datation (timestamp) intégrée dans le zip.

- le contenu des fichiers analysés par les chercheurs de l'antivirus révèle également l'usage du russe dans le nommage de la principale charge utile (payload). Les tests effectués révèlent également qu'une fois installé, le malware modifie le fichier "hosts" sur la machine de la victime et établit des correspondances notamment avec des sites appartenant au domaine russe ".ru"...Ainsi, lorsque la victime souhaite se connecter à l'un de ces sites, les informations du fichiers prévalent sur celles que pourrait fournir le DNS et la victime se connecte à un site piégé ressemblant parfaitement au site légitime. Le concepteur utilise donc des techniques de manipulation et semble avoir une prédilection pour des victimes russophones (la liste entière n'a pas été utilisée ici). L'usage du russe dans le nommage des fichiers peut confirmer ce qui apparait comme une attaque limitée.

Les deux exemples de l'analyse fournie par l'éditeur nous donne deux approches différentes. Une "tactique" qui recherche ses preuves dans le domaine technique. La seconde, plus volontiers technique initialement, tire des conclusions appartenant au domaine "tactique". L'une comme l'autre ne se veulent que des exemples et peuvent être largement approfondies...

Les deux "preuves par l'exemple" illustrent ici à la fois une démarche analytique duale qui s'inspire de plusieurs domaines. L'article de Zythom peut-être vu comme une confirmation des profils types apte à conduire ce type d'analyse et à leur utilité. 

Nul doute donc que l'un comme l'autre sont nécessaires...!

Source :

dans le texte


Publié par à Aucun commentaire:
Libellés : , , ,

lundi 8 avril 2013

Opinions tranchées...technicité vs tactique ?

Acus.org
Les grands esprits se rencontrent dit-on parfois. C'est un peu le cas ces derniers jours avec la publication de deux articles aux tons et positions tranchées qui apparaissent comme incompatibles. Vous verrez pourtant que ce n'est qu'apparence.

A tout seigneur, tout honneur, commençons par l'article proposé par l'Alliance Géostratégique sous la plume de l'auteur des Lignes Stratégiques. Celui-ci dresse un constat sévère sur les tenants d'un débat entre l'approche technicienne des luttes informatiques et ceux qui l'approchent par un biais plus militaire, tactique ou encore stratégique.

S'attaquant à un sujet brûlant, Marc Maiffret revient sur l'évolution du monde de la sécurité informatique, en particulier lorsque des enjeux stratégiques ont fait leur apparition. Pour lui, alors que la place et le rôle des entités publiques a été largement discutée, la problématique centrale est celle des systèmes informatiques dont les méthodes de développement ne détectent pas les failles. Ces failles constituent après autant de portes ouvertes pour ce qu'il dénomme "cyberattaques".

Tout semble opposer ces deux articles. Il n'en est rien et leurs qualités communes principales le démontrent. La première est de mettre en avant plusieurs dérives dans le débat qui, non résolues, polluent les échanges. De plus, elles tendent à diminuer la compréhension.

En voici quelques exemples :

- ces articles éclairent la notion de "biais". Lorsqu'un individu tente de comprendre les questions de lutte informatique, il est guidé par son éducations, ses qualités et défaut propres. Tant les "tacticiens" que les "stratèges" en sont victimes...

- ces articles éclairent également une problématique globale de gestion de "qualité". Il ne s'agit ici d'un modèle de qualité type ISO27001...mais plutôt de la capacité d'un analyste à produire un savoir de qualité. Ce savoir, bien évidemment, appartient ici au registre de la compréhension des enjeux des luttes dans le cyberespace ou aux propositions de renforcement de la défense ou de la sécurité ;

- enfin, ces deux documents illustrent également une problématique de champs de savoir qu'il n'est pas évident de dépasser. Pour s'en convaincre, relire le passage sur l'expertise de l'article sur l'oeuf et la poule...

Le second apport de ces articles est intrinsèque car ils fournissent des embryons de solutions :

- les deux préconisent, sans toutefois le formuler correctement, à mon sens, le retour à une dimension qualitative, quel que soit le domaine considéré. En bref, c'est une production de savoir ou de savoir-faire qui doit se renouveler ;

- les deux éclairent également le lecteur en proposant des solutions. Dans un cas, il s'agit de maintenir la capacité d'éclairer un discours par le recours aux détails de chaque "niveaux d'analyse". Dans l'autre cas, il est question de coordination et de modifier les méthodologies de production logicielle ;

- l'analyse transverse fournit également une hypothèse forte : le domaine SSI est très fortement lié aux problématiques de sécurité globales induit par l'usage des systèmes d'information. Ils ne se recouvrent pas complètement mais ne peuvent s'ignorer ;

- enfin, en mélangeant les domaines, chacun des auteurs invitent les tenants d'un domaine à se tourner vers les autres domaines...Une pratique parfois difficile lorsqu'il s'agit de produire de savoir et lorsque le champ universitaire est très segmenté !

La notion de niveaux d'analyse nous fournit notre conclusion. En matière d'analyse des relations internationales, cette théorie - dont un des fondateurs est Barry Buzan - contraint les chercheurs à envisager à chaque niveau des éléments liés à leur thématique. 

De la même manière, la question ici ne doit pas être conçue comme "technique versus tactique" pour faire simple. Elle doit être posée afin de produire des savoirs "vraies", des analyses justes et non partielles ou des outils de compréhension fondées sur une connaissance approfondie de ses biais et des moyens d'en limiter les effets. 

C'est donc "technique ET tactique" !

Source :

Publié par à Aucun commentaire:
Libellés : , ,

jeudi 4 avril 2013

Interdire les équipements chinois ?

Mesure emblématique du rapport Bockel, il semblerait désormais que l'interdiction des équipements télécoms chinois soit en passe d'être adoptée. De manière assez pertinente, certains articles établissent un lien entre la parution prochaine du Livre Blanc sur la Défense et l'adoption d'une pratique volontariste de patriotisme économique.

N'oublions pas toutefois que cette mesure a plus que d'autres suscitée de nombreuses critiques pour des raisons parfois très justes et parfois moins. Elle ferait pourtant son chemin dans les cercles décisionnaires.


Cette mesure suscite chez l'auteur un certain désarroi car elle apparaît comme trop de la "poudre aux yeux". Si, par exemple, il est facile de porter des marinières bien françaises, les démarches globales d'amélioration de la SSI semblent plus complexes. Elles sont évoquées notamment dans la série d'article publié avec l'allié Si Vis Pacem sur l'Alliance Géostratégique.

Car, en effet, si on analyse le problème, les risques que l'on souhaite éviter par cette mesure sont de deux ordres : la crainte des fuites d'informations et celle d'une paralysie des systèmes. La généralisation est volontaire...

Or, l'une comme l'autre proviennent, notamment en matière d'équipements télécoms, des codes, logiciels et programmes implantés dans les machines. Et l'hypothèse est faite que l'usage d'équipements en provenance de constructeurs bien français aurait pour conséquence de réduire ces risques à un niveau acceptable.

Et c'est ici que se manifeste le désarroi : réduire ces risque suppose l'existence de plusieurs processus de contrôle et de qualité. De plus, si des entreprises françaises se fournissent chez ces équipementiers, c'est également pour des raisons de coût. Enfin, ce n'est parce que l'on se fournit chez Cisco que cela est un indicateur de confiance...Rayer Samsung de la liste des firmes autorisées ne garantit rien non plus.

En bref, si la sécurité est un objectif, il faut également conserver les capacités de développement, d'agilité et d'investissement de nos opérateurs. Car sinon, autant supprimer l'activité qui génère le risque car ce sera économiquement non viable.

Récapitulons donc les conditions nécessaires pour atteindre le niveau de sécurité souhaité :

- Disposer d'une offre française (européenne ?) alternative fiable, à coûts acceptables et suffisamment diversifiée pour éviter les effets d'oligopole ou de monopole ;

- pouvoir tracer chacun des composants au sein de ces équipements et s'assurer des lieux de fabrication et de transit ;

- s'assurer de l'intégrité des logiciels, codes et micro codes des composants et équipements réseaux (en considérant le coût et la complexité) ;

- ne pas oublier les "menaces internes" au sein des entreprises françaises qui jamais n'accueillent de stagiaires étrangers, n'ont bien sur pas de filiales à l'étranger et sont des parangons de vertu en matière de sécurité ;

- certains objectifs sont certainement à rajouter...

Un ambitieux programme n'est-ce pas ?

Source :

dans le texte
Publié par à 3 commentaires:
Libellés : , , ,

mardi 2 avril 2013

Café Stratégique - Jeudi 11 Avril - Séries TV et Sécurité Internationale


Publié par à Aucun commentaire:
Libellés : ,

vendredi 29 mars 2013

SpamHaus, UEFI, UIT....déceler la stratégie !

Source: kombini.com
La démarche stratégique tient une place importante dans le domaine de l'informatique et des réseaux. Il n'est pourtant pas toujours évident de la déceler. C'est pourquoi, par trois exemples du moments, nous aurons la possibilité de mettre en exergue une telle démarche. Démarche agressive, facette économique ou encore internationale, nos trois cas fournissent une illustration de ces domaines.



Commençons...

Qui n'a pas entendu parler de la conférence de l'Union International des Télécommunications à Dubaï qui a vu se réunir l'ensemble des membres autour d'une question brûlante d'une forme de contrôle de l'Internet ? 

D'une part, l'UIT s'est toujours montrée avide de reconquérir une capacité de décision ou d'influence dans les domaines aujourd'hui régulés par la "Gouvernance Internet". D'autre part, il est vrai qu'elle a pu servir de tremplin à des revendications propres à certains Etats souhaitant renforcer leurs capacités d'action, de surveillance ou de contrôle.

Plus récemment, et c'est un des 3 cas, Milton Mueller analysait une possible erreur stratégique commise par les acteurs américains. En effet, à l'occasion de la publication d'un rapport par l'UIT, celui-ci développait 6 propositions de résolutions relatives à l'Internet. Et, surprise, ce rapport tend à relayer des positions connues pour être défendues par plusieurs entités américaines.

En particulier, le Département du Commerce américain (co-signataire des accords avec l'ICANN) ainsi que l'entité ARIN (régulant la distribution des adresses IP sur le continent nord-américain) sont aujourd'hui préoccupés par les conditions et les modalités d'attribution des pools d'adresses IP qui représente aujourd'hui une ressource complexe à gérer.

Or, cette question fait encore débat en particulier sur la notion d'autorité et de responsabilités des dits ensembles d'adresse. Et M. Mueller analyse ainsi la publication de l'organisation onusienne comme un relais des souhaits et volontés américaines. Il en déduit que les deux organisations américaines, dans une forme de dernier recours pour faire adopter leur vision, tentent de la promouvoir par ce biais.

Mais, à malin, malin et demi, M. Mueller analyse qu'en acceptant de donner un caractère officiel et en soutenant la proposition, l'UIT réussit ainsi une incursion acceptable dans le "monde de l'IP". C'est donc lui donner une forme de légitimité pour ses prochaines interventions, potentiellement moins consensuelles, et que l'on ne pourra plus écarter au prétexte de l'incompétence - au sens de l'UIT n'ayant pas compétence sur le domaine de l'Internet

Bref, stratégies diplomatique et internationale sont ici évidentes. Les analystes les mieux informés auront déjà décelé un affrontement latent entre les puissances déclinantes et croissantes que sont les Etats-Unis et la Chine, par exemple, qui, au sujet d'Internet, ont un contentieux lourd.

Autre cas...

Peut-être avez-vous entendu parler d'UEFI ? 

Cette technologie est utilisé dans les premiers instants du démarrage de vos ordinateurs avant le chargement du système d'exploitation. Dotée de fonctionnalités avancées, elle succède petit à petit au fameux BIOS.

Dans la version 8 de son système d'exploitation, Windows, Microsoft a choisi une formule qui, de prime abord, augmente le niveau de sécurité. Mais comme l'usage de la technologie UEFI est très liée au matériel, cette méthode de sécurisation impose un partenariat avec les constructeurs sans quoi l'ordinateur sera bien en peine de démarrer !

Bien évidemment, la compatibilité avec les autres systèmes comme les dérivés de UNIX ou LINUX n'a pas été intégrés...ce à quoi il est répondu que la fonctionnalité peut se désactiver.

Or, comme vous le constatez sans doute, Microsoft semble peiner à conserver sa suprématie alors que les appareils récents comme les tablettes ou encore les smartphones ont massivement adopté des systèmes comme celui d'Apple ou Androïd...

La stratégie de nature économique ici, serait donc de "sanctuariser" un monopole sur certains types d'outils numériques ou du moins, de se prévaloir d'une position favorable. De plus, l'argument de la sécurité est formidable car il est ici biaisé : effectivement l'usage d'un démarrage sécurisé élève la sécurisé...mais rien n'interdisait de concevoir le système en garantissant le même niveau de sécurité tout en laissant l'utilisateur libre de son choix. 

Et qui, alors que les attaques DDoS sont désormais sur BFM-TV, oserait jeter la sécurité aux orties ? Malin vous disais-je...

Dernier cas...

Bien entendu, vous avez entendu parler de la brouille entre l'hébergeur "CyberBunker" et l'initiative SpamHaus...

De manière tout à fait intéressante, SpamHaus s'est donné une mission délicate mais probablement nécessaire. Cela ne l'empêche pas d'avoir des méthodes parfois un peu musclées et la lecture de quelques infos juridiques vous en convaincra. Vous noterez également que les références juridiques sont américaines et anglaises...Enfin, et cela uniquement pour donner le "ton" des pratiques parfois rudes de l'entité, plusieurs hébergeurs ou fournisseurs de service ont d'ores et déjà porté plainte dans certains pays se retrouvant "coupés" du monde ou contraint à se défaire de clients par les listes dressées par Spamhaus...

De l'autre côté, l'hébergeur n'a pas la posture morale la plus facile à tenir...C'est même le contraire puisqu'il accepterait tout contenu sauf la pédopornographie et les éléments liés au terrorisme. Il héberge par exemple le fameux Pirate Bay

Quant à "Operation Stophaus", elle impliquerait des éléments russes et autres cybercriminels de l'est car il existe un site web en Russie dédié à ces actions...Il est vrai que deux adresses IP sur 3 pour "stophaus.com" sont enregistrées auprès de sociétés avec des adresses russes.

Soyons simplistes et bêtes : d'un côté, une initiative à la posture morale rigide et qui se réclame du droit anglo-saxon. De l'autre, un hébergeur à la morale plus laxiste défendue par quelques délinquants vaguement est-européens...Mais oui...c'est du Tom Clancy !

Soyons un peu plus analytiques et concluons sur l'aspect suivant : une telle affaire est du pain béni pour mettre en jeu à nouveau ces dissensions entre des approches opposées. Il est vrai que chacune de ces visions sont adoptées par des Etats qui sont aujourd'hui plus des adversaires que des partenaires sur la scène internationale. Il n'est donc pas nécessaire de crier au complot mais peut-être seulement de considérer une manifestation, en termes d'influence, de cette opposition.

Concluons...

Cet article a donc saisi 3 exemples très récents pour vous apporter la preuve que la stratégie est partout présente sur Internet. Au passage, vous remarquerez que nos exemples continuent à s'appuyer sur une analyse d'abord technique des phénomènes qui nous permet d'écarter certains critères pour conserver les aspects utiles à la mise ne perspective stratégique...en vulgarisant bien évidemment ! C'est selon l'auteur, la seule méthode pour s'assurer de la complétude de l'analyse..

Stratégies à suivre !

Source :





Publié par à 2 commentaires:
Libellés : , , , ,

dimanche 17 mars 2013

Mes astuces...pour sauvegarder et chiffrer

Afin de changer un peu, voici un message purement "geek"....

Une des grandes problématiques de l'utilisateur est aujourd'hui de protéger ses données...Cela dit, la "protection" des données est souvent perçue comme suit :

- " les photos de la dernière soirée ? Surtout, faut pas que je les perde ! " ...Il est vrai qu'on vous y voit peut-être dans une posture que la morale réprouverait comme tout cela finira sur Facebook...c'est un autre sujet.

- "mes relevés bancaires ?...Hop hop hop, personne ne doit savoir"...Oui mais vous utilisez n'importe quel wifi non sécurisé à commencer par le vôtre...Encore un sujet différent, je m'égare.

Il y a donc deux problèmes : avoir une redondances des données et les rendre confidentielles. Autrement dit, sauvegarder et chiffrer. Une fois dit cela, l'utilisateur a l'impression de devoir résoudre la quadrature du cercle.

En ce qui concerne la sauvegarde, mes recommandations sont de disposer de 3 exemplaires : deux chez vous ce qui permet de pallier à la perte immédiate d'un disque (qui peuvent être "à chaud") et une troisième délocalisée pour pallier aux vols, incendies...

Deux astuces :

- organisez légèrement les données importantes, à sauvegarder et distinguer les de celles que vous pouvez perdre. Cela facilite la vie et les sauvegardes et vous permet d'estimer rapidement vos besoins.

- Concevez des systèmes très automatisés : vous pouvez être certains que le petit geste quotidien ou hebdomadaire aura disparu dans quelques temps...L'usage des logiciels de planification (cron ou "planification des tâches") est très pratique.

Quelques idées de solutions : un ordinateur disposant de 2 disques en RAID 1 où chaque disque est l'exacte réplication de l'autre associé à un disque dur externe qui, une fois branché, déclenche une sauvegarde. Ou encore un ordinateur et un NAS qui se synchronise à chaque démarrage de l'ordinateur et le même disque dur externe. En matière de logiciel, j'avoue éprouver une tendresse pour "SyncBack" qui ne m'a jamais mis en défaut et supporte de nombreuses situations particulières (sauvegarde sur réseau, choix des profils...). On me dit le plus grand bien d'Acronis que je n'ai cependant pas testé.

En ce qui concerne le chiffrement, une attention toute particulière doit être portée à la conservation des clés ou des mots de passe. L'usage d'un "KeePass" ou équivalent constitue une alternative pratique à la conservation des multiples mots de passe.

Le logiciel TrueCrypt est réputé pratique et à l'usage, il se révèle assez satisfaisant. Sa capacité à chiffrer le disque dur du système d'exploitation est bien connu mais il est également possible de chiffrer un disque ou une partition différente. Ses qualités sont également reconnues par l'ANSSI comme KeePass. Il est également possible de monter automatiquement le volume chiffré à l'ouverture de la session : une fenêtre réclame le mot de passe. La synchronisation peut démarrer automatiquement quelques minutes plus tard de manière transparente.

Côté NAS, certains, comme le Synology disposent d'un logiciel de chiffrement et parfois même d'un composant dédié à cet usage. D'autres également mais pas nécessairement sur un produit "grand public". En matière de chiffrement intégré, pourquoi ne pas songer à "Bitlocker", la solution de Windows...Celle-ci s'avère toutefois plus complexe si vous ne disposez pas du composant matériel de chiffrement...ou de la bonne version de Windows.

Trois astuces :

- prenez garde à y aller progressivement en commençant par l'obtention de plusieurs copies fiables de sauvegarde. Quand quelques tests vous ont convaincu des aspects pratiques, passez à l'épate suivante.

-  Conservez de manière fiable les mots de passe utilisés pour le chiffrement

- Backup, backup, backup...répéter, c'est la clé !

Prévoyez enfin un peu de temps car suivant les matériels, le temps de chiffrement est long. Comptez plusieurs heures (ex. : 12h environ pour 1To pour ma part).

Pour ceux qui s’inquiéteraient des performances, je n'ai pas noté de ralentissement notable. Toutefois, les données chiffrées ont été soigneusement choisis pour ne pas nécessiter ce type de traitement...A vous de voir.

Source : dans le texte
Publié par à 2 commentaires:
Libellés :

mercredi 13 mars 2013

Perspectives et analyse - le Cas Mandiant

Source : NYMAG.com
Quelques mots aux lecteurs : vous avez sans doute remarqué une certaine désertion de ce blog ces derniers temps. Cela n'est qu'apparence car je consacre beaucoup de temps à des articles de fond comme la chronique SSI publié sur le site de l'Alliance Géostratégique.

Est-il possible d'ignorer le rapport de la société Mandiant ? Aucun observateur investi en matière "cyber" n'aura pu échapper à multiples analyses et discussions. Certaines ont le mérite de dresser tout à la fois une bonne synthèse ainsi qu'une mise en perspective éclairante.

D'autres, dans un sens plus critique, éclairent une thématique également poursuivie par ce blog. Vous connaissez ainsi l'insatiable appétit que nous avons à brocarder l'usage irréfléchi du "cyber" ou encore la poursuite des intérêts bien compris.

Qu'il me soit permis d'attirer votre attention sur deux publications récentes qui établissent ainsi de manière percutante certaines de ces dérives. On ne présente plus Errata Security dont le ton parfois corrosif n'a d'égale qu'une profonde culture du milieu. Chacun jugera. Notez aussi l'analyse de Cédric Pernet qui sur son blog livre des réflexions sur la démarche de la société, réflexions que le recul pris par l'auteur rend passionnante.

Ce domaine, SSI, LID, "cybersécurité-si-vous-y-tenez" est une promesse de profits importants. Ces profits sont autant en monnaie sonnante et trébuchante qu'en carrière ou promotion personnelle. Si cela n'a rien de problématique en soi - après tout, l'analyse de Mandiant semble fournie et minutieuse - les dérives sont multiples. La lecture des observateurs ne doit pas être écartée.

Pour continuer sur ces sujets, vous pouvez également consulter http://cidris-news.blogspot.fr/2013/02/comparer-pour-comprendreavec.html.


Source : dans le texte
Publié par à Aucun commentaire:
Libellés : , ,
Inscription à : Articles (Atom)