jeudi 29 novembre 2012

Un camp de manoeuvre pour la LID

Une information très intéressante a été publiée très récemment relative aux pratiques d'entraînements des professionnels de la lutte informatique aux Etats-Unis. Il semblerait ainsi qu'un camp d'entraînement spécifique aient été créés sous la forme d'une petite ville disposant d'une connectique accrue et de systèmes d'informations nombreux notamment en ce qui concerne les SI dits "vitaux".

NetWars CyberCity située prés de la ville de Turnpike dans le New-Jersey a été développée  en collaboration avec le SANS Institute, une entité spécialisée dans la formation en sécurité informatique. Un de ses objectifs est notamment de former les futurs spécialistes des forces armées américaines dans le domaine de la lutte informatique. Une des composantes de la formation apparaît à ce titre très défensive quand l'autre semble bien plus offensive.

Bien évidemment, la taille des infrastructures est réduite et les bâtiments miniatures. Les composants, en particuliers les systèmes informations supportant des services comme la fourniture d'électricité ou la gestion de l'eau, proviennent de systèmes réels utilisés au quotidien.

Afin d'élargir le débat, force est de constater que cette initiative renforce le pivot effectuée par la lutte informatique actuelle. Auparavant, l'action offensive sur les réseaux s'apparentait essentiellement à des actions qui n'étaient qu'indirectement liées à une pratique de "guerre" : les nombreux cas rapportés rappellent bien plus, pour ce que l'on en sait, des cas d'espionnage, de subversion ou encore de perturbation. Une action qui semble plus clandestine.

Toutefois, cette orientation qui vise à donner un contenu plus "guerrier" dans le sens plus conventionnel , à priori, de mener de la guerre et les affrontements est plus récente. Elle s'avère parfaitement cohérente avec les choix stratégiques que l'on peut connaître des Etats-Unis, en particulier le fait qu'une attaque informatique puisse recevoir une représailles par des moyens dits "conventionnels" justement. 

La réflexion pourra objecter plusieurs remarques dont par exemple que les temps nécessaires aux attaques informatiques ne sont pas compatibles avec la réactivité nécessaire aux conflits armés.  A cet égard, on rappellera que les conflits font justement l'objet de planification et d'entraînement, à l'aide de structures dédiées et de scénarios jugés pertinents. Il faut également se souvenir des récentes orientations données à la recherche, en particulier par l'intermédiaire du programme "Fast-track" de la DARPA qui semble pleinement répondre à ces besoins.

Note : sur les problématiques d'entraînement ou d'adaptation aux conflits, dont je ne suis pas spécialiste, je conseille vivement la lecture de ce blog : http://lavoiedelepee.blogspot.fr

Source :



vendredi 16 novembre 2012

Cyber-perles !

Suite à un récent article sur les méfaits de la consommation abusive de "cyber", il m'a paru nécessaire de vous proposer un petit recueil des quelques "perles" qu'il m'avait été donné de lire. Attention : humour caustique ci-dessous...vous aurez été prévenus.

Disclaimer : dénonçant l'usage abusif du terme et les biais intellectuels qui en dérivent, stigmatiser tel ou tel blogueur me parait tout à fait déplacé. Pour une fois, aucune source ne sera donnée. Un exemple pour illustrer cela : un excellent blogueur en défense, aéronautique ou autre peut ainsi utiliser un néologisme "cyber" de son cru afin d'illustrer un aspect précis à destination de son public de spécialistes sans qu'il soit nécessaire d'être plus précis. Rire oui...se moquer seulement s'ils le méritent vraiment ! Vous n'êtes pas obligés de croire que je n'ai les ai pas inventés mais c'est comme ça :D

- Cyber payload -

Une "charge utile" constitue la partie la plus intéressantes des données. En sécurité, elle est souvent associée à une d'autres données permettant d'exploiter une vulnérabilité, la charge utile étant souvent utilisée ensuite pour s'assurer un accès au système par exemple ou provoquer des comportements spécifiques.

Dans d'autres cas, lorsqu'on parle d'encapsulation, il s'agira de la partie purement constitué d'information non exploitées mais uniquement transportées. A l'opposé, des données positionnées dans des en-têtes (headers) seront des données utilisées par le ou les systèmes gérant des paquets sur un réseau par exemple.

La notion de "payload", bien qu'évidemment non spécifique à l'informatique, n'est pas nouvelle et se trouve même utilisée depuis bien longtemps tant en sécurité qu'ailleurs. Il est donc inutile de la "cyberiser".

- Cyber-information systems -

Pffff...alors que la notion de systèmes d'informations fait enrager bon nombre d'informaticiens, il faudrait en plus qu'il devienne "cyber".

Car, soyons en sûr, le cyber-information-system de Mme Michu est attaqué de toute part. Alors, entreprises, soyez vieux jeu, vous serez sécurisés, votre système d'information ne craindra rien et je subodore que votre système informatique doit prendre la poussière quelque part....

Bref...avant de devenir totalement psychédélique, celui-ci ne mérite guère plus.

- Cyber-rock - 

Le sens de celui-ci m'est inconnu : s'agit-il d'une forme de déni de service que l'on pourrait utiliser dans le cyber-moyen-orient pour cyber-lapider des cyber-épouses infidèles (cyber-infidèle ou pas) ? Ainsi, Jésus-Christ pourrait-il s'exclamer "qui n'a jamais cyber-pêché me jette la première cyber-pierre" !
Ou bien, c'est un nouveau style de musique qui, on peut rêver, est dépourvu de DRM et inconnu des acteurs de l'audiovisuel.

- Cyber-espionnage -

Celui-ci est pour James Bond : et oui, les producteurs de Skyfall se sont inspirés de l'aventure Stuxnet et le nouveau "Q" a tout du brillant geek. Bien trop "propre sur lui" pour aller démonter les rouages d'un Aston-Martin afin de lui coller des armes automatiques, il ne fait plus tant rêver. Et puis James Bond fait vieux maintenant : il a raté tous ses test...Qu'à cela ne tienne, si sa petite forme ne lui suffisait plus, qu'il s'en tienne au cyber-espionnage.

 - Cyber-power - 

Quant à celui-ci, j'ai toujours la vision, lorsque je le lis, de Gandalf lors de la célèbre scène du "Vous ne passerez pas". Chers lecteurs, vous jugerez.

- Cyber-investigation -

Celui-ci est une hérésie car il existe des disciplines à part entière dont les objectifs sont justement l'investigation sur des données informatiques ou au sein d'Internet :

Forensic informatic ou analyse informatique post-mortem par exemple. Un des objectifs est de retrouver un chemin suivi lors d'une attaque informatique sur une machine donnée ou dans un réseaux. L'utilisation est fréquente dans les cas où une procédure judiciaire nécessite un examen approfondi, conduit par un expert, d'un ou des systèmes informatiques, machines et disques durs.

OSINT ou recherche/renseignement en sources ouvertes qui spécifient un cas bien particulier de recherche et d’agrégation d'informations en libre disposition, le plus souvent sur le web (ouvert ou caché).

- Cyber-guerriers -

Chers lecteurs, il me faut vous l'avouer : lorsque j'ai trouvé celui-ci, mon coeur a manqué un battement. Fan des aventures de Dragon Ball, j'ai toujours rêvé de changer de coiffure aussi vite et d'avoir cette pulsation plasmatique autour de moi. Et cyber-guerrier me fait irrésistiblement penser à "super-guerrier".

Et quelque part, nous qui faisons parfois de la SSI, ne sommes-nous pas des cyber-guerriers, des super-guerriers du cyber-espace..volant sur les électrons ?

De fait, voici dorénavant ce qu'il en sera :

- un déni de service distribué deviendra un "cyber-kaméhaméha"
- les hackers russes sont les "cyber-gorilles de la pleine lune"
- la fibre optique, c'est le "cyber-nuage supersonique"...

- Cyber-super-héros -

Pour ce dernier, il me faut avouer avoir cru déceler une certaine dose d'humour dans le titre et la formulation de l'article. Et puis, il n'est pas très loin du précédent alors on s'arrêtera là.

- Cyber Skirmishes - 

On pourra le traduire par "cyber-escarmouches"...Une embuscade avec des câbles RJ-45 tendus entre deux unité centrales ? Des commandos de hackers positionnés dans les réseaux du web "underground" attendant d'attaquer, et, en guise de camouflage...Tor...Il faut bien se cyber-camoufler !

Pour finir, voici une idée originale : et si l'on remplaçait "cyber" par "schtroumpf"...De toute manière, on en fait le même usage et ça n'apporte pas grand chose.

Chers lecteurs, j'espère que ce post vous aura fait un peu rire. J'ose espérer également qu'il aura contribué à vous convaincre de la nocivité de l'emploi systématique d'un terme qui paralyse la recherche et la réflexion alors qu'il est semble nécessaire de trouver tout à la fois les concepts adéquats ou le moyen d'adapter l'existant.

jeudi 15 novembre 2012

Le Président OBAMA formalise les opérations informatiques offensives

Premier à l'avoir révélé, le Washington Post a ainsi publié un article annonçant la signature par le Président OBAMA, sans doute à la mi-octobre d'un document organisant les opérations militaires de nature informatiques et à vocation offensive.

La directive politique présidentielle n°20 (Presidential Policy Directive 20) établit ainsi un ensemble de critères et de guides ayant pour objectif d'encadrer l'action des agences officielles dans ce domaines. Ce document étant classifiée, nous en sommes donc réduits à croire l'organe de presse sur parole.


Un contexte bien particulier...

Une précision s'impose : ce document s'inscrit dans la suite d'une longue bataille au sein du Congrès américain qui n'a jamais permis d'aboutir à la rédaction d'un document faisant consensus sur l'organisation de ces fonctions et opérations.

De même, j'imagine déjà plusieurs lecteurs se demander l'utilité d'un tel document alors que la NSA existe depuis longtemps, le Cyber Command également, et qu'ils ne sont certainement pas restés inactifs depuis leur création. De plus, l'observation des unités impliquées est trompeur car comme le rappelait Daniel Ventre, les Etats-Unis intègrent des unités de guerre électronique dans leurs listes d'unités à vocation "cyber"...(sic)

Rappelons donc qu'il existe plusieurs types d'acteurs, officiels et officieux, menant différents types d'opérations. Certaines peuvent être tout à fait officielles et entrer dans le cadre d'une action militaire connue et publique. D'autres peuvent être discrètes mais demeurer officiels. Les dernières, enfin, seront clandestines et relèveront notamment des agences de renseignement, par exemple.

Pour étayer cette distinction, on pourra reprendre l'action des armées françaises en Afghanistan : publique, connue et officielle bien que certains éléments demeurent dissimulés afin de protéger les soldats. Les actions des dites "forces spéciales" sont très discrètes mais ne sont pas clandestines et les intervenants sont des "soldats" en uniformes et identifiables. Enfin, les action des services de renseignements (DGSE par exemple) sont souvent dits clandestins.

Le document du Président ne concerne donc, dans ma compréhension, que la première voire la seconde catégorie. La dernière quant à elle n'a sans doute pas attendu ce document pour agir.

Une différenciation des opérations

Toujours selon l'article, une distinction importante est faite :

- la "network defense" regroupe les actions de sécurité et de protection ou encore de défense des réseaux américains : l'article n'est pas plus précis.

- les "cyber operations" sont des actions offensives conduites par des entités militaires ou ayant cette vocation et dans le domaine de l'informatique et des réseaux.

Contrairement à ce qu'une partie des articles pourrait faire croire, il ne s'agit pas d'autoriser des contre-attaques ou de donner carte blanche à des geeks travestis en militaires. Ce document et les directives qu'il contient vise au contraire à formaliser les rôles des agences et leurs relations et à donner un cadre strict à des opérations offensives ou de contre-offensives.

A cet égard, le cas Stuxnet dont aucun des acteurs invoqués n'a reconnu la paternité (sauf erreur de ma part) n'entre pas dans ce type d'opérations mais bien plutôt dans une approche clandestine qui aurait ici, connu une forme d'échec justement.

Autre point, ces opérations auront notamment comme obligations de respecter l'ensemble des dispositions du droit des conflits armés.

Cette information est particulièrement intéressante car elle contribue à renforcer l'impression que les Etats-Unis souhaitent donner un contour et un aspect officiel à une pratique du conflit qui s'est jusqu'ici distingué par ses aspects dissimulés et se rapprochant beaucoup du renseignement. Passer d'une pratique de renseignement, même agressive, à un volet militaire plus classique, officiel n'est pas aisé et il n'est même pas acquis sur le succès sera au rendez-vous.

Source :




lundi 5 novembre 2012