mardi 29 juin 2010

Piranet 2010 : le reflet d'une façon de faire

Piranet 2010 a bien eu lieu : la France est donc protégée contre les attaques informatiques !

Celui-ci s'est déroulé du 23 au 24 Juin 2010 et fait partie des 4 exercices annuels de gestion de crise organisé par le SGDSN mais portait spécifiquement sur un cas de crise informatique de grande ampleur.

Il aurait notamment permis de mettre en avant la complexité de la prise de décision dans un contexte de communication profondément dégradé.

Cet exercice s'inscrit dans les prescriptions du plan PIRANET (sorte de vigipirate pour les crises informatiques..pardon pour le raccourci !).

J'avoue être particulièrement content de pouvoir lire des éléments à ce sujet. En revanche, tant le plan PIRANET que le contenu précis du scénario demeurent secret. On est donc condamné à juger par communiqué de presse interposé.

J'en profite donc pour vous redonner quelques liens des mes posts précédents sur les exercices menés notamment dans d'autres pays : USA notamment et plusieurs autres pays.

En particulier, on constatera que beaucoup plus d'information est disponible notamment sur Cybershockwave et les deux exercices cyberstorm.

J'avoue croire que la sécurité des systèmes d'informations bénéficie des échanges les plus nourris. Je crois aussi fermement aux bénéfices du secret dans certain contexte.

Je crois cependant, que dans ce cas précis, on serait rassuré sur nos capacités de défense informatique si un plus d'informations étaient divulguées.

A voir donc :

http://cidris-news.blogspot.com/2010/02/retex-sur-cyber-shock-wave-3.html


http://cidris-news.blogspot.com/2010/02/cnn-reportage-sur-shockwave.html

http://cidris-news.blogspot.com/2010/05/paroles-du-first-international-cyber.html


Source : http://www.ssi.gouv.fr/site_article248.html

lundi 28 juin 2010

.........AVIS A LA POPULATION.....

Méritoire qui suit régulièrement mes publications longues (un peu) et insipides (j'espère pas trop !)

Quoi qu'il en soit, ce blog se modernise et va effectuer dés à présent une modification des flux utilisés pour l'actualisation...les RSS quoi !

Vous êtes donc tous cordialement invités à utiliser désormais l'adresse suivante : http://feeds.feedburner.com/Cidris-Cyberwarfare

Que vous entrerez, si vous le voulez bien, dans votre lecteur de flux préféré !

Par avance, merci !

CIDRIS

Brève sur le "Cybersecurity Bill"

EDIT: Un article récent proposé par un éminent juriste, ou du moins, un homme versé dans la lecture des arcanes juridiques américaines nous propose une information récente.

Ainsi, une loi de 1934, le Communication Act autorise le Président, en temps de guerre notamment mais aussi en cas de désastre national, à couper ou à ordonner la coupure de toutes les émissions produites par des appareils électro-magnétiques.

Par ailleurs, poursuivant son analyse, l'auteur reprend les dispositions du Cybersecurity Bill et montre qu'il n'existe, en tant que tel, aucun "kill switch" mais bel et bien des dispositions inhérentes à une situation de crise permettant au Président d'obliger les responsables de réseaux civils à prendre certaines décisions et/ou postures. Par exemple, obliger l'équivalent des OIV à mettre en place des plans de gestion de crises...


====================================================================================

Le projet de loi global sur la cybersécurité dont nous parlions il y a peu encore s'est vu approuvé par la Commission du Sénat pour la Sécurité Intérieure et les affaires publiques (The Senate Homeland Security and Governmental Affairs Committee).

Ce projet de Loi proposé par les Sénateurs Lieberman, Collins et Carper pose d'ores et déjà de nouveaux challenges notamment en raison du fait qu'il entre potentiellement en conflit avec d'autres projets déposés plus tôt dans l'année (on en parle également dans le post précédent). A ce sujet, rappelons qu'il existe actuellement une vingtaine de projets sur le sujets dans les cartons en attente du Congrès...Chacun voulant y aller de SA loi !!!

Malgré ces efforts méritoires de synthèse, ce projet de loi est loin de faire l'unanimité. Le Sénateur Bond (ça ne s'invente pas !) affirme ainsi que la place faite au DHS (Department of Homeland Security) y est bien trop grande pour deux raisons principales : une certaine inefficacité dans la capacité à gérer les efforts en matière de sécurité de l'information et un périmètre d'action déjà bien élargi.

Il s'agit bien évidemment de politique bien sentie : le Sénateur McCain affirmait ainsi que les capacités de réponses du DHS étaient compromis après l'attentat manqué à Times Square.

C'est pourquoi les Sénateurs Bond et Hatch ont présenté récemment leur propre projet de loi sur la cybersécurité. Ayant le mérite de la simplicité, celui-ci propose la création d'un unique poste de coordinateur, dépendant du Ministère de la Défense mais rapportant directement au Président. Comme il est d'usage pour le Congrès, ce coordinateur serait approuvé par l'assemblée parlementaire qui tient à garder ainsi un contrôle.

Au contraire l'actuel coordinateur, Howard Schmidt n'a pas eu à passer par cet exercice délicat de passage devant les "juges" politiques que constituent les parlementaires lors de ces occasions.

Par ailleurs, le cybersecurity center que propose ce projet de loi dépendrait du ministère de l'Energie, ce qui est cohérent avec la préoccupation constante de la "Smart Grid" et des craintes occasionnés par les coupures de courant, soi-disant en lien avec des attaques informatiques. Pour le reste, voyez Die Hard 4 :) !

Cela dit, il existe une vraie logique opérationnelle dans le fait de créer ce centre dans un ministère en charge des questions de l'énergie. Comme l'a montré un récent colloque, les SCADA constituent encore le "parent pauvre" de la SSI. Cela dit, la sécurité de l'information n'est pas qu'une question industrielle et pour une fois, je me dois de rappeler que les réseaux traitant les aspects administratifs ou encore financiers sont susceptibles de causer de TRES sérieux dommages à la vie d'une société (cf. Estonie...).

S'il est vrai que l'effort parait un peu disproportionné et un peu trop infiltré par le politique, on peut se demander ce qu'il existe en France... Le reproche ici serait sans doute double :

=> le manque d'une législation claire (Les lois Godfrain sont-elles encore adaptées ? Les incitations à la SSI sont-elles suffisantes ? la LCEN et le statut hébergeur/éditeur :( !!!, HADOPI (pfiuuuu) ).

=> le manque de visibilité sur les autorités en charge de ces questions et d'interlocuteurs évident pour les entreprises (quoique l'ANSSI commence à être connue !)

=> l'absence de visibilité sur la stratégie : le Livre Blanc en fait trop PEU (à mon goût) et les rapports parlementaires sur le sujets, bien qu'excellents dans l'ensemble, restent des documents cantonés à un public spécialisé...

On ne peut donc dire que RIEN n'existe en France, ce serait médire. On pourrait, en revanche, souhaiter un peu plus de visibilité et d'ouverture, éventuellement...Et cela reste un avis personnel (il faut le préciser même si c'est un blog!).

Source :

http://gcn.com/articles/2010/06/28/no--kill-switch-in-lieberman-collins-bill.aspx



http://thehill.com/blogs/hillicon-valley/technology/105721-sen-bond-says-dhs-shouldnt-oversee-cybersecurity


http://fcw.com/articles/2010/06/25/web-lieberman-collins-bill.aspx

mercredi 23 juin 2010

DARPA - Cyber Range : un bac à sable de la cyberguerre

L'histoire commence dans les années 1950..ou presque. Plus exactement, pour la première fois, le Congrès américain donne un ordre direct à l'agence de Recherche sur les Programmes Avancés (DARPA) : celui de concurrencer le programme Sputnik !

Même Internet qui doit son existence aux chercheurs de cette agence ne provenait pas d'une telle demande mais d'un besoin militaire naturel : continuer à communiquer en cas d'attaques nucléaires.

Cependant, le Congrès donna par la suite, en 2008, un second ordre direct à la DARPA : créer un environnement permettant de lancer de véritables attaques informatiques de type militaire, du type de celles pouvant être lancées dans le cas de conflits ouverts. C'était la naissance du "National Cyber Range".

Plus précisément, ce projet devait permettre de :

=> Analyser une capacité de domination au niveau de l'information dans un environnement en réseau proche de la réalité
=> Représenter le futur des systèmes de défenses et de combats américains, au sein de réseaux hétérogènes, de grande taille, que ce soit dans les domaines virtuels ou réels.
=> Etre capable de fournir un environnement proche de l'internet actuel afin d'y tester des capacités offensives et défensives.

Ce réseau devrait présenter des capacités étonnantes notamment en représentant des comportements humains par exemple. Doté d'un budget de 130 millions de dollars, ce projet fut comparé, par le New-York Times, à l'Atoll Bikini du cybersespace, un ensemble d'îlots utilisés pour tester les bombes thermo-nucléaires...

Cependant, ce projet, bien qu'exaltant d'un point de vue intellectuel semble connaitre des ratés, il serait à la fois tellement demandé et en retard que plusieurs composantes militaires auraient déjà mis en place, ou seraient en train de le faire, des capacités de tests de cyberconflits.

La 1Oth Flotte de la Navy qui constitue le "Navy Cyber Command" souhaite ainsi développer un tel système au sein du "Network Warfare Command" tandis que la NSA prévoit d'en construire un à Fort Meade. De son côté, la 24th Air Force qui arme l'Air Force Cyber Command (disparu en tant que tel puis réactivé au sein de la 24th) déclare aussi ses intentions en la matières.

D'un autre côté, la U.S. Air Force’s Big Safari est une unité assez secrète, connue notamment pour ses étonnantes capacités à gérer très rapidement et efficacement des projets assez techniques et des domaines pointus (missiles, drones, matériels d'acquisition vidéos embarqués..). Cette rapidité d'exécution est ainsi lorgnée dans le cas de la construction du cyber range.

Ces informations apportent un éclairage intéressant sur les réelles capacités et souhaits des Etats-Unis dans la matière. De par leur très grande liberté de publication (comparée à celle existant en France), il est parfois permis de douter de certaines de leurs capacités au vu de leur propension à s'auto-flageller. En revanche, on connait également la NSA, le nombre de ses mathématiciens et on doute effectivement un peu moins de leurs capacités.

Le National Cyber Range constitue donc un objectif identifié de construction et de mise en oeuvre d'un moyen réel de tests "d'armes" utilisables dans le cyberespace. Une initiative qui, donc, éclaire sur le niveau doctrinal et le niveau opérationnel que souhaite atteindre les Etats-Unis.

Ah..si on pouvait en savoir un peu plus en France :) !

Sources:

http://www.wired.com/dangerroom/2008/05/the-pentagon-wa-2/

http://www.aviationweek.com/aw/generic/story_channel.jsp?channel=defense&id=news/asd/2010/06/21/03.xml&headline=Battle%20For%20Cyber-Range:%20Military%20Dumps%20Darpa%3E

http://www.wired.com/dangerroom/2010/06/darpa-taking-fire-for-its-cyberwar-range

lundi 21 juin 2010

Compléments sur le "Protecting Cyberspace as a National Asset Act of 2010"

Ce projet de loi, en attente de passage devant le Sénat, avait déjà fait l'objet d'une analyse dans un message précédent ainsi que dans un autre, plus ancien.

Il se définit comme une stratégie global visant à assurer une forme de domination et de maîtrise du cyberespace américain. Encore à l'état de projet de loi ("Bill"), il est susceptible de devenir une des pièces maitresses de la stratégie américaine en la matière, en excluant cependant l'aspect militaire des choses.

Cela dit, ce projet de loi semble intégrer l'aspect défensif proposé dans un autre projet de loi qui visait à donner au Président le pouvoir de couper Internet pour tout ou partie des Etats-Unis. Les aspects plus consensuels du projet, notamment l'aspect encadrement des efforts "FISMA" ou encore la pérennité des postes de type cyberczar dans des officies dédiées à la Maison Blanche, faisaient également partie d'un autre projet proposé par le Sénateur Langevin...

Washington et ses surprises politiques....

Quoi qu'il en soit, voici donc une liste des modifications apportées par ce projet de loi qui semble se faire une synthèse de ce qui a été observé durant ces derniers mois :

=> Création d'un "Office of Cyberspace Policy" directement lié au Président (Executive Office) chargé de la coordination. C'est peu ou prou la fonction actuelle du Cyberczar mais elle est ainsi pérennisée et placée sous la tutelle du Sénat (qui détient la faculté de nomination).

=> Création d'un National Center for Cybersecurity and Communications au sein du DHS dont le directeur sera nommé par le Sénat. Cette nouvelle organisation englobera l'US-CERT et aura une vocation de conseil sur la sécurité des réseaux civils (le militaire étant à part et géré par l'US CYBERCOM et la NSA pour ce que l'on en sait).

=> Ce projet modifie aussi considérablement le FISMA qui obligeait le secteur public à atteindre un niveau de sécurité donné. L'approche n'a pas donné de bons résultats car les agences cherchaient plus à être conformes aux audits qu'à élever le niveau de sécurité. Les leviers d'incitations sont donc revus.

=> le NCCC devra travailler avec le secteur privé et en particulier, les organisations critiques pour assurer un niveau de sécurité globale plus élevé. Par ailleurs, cette approche sera basée sur des analyses de risques.

=> Ce point est particulièrement important : il met en place un partage d'informations obligatoires et organisé entre le NCCC et les opérateurs d'importance vitale locaux. Ceux-ci doivent fournir des informations sur leurs incidents de sécurité afin de permettre une vue globale en contrepartie d'échanges d'informations sur les risques et les menaces.

Par ailleurs, le projet de loi préconise que le Président soit doté de pouvoirs spéciaux lui permettant notamment d'activité, en cas de crise, des mesures d'urgences ayant des effets sur les réseaux privés. En revanche, et c'est à noter, contrairement au projet de loi cité plus haut,le Président ne pourra pas autoriser une forme de "loi martiale" sur les réseaux privés. Les mesures d'urgences sont par ailleurs déclarées au Congrès avant leur application et ne peuvent excéder 30 jours. Elles doivent également être les moins "fortes" possibles.

=> Le texte de loi évoque une "supply chain" gérée en considérant plus attentivement les risques encourus. Cela fait notamment référence aux produits et matériels réseaux et informatiques qui peuvent être sources d'assez importants problèmes (monopoles, portes dérobées sur certains routeurs de grandes marques etc...)

=> Parmi les derniers points traités, le besoin de recruter des équipes compétentes autour des questions de sécurité de l'information.

En conclusion, ce texte de loi, non définitivement voté propose une réforme assez profonde du système de "cyber-sécurité" américain, au niveau du gouvernement, de l'administration et des différentes agences.

Au delà des questions organisationnelles mouvantes auxquelles nous sommes désormais habitués, il est intéressant de constater plusieurs points :

=> l'inefficacité des approches "par la conformité pure"

=> l'approche globale : humaine, légale, organisationnelle et matérielle...On retrouve en effet ces 4 dimensions usuelles de la sécurité au sein d'un même texte.

=> un équilibre institutionnel plus prononcé avec un encadrement des pouvoirs du Président et le retour du Congrès, ce qui rompt avec un unilatéralisme plus prononcé du prédécesseur.

En somme, un texte qui pourrait faire date et nous inspirer !

Source :

http://gcn.com/Articles/2010/06/21/Editorial-on-A-Cyber-Bill-Worth-Enacting.aspx?Page=1

http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=227d9e1e-5056-8059-765f-2239d301fb7f

vendredi 18 juin 2010

Cyber-Attaques au Kirghizistan

Actuellement, sous la pression d'un conflit ethnique, le Kirghizistan a subi récemment des attaques en déni de service dont la dimension a été suffisante pour provoquer de sérieux dommages sur la disponibilité de l'extension nationale, le .kg.

Le fameux "World Book" de la CIA nous apporte quelques informations et met en avant le fait que le pays est multi-ehtnique et qu'effectivement, il compte très peu d'internautes (moins d'un million à priori).

Cette information, sur laquelle on ne s'étendra pas, nous permet de porter les analyses suivantes :

=> Bien que de dimension réduite, l'infrastructure internet est désormais systématiquement visée lors des conflits de nature politique, stratégiques ou encore idéologique.

=> Encore une fois, il apparait qu'il est fort possible de causer des dommages sérieux à la capacités des autorités à communiquer (même si, encore une fois, l'infrastructure est modeste). Cette analyse se base sur des hypothèses contestables mais probables : par exemple, l'architecture et notamment l'isolation réseau peuvent être mal construites.

En revanche, développer une étude d'impact plus précises serait mal venue. On retiendra cependant qu'effectivement, même un conflit inter-ethnique, donc de nature plus circonscrite conduit à des attaques informatiques de type "hacktivisme" et porter, assez sévèrement, atteinte aux intérêts d'un pays.

Retenons aussi, en guise de conclusions, qu'il est plus que probable que des machines extérieures aient été infectées, ce qui met à nouveau sur le devant de la scène les botnets et donc, la cybercriminalité. Cependant, on ne fera aucune évaluation du nombre car on se souviendra que celui-ci avait été malmené à la suite des attaques informatiques en Estonie.

Source :

http://english.ruvr.ru/2010/06/17/10020320.html

lundi 14 juin 2010

Cyber-conflits : armes, doctrines, diplomatie...

A plusieurs reprises déjà, nous avons abordé le sujet sans fin des liens entre la politique internationale, le système international et Internet. Que ce soit dans une approche généraliste ou bien en référence à des négociations en cours mettant directement en jeu l'avenir du cyberespace.

1/ RUSSIE & USA : historique et analyse

Ainsi, on se souviendra que depuis quelques temps maintenant, Russie et USA se réunissent régulièrement autour d'une table de négociations pour évoquer un probable traité portant sur les affrontements dans le cyberespace.

Un point de friction qui semble être levé petit à petit portait sur l'approche des deux pays : la Russie se référant à la théorie de "l'arms control" au contraire des USA qui cherchaient une coopération intensifiée dans le domaine de la lutte contre la cybercriminalité.

On peut se poser de très nombreuses questions à propos de cette démarche :

=> Unilatéralisme : il est vrai que, quelque soit le domaine considéré, la Russie et ses hackers et autres groupes de pirates informatiques plus ou moins liés à une criminalité organisée, tient le haut du pavé. Cependant, la Chine est également une nation phare dans le domaine : on lui reproche tant !

Est-ce justement à cause de ces reproches que la Chine parait n'avoir pas été invitée ou serait-ce parce que, comme souvent, ces négociations seraient prétexte à autre chose. Par ailleurs, soucieuse de retrouver son "rang" international, la Russie reste, à mon sens, "sensible" dirons-nous à la flatterie que constitue une négociation à égalité avec les USA excluant le reste du monde (on avait parlé de Yalta à un moment).

=> Une approche par le contrôle des armements implique de chercher l'arme...On parle souvent d'arme informatique mais j'avoue ne pas encore avoir lu ou vu une telle qualification ailleurs que dans un discours marqué par une idéologie ou un intérêt. Autrement dit, un juge ou une analyse poussée n'ont pas encore démontré qu'un script, un virus ou une faille étaient des armes !

A ce sujet, on retrouve notamment des analyses intéressantes tendant à mettre en avant la différence entre une arme, l'armée, l'aspect militaire des choses et le hacking, les attaques informatiques...

Ainsi, par exemple, on retiendra 3 différences majeures :

- Le militaire est guidé par un objectif, une mission alors que le hacker est plutôt opportuniste, notamment le cybercriminel

- La technologie tend à donner à chaque arme ou système d'armes, un ou des usages précis et uniques. Au contraire, les outils informatiques sont utilisés à des fins détournés, différentes par les hackers et s'il existe des outils automatisant certains aspects du piratage informatique, ceux-ci ne peuvent être qualifiés d'armes

- le Hacking est une question de curiosité, de persévérance et d'excellence informatique. L'auteur en question les compare un peu aux "forces spéciales" de l'informatique qui sont, par nature, moins "conventionnelles".

En bref, l'article montre la limite des analogies avec le monde et le vocabulaire militaire et s'inscrit en faux contre l'abus des analogies et le rapprochement forcé avec un mode de pensée militaire et non adapté.

=> Cybercriminalité : l'existence de la Convention de Budapest sur la cybercriminalité n'est pourtant pas théorique. Elle reste pourtant limitée à la ratification par les pays signataires (on signe PUIS on ratifie puis c'est "opposable" aux pays) et tous sont loin de l'avoir fait. En revanche, cela reste un instrument juridique existant et qui a permis de mettre en œuvre une forme de coopération.


2/ Actualités

Tous ces éléments éclairent donc ce qui se trame entre pays en pointe dans la cyberguerre.

Cependant, quelques éléments nouveaux et récents méritent également un regard attentif.

Ainsi, on a pu constater que les USA, loin de se cantonner à UN exercice de négociation bilatérale, avait initié la même démarche auprès du Canada. Déjà allié en Afghanistan, au sein de l'OTAN...., il n'est pas étonnant que cette démarche soit mise en place avec un pays proche avec qui les USA partagent des infrastructures.

Par exemple, une partie du réseau de RIM (Blackberry) est situé au Canada et irrigue les USA. De même, il apparait très probable que les réseaux électriques ne soient pas complètement étanches pour des raisons de partage de charge et autres (comme en Europe).

Le sous-secrétaire d'État à la Défense, W. J. Lynn III affirme ainsi que les deux pays doivent en la matière développer une doctrine de cyberdéfense commune. Fait notable s'il en est ! Une doctrine de défense relève tout de même d'une prérogative régalienne et un tel effort va dans le sens de la "nature" d'Internet.

On peut donc s'attendre à de multiples tentatives bilatérales des USA en la matière, ce qui n'est pas sans rappeler leur démarche en deux moments :

- lors de la création de la Cour Pénale Internationale, les USA ont refusé de participer au projet et entamé un vaste tour de négociations bilatérales s'assurant ainsi que chaque partie-prenante acceptait, contre avantages, de s'engager à ne pas reconnaître l'autorité de la CPI lorsqu'il s'agissait d'un américain (soldat notamment...)

- lors de la mise en place de l'ICANN, un envoyé spécial de Bill Clinton avait alors effectué un vaste tour du monde pour préparer l'arrivée de l'organisation. Par ailleurs, les divers sommets de l'ICANN, du FGI ou autre sont l'occasion d'un lobbying assez intense. Et il faut bien le dire, céder sur la Gouvernance IN

Plus récemment cependant, l'actualité s'est faite l'écho d'un changement de positionnement des américains. Ainsi, selon le Général K. Alexander, les USA vont désormais considérer très sérieusement l'approche russe de contrôle des armes dans le cyberespace.

Les deux pays commenceraient donc à négocier un traité portant sur une limitation de l'utilisation des "cyber-armes" comme "un code ou un logiciel pouvant détruire un ordinateur ou un système informatique ennemi". Ce traité serait placé sous l'égide de l'ONU cependant, ce qui garantit une plus grande publicité et éventuellement une ouverture. Cela n'enlève rien à l'initiative qui reste essentiellement bilatérale.

Ce changement de position n'est pas anodin vis-à-vis de l'atmosphère du moment. En effet, on observe ce que l'on peut appeler, à mon avis, un équilibre entre les tenants des 2 positions fortes en la matière :

=> "Network centric" : c'est la vision proposée par le Cyberczar. Généralement plus subtile, elle réfute la logique de la cyberguerre en tant que telle et se concentre sur la sécurité des réseaux sans négliger les menaces actuelles.

=> "Cyber centric" : c'est la vision relayée par l'Amiral McDonnel, ancien directeur du renseignement américain. Elle s'appuie sur une rhétorique assez dure et conçoit assez simplement la cyberguerre. Plus généralement, c'est la tendance qui ajoute du "cyber" à tous les mots et qui est soutenue par toute l'industrie de défense et de sécurité américaine.

Ces visions se sont longtemps opposés notamment jusqu'à l'arrivée de Howard Schmidt et de
certaines de ses sorties. Celui-ci a permis à l'autre tendance d'être plus écoutée et mieux considérée.

C'est ainsi que par exemple, James Andrew Lewis, du CSIS, think tank très en vogue dans les domaines de la lutte informatique, a pu dévoiler un discours très équilibré mettant par exemple en avant la composante purement conflictuelle inhérentes à l'actualité du Net : criminalité organisée, intrusion et vol d'informations...

Non content de cela, il a également développé les liens existants entre les agressions informatiques et les affrontements observables dans le reste du système international. Ex. : l'attaque, via les réseaux, d'une infrastructure critique, par un agresseur identifié (sic) peut amener une réaction de vive force, militaire.

Malgré les contraintes inhérentes à Internet et aux problèmes d'identification, cette mise en perspective permet effectivement de considérer que l'aspect conflictuel ne se limite pas à Internet et qu'il a des répercussions dans la réalité. Ainsi, le "vieux rêve" de la guerre par ordinateur interposé s'évanouit un peu plus chaque jour.

3/ Conclusion

En guise de conclusion, nous retiendrons donc les 3 points suivants :

=> les négociations bilatérales Russie-USA connaissent un renouveau dû à la volte-face des USA qui ont choisi de se rapprocher de la vision russe.

=> Ces négociations bilatérales ne sont pas uniques et les USA ont déjà engagé avec d'autres pays de telles démarches.

=> On constate une franche évolution du discours relatif à la lutte informatique, ce qui laisse présager une évolution des doctrines, modes d'action et de pensée.

En bref, une fois encore, Internet interagit de façon plus marquée chaque jour avec le système international. Qui en doutait ? :)

Source :

http://www.defense.gov/News/NewsArticle.aspx?ID=59628

http://erratasec.blogspot.com/2010/06/cyberwar-is-fiction.html

http://online.wsj.com/article/SB10001424052748703340904575284964215965730.html

http://news.hostexploit.com/cyberwar-news/3962-russia-and-the-us-to-discuss-cyber-security.html

http://www.fiercegovernmentit.com/story/lewis-u-s-not-cyber-war/2010-06-01#axzz0pmZPdtTJ

vendredi 11 juin 2010

100 ème post - Nouvelles attaques informatiques en Corée du Sud : mise en perspective

A l'occasion de ce 100ème post, j'en profite pour vous faire part d'une analyse assez large concernant de nouvelles attaques informatiques menées contre des systèmes appartenant à la Corée du Sud.

Ces attaques ont pris la forme d'un Déni Distribué de Service, ou DDoS, forme d'agression tendant non pas à s'introduire dans un système (du moins dans un premier temps)mais bien à le paralyser à et l'empêcher de répondre.

On rappelera le trio de la sécurité des systèmes d'information : Disponibilité, Intégrité et Confidentialité. Ici, il s'agit d'attaques sur la disponibilité des systèmes et éventuellement sur son intégrité : "l'empêcheur de tourner en rond", en saturant le système peut aussi fausser les informations traitées et retransmises.

Selon les informations recueillies par les services de sécurité sud-coréens, une centaine d'adresses IP retracées en Chine aurait été impliquées dans l'attaque. Rappelons que les adresses IP sont enregistrées dans des bases de données (dites "whois") qui permettent d'obtenir des informations légales et parfois sur la localisation. Par ailleurs, des programmes existent, permettant d'identifier tous les intermédiaires rencontrés entre votre machine et l'IP en question : cela permet aussi d'obtenir des informations de localisation de la machine.

En revanche, on répétera, ad nauseam peut-être, que l'identification par l'IP ne vaut pas grand chose. Par nature, ce type d'attaque préserve les protagonistes qui se camouflent en "rebondissant" sur d'autres machines et en effaçant leurs actions sur la machine victime. Bref, on ne voit plus que la machine-victime utilisée pour perpétrer l'acte répréhensible.

Or, la Chine et plus généralement, l'asie du sud-ouest, sont réputées être dotées d'une parc conséquent de machines vérolées ou mal gérées permettant ainsi aux attaquants de se camoufler plus facilement. Cela n'est pas forcément un souhait ou une volonté propre : ainsi l'Inde, bien qu'un des champions de l'outsourcing (consistant à faire héberger et gérer des applications en dehors de son entreprise)ne bénéficie pas d'une bonne réputation en matière de sécurité.

C'est d'ailleurs ce qu'on fait les officiels coréens, d'une certaine manière, en impliquant non pas les chinois mais bien l'ennemi traditionnel nord-coréen. A cela, trois raisons principales :

=> l'antagonisme profond entre les deux pays depuis la Guerre de Corée

=> les tensions accrues par le torpillage d'une corvette sud-coréenne. Bien que non reconnue par la Corée du Nord, une expertise internationale a conclu au torpillage de la corvette par un équipement nord-coréen. Le naufrage avait entrainé la mort de plusieurs marins.

=> il y a environ un an, la Corée du Sud avait également été victime d'attaques informatiques contre ses systèmes. A l'époque, la Corée du nord avait été pointée du doigt d'autant que des informations avait afflué tendent à prouver l'existence, au sein de la dictature, d'une cellule dédiée à la lutte informatique.

Par ailleurs, on apprenait il y a peu que la Corée du Nord avait développé un système d'exploitation, basé sur un code source linux (à priori) et dénommé "Red Star".

Ces attaques informatique, en parallèle d'une situation géostratégique tendue, sont désormais communes. Ainsi, après le scandale lié à l'abordage d'un bâtiment transportant, pour Gaza, du fret humanitaire, par les forces spéciales israéliennes, de nombreux sites ont été attaqués et modifiés.

Le plus souvent, ces attaques se bornent à modifier l'aspect extérieur du site ou "défacer". Elles sont perpétrées par des hacktivistes qui souhaitent prendre part à la lutte grâce aux opportunités offertes par Internet.

Quantifier la férocité d'une attaque s'est très longtemps fait en focalisant à tort sur les sites webs modifiés. Bien que limité, cette analyse apportait une notion quantitative (nombre de machines impliqués, nombre de sites défaçés, durée de l'attaque...).

Cependant, défacer un site, bien qu'ennuyeux pour le webmaster, reste un acte uniquement symbolique et peu impactant au final. C'est pourquoi cette analyse n'apportait que des résultats limités.

En revanche, la tendance actuelle est clairement la prégnance des normes dites "web" : le site web d'une entreprise dissimule alors un système d'information lourd, complexe mais qui recèle potentiellement des informations intéressantes ou pouvant causer de lourds impacts s'il est touché.

Ainsi, détruire le site web devient non seulement un impact "business" pour l'entreprise mais également, un impact plus profond pour l'organisation si, via le serveur web, le pirate réussit à s'infiltrer plus profondément dans le système d'information.

C'est pourquoi, alors que la référence aux sites webs défacés paraissait quelque peu légère, elle permet maintenant d'engager une analyse plus profonde et inquiète un peu plus.

Une morale à tout cela : la sécurité EST globale et celle de votre serveur web particulièrement, tout autant que la conception d'une architecture sécurisée !

Source : http://news.hostexploit.com/cyberwar-news/3970-skorean-government-website-hit-by-cyber-attacks.html

mercredi 9 juin 2010

Interview du Général K. Alexander

L'homme fort de la cybersécurité aux Etats-Unis s'est prêté au jeu d'une interview lors d'une conférence organisée par le CSIS.



On peut également retrouver ici d'autres vidéos où il développe sur le CYBERCOM et autres. Une bonne occasion de faire le point sur l'organisation, plutôt complexe, de la défense américaine : http://csis.org/event/cybersecurity-discussion-general-keith-b-alexander-director-national-security-agency

vendredi 4 juin 2010

Propagande et hacktivisme

L'hacktivisme est, on l'a vu ici et ici, une forme très actuelle de contestation sur Internet. Malgré le flou que cette notion suggère encore, elle met en avant la capacité des individus à rejoindre un groupe revendicatif et à susciter des actions plus ou moins agressives notamment sur internet, tout en conservant son anonymat et un engagement personnel modéré.

A cet égard, Anonymous figure parmi les groupes les plus médiatiques et les plus connus sur Internet. Jouant notamment sur la dualité de leurs membres, des anonymes revendicatifs ayant une vie "réelle" potentiellement bien plus rangée, ils se sont illustrés grâce à leur lutte contre l'église de scientologie.

Une brèche cependant a été ouverte dans la confidentialité avec la condamnation d'un jeune homme du Nebraska à payer une amende de 23 500 dollars pour les dégâts commis contre les systèmes informatiques de la secte.

Un représentant a ainsi qualifié Anonymous de groupe haineux, ce qui ouvre une perspective intéressante. En effet, on remarquera naturellement que tout ce qui a trait à l'information est immédiatement à double-tranchant : lutte pour l'un, incitation à la haine pour l'autre.

Ou encore propagande vs. communication comme on le voit dans le cas d'Israël communiquant largement autour de la récente crise provoquée par une intervention plus que musclée à bord de bâtiments transportant soi-disant du fret humanitaire vers Gaza. Au-delà de la communication institutionnelle, le Guardian révèle que cette "diplomatie 2.0" a pour acteurs des membres spécialement formés à répondre aux commentaires et mettre en avant une opinion favorable à Israël.

A noter qu'Israël n'est pas novice en la matière..!

Ces éléments nous incitent donc à réfléchir sur la guerre de l'information encore une fois. Bien que qualifiée de guerre en raison de sa soumission à un agenda politique donné, la guerre, au sens traditionnel, repose sur un corpus juridique ancien qui la définit et d'une certaine manière, l'encadre.

Ici, ce n'est pas le cas et à l'instar des nombreuses opérations militaires de l'OTAN régulièrement mises en cause (y compris dans les pays membres et acteurs),cette question de légitimité tend à cristalliser voire à envenimer les positions tant l'on sait que les discussions sur Internet dérapent facilement.

A tout le moins, ce problème de crédibilité autorise une remise en question par les internautes et montre bien que le Net change profondément la manière dont les messages sont reçus et perçus...

Une manière de communiquer à réinventer ?

Source : http://news.hostexploit.com/cyberwar-news/3916-scientology-sydney-welcomes-conviction-of-anonymous.html

http://meridien.canalblog.com/archives/2010/06/01/18082815.html

mercredi 2 juin 2010

Le poste du Cyberczar confirmé et pérennisé !

La "House of Representatives", équivalent américain d'une de nos deux chambres législatives (plutôt assemblée nationale), a voté récemment une loi apportant son lot de changement.

La création du poste de cyberczar par le Président Obama relevait d'une vision et d'une stratégie personnelle. Ainsi, ce poste pouvait très bien être révoqué ou tout simplement non renouvelé par l'administration actuelle ou la prochaine.

Ce choix législatif prouve ainsi tout l'intérêt du législateur américain pour les questions de "cybersécurité". Il développe aussi les obligations de l'administration en matière d'action de sécurité informatique.

Plus précisément, cette loi crée deux "Bureaux" ou "Office" : le "National Office for Cyberspace" et le "Office of the Federal Chief Technology Officer". Ces deux postes sont permanents.

Autre élément intéressant, cette loi se constitue d'un amendement déposé par le Rep. Jim Langevin (D-R.I.) et la Rep. Dianne Watson (D-Calif). Cette amendement est apporté au "National Defense Authorization Act for Fiscal Year 2011", c'est à dire le budget, ou plus précisément, les autorisations d'engagement pour la Défense nationale américaine.

On reste donc donc le domaine de la défense et cet amendement doit recevoir l'approbation du Sénat, notamment par l'intermédiaire de la Commission dédiée à la défense et aux forces armées. A la suite de ce vote, le Président OBAMA devra signer la loi.

Parmi les responsabilités des nouveaux venus, la capacité à contrôler et revoir des budgets ainsi que des obligations en matière d'efforts à faire dans le domaine de la cybersécurité. (on en parlait ICI). Il serait cependant incapable de faire modifier les budgets même si les agences devront envoyer lesdites prévisions.

Son rôle serait assez similaire à celui d'Howard Schmidt mais sa capacité à disposer d'un budget et d'une existence légale, portée par le Sénat notamment, lui octroierait de plus grandes capacités d'action.

Cette évolution qui grave dans le marbre une évolution au plus haut niveau fournit ainsi des pistes de réflexion intéressantes pour nous. Remarquons néanmoins qu'il existe de telles structures à de très nombreux niveaux aux USA : peut-être trop ?

Edit : un récent article place également ces modifications sous l'égide de l'évolution, pour l'année fiscale 2011, de la FISMA. Le "Federal Information Security Amendment Act" prévoit différentes obligations en matières de budget et de techniques afin de garantir la cybersécurité. Au sein du "National Office of Cyberspace", le "Federal Cybersecurity Practice Board" aura pour tâche de regarder plus précisément les questions de conformité des agences de l'administration américaine.

Cette dualité législative concernant les deux "offices" aurait pour cause la limite du périmètre de la FISMA qui, à priori, ne s'appliquerait pas partout notamment au niveau des organisations touchant à la sécurité nationale.

Selon les observateurs avertis du domaine, cette évolution de la FISMA qui fête cette année ses 8 ans, aura pour conséquence de faire évoluer assez considérablement son importance et sa capacité à faire évoluer les pratiques de sécurité publiques aux USA.

Source : http://www.darkreading.com/security/government/showArticle.jhtml

http://gcn.com/articles/2010/06/02/info-security-amendment-060210.aspx

mardi 1 juin 2010

Les débuts du Cyber Command

Après deux petites semaines d'absence, je fête mon retour avec un de mes sujets favoris : le CYBERCOM US.

Très récemment déclaré opérationnel, ce commandement, dirigé par le Général K. Alexander en charge également de la NSA, pose déjà des questions. Il faut en effet rappeler que sa mise en place a été assez longue et que son périmètre d'activité pas forcément très clair.

L'est-il plus aujourd'hui ? On en doute encore mais l'affirmation officiel est qu'il s'agit d'un commandement destiné à coordonner les efforts de protection des réseaux MILITAIRES appartenant aux Etats-Unis.

Rappelons que la décision de le créer a notamment été rendue public l'année dernière et qu'elle a fait grand bruit. Il n'était pas pour autant le premier commandement de haut-niveau destiné uniquement à la "cybersécurité" : à cet égard, l'Armée de l'Air américaine fut pionnière.

Les spécialistes de l'analyse militaire mettent aujourd'hui en avant le fait que l'Armée de l'Air américaine a subi de nombreuses pressions. On sait également que dans la plupart des pays occidentaux, elle est souvent remise en question. Ainsi, l'US Air Force modifiait récemment sa devise en y ajoutant le cyberespace : "To fly, fight and win in air, space and cyberspace".

Des difficultés internes l'empêchaient alors de conclure ce projet qui finit cependant par naitre sous l'égide de la 24th Air Force, l'année dernière.

L'arrivée du Président OBAMA donna un nouveau coup de fouet à la question et l'approche globale étant à la monde, l'idée d'un commandement plus général fut avancée. Au-delà de cette facile interprétation, il faut retenir qu'analyser les luttes de pouvoirs et enjeux des centres de décisions américains reste délicat.

Le CYBERCOM fait partie du STRATCOM : celui-ci fait partie d'un ensemble plus vaste incluant également des commandements de zones (Atlantique, Pacifique...). Le STRATCOM prend donc en compte des questions plus génériques que des zones du globe et a acquis notamment ses lettres de noblesse lors de la Guerre Froide car il gérait notamment la question nucléaire.

Revenons au CYBERCOM : bien évidemment, une crainte récurrente est celle de la naissance d'une seconde NSA. Malgré les nombreuses réitérations du message tranquillisant, il n'a pas fallu longtemps pour qu'un officiel du Pentagone analyse que ce CYBERCOM pourra avoir à "protéger" les réseaux civils pour garantir la sécurité de l'Amérique.

On sait également qu'un large rapport aurait été prévoyant la montée en puissance du CYBERCOM. Armé par environ 500 personnels, il pourrait bientôt en accueillir plus de 1000. Par ailleurs, certaines sources insinuent que des procédures seraient à l'œuvre permettant au CYBERCOM de répondre aux requêtes du DHS notamment pour la protection des réseaux.

Une forme de réponse militaire à l'instar de l'engagement des troupes lors de l'ouragan Katrina par exemple. Ce qui, évidemment, ne laisse pas d'inquiéter les défenseurs des libertés civiques, qui voient ici une action contraire à la politique générale présentée par le Général K. Alexander lors de son audition devant le Sénat.

Enfin, on retiendra que les programmes Einstein 2 et 3 seraient dorénavant gérés par le même CYBERCOM. Ces programmes ont été révélés lors de la diffusion de la Comprehensive National Cybersecurity Initiative, initiée par le Président Clinton, renforcée par GW Bush et dé-classifiée par Howard Schmidt. Ils ont pour fonction de protéger les réseaux américains notamment en inspectant les échanges au sein des réseaux gouvernementaux américains ou en alertant les services concernés du déroulement ou de l'imminence d'une attaque informatique (on aimerait connaître les détails techniques...).

Bref, une unité militaire qui effraie quelque peu le monde du net qui tend à privilégier la liberté de pensée, d'action et de paroles ainsi que la discrétion et la protection de la vie privée.

Source : http://www.wired.com/dangerroom/2010/05/cyber-command-we-dont-wanna-defend-the-internet-but-we-just-might-have-to