mardi 16 avril 2013

Des signaux faibles ?

Source : emoveo.fr
Le récit par Mme Loquet de ses aventures à Cansecwest 2013 a fourni matière à réflexion. En effet, alors qu'elle nous relate le déroulement des conférences et des moments festifs, l'interview du patron de Vupen, Chaouki Bekrar constitue le point de départ de la réflexion.

Relativement discret, celui-ci évoque néanmoins les réussites de sa société et de ses équipes de chercheurs en sécurité. Pour mémoire, la société Vupen fait commerce des vulnérabilités qu'elle peut déceler dans des produits, souvent grands publics, et logiciels. Elle s'est notamment illustrée pour avoir été une des première à "faire tomber" le navigateur de Google (chrome). 


Car, en effet, la conférence est également l'occasion du concours Pwn2own qui permet aux participants de démontrer la vulnérabilité de certains logiciels très connus comme Chrome, Internet Explorer, Flash, Windows...


Les propos de M. Bekrar sont à retenir car selon lui, la sécurité de ces logiciels est croissante et nécessite un investissement en temps et en recherche important. Nous évoquions ici la problématique de la sécurité des logiciels et du développement.

La lecture du blog cybergeopolitk révèle également des budgets importants consacrés aux problématiques de sécurité et de lutte informatique par les Etats-Unis alors même qu'ils connaissent d'importants soucis budgétaires. Cette tendance se traduit aussi dans la multiplications des annonces, des partenariats et des démarches en matière "cyber".

En bref, peut-on assister à une modification dans le milieu de la sécurité ? Pourrait-on imaginer, à l'instar de la transition démographique que la SSI commence à évoluer vers une sécurité accrue en même temps que la médiatisation des problèmes augmentent ?

Remplaçons alors taux de natalité par le niveau de défaillance SSI et la population totale par le niveau de médiatisation...Nous entrerions alors dans une phase 1 où la médiatisation et la prise en compte se renforcent de manière très importante. Se produit alors, tant bien que mal, une élévation globale du niveau de sécurité. 

Bien sur, cette analogie ne tient pas très longtemps : elle ne fait qu'illustrer très simplement une transition intéressante. Notez aussi que la prise en compte croissante de la SSI dans certaines sociétés, par ailleurs très évolué technologiquement ne garantit pas que la majeure partie des organisations saura en tirer profit.

Il reste donc, très certainement, de beaux jours à la SSI et plus encore à la LID. Rien n'empêche cependant de se poser parfois la question de la pertinence d'un signal...même très faible.

Source :

dans le texte




mardi 9 avril 2013

Technique ET Tactique...preuve par l'exemple

Source : McAfee Blog
Comme souvent, la veille quotidienne fournit matière à réflexion. Illustrons l'article de la veille par une mise en oeuvre d'une analyse duale. 

Rappelons rapidement les conclusions en commençant par ré-affirmer un élément : la notion de "technique ET tactique" illustre bien la nécessité du recours à des champs d'analyse variés dans une perspective de lutte informatique. Elle n'en reste pas moins approximative. Nous sommes cependant certains que les lecteurs en comprendront la portée et les limites.

Le premier article qui participe de la rédaction de cet article a été rédigé par Zythom. Cet excellent blogueur, d'une modestie rare, travailleur acharné et expert judiciaire explique de manière tout à fait convaincante la place de l'expert judiciaire. Il montre également de manière particulièrement pertinente la positions ambiguës de ce dernier qui n'est ni le spécialiste absolu ni le généraliste incompétent mais bien l'intermédiaire entre deux mondes.

Son travail est d'abord de comprendre l'ensemble des données techniques, de s'approprier les réflexions et les outils du spécialiste puis de les transcrire, sans les trahir, dans une démarche qui emporte des conséquences graves (judiciaires).

Remplaçons maintenant l'aspect judiciaire par l'aspect politique/conflits et conservons les aspects techniques. Nous obtenons le profil assez bien dessiné de l'analyste en matière de conflits informatiques. Preuve, par l'exemple, que celui-ci n'est pas rigide ni n'appartient à l'un de nos deux champs.

Le second article, qui fournit la "belle" image de cet article, provient du blog McAfee concernant l'analyse des codes malveillants. Il contient les prémisses de ce que l'on pourrait attendre en matière de réflexions. Prenons quelques exemples :

- le début de l'article s'intéresse à ce qui apparaît comme une tentative de dissimulation ou de discrétion. Lorsque nous les formulons ainsi, les concepts évoqués sont de l'ordre de la conflictualité. En s'intéressant aux détails, nous constatons que le concepteur du code a joué avec les en-têtes de fichiers  en modifiant le début d'un fichier ".zip" pour le faire apparaître comme de l'encodage de caractères en UTF-8.  Il a également intégré un dispositif permettant d'obtenir des signatures (hashes) différentes en intégrant des variations notamment sur une datation (timestamp) intégrée dans le zip.

- le contenu des fichiers analysés par les chercheurs de l'antivirus révèle également l'usage du russe dans le nommage de la principale charge utile (payload). Les tests effectués révèlent également qu'une fois installé, le malware modifie le fichier "hosts" sur la machine de la victime et établit des correspondances notamment avec des sites appartenant au domaine russe ".ru"...Ainsi, lorsque la victime souhaite se connecter à l'un de ces sites, les informations du fichiers prévalent sur celles que pourrait fournir le DNS et la victime se connecte à un site piégé ressemblant parfaitement au site légitime. Le concepteur utilise donc des techniques de manipulation et semble avoir une prédilection pour des victimes russophones (la liste entière n'a pas été utilisée ici). L'usage du russe dans le nommage des fichiers peut confirmer ce qui apparait comme une attaque limitée.

Les deux exemples de l'analyse fournie par l'éditeur nous donne deux approches différentes. Une "tactique" qui recherche ses preuves dans le domaine technique. La seconde, plus volontiers technique initialement, tire des conclusions appartenant au domaine "tactique". L'une comme l'autre ne se veulent que des exemples et peuvent être largement approfondies...

Les deux "preuves par l'exemple" illustrent ici à la fois une démarche analytique duale qui s'inspire de plusieurs domaines. L'article de Zythom peut-être vu comme une confirmation des profils types apte à conduire ce type d'analyse et à leur utilité. 

Nul doute donc que l'un comme l'autre sont nécessaires...!

Source :

dans le texte


lundi 8 avril 2013

Opinions tranchées...technicité vs tactique ?

Acus.org
Les grands esprits se rencontrent dit-on parfois. C'est un peu le cas ces derniers jours avec la publication de deux articles aux tons et positions tranchées qui apparaissent comme incompatibles. Vous verrez pourtant que ce n'est qu'apparence.

A tout seigneur, tout honneur, commençons par l'article proposé par l'Alliance Géostratégique sous la plume de l'auteur des Lignes Stratégiques. Celui-ci dresse un constat sévère sur les tenants d'un débat entre l'approche technicienne des luttes informatiques et ceux qui l'approchent par un biais plus militaire, tactique ou encore stratégique.

S'attaquant à un sujet brûlant, Marc Maiffret revient sur l'évolution du monde de la sécurité informatique, en particulier lorsque des enjeux stratégiques ont fait leur apparition. Pour lui, alors que la place et le rôle des entités publiques a été largement discutée, la problématique centrale est celle des systèmes informatiques dont les méthodes de développement ne détectent pas les failles. Ces failles constituent après autant de portes ouvertes pour ce qu'il dénomme "cyberattaques".

Tout semble opposer ces deux articles. Il n'en est rien et leurs qualités communes principales le démontrent. La première est de mettre en avant plusieurs dérives dans le débat qui, non résolues, polluent les échanges. De plus, elles tendent à diminuer la compréhension.

En voici quelques exemples :

- ces articles éclairent la notion de "biais". Lorsqu'un individu tente de comprendre les questions de lutte informatique, il est guidé par son éducations, ses qualités et défaut propres. Tant les "tacticiens" que les "stratèges" en sont victimes...

- ces articles éclairent également une problématique globale de gestion de "qualité". Il ne s'agit ici d'un modèle de qualité type ISO27001...mais plutôt de la capacité d'un analyste à produire un savoir de qualité. Ce savoir, bien évidemment, appartient ici au registre de la compréhension des enjeux des luttes dans le cyberespace ou aux propositions de renforcement de la défense ou de la sécurité ;

- enfin, ces deux documents illustrent également une problématique de champs de savoir qu'il n'est pas évident de dépasser. Pour s'en convaincre, relire le passage sur l'expertise de l'article sur l'oeuf et la poule...

Le second apport de ces articles est intrinsèque car ils fournissent des embryons de solutions :

- les deux préconisent, sans toutefois le formuler correctement, à mon sens, le retour à une dimension qualitative, quel que soit le domaine considéré. En bref, c'est une production de savoir ou de savoir-faire qui doit se renouveler ;

- les deux éclairent également le lecteur en proposant des solutions. Dans un cas, il s'agit de maintenir la capacité d'éclairer un discours par le recours aux détails de chaque "niveaux d'analyse". Dans l'autre cas, il est question de coordination et de modifier les méthodologies de production logicielle ;

- l'analyse transverse fournit également une hypothèse forte : le domaine SSI est très fortement lié aux problématiques de sécurité globales induit par l'usage des systèmes d'information. Ils ne se recouvrent pas complètement mais ne peuvent s'ignorer ;

- enfin, en mélangeant les domaines, chacun des auteurs invitent les tenants d'un domaine à se tourner vers les autres domaines...Une pratique parfois difficile lorsqu'il s'agit de produire de savoir et lorsque le champ universitaire est très segmenté !

La notion de niveaux d'analyse nous fournit notre conclusion. En matière d'analyse des relations internationales, cette théorie - dont un des fondateurs est Barry Buzan - contraint les chercheurs à envisager à chaque niveau des éléments liés à leur thématique. 

De la même manière, la question ici ne doit pas être conçue comme "technique versus tactique" pour faire simple. Elle doit être posée afin de produire des savoirs "vraies", des analyses justes et non partielles ou des outils de compréhension fondées sur une connaissance approfondie de ses biais et des moyens d'en limiter les effets. 

C'est donc "technique ET tactique" !

Source :

jeudi 4 avril 2013

Interdire les équipements chinois ?

Mesure emblématique du rapport Bockel, il semblerait désormais que l'interdiction des équipements télécoms chinois soit en passe d'être adoptée. De manière assez pertinente, certains articles établissent un lien entre la parution prochaine du Livre Blanc sur la Défense et l'adoption d'une pratique volontariste de patriotisme économique.

N'oublions pas toutefois que cette mesure a plus que d'autres suscitée de nombreuses critiques pour des raisons parfois très justes et parfois moins. Elle ferait pourtant son chemin dans les cercles décisionnaires.


Cette mesure suscite chez l'auteur un certain désarroi car elle apparaît comme trop de la "poudre aux yeux". Si, par exemple, il est facile de porter des marinières bien françaises, les démarches globales d'amélioration de la SSI semblent plus complexes. Elles sont évoquées notamment dans la série d'article publié avec l'allié Si Vis Pacem sur l'Alliance Géostratégique.

Car, en effet, si on analyse le problème, les risques que l'on souhaite éviter par cette mesure sont de deux ordres : la crainte des fuites d'informations et celle d'une paralysie des systèmes. La généralisation est volontaire...

Or, l'une comme l'autre proviennent, notamment en matière d'équipements télécoms, des codes, logiciels et programmes implantés dans les machines. Et l'hypothèse est faite que l'usage d'équipements en provenance de constructeurs bien français aurait pour conséquence de réduire ces risques à un niveau acceptable.

Et c'est ici que se manifeste le désarroi : réduire ces risque suppose l'existence de plusieurs processus de contrôle et de qualité. De plus, si des entreprises françaises se fournissent chez ces équipementiers, c'est également pour des raisons de coût. Enfin, ce n'est parce que l'on se fournit chez Cisco que cela est un indicateur de confiance...Rayer Samsung de la liste des firmes autorisées ne garantit rien non plus.

En bref, si la sécurité est un objectif, il faut également conserver les capacités de développement, d'agilité et d'investissement de nos opérateurs. Car sinon, autant supprimer l'activité qui génère le risque car ce sera économiquement non viable.

Récapitulons donc les conditions nécessaires pour atteindre le niveau de sécurité souhaité :

- Disposer d'une offre française (européenne ?) alternative fiable, à coûts acceptables et suffisamment diversifiée pour éviter les effets d'oligopole ou de monopole ;

- pouvoir tracer chacun des composants au sein de ces équipements et s'assurer des lieux de fabrication et de transit ;

- s'assurer de l'intégrité des logiciels, codes et micro codes des composants et équipements réseaux (en considérant le coût et la complexité) ;

- ne pas oublier les "menaces internes" au sein des entreprises françaises qui jamais n'accueillent de stagiaires étrangers, n'ont bien sur pas de filiales à l'étranger et sont des parangons de vertu en matière de sécurité ;

- certains objectifs sont certainement à rajouter...

Un ambitieux programme n'est-ce pas ?

Source :

dans le texte