mercredi 29 septembre 2010

Cyber Storm III

Nous annoncions il y a quelques mois la tenue d'un prochain exercice de lutte informatique grandeur nature aux USA intitulé Cyber Storm III.

Ce nouvel exercice a donc débuté pour une durée de plusieurs jours et se caractérise par la participation de nouveaux pays aux côtés des USA et de leurs alliés les plus proches, déjà présents dans Cyber Storm II.

Rappelons que la France organise également des exercices de crise informatique appelé Piranet, qui demeure cependant bien plus discret, culture oblige, que ceux qui se déroulent outre-atlantique.

Quelques éléments de contexte :

=> Cet exercice est organisé par le DHS, Departement of Homeland Security, ministère relativement récent malgré tout qui a pris une importance cruciale ces dernières années. Il est le pendant, côté civil, du ministère de la défense et gére toute la sécurité dite civile.

=> Cet exercice, d'une durée estimée à 3/4 jours, se déroule à Arlington, en Virginie au sein du Centre national d’intégration de la cybersécurité et des communications.

=> Il comprend le tests d'environ 1500 scénarios d'attaques informatiques concoctés notamment par la NSA et le Pentagone et se concentre sur les infrastructures critiques.

=> 7 Ministères américains (Commerce, Défense, Energie, Justice, Transports, Finance, la Maison Blanche et des représentants de la communauté du renseignement) 11 Etats fédérés (California, Delaware, Illinois, Iowa, Michigan, Minnesota, North Carolina, New York, Pennsylvania, Texas et Washington), 60 entreprises privées y participent appartenant au secteur de la défense, banque, industrie chimique, communications, nucléaires, transports et traitement de l'eau).

=> 12 pays ont été invités : le Canada, l’Australie, la Grande-Bretagne, la France, l’Allemagne, la Hongrie, le Japon, l’Italie, les Pays-Bas, la Nouvelle-Zélande, la Suède et la Suisse.

A suivre donc, pour en connaître un peu plus sur les scénarios testés et les résultats obtenus.

Source :

http://www.spyworld-actu.com/spip.php?article13891


http://fcw.com/articles/2010/09/28/dhs-testing-new-cyber-response-plan-in-global-drill.aspx

lundi 27 septembre 2010

Comment contrôler les "armes du net" ?

Question provocante s'il en est ! Une petite touche d'approche journalistique n'est pas sans effet parfois mais ne laissons pas l'enthousiasme nous emporter. Il s'agit ici d'évoquer les derniers développements de l'initiative russe, supportée par l'ONU et notamment l'IUT, mettant en avant un traité de contrôle des "cyber-armes". Nous évoquions, avec force critiques, dans des articles précédents.

Un récent article nous apporte quelques éléments dont le plus intéressant reste celui-ci :



Il s'agit de la liste des pays ayant approuvé l'initiative russe que nous évoquions précédemment. Cette initiative reste un relatif succès diplomatique russe car si le pays a clairement une position de leader ici, les pays l'ayant suivi ne sont pas forcément parmi les forces diplomatiques majeures à l'exception notable de l'Inde, de la Chine et du Brésil...Qui a dit BRIC ?

Aucun pays européen ne l'a effet encore soutenu et les Etats-Unis se font encore "tirer" l'oreille bien qu'ils aient accepté la version russe de contrôle des armements opposée à la leur, plus orientée coopération policière contre la cybercriminalité.

On apprend également quelques éléments intéressants :

=> l'approche choisi par la Russie est celle de "Guerre de l'Information" se référant aussi bien aux aspects techniques qu'à la guerre des idées

=> depuis 1998 et chaque année, le gouvernement russe dépose une motion tendant à proposer une négociation sur "l'information terrorism", c'est-à-dire les pratiques de manipulations, largement facilitées par Internet, permettant de manipuler des populations et provoquer des conflits sociaux de forte intensité

=> en 2008, Sergei Korotkov du ministère de la défense russe, lors d'une conférence de désarmement de l'ONU souhaitait que puisse être qualifié "d'agression" tout comportement imputable à un état, visant à effectuer des manœuvres de subversion par Internet

=> Lors du Sommet de l'Organisation de Coopération de Shangaï, la Russie avait réussi à proposé une version plus dure encore de cet accord de "désarmement" aux pays de l'OCS, version notamment plébiscité par la...Chine. L'accord définit une "guerre de l'information" visant à amoindrir les capacités d'un pays à remplir ses rôles politiques, sociaux et culturels.

=> On connait également la propension de l'IUT à souhaiter un tel traité, proposition relayée par son secrétaire général Amadoun Touré.

Il est intéressant de constater que toutes ces manœuvres reposent sur deux problèmes :

- le manque de définition communément acceptée des attaques informatiques, guerre de l'information...

- une problématique de gouvernance : alors que l'IUT tente d'y retrouver son rang, certains pays (Inde, Chine, Brésil, Russie), peu ou mal représentés, utilisent des voies détournées pour reprendre un ascendant sur ces problématiques.

Tout cela est bien beau et bien gentil mais n'oublions pas les réalités techniques notamment à commencer par le contrôle de programmes à haut potentiel de destruction. Un programme, c'est de la donnée numérique relativement simple : du texte dans un langage donné...

Le coût et la complexité de la reproduction de la donnée numérique sont NULS ! Un programme est bien plus léger qu'une vidéo. On le modifie, on le dissimule avec une grande facilité et on voudrait nous faire croire que l'on peut en limiter l'expansion ???

Les enjeux de l'activisme diplomatique russe apparaissent donc un peu plus clair grâce à ces informations : la problématique centrale semble demeurer la reconquête de leur rang diplomatique associée à plus grande maitrise de ce qui semble demeurer une faiblesse inhérente aux régimes en délicatesse avec les droits de l'homme à l'heure de l'information sans frontières.

Ce qui pose une question presque métaphysique, quelle est aujourd'hui la capacité réelle des États sur Internet ?

Source : http://www.npr.org/templates/story/story.php?storyId=130052701

vendredi 24 septembre 2010

Une dérive dangereuse...

En tant qu'observateur attentif du cyberespace, je dois dire que les derniers jours ont fait remonter des informations qui révèlent un potentiel de destruction relativement important.

Il faut se l'avouer : le Déni de Service, en particulier lorsqu'il est distribué (DDoS) devient une activité lucrative, un moyen de pression et un moyen de revendication. Devenu l'outil à tout faire, il est la réponse première et primale à tout acte sur Internet, ou dans la vie réelle, ayant choqué tout ou partie d'un groupe d'individus, une population ou encore une nation.

Cette tendance me parait dangereuse car elle est potentiellement auto-destructrice et, à mon sens, possède un potentiel énorme en matière dégâts, presque plus qu'une "cyber-guerre"...sauf à considérer qu'une propagande et une manipulation bien orchestrée puisse "exciter" lesdits hacktivistes, ce qui semble une hypothèse assez probable.

Revenons à nos moutons :

=> DDoS comme activité lucrative: je vous renvoie ici à l'étude faite par les consultants sécurité d'Orange Business Services qui ont étudié les réponses d'une société tout à fait visible sur le net dont l'activité est de lancer des dénis de service.

Help-Desk de IMMDOS

=> DDoS comme moyen de pression : en Inde, les ayants-droits de l'industrie culturelle feraient désormais appel à des spécialistes de l'attaque informatique pour rendre indisponible les sites proposant des fichiers piratés notamment.

Commanditer des attaques DDoS


=> DDoS comme moyen de revendication : cette méthode là est classique mais elle devient quelque peu trop répandue et n'est pas sans causer des craintes sur les capacités d'absorption de nos réseaux.

On sait ainsi avec une quasi-certitude que les hacktivistes affûtent leurs logiciels pour la mise en place du site de l'HADOPI afin d'être prêt rapidement, dés sa mise en ligne, à le rendre indisponible.

De la même manière, d'autres ayants-droits sont attaqués, en représailles, pour leur politique agressive de protection de leurs richesses.

Hacktivisme contre les ayants-droits et leurs représentants.

Alors que le Parti Pirate français a pu faire remarquer que :« alors que des attaques par DDOS contre les serveurs de hadopi.fr et TMG se préparent, nous appelons leurs futurs auteurs à la raison et à l'engagement citoyen et/ou politique. Nous ne cautionnons pas ces attaques vaines et contre-productives, qui amènent de l'eau au moulin de nos adversaires, qui stigmatisent déjà les internautes et les criminalisent », cela ne s'arrête pas là.

Cette forte d'hacktivisme pourrait ainsi présager d'une forme de guerre civile entre internautes, quel que soit leurs origines et métiers par exemple. Le partage temporaire d'une opinion ou l'appartenance idéologique à un groupe pourrait ainsi décider de telles actions qui, bien que brèves pour l'individu, peuvent avoir des conséquences néfastes sur la viabilité du Net.

Internet reste un patrimoine commun et je ne suis pas sur qu'il survivrait à une vraie "bataille" à coups de DDoS de revendicateurs assoiffés de "sang numérique"...Au-delà de ces quelques métaphores douteuses, la crainte reste pour moi, réelle !

mercredi 22 septembre 2010

Capacités de lutte informatique d'Israël

Edit : Un ami d'un autre blog, Electrosphère, me renvoie à un de ses articles détaillant plus précisément les techniques utilisées pour paralyser les radars syriens : http://electrosphere.blogspot.com/2007/12/le-raid-cyber-de-isral-en-syrie.html

=====================================================================================

Un article intéressant fait le point sur les capacités d'Israël en matière de lutte informatique. A priori, les Forces de Défense Israéliennes auraient ici moins de complexe qu'en matière nucléaire.

Alors que certaines informations étaient restée relativement discrètes, l'article confirme qu'Israël aurait bien utilisé de telles capacités pour mettre hors d'état de nuire certains composant du système de radar et de surveillance aérienne syriens alors que des aéronefs allaient bombarder de récentes installations suspectées de participer à un éventuel effort de nucléarisation.

C'est cependant des problématiques d'intrusions qui auraient décidé le pays à s'engager sans plus de réserve dans le domaine de la lutte informatique notamment après des déboires rencontrés pendant l'opération "Plomb Durci" en 2009.

Plus exactement, deux attaques se seraient produites :

- Une tentative de piratage des systèmes de gestion de satellite audiovisuels pour remplacer les flux légitimes par de la propagande

- des piratages orchestrés par le Hezbollah pour obtenir des accès aux communications militaires.

La première attaque aurait été contrée mais pas la seconde, précipitant la réaction du pays en matière de sécurité informatique.

Suspecté de n'être pas naïf en la matière, Israël ne s'est pourtant que rarement illustré en matière de lutte informatique.

Assisterions-nous à la naissance d'un nouvel état prépondérant dans le domaine de la lutte informatique ?

Source : http://www.military-technologies.net/2010/09/20/idf-hones-cyber-warfare-capabilities/

vendredi 17 septembre 2010

Amalgames et dérives : du nucléaire au cyber !

Étant volontiers critique des approches en vogue de la "cyberdéfense", je ne peux m'empêcher de réagir aux propos de M. Lynn, le sous-secrétaire d'État à la défense des États-Unis, venus en Europe prêcher la bonne "cyber-parole"...

Entrons dans le vif su sujet : mon reproche porte essentiellement sur cette analogie persistante et déplacée avec le monde nucléaire...

Si je devais tracer à grands traits l'histoire récente de la stratégie militaire, je dirais que deux doctrines sont aujourd'hui particulièrement présentes : la dissuasion nucléaire, toujours d'actualité, et la contre-insurrection.

Or, la contre-insurrection semble s'appliquer à des problématiques "terrains" avec une empreinte technique relativement faible. En revanche, la doctrine nucléaire est, par essence, une doctrine qui s'attache à intégrer dans un concept militaire, un ensemble technologique très pointu.

De là à dire qu'en absence de pensée construite, on se contente de ressortir les vieilles recettes, il n'y a qu'un pas ! J'avoue que je pense réellement que cette solution de facilité permet aux discours de se servir de l'analogie nucléaire justifiée par une forme de base technologique commune.

J'ai déjà, dans plusieurs articles, esquissé, ce qui pour moi, cristallise le manque de pertinence de cette analogie.

Soyons pragmatique et précisons les reproches :

- "Bouclier cybernétique". Que vive la défense périmétrique ! Personnellement, ce discours a quelque chose de drôle au vu des dernières mésaventures de nos alliés outre-atlantiques à cause d'une clé USB.

Ce concept de défense périmétrique, tel que décrit ici, renvoie donc à une solution surannée et contestable qui aujourd'hui trouve ses limites. Elle est de plus en plus souvent accompagnée par d'autres mesures et approches : risques/menaces, sécurité dans un monde interconnecté etc etc...

- "l'organisation d'une "défense collective" comme au temps de la guerre froide, par le biais de l'interconnexion des systèmes de défense informatique des pays alliés."/...Alors là, je trouve qu'on touche le fond !

Bien que moyennement capable de protéger nos propres réseaux, il faudrait encore s'interconnecter le plus possible. Comme cela, on est certain de faire encore plus de dégâts. Rappelons que la chaine n'est jamais plus solide que son maillon le plus faible !

En revanche, je ne peux que me montrer en accord avec la notion de défense commune : en effet, le partage d'informations en temps réel, la capacité à détecter des attaques (analyse des signaux faibles + renseignement sur Internet) sont des facteurs d'amélioration de la sécurité de ces systèmes.

Cependant, il me parait également important de sortir des concepts pré-conçus pour en inventer de plus adaptés. C'est notamment la proposition que je faisais dans un précédent article de "réduction des fenêtres d'action" par la corrélation de différents moyens.

En revanche, je crois fermement que ces efforts de conceptualisation ne pourront s'affranchir d'une profonde période de recherche, d'analyse et de compréhension des mécanismes d'affrontement. En cela, la diversité des méthodes d'analyses déjà existantes paraissent tout à fait adaptées à l'objet d'étude. On pense à l'analyse stratégique par exemple mais également aux différentes théories de l'information.

De ces discours politiques, on retient ainsi un profond manque d'ancrage dans la réalité et l'opérationnel. Or, dans le cas de la "cyber-défense", le concept porte en lui de vrais problèmes qui auront un impact direct sur l'efficacité et les effets collatéraux.

Source :

http://www.lemonde.fr/technologies/article/2010/09/16/le-pentagone-plaide-pour-une-cyberdefense-internationale_1411790_651865.html

lundi 13 septembre 2010

Recherches sur le cyber-terrorisme

Dancho Danchev, un homme plutôt connu dans le monde de la sécurité informatique, propose une synthèse de ses travaux des 3 dernières années sur le phénomène du terrorisme islamique sur Internet.

Il est aujourd'hui un débat fortement contesté (un troll ?) sur le concept de "cyberterrorisme". Certains lui reprochent de manquer de crédibilité tandis que les autres lui trouvent tout un tas de raisons d'exister.

Quoi qu'il en soit et quelle que soient les capacités d'attaques informatiques des groupements terroristes, il demeure quelque vérité :

=> il est difficile de déterminer précisément la part des groupes terroristes, des sympathisants, des hacktivistes....

=> Internet reste un outil bien pratique pour recruter, organiser, se renseigner, échanger de l'argent de façon dissimulée.

On voit donc qu'il est plus que certain que ces groupes utilisent le Net pour diverses raisons mais qu'il est aussi délicat de dresser à la fois un portrait précis du "cyber-terroriste" tout autant que de lister ses modes d'actions.

Pour cela, la recherche est un passage obligé et celle qui nous est livrée ici sera certainement très intéressante !

A lire : http://ddanchev.blogspot.com/2010/09/summarizing-3-years-of-research-into.html

jeudi 9 septembre 2010

Médecins & Cordonniers....réalité de la métaphore ?

On a toujours dit les cordonniers étaient les plus mal chaussés. L'aphorisme anglais équivalent fait appel aux médecins...La question demeure : la métaphore est-elle véridique ?

On aurait tendance à le croire suite aux révélations de Wired qui fait état d'un rapport publié suite à un audit des systèmes informatiques du Departement of Homeland Security .

Le DHS, et en particulier les systèmes informatiques de ses agences chargées des questions de sécurité informatique, la NCSD (National Cyber Security Division) et l'US-CERT a ainsi réalisé un scan assez simple au final en utilisant, d'après l'article, Nessus, un scanner de vulnérabilités bien connu et assez simple d'utilisation.

Celui-ci dispose d'une base de vulnérabilités souvent en relation avec des variantes de logiciels ou des versions. Lorsqu'il se connecte à une machine et se connecte à différent port, il reçoit des informations des logiciels effectuant tel ou tel service sur tel ou tel port.

Bavares par nature (pas toujours), ces logiciels renvoient des informations permettant souvent de déterminer la version et donc les vulnérabilités publiques connues sur cette version.

C'est ainsi qu'ont été relevées plus de 200 vulnérabilités critiques ou présentant un fort risque. Pour la majorité, il s'agirait de problèmes de patchs et de mise à jours.

Cela nous permet d'en déduire quelques leçons fort utiles pour les processus de sécurité :

- réalisez des tests et des scans régulièrement ! Certains sont relativement simples, peu couteux et peu impactant et peuvent être réalisés sans une très forte connaissance technique. D'autres feront appels à des professionnels du test d'intrusion et seront pratiqués sur une base régulièrement mais moins fréquemment.

Le premier test est un indicateur d'un certain état de sécurité tandis que le second se veut une analyse approfondie de votre système et de votre architecture.

- Ayez un processus de patchs management pour vos postes de travail et vos serveurs. Prenez garde à bien différencier les approches mais faites régulièrement ces mises à jour qui peuvent être salvatrices.

- Enfin, pensez à éteindre/redémarrer vos postes de travail. Si certains systèmes, notamment libres, peuvent ne redémarrer qu'un service, la plupart des postes de travail restent sous Windows et une mise à jour occasionne bien souvent un redémarrage.

Donnez à vos collaborateurs l'habitude d'éteindre leurs machines : cela permet notamment la prise en compte des mises à jour, évite le gaspillage de courant et permet également d'éviter les attaques de nuit ! A prendre avec précaution évidemment mais cela reste une bonne habitude !

Source : http://www.wired.com/threatlevel/2010/09/us-cert/

Menace complexe !

Intéressante nouvelle relayée par CNIS Mag avec un petit côté "Ocean's Eleven" !

Effectivement, comme on l'oublie parfois, l'informatique et ses menaces ne peuvent exister sans le monde réel. Les problématiques posées par l'utilisation des réseaux sans-fil connaissent ainsi un regain d'intérêt avec cette information.

Des chercheurs en sécurité ont ainsi utilisé des analyseurs de signal électromagnétiques dans différents endroits leur permettant ainsi de déterminer, par exemple, les maisons et/ou appartements vides et susceptibles d'être cambriolées.

Un wifi, même chiffré, qui envoie de très rares trames appartient sans doute à une maison vide. Une émission de téléphone portable ou encore les échanges d'informations entre clavier et souris sans fil permettent au contraire de désigner l'habitation à éviter...

Un peu de "hack matériel" donc, avec une pointe de perversité, pour une menace évoluée ! Si on était aussi pervers, on pourrait également se dire qu'il est possible de simuler sa présence par la mise en place de systèmes automatiques permettant de simuler d'importants échanges sur le Wifi (téléchargements, échanges P2P...) !

Source :
http://www.cnis-mag.com/plus-dangereux-que-conficker-l%E2%80%99analyseur-de-spectre.html