vendredi 28 octobre 2011

Des signes d'offensive dans le cyber ? Finlande et DHS

Quelques éléments nous conduisent à interroger la notion d'offensive dans le cyberespace. En particulier deux :

- la publication par la Finlande d'une stratégie de lutte informatique aux relents offensifs

- un discours orienté de la secrétaire d'Etat du DHS, Janet Napolitano.

Dans le cas de la Finlande, il s'agit d'un document proposé par le Ministère de la Défense. Ce point peut-être intéressant car, par exemple, aux USA, il existe des documents de très haut niveau stratégique en complément de document publié par les armées. Ici, on est donc à un niveau "intermédiaire" : ce n'est pas une doctrine d'emploi mais pas non plus une stratégie nationale.

Or, ici, la Finlande ne fait pas mystère du développement de capacités offensives afin d'offrir une "Plateforme de Réponse crédible". Si l'on reprend les mots d'un officiel, celui-ci considère que la "meilleure défense demeure l'attaque" et qu'on ne peut être ni crédible ni efficace sans capacité offensive.

Il est à noter que ce document demeure un "draft" et non encore une position officielle, celle-ci étant espérée pour 2012 par les autorités. Il semble aussi intéressant de retenir que ce cheminement de pensée semble être inspiré par la Suède qui a subi en 2009 des attaques informatiques relativement importantes. Par ailleurs, la Finlande semble collaborer largement avec le CCD COE de l'OTAN situé en Estonie.

Lors d'un évènement officiel, Janet Napolitano a présenté une vision très "punchy" du futur de la défense informatique des Etats-Unis en insistant particulièrement sur le recrutement de personnalités dites de type "hackers" connaissant tout ensemble les ressorts de l'attaque et celle de la sécurisation.

Les qualifiant de "cyber geeks" (sid), elle a évoqué la problématique accrue du recrutement et des difficultés afférentes. Il n'en demeure pas moins qu'il semble que pour ces personnalités officielles, la possession de capacités offensives demeurent un pré-requis. Un ancien directeur de la NSA a d'ailleurs ajouté que selon lui, cette agence devrait se voir confier plus des responsabilités en matière de protection - notez qu'elle en possède déjà beaucoup.

Il semble ainsi que quelques indices tendent à confondre cette vision actuellement très duale de l'attaquant et du défenseur. S'il demeure vrai qu'un à un niveau très personnel, le professionnel en SSI sait la nécessité de bien connaître les modalités des attaques afin d'adapter sa défense, cela est différent pour un gouvernement.

Ainsi, le caractère spécifique des attaques, souvent dissimulées, et que l'on pourrait presque qualifier de "clandestines" renvoie à des méthodologies d'action de l'Etat souvent discrètes et que l'on ne reconnait surtout pas officiellement. Pour moi, il s'agirait d'une évolution intéressante que ces évènements matérialisent : cela peut demeurer cependant juste un épiphénomène.

Source : dans le texte

jeudi 27 octobre 2011

L'AFNIC formalise ses relations avec l'ICANN

L'AFNIC est l'entité française chargée de la gestion du ".fr" et de quelques autres domaines. Son domaine de compétence est donc une frange particulière du cyberespace au sein duquel les autorités françaises, le gouvernement, disposent de capacités de régulation et d'intervention.

Il existe donc une forme de souveraineté appliquée à cet espace défini de manière particulière (les noms de domaines ne sont qu'une partie du Net). Etant une forme d'attribut de souveraineté, les noms de domaines dits "nationaux" ou ccTLD ("country code Top Level Domains) ne collaborent que sous une forme de participation volontaire non contraignante à l'ICANN et au système de gouvernance.

A l'inverse, les gTLD, les domaines dits "génériques" comme le .com ou le .org sont gérés par des entités disposant d'une forme de délégation attribuée par l'ICANN. En revanche, la gestion opérationnelle diffère des processus de gouvernance et d'évolution du système de nommage : une structure de coopération existe au sein de l'ICANN mais les membres (des représentants des Etats) n'ont pas vocation à adhérer à tout de manière général. Autrement dit, si les pays sont obligés de collaborer avec IANA/ICANN pour des raisons de fonctionnement, rien ne les oblige à le faire pour le reste.

Aussi, il a été mis en place un principe d'adhésion ou de partenariat spécifique pour les pays qui, au cas par cas, décident, par l'intermédiaire de leur représentant de signer des accords de coopération avec l'ICANN. Ces accords prennent différentes formes et l'ICANN et l'AFNIC viennent d'en signer un. On notera que cet accord intervient relativement tardivement par rapport à d'autres pays et dans les processus de gouvernance internet.

mercredi 26 octobre 2011

ONU & OTAN : Lutte informatique et sécurité du cyber-espace

Le mois d'octobre est riche en informations liées aux problématiques de lutte informatique et de sécurité dans le "cyberespace". Ce billet se consacrera notamment à quelques-unes des dernières actions et décisions prises par l'OTAN et l'ONU dans ces matières. Ces informations sont en effet, particulièrement riche en données sous-jacentes.

Ainsi, l'OTAN a annoncé le 19 et 20 septembre plusieurs initiatives d'envergure concernant la cyber-défense. Toutes deux menées par le NC3A, une des agences de l'OTAN chargées des questions de télécommunications et informatiques (NATO Consultation, Command and Control Agency), la première vise à s'assurer le concours des industriels.

Dénommée "2012 cyber defence procurement", cette première initiative vise à répondre aux objectifs définis dans le dernier concept stratégique. Pour cela, elle s'appuie non seulement sur les besoins définis dans le document mais également sur les investissements réalisés par les Etats depuis (28 millions d'euros au moins). Ces investissements sont destinés à financer des travaux menés par les industriels de défense des membres de l'alliance dans les sujets retenus. Ceux-ci ont en effet 90 jours pour réaliser des propositions qui permettront à l'OTAN de développer les compétences attendues.

Le second projet se rapporte à un ensemble de décisions renforçant les capacités de collaboration des membres de l'alliance sur ce sujet. A cet égard, je vous conseille la lecture du document présentant la nouvelle organisation qui pourra faire l'objet d'une analyse plus poussée. Bien que moins visible à l'extérieure de l'agence, il semble que cette décision concertée des membres de l'OTAN soit de nature à profondément reformer l'organisation de cyber-défense de l'Alliance. Par ailleurs, il est notoire que l'OTAN est une entité qui produit notamment des normes de comportements et qui permet de faire cohabiter des militaires de nombreuses cultures et origines. Peut-être un "mieux" pour la "cyber-défense" ?

Plus récemment, l'Assemblée Générale de l'ONU s'attaquait à un ensemble de problèmes épineux et la première commission se penchait sur "TRAITÉ SUR LE COMMERCE DES ARMES, TEXTES TRAITANT DES ARMES À SOUS-MUNITIONS, SÉCURITÉ DU CYBERESPACE AU CŒUR DES DÉBATS DE LA PREMIÈRE COMMISSION".

Comme souvent en matière d'organisations internationales et en diplomatie, c'est au détour des lignes que l'on trouve le "croustillant"...que je propos de restituer ici (au moins celui que j'ai perçu).

Ainsi, le traitement des "armes, armes à sous-munitions" avec la sécurité du cyberespace est de nature à interroger. Mal à l'aise depuis le début avec la notion d'armes informatiques, force est de considérer que nos représentants à l'ONU semblent moins frileux...De même, la notion de "désarmement" abordée dans le texte semble tout à fait utopique dans ce contexte.

D'autres déclarations sont également intéressantes :

- celle de l'Australie, soutenue par les USA, sur l'effectivité de l'application du droit humanitaire constituant une base de départ dans les négociations de normes régissant le cyberespace. Par ailleurs, les USA ont souligné leur participation dans le cadre d'un groupe d'experts à constituer en 2012. Le représentant australien insiste d'ailleurs sur la nécessité de s'accorder sur des acceptions communes et sur la nécessité de négocier sur les différents aspects du cyberespace. Pour autant, il note que la structure actuelle de la gouvernance internet est légitime car les gouvernements ne sauraient contrôler Internet. On rappellera tout de même que les USA disposent d'un peu plus de contrôle en la matière que les autres.

- celle de la Chine qui rappelle en premier lieu qu'elle est victime de nombreuses cyber-attaques et soi-disant une des principales victimes. Dans un second temps, elle revient sur le code de conduite international relatif à la sécurité de l'information proposée avec la "Fédération de Russie, le Tadjikistan et l’Ouzbékistan".

On se rappellera que ce respect de la sécurité de l'information comporte notamment un volet relatif à l'usage de la "propagande"...Le sujet et son domaine d'application sont assez différents comme ce blog a pu déjà le montrer.

Ces quelques informations semblent bien montrer que l'activisme diplomatique demeure constant au sein des instances concernées. De même, les évolutions de l'OTAN démontrent une prise en compte croissante de ces problématiques...A voir pour l'avenir !

Source :


lundi 24 octobre 2011

Café Stratégique 10 - Stratégies dans le cyberespace

A l'appui de la récente publication du cahier n°2 d'AGS portant sur les stratégies dans le cyberespace, un café stratégique, formule désormais bien connue, est organisée afin de rencontrer un des auteurs, M. C. Bwele.

Co-fondateur de l'Alliance, passionné d'informatique, de nouvelles technologies, il est également titulaire du prix Marcel Duval pour un de ses articles sur la dissuasion dans le cyberespace.

Toutes les informations ci-dessous :



Nouvel ouvrage - D. Ventre - Surveillance et contrôle dans le cyberespace

Les questions de contrôle d'Internet et de la surveillance des télécommunications sont désormais incontournables. Où que l'on se tourne, les sujets fleurissent qui précipitent les débats :

- Au niveau national : HADOPI, LOPPSI2,

- Au niveau européen : Paquet télécom, neutralité du Net

- Au niveau mondial : main-mise des Etats-Unis sur Internet, neutralité, pouvoirs de la NSA, Gouvernance Internet

et les crises ne manquent pas non plus : Wikileaks, Anonymous, les ventes par des sociétés occidentales de matériels informatiques utilisés à des fins de contrôles dans les pays du "printemps arabe"...

C'est donc sur un sujet difficile où la polémique est reine et les avis tranchés que se sont penchés Ms. Ventre et Ocqueteau. Nul doute que l'approche claire et dénuée de facilités à laquelle nous a habitué M. Ventre saura éclairer un débat qui vire parfois à l'aigre...

jeudi 20 octobre 2011

Retour Francopol 2011

Un billet publié par M. PAGET qui travaille en tant qu'expert en sécurité informatique chez McAFEE nous propose quelques informations intéressantes.

De retour de FRANCOPOL, colloque consacré aux questions de cybercriminalité au Canada, il retranscrit certains éléments extraits des conférences. Si le sujet de la cybercriminalité est abondamment traité et fait l'objet de nombreux ouvrages, l'impression, très personnelle, que j'en retire est que l'on se consacre beaucoup à la cybercriminalité "Net-to-Net"...

Cette notation, encore une fois qui m'appartient, se réfère aux activités mettant en avant les actions criminelles perpétrées directement sur Internet : vol d'identifiants bancaires, arnaques et extorsions, ventes mensongères...Toutefois, s'il existe de nombreuses catégories de "cybercriminels", demeure la sensation que l'usage du net par la criminalité plus "classique" et pré-existante est moins bien connue...Du moins, par l'auteur de ces lignes.

M. PAGET reproduit donc, avec l'autorisation de l'auteur David Décary-Hétu, un résumé de certaines de ses recherches portant sur cet aspect de l'usage criminel du Net.

En particulier :

Pour les novices en matière de criminalité, je vous conseille quelques recherches sur les premiers noms qui sont effectivement des groupes criminels organisés connus et de dimensions importantes.

Par ailleurs, n'hésitez pas à consulter les articles et publications de cet auteur qui semble bien connaître son sujet.

Source : dans le texte

lundi 10 octobre 2011

"Wikileaks"- Executive Order du Président Obama

Texte attendu, le fameux "executive order" du Président OBAMA est un texte qui répond aux problématiques de divulgation d'information qui sont intervenues notamment dans le cadre de "l'affaire Wikileaks".

Un "executive order" est un texte équivalent à un décret du Président ou du Premier Ministre : il est pris par le chef de l'exécutif et a donc une portée très large. Il n'est pas forcément public comme en témoigne certains pris par son prédécesseur et que le Président OBAMA avait choisi de déclassifier à son arrivée.

Ce document enjoint aux administrations de s'atteler à différentes tâches afin de mieux protéger leurs secrets. En particulier, un audit ainsi qu'une révision des procédures seront obligatoires. Par ailleurs, les agences deviennent responsables des informations qu'elles créent, traitent puis partagent, créant ainsi un régime de responsabilité dont l'absence antérieure, si avérée, demeure très surprenant.

Ce texte crée également plusieurs comités, en particulier le Insider Threat Task Force dirigé par le Procureur Général (Attorney General), en pratique, le Ministre de la Justice. Ce premier comité aura pour tâche, encore une fois étonnante, de former une stratégie permettant aux agences de mieux gérer (licencier) les personnels dont la capacité à détenir/gérer des informations confidentielles semble limité.

Un second comité, le Classified Information Sharing and Safeguarding Office aura pour tâche de développer et d'entretenir une progression constante des bonnes pratiques en matière de préservation des informations confidentielles. Ce comité fournira également le personne au comité inter-agence chargé de cautionner les politiques d'échanges et de sécurité des informations.

Apparemment attendu dans la communauté de sécurité et du renseignement, cet acte présidentiel ne semble pas présenter de grandes nouveautés. Au contraire, il semble poser des bases dont l'absence d'existence antérieure laisse perplexe.

Peut-être peut-on trouver un élément de réponse à cette absence dans la dévotion des Etats-Unis envers les fonctions de renseignement. Si cette pratique nécessite une certaine dose de secret, elle a aussi besoin de nombreux échanges pour "construire" de l'information, par recoupements par exemple. Or, une des analyses du 11 Septembre, évènement traumatique s'il en est, pointait du doigt un manque de coopération des services de renseignement, notamment au niveau des échanges. L'équilibre délicat entre protection et échanges aura peut-être été plus en faveur de l'échange dernièrement avant de connaitre un certain revirement.

Notons aussi que les analyses de sécurité semblent pointer du doigt la tendance à protéger de manière périmétrique les installations et systèmes...Pour paraphraser d'autres blogueurs, la présence d'un firewall n'empêche pas aujourd'hui ces fameuses attaques en profondeur ou "APT" qui s'appuient sur la faiblesse d'un maillon interne. Il y a donc un historique lourd également sur la prise en compte tardive de la menace interne qui explique également certaines mesures de ce décret.

Source :

vendredi 7 octobre 2011

Réunion OTAN sur la cyberdéfense

Selon le site de l'OTAN, une rencontre est prévue entre les pays membres et les pays partenaires afin d'échanger autour des problématiques de cyberdéfense et notamment de doctrine avec un objectif en vue : l'évolution du concept stratégique de l'Alliance.

Les lecteurs attentifs de ce blog se souviendront peut-être qu'une telle réunion avait déjà eu lieu en Juin, au même endroit que celle à venir, Cambridge. Une fois encore, un panel représentatif d'experts sera réuni en provenance des pays membres ou alliés incluant également, comme la première fois, la Russie. Ce blog s'est également souvent fait l'écho des échanges particuliers entre russes et américains sur ces sujets et cette participation parait plutôt de bon augure dans les relations du pays avec l'occident ou les Etats-Unis, au moins sur ce sujet.

La liste des sujets montrent une orientation peut-être plus "haut niveau" que l'atelier précédent qui abordait des sujets comme DNSSEC. L'objectif semble bien être la production de vision stratégique ainsi que l'étude des impacts économiques et de sécurité sur les différents secteurs d'un pays :

  • "menaces de sécurité émergentes dans le cyberespace ;
  • commandement et conduite des opérations dans le cyberespace ;
  • historique des échecs en matière de sécurité de l'internet ;
  • cyberrisques et état de préparation dans le secteur privé ;
  • comment sécuriser l'internet de nouvelle génération ;
  • gouvernance dans le cyberespace - législations, coopération internationale et traités."
Si certains sujets nous interpellent moins, ceux en gras, sont très intéressants car ils dénotent la prise en compte d'opérations dans le cyberespace par des états et des entités militaires alors que les doctrines faisant état d'éléments à ce sujet sont relativement récentes et peu explicites. Dans un second temps, l'analyse des échecs de sécurité sur Internet est également un sujet enrichissant et également "à la mode" au sein de la communauté SSI (n'hésitez pas à lire notre prochaine chronique sur AGS !)


En italique, les sujets liés à la réunion précédente qui avait abordé les questions de DNSSEC et du future de la gouvernance Internet. Visiblement, ces sujets demeurent suffisamment importants et critiques pour susciter un intérêt continu des membres de l'Alliance.

A suivre donc...

Source : dans le texte.


jeudi 6 octobre 2011

Un nouveau RSSI pour le DoD !

Si Vis se faisait l'écho sur son blog des récents changements de postes notamment au niveau du DHS américain.

Mais ce ministère n'est pas le seul puisque Léon PANETTA, secrétaire d'Etat à la Défense américain vient de nommer Eric Rosenbach responsable de projets liés à la cyberdéfense au sein de l' "Office of the Assistant Secretary of Defense for Global Strategic Affairs".

Il remplace ainsi Robert Butler dans un rôle de pilotage des politiques, stratégies et autres éléments de cyber-défense au sein du département de la défense américain. Doté d'une solide expérience en la matière, il aura néanmoins la très lourde tâche de gérer ces programmes dans un contexte de réduction des budgets importants.

Rappelons en effet que le Pentagone devra trouver, sur 10 ans environ, des économies comprises entre 500 milliard et 1 billion de dollars...tout en conservant intactes certaines capacités comme la cyberdéfense. Bien que matériellement, celle-ci ne soit pas forcément la plus couteuse comparés à des programmes spatiaux ou maritimes, il faut prendre en compte le capital humain et le coût de la formation...Par ailleurs, force est de constater que les dépenses IT sont aussi en constantes évolutions et dans une forme de cycle infernale de course à la modernité, ce qui rehausse d'autant les coûts.

Source : dans le texte