mardi 31 août 2010

Cyberdissuasion à la mode Pentagone !

Avec un peu de retard, je m'attaque à l'analyse des propos tenus par le sous-secrétaire à la défense, William J. Lynn III, dans un article paru dans le journal spécialisé Foreign Affairs.

N'ayant pas lu l'intégralité de l'article, je me base sur ce qui est rapporté par les autres analystes. Malheureusement, le matériau n'est pas de première fraicheur mais on s'en contentera.

La démarche de communication du sous-secrétaire va de pair avec la conception et la mise au point d'une "stratégie" concernant exclusivement le cyberespace. Autrement dit, une forme de Livre Blanc de la "Cybersécurité" Nationale.

Quoi de neuf ici ?

Tout d'abord, une révélation assez surprenante sur laquelle on ne s'étendra pas : l'infection virale de 2008 et les fuites d'informations connexes. Selon les propos tenus par le sous-secrétaire à la Défense, la cause première est à relier à une clé USB infectée et aux efforts d'un service étranger de renseignement.

Cela renforce effectivement les tenants d'une sécurité du Poste de Travail plus drastique, oblitérant l'usage des périphériques et médias amovibles, justifiée par des conditions de travail particulières comme on en rencontre dans les milieux de la défense.

Cela laisse également songeur sur le niveau réel de protection des réseaux et administrations américaines alors que la sécurité et la défense sont parmi les points d'intérêts majeurs des Etats-Unis.

Autre point nouveau, l'approche résolument "offensive". L'approche du cyberespace reste très "paranoïaque" et décrit Internet presque comme "l'air que l'on respire" en même temps qu'un nouvel espace d'affrontement quasi-territorialisé aux côtés de la Mer, de l'Air, de l'Espace et de la Terre.

Cela permet ainsi d'avoir une approche relativement agressive et Lynn affirme ainsi que le Cyber Command et les différentes entités chargées de la cybersécurité ont développé différentes capacités d'interventions "violentes" dans le domaine. Il est donc aujourd'hui avéré que ces entités ont, ou auront rapidement, un réel pouvoir d'action offensif dans le cyberespace même si la préoccupation des effets collatéraux, notamment sur le commerce et la vie économique, reste une problématique majeure.


Ce qui n'est pas nouveau


=> la territorialisation du cyberespace comme ce blog l'a régulièrement signalé. Pour ma part, je doute un peu de cette doctrine mais l'avenir sera sans doute le meilleur arbitre.

=> l'approche globale renforçant le partenariat public-privé et l'intégration de l'industriel et du concepteur dans une approche "défense civile". On peut ici regretter que la vision française paraisse encore (pour ce que je peux en voir) encore trop basée sur une relation client-industriel. L'industriel restant dans son paradigme traditionnel de gains économiques et l'armée en positionnement de client, la défense globale ne bénéficie pas forcément de cette approche.

Ainsi, par exemple, la domination de Windows ou le manque d'intérêt pour la diversité logiciels et/ou l'interopérabilité "par le haut" ne paraissent pas forcément trouver des échos favorables. Seul la Gendarmerie ou le Parlement dispose pour le moment de solutions intégrées basées sur le logiciel libre...

Quelques doutes qui sont les miens et une vision uniquement basée sur de l'information publique. A relativiser donc !

Ce qui est contestable

Pour conclure sur l'approche de cette stratégie, on retiendra l'exemple de la dissuasion à la sauce "cyber".

De nombreux articles et essais ont tenté d'adapter le concept à Internet et au "cyberespace" afin de bénéficier de ses effets négatifs : baisse du niveau de conflictualité, très forte baisse du risque de confrontation globale, maintien d'un équilibre des forces...

De même, de très nombreux articles et mes propres analyses ont tenté de montrer en quoi cette tentative pouvait être illogique. L'impossibilité d'identifier l'attaquant, les risques de dégâts collatéraux ou encore, plus théoriquement, le manque de solidité de la notion "d'armes numériques" ont abouti à réfuter la théorie.

Le modèle américain est bâti autour de ce que j'appelle la théorie du "bastion": construire un ou des systèmes suffisamment résiliant, cadenassés, résistants et si bien protégés que cela dissuadera l'attaquant d'attaquer.

Je n'y crois pas pour 3 raisons principales :

=> Un tel système conduirait inexorablement à laisser de côté toutes les qualités d'ouverture et d'inter-opérabilité propre à Internet. Les communications deviendraient plus difficiles, l'innovation baisserait...On en reviendrait à une forme de Minitel (cf. l'analyse de M. Bortzmeyer sur la problématique BGP).

=> Alors que 80% des accidents de sécurité ont pour cause une défaillance interne, il faudrait donc avoir un système se protégeant de ses propres utilisateurs en permanence ou alors réformer l'utilisateur...L'exemple de la clé USB est ici très intéressant car ladite clé a été remise à un collaborateur interne qui l'a introduite sur le système : le coût de l'opération pour le service de renseignement externe est tellement bas que le système de dissuasion proposé et associé à cet exemple précis reste, à mon sens, rédhibitoire.

=> Aujourd'hui, le cybercriminel ou l'attaquant a : le temps, les ressources et l'impunité. Par définition, aucun système n'est infaillible : le code n'est que rarement sécurisé et parfaitement propre, par exemple, et la faille interne reste un "must".

Autrement dit, l'attaquant détient encore l'avantage et le conserve dans un système dit "de bastion" : ce système de dissuasion est déjà obsolète !

Ceci étant dit, un vrai système de dissuasion serait pour moi de modifier, justement, les conditions d'exercice de l'attaquant : amoindrir sa capacité à obtenir de l'argent en limitant le nombre de cibles potentielles, avoir des capacités de réaction et d'anticipation de grande envergure limitant ses "fenêtres d'action", partager l'information pour diminuer ses capacités à demeurer impunies...

Autrement dit, un système moins militaire mais plus orienté sur le renseignement et les activités internationales de police...

Quelques mots donc, sur cette "nouvelle" stratégique du Pentagone à propos du cyberespace !

Source :

http://www.washingtonpost.com/wp-dyn/content/article/2010/08/25/AR2010082505962.html

Aucun commentaire:

Enregistrer un commentaire