tag:blogger.com,1999:blog-79860815436180465462024-03-13T09:23:31.491-07:00CIDRIS - CyberwarfareNews, Infos et réactions sur les thèmes de la lutte informatique et des cyberconflits ! (http://www.cidris.fr)Unknownnoreply@blogger.comBlogger400125tag:blogger.com,1999:blog-7986081543618046546.post-2716218442626662282014-03-17T05:48:00.000-07:002014-03-17T05:48:27.726-07:00Il est temps de faire une pause et de réfléchir...<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.lespapotagesdenana.com/wp-content/uploads/2013/09/pause.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: justify;"><img border="0" src="http://www.lespapotagesdenana.com/wp-content/uploads/2013/09/pause.png" height="200" width="200" /></a></div>
<div style="text-align: justify;">
Chers amis et lecteurs,</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Vous aurez remarqué que la fréquence - et je ne parle pas de l'intérêt - de mes publications a dramatiquement diminué. Or, je n'aime pas cette situation transitoire consistant à laisser ce blog dans un état végétatif.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
C'est pourquoi j'ai pris la décision d'annoncer une longue pause dans mes productions sur ce blog et probablement également sur l'Alliance Géostratégique.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Plusieurs raisons expliquent cela mais je crois que, parmi elles, 3 d'entre elles sont les plus importantes.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
La première est la sensation que le domaine de la lutte informatique ou de la sécurité a atteint une forme de seuil. Lorsque je débutais ce blog, l'idée de l'importance de ces problématiques n'était pas unanimement partagée de même que le niveau de sensibilisation ou de connaissance.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Aujourd'hui, avec des évolutions profondes de part le monde ainsi que plusieurs "cas" ou "affaires" retentissantes, personne ne doute de l'ampleur du travail à fournir et de la sensibilité de ces questions. Mais j'ai pourtant l'impression de "relire" un peu toujours les mêmes vieilles recettes ou idées.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cette notion de travail est importante car j'ai toujours soutenu qu'il était nécessaire à un moment donné d'être praticien de ces questions pour les évoquer avec précisions et surtout, pouvoir critiquer tel ou tel point. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Or, la sensation de seuil et l'idée du travail constitue ma deuxième raison. Il est temps, pour moi, de pratiquer plus intensément, d'innover, d'essayer, d'échouer, de recommencer afin de nourrir ma réflexion. Il sera alors temps, éventuellement, de continuer à écrire et de vous proposer mes deux ou trois idées sur ces sujets.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Enfin, cette volonté de s'ancrer professionnellement se fait nécessairement au détriment de la publication et de la tenue d'un blog. L'investissement professionnel et l'acquisition ou le cumul d'expériences riches n'est pas toujours compatible avec une attitude de recul plus réfléchie.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ces raisons m'amènent donc à mettre en pause indéterminée ce blog. Il ne sera pas fermé et le contenu restera accessible. Peut-être y relaierais-je de temps à autre des informations sur tel ou tel événement. Je ne compte cependant pas forcément "déplacer" mon activité sur twitter ou autre bien que le suivi des fils restent intéressants.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Je vous remercie donc tous d'avoir pris le temps de me lire et parfois de me critiquer, féliciter ou encourager.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source : </i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>à vous de voir :)</i></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-2128972455544670922014-03-07T05:30:00.005-08:002014-03-07T05:30:54.377-08:00Café Stratégique - Les militaires dans les médias - Jeudi 13 Mars 2014<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-WkCwsaP9Hes/UxnKAE8HOoI/AAAAAAAABfc/jKOXvdKijnk/s1600/cs033_cheron_xl.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-WkCwsaP9Hes/UxnKAE8HOoI/AAAAAAAABfc/jKOXvdKijnk/s1600/cs033_cheron_xl.jpg" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-12307077837378861322014-01-17T00:29:00.003-08:002014-01-17T00:29:42.444-08:00Café Stratégique - Jeudi 23 Janvier - Sur les Champs de Bataille<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-WB-RS_8EI7o/Utjp3Gpc82I/AAAAAAAABeQ/EVrd_snmg6k/s1600/cgs031_truchet_web_xl.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-WB-RS_8EI7o/Utjp3Gpc82I/AAAAAAAABeQ/EVrd_snmg6k/s1600/cgs031_truchet_web_xl.jpg" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-67226160862157969472013-12-05T23:11:00.004-08:002013-12-05T23:11:57.046-08:00Café Stratégique - 12 Décembre 2013 - Guerre et Environnement<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-l-MX3KlJ5ak/UqF4p0QNNuI/AAAAAAAABc8/gY1n9hTce9M/s1600/cafestratgq_030_valantin_xl2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="http://1.bp.blogspot.com/-l-MX3KlJ5ak/UqF4p0QNNuI/AAAAAAAABc8/gY1n9hTce9M/s640/cafestratgq_030_valantin_xl2.jpg" width="476" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-26740758238534146842013-11-12T04:12:00.001-08:002013-11-12T04:13:39.076-08:00Au revoir Cédric et merci pour tout !<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Comme beaucoup le savent déjà, Cédric "Sid" Blancher nous a quitté lors d'un accident de parachutisme. </div>
<div style="text-align: justify;">
<br /></div>
<div>
<div style="text-align: justify;">
C'était un garçon formidable et c'est une grande perte. J'ai eu l'occasion de le rencontrer, comme beaucoup, par nos blogs ou dans des colloques et conférences.Parler ainsi de lui n'est pas si facile et j'ai donc choisi de partager avec vous un bon souvenir avec lui qui illustre ses qualités. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il y a un mois environ, lors d'un déjeuner, Cédric était invité ainsi que d'autres convives. Parmi les autres invités, des blogueurs mais surtout, pour certain, sans lien aucun avec la SSI, la sécurité informatique ou encore le hacking.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
J'ai dû partir dans les premiers, laissant les autres convives entre les mains de "Sid" tous en plein échange, discutant, riant...Et ça ne vous étonnera pas mais tous m'ont dit avoir passé un excellent moment et avoir rencontré quelqu'un d'une qualité rare. Et ce sont ces mêmes personnes qui m'ont averti ce week-end de la triste nouvelle et m'ont fait part de leur émotion.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
De Cédric, je retiendrais ce moment : une rencontre suffisait pour être charmé, une rencontre et vous aviez un nouvel ami.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Mes pensées vont à sa famille et ses proches.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Quelques billets lui rendant hommage :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- <a href="http://si-vis.blogspot.fr/2013/11/cedric-sid-blancher-27-fevrier-1976-10.html">http://si-vis.blogspot.fr/2013/11/cedric-sid-blancher-27-fevrier-1976-10.html</a></div>
<div style="text-align: justify;">
- <a href="http://www.n0secure.org/2013/11/sid-cedric-blancher.html">http://www.n0secure.org/2013/11/sid-cedric-blancher.html</a></div>
<div style="text-align: justify;">
- <a href="http://zythom.blogspot.fr/2013/11/in-memoriam.html">http://zythom.blogspot.fr/2013/11/in-memoriam.html</a></div>
<div style="text-align: justify;">
- <a href="https://twitter.com/crypt0ad/status/399663659665747968">https://twitter.com/crypt0ad/status/399663659665747968</a></div>
<div style="text-align: justify;">
- <a href="https://twitter.com/Herve_Schauer/status/399844467286347776">https://twitter.com/Herve_Schauer/status/399844467286347776</a></div>
<div style="text-align: justify;">
- <a href="http://www.ozwald.fr/index.php?post/2013/11/11/shutdown-h-~1500">http://www.ozwald.fr/index.php?post/2013/11/11/shutdown-h-~1500</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
</div>
</div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-62025029740197513692013-11-08T06:46:00.000-08:002013-11-08T06:46:43.321-08:00Café Stratégique - Jeudi 21 Novembre - De Boko Haram à AQMI : le chaînon manquant<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-0BWZjYK-eHk/Unz5L4z8NXI/AAAAAAAABbg/uaT7RXaIAFk/s1600/cgs_029_montclos_xs.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="http://4.bp.blogspot.com/-0BWZjYK-eHk/Unz5L4z8NXI/AAAAAAAABbg/uaT7RXaIAFk/s400/cgs_029_montclos_xs.jpg" width="297" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-88975470254090495932013-09-27T01:50:00.002-07:002013-09-27T02:08:35.944-07:00Réagir à l'attaque informatique : quelle complexité ?<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://4.bp.blogspot.com/-Ww132-FfkNk/UFoET7tUfyI/AAAAAAAAACE/P3tH8KhNaUU/s400/new.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="198" src="http://4.bp.blogspot.com/-Ww132-FfkNk/UFoET7tUfyI/AAAAAAAAACE/P3tH8KhNaUU/s320/new.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><span style="font-family: arial; line-height: 15px; text-align: start;"><span style="background-color: black; color: white; font-size: xx-small;">Source : carnal0wnage.attackresearch.com</span></span></td></tr>
</tbody></table>
<div style="text-align: justify;">
L'inspiration de cet article est venu ailleurs alors que l'on m'interrogeait sur la signification du terme "APT" pour "<i>Advanced Persistant Threat</i>" et sa portée. L'acronyme, un peu comme "cyber", a fini par devenir un terme usuel dont le sens n'est pas très clair. On entend parfois n'importe quoi à son sujet comme l'individu qui s'exclame : "ah, j'ai reçu un pdf ...j'ai une APT"...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En premier lieu, il ne s'agit pas d'une maladie mais d'une tentative de synthèse pour un phénomène complexe. L'idée est de représenter les caractéristiques des attaques informatiques "modernes" en insistant sur leurs facettes :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- "Avancées" comme relativement complexes parfois dans leurs aspects techniques, fréquemment dans l'orchestration des actions et la malignité des techniques. On peut également y entendre la prise de contrôle "avancée" d'un réseau avec le gain de privilèges très élevés.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- "Persistantes" car bien souvent, il s'agit, une fois entrée, de durer et de persister en dépit des efforts des responsables légitimes pour vous déloger. La notion de persistance illustre aussi bien gagner le contrôle durablement et en profondeur d'une machine que de l'ensemble d'un réseau.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Pour ma part, c'est ainsi que je le comprends. Effectivement, bien souvent, et comme le rappelle les éléments publics de certaines affaires célèbres, "<a href="http://cidris-news.blogspot.fr/2011/03/bercy-or-not-bercy.html">Bercy</a>" ou "<a href="http://www.zdnet.fr/actualites/areva-cible-d-une-attaque-informatique-de-grande-ampleur-39764443.htm">Areva</a>", tout cela commence bien souvent par un acte individuel et anonyme qu'est l'ouverture d'un fichier délibérément piégé et rendu attractif.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Toutefois, pour le profane, le praticien SSI apparaît parfois un peu austère voire légèrement autiste. En bref, il n'est pas illogique de ne pas comprendre ce qu'il en est. En revanche, il est toujours intéressant de savoir quels en sont les enjeux et les solutions trouvées.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il existe de nombreux soucis dans la gestion de telles attaques. Aujourd'hui, nous en retiendrons principalement un : la détection. Nous pourrons évoquer plus tard, l'assainissement ou la reconstruction ou encore l'amélioration post-incident.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>La détection</b> recouvre en réalité deux actions bien distinctes. La première serait <b>l'alerte</b>, c'est à dire la découverte d'une infection initiale ou encore le sentiment que "ça colle plus" ou que "Houston, on a un problème"...La seconde consiste à mesurer le profondeur du problème et à <b>détecter</b> l'ampleur de celui-ci.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>L'alerte</b> dépend de nombreux facteurs. Une bonne équipe SSI peut disposer de moyens de recueil d'infos et d'analyse permettant de matérialiser de tels problèmes. Avec de la chance, l'outil de l'attaque pourra faire réagir un ou plusieurs des outils de sécurité que vous pourriez avoir (proxy, IDS, firewall, antivirus). </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Par exemple, si le composant malveillant contacte une adresse connue à l'extérieur, celle-ci peut être repérée grâce à l'usage de liste noire dans un proxy. Ou encore si le motif des flux est repérable, il pourra être détecté par une sonde de détection d'intrusion. Parfois, c'est le comportement de vos équipements qui sera détecté par un autre acteur : "Allo, M. RSSI ? Oui... ? Je suis administrateur sécurité dans la société machin et l'un de vos serveurs est décidément très motivé pour scanner mes ports et trouver des failles !".</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Mesurer l'ampleur</b> de l'attaque dépend de plusieurs facteurs. Mais l'idée principale est les acteurs en présence ne disposent pas toujours d'une représentation des systèmes à l'état "sain". Autrement dit, c'est un peu chercher la fameuse aiguille dans la non moins fameuse botte de foin ! Prenons un exemple courant : vous rencontrez un homme très pâle : est-il malade ? est-il doté d'une telle constitution ? A-t-il mangé quelque chose de périmé ? Ou bien ressort-il d'une longue maladie ?</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
C'est un peu la même idée en fait car la comparaison avec un état sain nécessite de d'abord connaitre cet état : la préparation, et c'est évident, à subir de telles attaques est donc indispensable. Par exemple, lorsque l'analyse détient la liste des comptes dans un annuaire d'entreprise ou encore la liste des utilisateurs d'un serveur, comment pourra-t-il savoir si certains comptes sont illégitimes ? </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ou bien encore, tel programme est-il légitime ? Tel exécutable est-il bien celui qu'il parait être ?</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les professionnels de la SSI ont bien fini par comprendre le problème car l'alerte et la détection de l'ampleur ont un point commun : il faut savoir ce que l'on cherche. Une des réponses a donc été les indicateurs de compromission (IoC) qui se traduit bien en anglais : <i>Indicators of Compromise</i>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'objectif est de fournir tant un moyen d'alertes que de mesure de l'ampleur en définissant, par référence à un cas connu, les modalités ou les "symptômes" de l'infection. Le <a href="http://cidris-news.blogspot.fr/2013/03/perspectives-et-analyse-le-cas-mandiant.html">rapport Mandiant </a>et la société du même nom ont d'ailleurs développé un outil comprenant un format (un langage commun) permettant de lire et de créer de tels indicateurs.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Dans l'exemple cité en source, il est possible de télécharger la liste des IOCs de l'attaque en question et de les parcourir afin de définir des modalités adaptées de recherche de ces caractéristiques. Notez aussi <a href="http://code.google.com/p/yara-project/">l'outil Yara</a> qui a <a href="https://code.google.com/p/yara-editor/wiki/Manual">plusieurs </a> <a href="https://github.com/Xen0ph0n/YaraGenerator">modules</a> dont l'objet est d'intégrer plusieurs types d'IOC (des séquences de caractères par exemple) pour les recherchez de manière systématique sur des fichiers et des arborescences. On peut même y ajouter des règles en demandant de rechercher telle règle OU telle autre ou bien celle-ci ET celle-là.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'originalité et l'utilité des IOC est la multiplicité des informations et la combinaison de celles-ci que l'on peut faire. Par exemple, dans le cas cité ci-dessous, on trouve aussi bien : des empreintes de fichiers, des adresses IP en destination (utilisées peut-être pour l'exfiltration de données ou l'envoi de commandes) ou encore des chaines de caractères spécifiques. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Celles-ci sont combinées pour tenir compte des versions et évolutions du malware. C'est typiquement l'usage du "OU" : la diversité des empreintes uniques (hash) de fichiers ne limite par la possibilité de détecter telle ou telle version.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les IOCs ne sont pas la solution parfaite mais adossées à la réactivité de la communauté, elles constituent une réponse intéressante à ces problématiques d'APT que nous venons d'évoquer. Nul doute que d'autres idées viendront afin de progresser dans le traitement de ces sujets complexe mais au coeur de l'actualité en sécurité !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source :</i></div>
<div style="text-align: justify;">
<i><br /></i></div>
<div style="text-align: justify;">
<a href="http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers">http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com9tag:blogger.com,1999:blog-7986081543618046546.post-20315087087452017372013-09-19T02:38:00.002-07:002013-09-19T02:38:41.393-07:00Irrévérencieusement vôtre !<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://cdn.slashgear.com/wp-content/uploads/2011/12/homer-simpson-580x435.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="150" src="http://cdn.slashgear.com/wp-content/uploads/2011/12/homer-simpson-580x435.jpg" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : cybersecurite.fr</td></tr>
</tbody></table>
<div style="text-align: justify;">
Soyons francs : cet article risque de ne pas plaire. Il faut bien parfois. Ce billet m'a été inspiré par un constat un beau matin alors que, comme chaque matin, je m'astreignais à dépiler la veille quotidienne. Or, ce fameux matin, en matière cyber, demeura la furieuse impression que plus rien n'était nouveau et que d'un article à l'autre, on réchauffait les mêmes vieilles idées.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Prenons <a href="http://www.zdnet.fr/actualites/la-nsa-achete-des-vulnerabilites-y-compris-en-france-legalement-39794121.htm">cet article </a>: son auteur évoque rapidement Snowden, la NSA, Vupen et l'achat de vulnérabilités et ce qui s'annonce comme des arguties juridiques sans fin. En quelques mots - et je suis persuadé que l'auteur peut, a déjà fait et fera mieux - c'est réchauffé, ennuyeux et vaguement faux.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Réchauffé car l'affaire Snowden a déjà été analysé de manière pertinente et moins et qu'il faudrait creuser de manière innovante pour en tirer tout ce qui pourrait être dit. Ennuyeux car on ne cesse de parler, voire de critiquer ou d'envier Vupen, qui fait un boulot techniquement remarquable et développe son modèle de manière ouverte (il suffit d'aller sur le site)...Faux car Snowden et les questions de NSA sont mélangés avec la SSI, la lutte informatique et les stratégiques ou tactiques en matière d'usage offensif de l'information.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
De même, me sentant vaguement coupable de n'avoir pas assisté au 1er Symposium Académique national de recherche en cyberdéfense, l'allié <a href="http://si-vis.blogspot.fr/2013/09/recherche-et-cyberdefense-la-francaise.html">Si-vis</a> en a fait un agréable compte-rendu immédiatement rassurant : on n'a pas encore décroché la lune et je n'ai rien raté.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les derniers ouvrages ou travaux qui m'ont été donné de lire présentent des dérives similaires. Les seules différences avec les bêtises que j'écrivais lors de mes études sont les références et certains événements qui, alors ne s'étaient pas encore produits. Le "cybercommand" fait encore recette sans parler de la RMA ou encore des stratégies cyber ou des tactiques "trucs"...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ce constat s'explique par quelques raisons - qui ne sont que ma vision - : tout d'abord, ce domaine, qu'il soit abordé sous l'angle technique, sécurité informatique ou encore "opérationnel" demeure encore très secret. Que la NSA soit un sujet à la mode ne doit pas nous faire oublier que, <a href="http://www.lopinion.fr/blog/secret-defense/dgse-peut-attaquer-ordinateurs-hostiles-1316">selon M. Merchet</a>, on aurait renforcé la protection du secret en France sur ces questions. Ce premier point explique donc que les commentateurs et analystes finissent par être "secs" toujours selon l'adage que ceux qui savent, en ces domaines, ne parleront que peu.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'autre problème serait, pour moi, la méthode : il n'est pas possible de progresser sur ces sujets sans réfléchir de manière différente et sans se livrer à un travail de recherche complexe, long et surtout innovant. Le sujet présente une composante technique forte et ne pas s'y attarder est une "faute logique".</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Tout n'est pas perdu cependant et puis conclure un tel article sans offrir des solutions serait peu courtois. Aussi, sur les questions de renseignement par exemple ou sur toutes activités dont le poids du secret est importante, les travaux de <a href="http://zonedinteret.blogspot.fr/">Zone d'intérêt,</a> allié au grand mérite, <a href="http://zonedinteret.blogspot.fr/2013/09/ce-que-les-sources-administratives.html">me semblent le chemin à prendre</a> ainsi qu'une source d'inspiration innovante.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
N'oublions pas aussi les travaux <a href="http://cidris-news.blogspot.fr/2013/09/chaire-de-cybersecuritecyberdefense-st.html">de la chaire Cyberdéfense </a>que j'évoquais récemment. A première vue, la notion de "chaire" ou encore l'association avec Saint-Cyr peut faire frémir. Et je dois bien avouer que je n'ai pas lu tous les articles. Mais j'ai participé à certains travaux et un des avantages est qu'aucune question n'est écartée et qu'une forte discipline scientifique est exigée.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Le second point clé est l'association des compétences : remarquez par exemple l'article rédigé par M. Paget que l'on connait plus volontiers pour ses travaux chez un éditeur anti-virus et qui a accepté de travailler sur l'hacktivisme.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Enfin, à mon sens, dans la catégorie des "exemples" figurent également bon nombre de blogs de nature plus techniques. S'il est vrai que les aspects techniques continuent de m'intéresser, je suis régulièrement surpris par leur capacité à innover, à se poser des défis et même parfois à oser poser un orteil sur le terrain réservé des analyses de nature plus "politique" ou "stratégiques"...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Concluons ici : il est temps d'innover et de rechercher d'autres manières de réfléchir et de proposer des idées. Limiter sa recherche et sa réflexion à un unique domaine est, en matière "cyber", le plus sur moyen de scléroser sa pensée. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Vous voulez penser "cyber", penser comme un hacker et piratez-vous le cerveau :)</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Sources : dans le texte</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-7986081543618046546.post-58133653364301139882013-09-18T00:53:00.000-07:002013-09-18T00:53:16.261-07:00Chaire de Cybersécurité/Cyberdéfense - St Cyr & Sogeti/thales<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.st-cyr.terre.defense.gouv.fr/var/ezwebin_site/storage/images/centre-de-recherche-des-ecoles-de-saint-cyr-coetquidan/menu-principal/les-chaires/chaire-de-cyberdefense/11573-5-fre-FR/Chaire-de-Cyberdefense_medium.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: justify;"><img border="0" src="http://www.st-cyr.terre.defense.gouv.fr/var/ezwebin_site/storage/images/centre-de-recherche-des-ecoles-de-saint-cyr-coetquidan/menu-principal/les-chaires/chaire-de-cyberdefense/11573-5-fre-FR/Chaire-de-Cyberdefense_medium.jpg" /></a></div>
<div style="text-align: justify;">
Retrouvez en ligne les articles produits par la chaire cyberdéfense ainsi que ceux issus du colloque consacré à la Chine.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- <a href="http://www.st-cyr.terre.defense.gouv.fr/index.php/crec/Centre-de-recherche-des-ecoles-de-Saint-Cyr-Coetquidan/Menu-Principal/Les-chaires/Chaire-de-Cyberdefense/Les-publications-de-la-chaire-de-Cyberdefense/Articles-consacres-a-la-Chaire-de-Cyberdefense">Articles de la chaire</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- <a href="http://www.st-cyr.terre.defense.gouv.fr/index.php/crec/Centre-de-recherche-des-ecoles-de-Saint-Cyr-Coetquidan/Menu-Principal/Les-chaires/Chaire-de-Cyberdefense/Les-publications-de-la-chaire-de-Cyberdefense/Articles-sur-le-colloque-Comprendre-les-strategies-et-politiques-de-cybersecurite-et-cyberdefense-de-la-Chine">Article du colloque</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Notez en particulier la profusion d'articles ou d'interviews de personnalités, chercheurs ou autres, étrangers. Cela permet notamment d'avoir un aperçu de la manière dont ils approchent les sujets.</div>
<div style="text-align: justify;">
<br />Bonne lecture !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source : dans le texte</i></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-80838303406017192472013-08-26T23:23:00.002-07:002013-08-26T23:24:24.529-07:00La sécurité de l’information est-elle un échec ? Que faire alors ? Ecce homo<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://alliancegeostrategique.org/wp-content/uploads/2013/08/674865.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="131" src="http://alliancegeostrategique.org/wp-content/uploads/2013/08/674865.jpg" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : <a href="http://www.scoop.it/">http://www.scoop.it</a></td></tr>
</tbody></table>
Aujourd'hui, j'ai le plaisir de vous informer de la publication du dernier volet de la série d'article consacrée à la sécurité, ses échecs et les solutions envisagées:<br />
<br />
<a href="http://alliancegeostrategique.org/2013/08/27/la-securite-de-linformation-est-elle-un-echec-que-faire-alors-ecce-homo/">http://alliancegeostrategique.org/2013/08/27/la-securite-de-linformation-est-elle-un-echec-que-faire-alors-ecce-homo/</a><br />
<br />
A toutes fins utiles, vous trouverez au début de l'article un lien vers l'ensemble des parutions précédentes.<br />
<br />
Ce travail vient conclure une réflexion de presque 2 ans puisque le premier article avait été publié en octobre 2011. Il a été l'occasion de prendre un temps de recul alors que l'actualité accapare souvent les acteurs du domaine en les obligeant à réagir.<br />
<br />
J'espère que vous y trouverez des idées intéressantes et peut-être même susceptible de vous aider dans votre quotidien.<br />
<br />
La conclusion - remettre l'humain au centre - peut vous surprendre mais dans ces temps de crise et de questionnements sur nos modèles de société, il n'est pas délirant de prétendre trouver en cela une réponse.<br />
<br />
Source : <i>dans le texte</i><br />
<br />
<br /></div>
Unknownnoreply@blogger.com3tag:blogger.com,1999:blog-7986081543618046546.post-47778747520264050722013-08-26T07:44:00.000-07:002013-08-26T23:24:12.787-07:00Asia - the cybersecurity battleground : Audition de James Lewis<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.washingtonpost.com/rf/image_606w/2010-2019/WashingtonPost/2012/11/02/PostLive/Images/CyberSecurity12-DSC_6429.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="212" src="http://www.washingtonpost.com/rf/image_606w/2010-2019/WashingtonPost/2012/11/02/PostLive/Images/CyberSecurity12-DSC_6429.jpg" width="320" /></a></div>
Découvrant grâce à <a href="http://econflicts.blogspot.fr/2013/08/article-asia-cybersecurity-battleground.html">E-Conflict</a>, une des<a href="http://csis.org/files/attachments/130723_jimlewis_testimony_v2.pdf"> dernières parutions du CSIS,</a> j'ai eu le plaisir de lire un texte agréable, issu d'une audition, bien pesé et apportant quelques idées nouvelles. En voici un florilège...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Tout d'abord, l'on doit ce texte à l'intervention de James Lewis s'exprimant sur le sujet de l'état de l'environnement "cybersécurité" en Asie. Notons qu'il s'agit d'un texte synthétique : tout lecteur qui rechercherait les preuves des assertions de M. Lewis serait déçu. Il s'agit plutôt d'un condensé de ses opinions, acquises pendant d'autres travaux. Une rapide recherche vous montrera que James Lewis est un habitué du sujet, plusieurs fois cité dans ce blog.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Voici les idées que l'on peut garder :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- La volonté des protagonistes (USA, Chine et autres) de limiter la portée de leurs actions en restant volontairement sous ce qui pourrait déclencher une guerre ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- "Spying is not warfare " : cette citation car bien souvent, l'impression demeure que des faits d'espionnage sont cités à l'appui des questions de "cyberguerre" ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- les actions d'espionnage en particulier chinoises auraient un impact régional décisif et auraient tendance à raidir les positions des voisins. En particulier, et c'est assez drôle, l'orateur qualifie les activités chinoises de "noisy", donc bruyantes et facile à détecter ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
N'étant pas spécialiste du domaine, on ne peut que constater que de nombreux cas sont rapportés et attribués ainsi. Pourtant, la difficulté de l'attribution au-delà de tout doute reste à ce jour très difficile ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- il confirme également le déficit criant en matière de sécurité de la Chine, utilisateur immodéré de matériel contrefait et donc proie facile. Souvent évoqué, ce thème se fait plus rare ces derniers temps mais demeure vrai et ce, pour n'importe qui ! L'attaque n'est pas assimilable à la défense...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- Selon lui, l'activité d'espionnage, en particulier à vocation économique, n'est pas une démarche unifiée. L'impression qui se dégage est que si l'espionnage n'est pas systématiquement encouragée par les plus hautes autorités, celles-ci ne disposent plus vraiment des moyens de l'arrêter. D'une part, celui-ci serait désormais trop imbriqué avec la croissance économique et constitue un formidable moyen de gains. D'autre part, les entités responsables de ces acteurs sont parfois bien appuyées et elle-même "fortes" : à défaut d'une politique intelligente, une simple décision ne suffira pas à enrayer le système. D'une certaine manière, cela rappelle la difficulté à lutter contre la corruption ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- le développement des normes et codes de conduite appliqués à la question des attaques informatiques est selon lui un facteur majeur dans l'avenir. L'approche russe et chinoise (Code of Conduct for Cyberspace) s'oppose encore aux approches développées par les USA et ses alliés. Il demeure cependant nécessaire d'utiliser autant que nécessaire les outils diplomatiques plutôt que la force ou la coercition qui contribueront à créer des situations sans intérêt pour toutes les parties.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En bref, un texte intéressant qui semble bien informé et qui propose une vision éclairée de la situation. On peut y trouver à redire mais l'ensemble demeure attractif notamment pour une certaine prudence dans le ton et les propos. N'hésitez pas à le lire pour y trouver ce qui m'aura échappé. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Source : <i>dans le texte</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-46603407784782730892013-07-12T10:19:00.000-07:002013-07-12T10:19:46.802-07:00Stratégie du "Big 7" : quelle efficacité ?<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://upload.wikimedia.org/wikipedia/commons/thumb/0/0d/R%C3%A9partition_id%C3%A9ale_courbe_de_Gauss.jpg/729px-R%C3%A9partition_id%C3%A9ale_courbe_de_Gauss.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="163" src="http://upload.wikimedia.org/wikipedia/commons/thumb/0/0d/R%C3%A9partition_id%C3%A9ale_courbe_de_Gauss.jpg/729px-R%C3%A9partition_id%C3%A9ale_courbe_de_Gauss.jpg" width="200" /></a></div>
<div style="text-align: justify;">
<span id="goog_429707582"></span><span id="goog_429707583"></span><a href="http://www.blogger.com/"></a>Nous, passionnés voire professionnels de SSI - <i>ne partez pas les autres, c'était juste pour rire -, </i>et plus généralement tout personnel ou toute entité ayant à traiter du risque se pose nécessairement la question de l'allocation des ressources.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
De multiples facteurs ont en effet un impact sur la disponibilité des ressources que ce soit dans des entités publiques - à qui l'on réclame sans cesse de moins dépenser - que des entités privées - qui subissent une santé économique précaire à la suite d'une crise d'envergure.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
A cela s'ajoute une complexité inhérente au métier "SSI" qui est de devoir gérer la précarité de la confiance. En deux mots, il s'agit de s'assurer que des fonctions ou des services critiques (compte en banques, impôts, paies, systèmes industriels...) mais confiées au moins pour partie à des outils informatiques <a href="http://cidris-news.blogspot.fr/2012/12/la-darpa-souhaite-de-la-confiance.html">présentent un certain niveau de confiance</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'analyse de risque puis sa gestion sont alors les outils privilégiés pour les acteurs et décideurs. Il s'agit de déterminer ce qui doit être protégé et contre quoi (en simplifiant!). Les ressources peuvent alors être allouées en fonction des risques qu'il faut ramener à un niveau acceptable, pour s'assurer contre ces risques (les transférer). On peut aussi n'affecter aucune ressource à un risque donné : soit on "prend" le risque pour utiliser une expression familière mais on peut également décider de supprimer l'activité génératrice du risque.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Tout cela n'est pas que du ressort du praticien SSI : celui-ci est à l'aise pour "matérialiser" les risques, les rendre crédibles et compréhensibles à ses décideurs. Mais la décision de prendre ou refuser un risque est par exemple du ressort d'un acteur à qui a été confié une responsabilité importante pour la vie de l'entreprise.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Certains risques sont plus facilement visibles que d'autres et les limiter pas nécessairement très complexe. La continuité d'activité n'est ainsi pas un métier évident mais les outils pour créer une capacité de résilience sont relativement nombreux. Une entité qui, par exemple, externalise tout ou partie de ses systèmes peut choisir son prestataire en fonction de sa capacité à lui offrir des multiples data-center éloignés. Les "cluster" et l'ensemble des équipements offrant des fonctionnalités de type "actif-actif" ou "actif-passif" sont autant d'exemples.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'autres risques sont plus complexes à gérer comme la protection des informations de valeur pour l'entité (personnelles, contrats, listes de clients, développements..) ou s'assurer que le réseau ne soit pas envahi par des intrus. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'allocation des ressources intervient alors afin de mettre en oeuvre la démarche nécessaire pour gérer ces risques. Il existe pour cela plusieurs méthodes dont une découverte aujourd'hui durant la veille quotidienne. <a href="http://www.darkreading.com/vulnerability/controlling-the-big-7/240157835">L'idée est de contrôler les "Big 7"</a> dans un contexte de ressources contraints : il s'agit notamment dans l'idée formulée par l'auteur de l'article de s'attacher à mettre à jour les logiciels les plus connus et utilisés - à la fois par l'utilisateur mais aussi par les "pirates" -.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En s'inspirant des analyses des attaques récentes, l'auteur produit un modèle qui limite l'usage des ressources affectées à ce risque spécifique en contrôlant notamment ces 7 applications (le navigateur, Java, Acrobat Reader, Word, Excel, Power Point, Outlook). Il s'agit d'une part de s'assurer qu'ils soient fonctionnels et à jour et d'autre part de définir des profils d'usage à partir desquels on pourra identifier des divergences. Ces "déviances" du profil normal sont alors susceptibles de représenter des attaques et de déclencher une intervention.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'idée semble excellente et en y réfléchissant un peu, on s'aperçoit qu'il s'agit d'une gestion "gaussienne" des risques. Si l'on considère la "population", c'est à dire le nombre d'attaques et les méthodes d'attaques, il s'ensuit - si l'on suit la logique - que le nombre d'attaques est très élevé (et donc la chance qu'elles se produisent) dés lors que vous "Big 7" ne sont pas ou mal gérés...</div>
<div style="text-align: justify;">
<br />
Avant de continuer, je vous invite à relire ces <a href="http://lavoiedelepee.blogspot.fr/2013/07/les-fruits-de-mer-sont-moins.html">quelques</a> <a href="http://lavoiedelepee.blogspot.fr/2013/06/le-fractionnement-des-ames.html">applications des probabilités</a> à la sécurité, la défense ou même <a href="http://lavoiedelepee.blogspot.fr/2013/05/majority-report.html">la guerre.</a>..bonnes <a href="http://lavoiedelepee.blogspot.fr/2012/11/entretien-avec-un-vampire.html">ou pas</a>. Comme vous vous en doutez, cela n'a pas été sans effet sur cet article. C'est fait ? Continuons...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
La problématique d'une gestion de ce type, qui conditionne l'allocation des ressources aux risques considérés comme "majeurs" est effectivement d'écarter les cas "limites" ou "extrêmes". En soi, cela n'est pas dommageable car on peut considérer que le fameux "Cygne noir" que vous avez pu lire dans les articles précédents ne restera que théorique.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Re-basculons un instant dans la SSI et considérons quelques faits supplémentaires :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- tout attaquant informatique est opportuniste. L'attaque peut survenir car la ressource qu'il acquiert aura une valeur tant qu'il trouve une vulnérabilité. La surface d'attaque est donc réduite et proche des "Big 7" et le temps qu'il consacrera sera limité.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- tout attaque ciblée n'est pas moins opportuniste ! La surface d'attaque est immense puisque chaque possibilité sera exploitée et il n'y a que peu de contrainte de temps. Dans ce genre de cas, on quitte le cas gaussien car la probabilité que soit utilisée les attaques "extrêmes" augmente de manière importante.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En bref, la stratégie des "Big 7" est efficace contre les attaques "moyennes" ou "classiques" mais ne le saura pas contre un attaquant motivé disposant de temps et/ou de ressources. Cela ne restreint pas la liste aux Etats car il me semble crédible d'y ajouter des organisations criminelles.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il est également possible de considérer qu'une telle stratégie serait efficace dans le cas d'une entité pour qui la répartition des risques gaussienne est réelle et qui a principalement affaires à des risques moyens. Peu informatisée, ne gérant pas d'activités au profit de l'état, sans lien avec des activités financières...sont des critères qui peuvent qualifier une telle organisation.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Pour les autres, la répartition des risques me parait tout à fait différente car le "cygne noir" informatique a une portée réelle. De plus, et contrairement à d'autres secteurs, ce fameux événement très rare mais à très fort impact s'est, en quelque sorte, déjà produit. Des attaques de grande envergure ont eu lieu contre des organisations dont la sécurité apparaissait comme élevée.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Une telle méthode des risques parait donc limitée voire insuffisante. Une méthode alternative, comprenant la problématique d'allocation des ressources pourrait être :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- De définir des ressources liées à l'existence même de l'entité et d'adopter différentes "zones de risques" en fonction de l'impact potentiel sur l'activité ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- Appliquer une forme de segmentation des activités, des personnels et des informations en fonction de ces "zones de risque"...L'objectif est de limiter l'inter-dépendance avec des zones de risques inférieurs par divers moyens d'organisations ou technique ;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- L'allocation des ressources peut alors être réalisée en fonction des impacts. Un avantage est né de cette répartition : les profils de risque de chaque "zone" est cohérent et il est probable que les ressources seront mieux employées que disséminées car elles pallieront moins à une multitude de risque très différents mais à des risques de nature proches.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En conclusion, le "Big 7" est une stratégie intéressante mais pas toujours adaptée. Intéressante au début car se fondant sur une approche rationnelle, il faut prendre en compte les contraintes du modèle sous-jacent. Le modèle alternatif n'est pas nécessairement meilleur mais à force d'inventer, nous produirons bien quelque chose !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source : dans le texte</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-76141533918342127442013-07-01T23:51:00.002-07:002013-07-01T23:51:24.604-07:00L'illusion du mieux où comment Snowden va rendre votre vie plus difficile !<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://www.gizmodo.fr/wp-content/uploads/2013/06/NSa.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="179" src="http://www.gizmodo.fr/wp-content/uploads/2013/06/NSa.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : Gizmodo</td></tr>
</tbody></table>
<div style="text-align: justify;">
L'affaire PRISM, les débats sur la charmante personnalité de celui qui en a révélé les grandes lignes génèrent de nombreuses réflexions. Certaines sont percutantes, d'autres moins. Dans les très bonnes, j'ai trouvé la lecture des <a href="http://jesterscourt.cc/2013/06/26/so-about-this-snowden-affair/">analyses du Jester</a> rafraîchissante à défaut de la partager entièrement. En français et tout aussi intéressante, je vous conseillerais <a href="http://aboudjaffar.blog.lemonde.fr/2013/06/25/and-im-telling-it-to-you-straightso-you-dont-have-to-hear-it-in-another-way-annie-im-not-your-daddy-kid-creole-the-coconuts/">celle-ci</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Tout cela est bel et bon et fait réagir de nombreux analyses et autres <i>publicateurs</i> (un mix entre ceux qui publient et les prédicateurs) enfiévrés au sujet de la vie privée, de la surveillance de masse ou encore du renseignement et de son efficacité. Si, une fois encore, la virulence des propos est omniprésente ainsi qu'une bonne dose d'opportunisme ou d'approximation, cela m'a surtout inspiré quelques réflexions liées à la sécurité.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En premier lieu, il n'est un secret pour personne que le fameux "<a href="http://cidris-news.blogspot.fr/2010/01/vol-dinformations-personnalite-et.html">facteur humain</a>" est au coeur de l'histoire. La formulation même, franchement technocrate, explique en partie pourquoi ce sujet échappe en partie - pour ne pas dire totalement - aux praticiens de la sécurité. Et il est bien difficile de leur en imputer la responsabilité ! </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En effet, l'expert ou le spécialiste en SSI connait le problème et sa dangerosité potentielle. En revanche, le traiter requiert des "outils" autres et un environnement relativement complexe à mettre en oeuvre. N'hésitez pas à relire la série d'article sur la SSI co-rédigé avec l'Alliance Géostratégique et en particulier celui se consacrant <a href="http://alliancegeostrategique.org/2013/05/23/la-securite-de-linformation-est-elle-un-echec-que-faire-alors-structuration-vertueuse-des-acteurs-economiques/">aux aspects humains</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Visiblement, ce sujet n'est pas nouveau pour votre serviteur puisqu'il vous proposait ces q<a href="http://cidris-news.blogspot.fr/2010/04/sensibiliser-ou-comment-prendre-le.html">uelques réflexions</a> sur la nécessité de changer de vision à propos du problème situé entre la chaise et le clavier. L'idée globale est que le niveau de sécurité n'augmentera pas tant que l'utilisateur ne sera considéré que comme un problème. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En ce qui me concerne, j'ai tendance à considérer qu'il existe une telle "imbrication" entre les salariés et le travail qu'il n'est pas possible de générer un niveau de sécurité sans s'appuyer sur ceux-ci...Le meilleur exemple est celui des comportements déviants générés lorsque les contraintes sont trop pressantes. On pourrait citer aussi la capacité de l'utilisateur à repérer les failles de son environnement immédiat et les signaler...ou pas.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Bref, après Bradley Manning, le cas Snowden n'est pas bon pour nous ! D'une part, cela illustre une forme d'impuissance de la sécurité au moins sur la gestion de l'humain. Vous me répondrez que Snowden est peut-être notre "<a href="http://lavoiedelepee.blogspot.fr/2013/04/ltcm.html">cygne noir</a>" (<a href="http://philippesilberzahn.com/2013/07/01/risque-incertitude-et-cygnes-noirs/">cf. également un autre blog allié</a>). Après tout, c'est peut-être bien le cas !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Mais quoi qu'il en soit, il est à craindre que ces événements ne renforcent pas la confiance mutuelle entre les entreprises et leurs salariés. Pire encore, on pourrait craindre la mise en place d'un cercle vicieux qui nuirait de manière grave à la sécurité. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Si par exemple, une entreprise prenait "peur" d'un éventuel futur Snowden et adoptait, de manière arbitraire, des mesures de confinement plus importantes des informations. Celles-ci, se traduisant par des mesures contraignantes et vécues comme agressives, les salariés n'auront alors aucune envie de s'attacher à leur entité et d'y apporter une forme de fidélité : il est à craindre que la sécurité baisse ou soit contournée. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Nous ne saurions mieux conseiller les organisations de faire preuve d'une forme d'innovation managériale bienvenue afin de profiter de l'exemple - car autant le faire - pour renouveller les pratiques de sensibilisation et de de gestion de l'information en matière de SSI.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Comme quoi Snowden nous aura fait du mal à tous :D - <i>pure provocation gratuite !</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Source :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>dans le text</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-7986081543618046546.post-8202151149826022932013-06-28T00:36:00.003-07:002013-06-28T00:36:34.231-07:00Café Stratégique - Venez rencontrer vos blogueurs préférés - Jeudi 4 Juillet 2013 !<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: left;">
Vous nous lisez, vous nous connaissez par le web...Pourquoi ne pas venir nous rencontrer pour ce dernier café avant l'été afin d'échanger de manière informelle ?</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<img src="https://mail-attachment.googleusercontent.com/attachment/u/0/?ui=2&ik=27b61ac978&view=att&th=13f8688644038bf3&attid=0.2&disp=inline&safe=1&zw&saduie=AG9B_P8ICvFqpEG5V9qrT1aH4pw9&sadet=1372404896208&sads=WjBsQhYL7EgMP7pUTmXneU0jjUI" /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-8832316046450537222013-06-09T23:47:00.000-07:002013-06-09T23:47:00.715-07:00CyCon vs. SSTIC ? Sortir des oppositions...<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-left: 0px; margin-right: 0px; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-mTlkPQ_ln5g/UbTRyhHqR4I/AAAAAAAABY4/4WYrw4cT7D8/s1600/cyconsstic.png" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="120" src="http://1.bp.blogspot.com/-mTlkPQ_ln5g/UbTRyhHqR4I/AAAAAAAABY4/4WYrw4cT7D8/s200/cyconsstic.png" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Mon invention : ne pas rire !</td></tr>
</tbody></table>
<div style="text-align: justify;">
La semaine dernière se déroulaient deux évènements importants pour tout acteur un tant soit peu concerné par les questions de lutte informatique ou de sécurité des systèmes d'informations.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'une part, le <a href="http://ccdcoe.org/">CCD COE</a> organisait la CyCon, conférence dédiée aux questions doctrinales et stratégiques liées aux "cyberconflits". Celle-ci se déroulait à Tallin, en Estonie où se trouve le centre. Pour mémoire, le CCD COE est un centre de réflexion consacrée aux questions de lutte informatique qui entretient des liens privilégiés avec l'OTAN.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'autre part, avait lieu le <a href="https://www.sstic.org/">SSTIC</a>, évènement de premier plan dans le milieu de la SSI française et qui existe depuis maintenant 11 ans. Pour mieux marquer l'éloignement, celui-ci avait lieu à Rennes qui rassemble, il est vrai de multiples entités "télécom" et qui tient une place important en matière de rayonnement SSI. Si le sujet vous intéresse, d'autres conférences parisiennes comme <a href="http://www.nosuchcon.org/">NSC</a> ou encore la<a href="https://nuitduhack.com/"> NDH</a> ont lieu désormais depuis quelques temps et s'avèrent de très bon niveau.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ayant eu la chance de participer au SSTIC durant ces 3 jours, j'ai pu avoir quelques échos au sujet de la <a href="http://www.egeablog.net/dotclear/index.php?post%2F2013%2F06%2F08%2FCyber-Conf%C3%A9rence-2013-%28Tallinn%29">CyCon</a>. Pour ceux qui s'intéresseraient à ces conférences, l'excellent blog <a href="http://www.n0secure.org/">n0secure</a> s'est fait un devoir de rendre compte des différentes conférences et des conclusions majeures.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Or, il suffit de comparer le compte-rendu de Cycon signalé ci-dessous ou encore son<a href="http://ccdcoe.org/cycon/532.html"> programme</a> avec par exemple <a href="http://www.n0secure.org/2013/06/sstic-2013-conference-de-cloture.html">la dernière conférence</a> du SSTIC pour constater ce qui semble, il est vrai, un profond fossé (pour dire le moins) !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'un côté, la croyance dans les dialogues "cyber" rencontre peu d'adhésion de la part des experts techniques assistant au SSTIC. De l'autre côté, la vision "technique" des décideurs, stratèges et militaires semble bien différente du niveau d'expertise atteinte par les spécialistes en sécurité comme en témoigne les sujets que l'on peut découvre dans le "technical track" de la CyCon...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Avant que l'on oppose l'argument de la différence SSI/LID, je tiens à rappeler car la plupart des perspectives prises par les présentateurs au SSTIC étaient clairement offensives...Il s'agissait moins de défendre que de comprendre les attaques et en dessiner les chemins. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Autrement dit, et hors toute planification militaire, sécuritaire, <a href="http://cidris-news.blogspot.fr/2013/04/opinions-trancheestechnicite-vs-tactique.html">technique ou tactique</a>, la probabilité que les auteurs des futures attaques et de leurs aspects techniques se rencontrent lors de ces conférences techniques me parait très forte. De plus, il me semble impossible de créer des capacités de cyber-défense, qu'elles soient offensives ou défensives sans une base d'experts chevronnés, une problématique dont l'ampleur a été rappelé plusieurs fois et notamment dans le <a href="http://www.ssi.gouv.fr/fr/anssi/publications/communiques-de-presse/la-cybersecurite-au-coeur-du-nouveau-livre-blanc-sur-la-defense-et-la-securite.html">livre blanc</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Par ailleurs,considérons un instant qu'il soit nécessaire de développer des capacités de lutte informatique offensives et défensives qui dépassent largement le cadre plus classique de la sécurité informatique ou de la sécurité de l'information : cela signifie donc qu'il est plus que probable que nous soyons attaqués par ce biais d'une part mais également que nos autorités estiment qu'il est nécessaire de préparer des plans ou des modèles d'attaques...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cette hypothèse étant posée - et elle est jugée préoccupante par le dernier livre blanc - il est donc absolument nécessaire que les modèles d'attaques et de défense se basent sur une information technique à jour, intègre et complète. Or, cette dichotomie croissante que je crois percevoir entre les tenants d'une approche stratégique et ceux qui préfèrent une vision d'expertise technique me semble le meilleur moyen de ne pas y arriver. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Rappelons également un fait simple : les attaques informatiques, même d'envergure, existaient bien avant que les décideurs politiques ou militaires n'en perçoivent la portée stratégique et décident de l'utiliser. Autrement dit, toute stratégique, tactique ou volonté liée à la défense ou à l'action offensive en matière informatique ou "cyber" ne pourra que se reposer sur la matière technique en premier lieu. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il semble donc que pour y être efficace, le cheminement soit d'abord vers les approches techniques afin d'en comprendre la complexité pour ensuite les conjuguer aux besoins stratégiques de la défense. Et non pas l'inverse...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Concluons donc ainsi : il me semble aujourd'hui percevoir un écart croissant entre les professionnels de ces deux mondes que nous évoquons ici. A mon sens, un rapprochement semble nécessaire afin que les "plans" des uns ne soient pas bâtis sans lien avec la réalité des autres. Selon mon opinion, ce rapprochement a plus de sens, aujourd'hui et dans un premier temps, des stratèges vers les techniciens.<br />
<br />
Pourquoi ce "sens" me demanderez-vous ? Tout simplement car la portée "stratégique" d'une attaque informatique n'implique pas nécessairement l'usage d'outils hyper-spécifiques (parfois si, bien sur) et l'expérience ou "l'antériorité" en matière d'attaques informatiques se trouve du côté de l'expertise technique. Ne pas s'y résoudre serait prendre le risque de se déconnecter de la réalité tout en n'oubliant pas que nous avons un certain retard en la matière. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Pour terminer cet article, il me parait nécessaire de rappeler que la perception que nous pouvons avoir de cette distance croissante entre les mondes est liée à la publication de nombreux articles par des auteurs qui n'ont pas toujours une grande expérience du milieu ou encore des actions opérationnelles. Au contraire, les responsables de notre défense et de notre sécurité sont au contraire astreints à une discrétion de bon aloi qui ne permet pas nécessairement de mesurer leur positionnement : peut-être sont-ils épargnés par la tendance décrite ici...Mais cela n'empêche pas d'écrire et de réfléchir "à haute voix" !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Source :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>dans le texte</i></div>
</div>
Unknownnoreply@blogger.com0France46.227638 2.213749000000007134.972188 -18.440547999999993 57.483087999999995 22.868046000000007tag:blogger.com,1999:blog-7986081543618046546.post-55006426267998394552013-06-03T01:41:00.003-07:002013-06-03T01:41:25.434-07:00Café Stratégique - Cultures et Géopolitique au Sahara - Jeudi 13 Juin 2013<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-EpUzDP04ePk/UaxWj19KiHI/AAAAAAAABYk/-RHakV0ZwjE/s1600/cgs027_contreras_web_xl2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="http://3.bp.blogspot.com/-EpUzDP04ePk/UaxWj19KiHI/AAAAAAAABYk/-RHakV0ZwjE/s400/cgs027_contreras_web_xl2.jpg" width="400" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-59729255445927414252013-05-29T04:37:00.003-07:002013-05-29T10:29:26.120-07:00On attaque ? A vos ordres, mon général, c'est quand vous voulez !<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://www.wired.com/images_blogs/dangerroom/2013/05/CTN_CyberWarrior-660x528.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="160" src="http://www.wired.com/images_blogs/dangerroom/2013/05/CTN_CyberWarrior-660x528.jpg" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : Wired.com</td></tr>
</tbody></table>
<div style="text-align: justify;">
Il semblerait que tout soit prêt pour "y aller" pour jargonner un peu. Qu'est-ce qui est prêt me direz-vous ? Et bien, l'environnement technico-opérationnel nécessaire aux lancements d'attaques informatique en parallèle aux opérations "classiques" et ce de manière fortement automatisée.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Mais que raconte-t-il songez-vous ? Hier encore, <a href="http://cidris-news.blogspot.fr/2013/05/et-si-on-setait-tous-trompes-reflexions.html">il affirmait le contraire</a> ! Certes mais j'ai tendance à penser que - si bien réelle est cette tendance - que la multiplication des attaques informatiques qui deviendraient alors un "simple" outil militaire pourrait conduire à des tendances dommageables.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Quelle est cette tendance ? Elle se matérialise par la concomitance de 3 projets qui permettent de construire un système permettant aux décideurs américains de lancer de manière efficace, dans un cadre opérationnel classique, des attaques informatiques.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Le premier, <a href="http://cidris-news.blogspot.fr/2013/05/controler-les-miliciens-une-difficulte.html">nous l'évoquions récemment</a> consiste à contrôler et à limiter strictement l'usage de la force aux seuls états et aux seules entités disposant d'une compétence et d'une autorité pour le faire. C'est donc éviter de manière absolue qu'un "fou" perturbe le déroulement des opérations militaires de LIO en faisant par exemple déraper le conflit.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Le second consisterait à déterminer une chaîne de commandement cohérente où les différents niveaux de commandement dispose d'une liberté d'action et de décision et où la LIO ne représente plus l'exception qu'elle continue souvent à être...Cette exception conduit à confier alors ces actions à des entités "exceptionnelles" que sont les services d'actions clandestine et de renseignement (NSA...). <i>Cette interprétation est une représentation personnelle que je me fais de l'organisation militaire, à la lecture des brillants auteurs "mili" d'AGS. Elle ne peut prétendre à l'exactitude.</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.acus.org/natosource/new-rules-will-allow-military-commanders-counterattack-foreign-cyber-threats">Selon un récent article, il semblerait que ce soit fait</a>. Ainsi, toujours selon cet article, chaque commandement géographique (<a href="http://cidris-news.blogspot.fr/2012/05/changement-de-statut-pour-le-cyber.html">les UCC géographiques</a>) serait bientôt autorisé à utiliser des détachements "LIO" pour appliquer de manière autonome des décisions en matière offensive et informatique. Des limites existent comme par exemple les frappes préemptives qui restent de la responsabilité du Président. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En toute logique, les SROE pour "Standing Rules of Engagement" ont été mises à jour, ce que suggère l'article. Le cadre ainsi créé répondrait de manière efficace à une normalisation de l'usage de la lutte informatique offensive et limiterait les cas "exceptionnels" à des situations bien particulières.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Le troisième projet fournit l'encadrement technique et la possibilité d'avoir un degré d'efficacité élevé et surtout susceptible de répondre aux missions et objectifs que pourrait avoir un commandement géographiques. Ex. : "Moi, chef du théâtre afghan, j'ai besoin que vous piratiez telle machine que le renseignement a identifié comme appartenant à un chef rebelle"...<i>Fiction évidemment...</i></div>
<div style="text-align: justify;">
<i><br /></i></div>
<div style="text-align: justify;">
A en croire Wired, cet objectif serait atteint puisque le "<a href="http://www.wired.com/dangerroom/2012/08/plan-x/">Projet X</a>" répondrait à ce besoins de rendre la conduite de la lutte informatique non plus du ressort de l'expert mais du "simple soldat". Toujours selon Wired, il s'agirait de rendre la "<a href="http://www.wired.com/dangerroom/2013/05/pentagon-cyberwar-angry-birds/all/">guerre informatique aussi facile qu'Angry Birds</a>", le fameux jeu sur smartphone. Sans reprendre l'intégralité de l'article, le travail de Wired est comme souvent très documenté, les auteurs évoquent la création d'un langage spécifique qui serait aux attaques informatiques ce que le HTML est au Web.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Bien souvent évoqué, la mise en oeuvre d'un tel dispositif et de tels processus a longtemps paru impossible en raison de l'exception technique que pouvait constituer la LIO. Pour les Etats-Unis, une volonté de normalisation et d'encadrement a certes permis d'atteindre un résultat qui parait, sur le papier, capable de produire des effets d'ampleur. Cependant, entre le "papier" et la réalité, la mesure exacte de ses capacités doit être appréhendée avec prudence...pour ne pas se faire piéger par une forme de dissuasion de bon aloi !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Source :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.acus.org/natosource/new-rules-will-allow-military-commanders-counterattack-foreign-cyber-threats">http://www.acus.org/natosource/new-rules-will-allow-military-commanders-counterattack-foreign-cyber-threats</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.wired.com/dangerroom/2013/05/pentagon-cyberwar-angry-birds/all/">http://www.wired.com/dangerroom/2013/05/pentagon-cyberwar-angry-birds/all/</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.wired.com/dangerroom/2012/08/plan-x/">http://www.wired.com/dangerroom/2012/08/plan-x/</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-81104215493117780922013-05-27T04:35:00.001-07:002013-05-27T04:35:45.966-07:00Et si on s'était tous trompés ? Réflexions sur l'avenir de la "cyberguerre"<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<br /></div>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://www.internetgovernance.org/wordpress/wp-content/uploads/IGP-Masthead-final-WP2.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto; text-align: justify;"><img border="0" height="60" src="http://www.internetgovernance.org/wordpress/wp-content/uploads/IGP-Masthead-final-WP2.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source :internetgovernance.org</td></tr>
</tbody></table>
<div style="text-align: justify;">
Le site "Internet Governance Project" est un observatoire de la gouvernance et de ses tendances. Y participent plusieurs acteurs dont l'implication dans les instances internationales de la gestion d'Internet ne sont pas ridicules. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il est donc très souvent un lieu où l'on trouve des réflexions intéressantes et bien informées sur ces phénomènes. En témoigne un récent article relatant les réflexions d'un chercheur chinois, le Dr. He Baohong de l'académie de recherche en télécommunications. Celui-ci évoque ainsi la fragmentation de l'internet comme une "loi de l'histoire", un phénomène selon lui incontournable. A l'appui de son argumentation, il cite plusieurs références techniques bien sur mais également des questions de culture et de langage ou encore économiques.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cette vision, sur laquelle je n'ai pas d'opinion ici, peut être rapprochée des analyses d'experts techniques, également blogueur qui évoquent les "<i><a href="http://en.wikipedia.org/wiki/Middlebox">middleboxes</a> </i><a href="http://www.bortzmeyer.org/6936.html"><i>stupides qui infestent l'Interne</i>t</a>" que Stéphane Bortzmeyer nomme régulièrement. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Prenons donc comme fait que l'Internet dés débuts ou "théorique" ne présente plus les mêmes caractéristiques. D'un réseau tout à fait décentralisé où les capacités de calculs étaient exportées aux extrémités et où le réseau était tout entier tourné vers le transport et la redondance , celui-ci a bien changé avec un retour à la centralisation (ex. cloud computing) et effectivement une forme de fragmentation croissante.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Or, les attaques informatiques et en particulier celles que l'on imagine liées à la "cyberguerre" ou que sais-je, se basent intrinsèquement sur la capacité à joindre la cible. Vrai ou faux ? </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Partiellement vrai en fait comme l'aura très bien montré un exemple comme "Stuxnet" même si celui-ci constitue un cas bien particulier comparé à l'ensemble des codes malveillants que l'on trouve sur Internet.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
La fragmentation de l'Internet peut alors être analysé comme la réponse aux faiblesses des systèmes d'informations, comme la volonté de limiter de manière drastique l'exposition aux attaquants potentiels. En cela, et l'on trouve trace dans un ouvrage récent "<a href="http://www.amazon.fr/livres/dp/2221135229">Menace sur nos libertés</a>", la "militarisation" du cyberespace (concept délicat - j'en suis conscient) apparaît comme une potentielle menace sur l'avenir d'Internet...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Or, sans Internet, la "cyberguerre" n'est plus du tout la même chose et perd même une partie de sa substance.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Et si, à force de "cyberguerre", nous perdions l'ouverture, l'innovation et le développement qui ont permis Internet et sont nés du cyberespace ? Et si, à force de segmentation ou de fragmentation, nous finissions par perdre "Internet" ? Alors, n'aurions-nous pas perdu également la "cyberguerre" ?</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Source :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.internetgovernance.org/2013/05/25/internet-fragmentation-is-a-law-of-history">http://www.internetgovernance.org/2013/05/25/internet-fragmentation-is-a-law-of-history</a></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-92184188452575467802013-05-24T02:34:00.003-07:002013-05-24T02:34:35.765-07:00Contrôler les miliciens : une difficulté à venir ?<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: justify;"><tbody>
<tr><td style="text-align: center;"><a href="http://csis.org/sites/all/themes/zen/csis/images/logo.gif" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" src="http://csis.org/sites/all/themes/zen/csis/images/logo.gif" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : CSIS.ORG</td></tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
A l'occasion d'une conférence organisée par le <a href="http://csis.org/">CSIS</a>, l'intervention d'un des directeurs de la NSA donne un aperçu du problème des <a href="http://www.acus.org/natosource/nsa-deputy-warns-against-cyber-vigilantes">combattants électronique auto-proclamés</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les propos tenus par Chris Inglis, directeur adjoint de la NSA évoque ainsi la crainte d'une multiplication d'une forme de représailles privées menées par des acteurs incontrôlés. Il est vrai que ce type d'acteur est facteur de chaos alors que les USA comme tant d'autres pays semble fournir beaucoup d'effort pour donner une cohérence forte à toutes les actions relevant de la LID ou LIO.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Le cas de "<a href="http://jesterscourt.cc/">th3j35t3r" ou encore "the jester</a>" pourrait entrer dans cette catégorie d'acteurs en raison de son important hacktivisme qu'il met au service de sa compréhension des causes américaines. Par exemple, en réalisant des dénis de service sur des sites "jihadistes" au sens large (organisation, propagandes, forums...) ou encore en "exposant" les identités réelles de certains pseudos.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les raisons poussant la NSA à ne pas encourager le "<a href="http://en.wikipedia.org/wiki/Vigilante">vigilantism</a>" (une pratique apparemment assez fréquente aux Etats-Unis consistant à assurer un service de sécurité public sans pourtant disposer de l'autorité ou de la légitimité adéquate pour le faire) tiennent notamment à un besoin de maîtrise.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
M. Inglis ajoute d'ailleurs une phrase particulièrement percutante - que je traduis librement ici : "<i>il est pratiquement impossible de s'assurer d'une position avantageuse continue dans le cyberespace dans un environnement en permanente évolution". </i></div>
<div style="text-align: justify;">
<i><br /></i></div>
<div style="text-align: justify;">
Cette vision se comprend d'autant mieux que selon lui, la dangereuse solution que serait ces pratiques de "guerriers privés" ne peut être retenue alors même <a href="http://www.acus.org/natosource/report-recommends-us-permit-private-counterattacks-against-international-hackers">qu'un récent rapport le préconiserait</a> en réponse aux atteintes constantes que subiraient les entreprises chinoises en provenance de la Chine.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Un article réalisé par M. James Lewis du CSISC (source ci-dessous) fait également état de la dangerosité de ces pratiques et du crainte d'escalade qui y est liée. Il dresse également une liste de cas pratique où autoriser de type de démarche serait susceptible de causer du tort aux Etats-Unis. Ce faisant, par exemple, ils perdraient toute crédibilité dans leur insistance pour que la Russie et la Chine soient plus offensifs vis-à-vis des organisations qui profitent d'une certaine tolérance pour conduire des activités criminelles ou d'espionnage sur Internet.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cette problématique de la gestion des actes offensifs privés sur Internet est intéressante pour 3 raisons. D'une part, elle n'est pas sans lien avec la privatisation de la guerre que la thématique "Société militaires privées" représente assez bien. Il semble pourtant que les autorités américaines ne s'y résolvent pas, ce qui indique assez la sensibilité et la complexité des problématiques de lutte informatique.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'autre part, cette problématique ne semble pas encore être apparue chez nous. Bien sur, ne pas la connaître ne signifie pas que quelqu'un ne l'a pas traitée. Cela ne veut pas dire non plus qu'elle n'existe pas mais sans doute qu'elle occupe encore peu le débat. En effet, la nature même d'Internet rend ce type d'actions à la fois très probable mais aussi relativement aisé.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Enfin, les craintes exprimées aux Etats-Unis ne sont pas nécessairement les nôtres. La thématique du "super héros" solitaire aux choix moraux complexes est un thème fréquent dans les films et séries. L<a href="http://jesterscourt.cc/2013/05/20/menomonie-high-school-unmasking-jester/">a lecture du dernier article consacré</a> au Jester et le peignant comme un héros le montre assez bien.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ces quelques lectures éclairent donc un problème pour le moment perçu essentiellement outre-atlantique. Il n'est pas avéré qu'il doive faire l'objet d'une inquiétude au même titre en France mais se poser une question n'a jamais amené qu'à plus de connaissance...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source :</i></div>
<div style="text-align: justify;">
<i><br /></i></div>
<div style="text-align: justify;">
<a href="http://csis.org/publication/private-retaliation-cyberspace">http://csis.org/publication/private-retaliation-cyberspace</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.acus.org/natosource/nsa-deputy-warns-against-cyber-vigilantes">http://www.acus.org/natosource/nsa-deputy-warns-against-cyber-vigilantes</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-62345726159893250982013-05-23T00:52:00.001-07:002013-05-23T00:53:51.996-07:00La sécurité de l'information est-elle un échec ? Suite de la série d'article...<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: justify;"><tbody>
<tr><td style="text-align: center;"><a href="http://alliancegeostrategique.org/wp-content/uploads/2013/01/header_ags_033.jpg" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="100" src="http://alliancegeostrategique.org/wp-content/uploads/2013/01/header_ags_033.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source AGS</td></tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Dans la continuité de notre série d'article relatif à la SSI, vous trouverez ci-dessous le lien vers la dernière publication :</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://alliancegeostrategique.org/2013/05/23/la-securite-de-linformation-est-elle-un-echec-que-faire-alors-structuration-vertueuse-des-acteurs-economiques/">La sécurité de l’information est-elle un échec ? Que faire alors ? Structuration vertueuse des acteurs économiques</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Dans cet article, l'objectif est d'évaluer quelques propositions pour faire évoluer positivement le niveau SSI par le biais économique.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Le prochain article devrait constituer le dernier de la série et proposer une synthèse des différentes mesures proposées.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source : dans le texte</i></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-29345308737966618552013-05-16T06:37:00.003-07:002013-05-17T05:02:42.848-07:00Sécurité et mode de développement : vers une évolution systémique ?<div dir="ltr" style="text-align: left;" trbidi="on">
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://themyndset.com/wp-content/uploads/2012/05/security-confidential-Fotolia_21942031_Subscription_XXL-300x200.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="133" src="http://themyndset.com/wp-content/uploads/2012/05/security-confidential-Fotolia_21942031_Subscription_XXL-300x200.jpg" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : hthemyndset.com</td></tr>
</tbody></table>
<div style="text-align: justify;">
Dans <a href="http://cidris-news.blogspot.fr/2013/04/opinions-trancheestechnicite-vs-tactique.html">plusieurs messages antérieurs</a>, nous évoquions la sécurité sous l'aspect du développement et de la production de logiciels ou de systèmes d'exploitations moins vulnérables. Quelques signaux faibles permettaient alors d'entrevoir une évolution positive de cet écosystème sans que puisse être matérialisée <a href="http://cidris-news.blogspot.fr/2013/04/des-signaux-faibles.html">une tendance</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il serait pourtant possible que celle-ci se soit matérialisée comme en témoigne <a href="http://www.silicon.fr/coverity-logiciels-open-source-proprietaires-86129.html">une récente étude</a> auquel vous pardonnerez l'auteur de ce blog d'essayer d'en dégager une vision plus globale (<i>on ne se "refait" pas</i>). </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cette étude a été conduite par <a href="http://scan.coverity.com/about.html">Coverity</a>, une société lancée en 2006 avec la bénédiction du DHS - Department of Homeland Security - américain et propose un service de vérification automatique (scan) des erreurs de développement. Le partenariat qui a permis de lancer le service se serait terminé en 2009.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Quelques précisions qui paraissent importantes : la vérification d'un code est un exercice complexe et dont l'automatisation n'est pas toujours possible. Ainsi, non seulement la société <a href="http://scan.coverity.com/faq.html">précise les limites de son action</a> en indiquant se concentrer sur une analyse statique (et non dynamique) qui ne révèle pas nécessairement tous les aspects de l'exécution d'un code. Elle livre également une liste non-limitative des erreurs que son service est capable de déceler. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Pour autant, un tel produit aurait-il pu déceler une faille à priori complexe <a href="http://korben.info/faille-critique-dans-le-noyau-linux.html">comme celle relative au noyau Linux</a> qui fait l'actualité ? Cela n'est pas si sur et si le processus était automatisable si facilement, le marché des 0-day présenterait sans doute moins d'intérêt. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En se basant sur ces réflexions, j'ai tendance à croire que ce type d'outil fournit une bonne détection de premier niveau. En outre et surtout, elle constitue un excellent indicateur de la qualité générale d'un code. Le rapport publié par Coverity semble ainsi révéler une tendance de qualité croissante notamment dans le monde de l'open source. Celle-ci semblerait se manifester de manière plus perceptible depuis deux ans. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Pour appuyer ses dires, l'article se concentre sur un indicateur : le nombre d'erreurs de code conduisant à des défauts pour 1000 lignes de codes. Il note globalement une amélioration que le code soit d'origine "open source" ou "professionnel" avec des tendances inférieurs à 1, ce qui constitue une évolution en soi.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cependant, si le code "pro" ou "open" semble avoir un taux de défaut proche (0,68 et 0,69) dans l'ensemble, on distingue deux tendances. Si sur des "petits" programme inférieur à 1 millions de lignes de code, l'open source semble de meilleur qualité, la tendance semble s'inverser sur des programmes plus lourds. L'évolution est étrange cependant car sur la "gamme" de code compris entre 500 000 et 1 million de lignes, le taux d'erreur "open" est très bas (0,44), le code professionnel est plutôt mauvais (0,98).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
A cela s'ajoute la spécificité de Linux dont la société a analysé plus de 7 millions de lignes de code sur la version 3.8 pour une densité de défaut de 0,59 soit inférieure à la moyenne observée. On aimerait connaître l'analyse pour Windows mais il faudrait disposer du code source. A noter qu'en ce qui concerne le Kernel Linux, le taux est plus élevé avec une augmentation drastique de la qualité sur simplement un an : 0.95 en 2011 et 0.76 en 2012 !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Il semble donc que la qualité du logiciel devienne finalement à la fois rentable mais également une caractéristique recherchée. Par ailleurs, et c'est une forme de preuve intéressante, l'open-source semble désormais une référence incontournable en la matière ! Cela pourrait donc inciter certains organisations à ré-orienter leurs modèles d'achat informatique en ne se contentant plus d'acheter des logiciels sur étagères mais plutôt en consacrant des ressources au développement et à la qualité - donc la sécurité - des logiciels qui les intéressent...</div>
<div style="text-align: justify;">
<br />
C'est aussi très certainement une information intéressante dans le monde de la sécurité qui déplore parfois une certaine stagnation...peut-être à lier à la médiatisation croissante des attaques. Signaux faibles et tendance vous disais-je !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Source :</div>
<div style="text-align: justify;">
<a href="http://www.silicon.fr/coverity-logiciels-open-source-proprietaires-86129.html">http://www.silicon.fr/coverity-logiciels-open-source-proprietaires-86129.html</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-25882048430213284252013-05-12T23:32:00.002-07:002013-05-12T23:32:42.271-07:00Café Stratégique - Community Policing et lutte contre le jihadisme - Jeudi 16 Mai 2013<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-2dr8ynNb100/UZCI2zzEVsI/AAAAAAAABYU/kK104The1Bo/s1600/cgs025_arenes_web_xl.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="http://1.bp.blogspot.com/-2dr8ynNb100/UZCI2zzEVsI/AAAAAAAABYU/kK104The1Bo/s400/cgs025_arenes_web_xl.jpg" width="400" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-39638555823223160412013-05-02T05:01:00.000-07:002013-05-06T07:45:52.020-07:00Chronique d'une attaque ordinaire...<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://upload.wikimedia.org/wikipedia/commons/thumb/7/7b/Fail2ban_screenshot.jpg/200px-Fail2ban_screenshot.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" src="http://upload.wikimedia.org/wikipedia/commons/thumb/7/7b/Fail2ban_screenshot.jpg/200px-Fail2ban_screenshot.jpg" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : Wikipedia</td></tr>
</tbody></table>
<div style="text-align: justify;">
Il faudrait parler de Livre Blanc...Il le faudrait vraiment mais l'humeur du moment est décidément technique, au moins en ce qui me concerne. C'est donc de cela que je vais vous parler puisque lors j'ai eu téléchargé le "pdf" du LBDSN, la première chose que j'ai faite, c'est de transformer le pdf en texte (pdftotext) puis de "faire un grep" sur le motif "cyber" et de le compter...J'ai trouvé 37 occurrences du terme, souvent associés avec d'autres suffixes comme "défense", "attaque" ou encore "espace". A titre de comparaison, "nucléaire" est présent 69 fois et NRBC 6 fois...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Toutefois, l'humeur du jour me pousse plutôt à vous évoquer le quotidien des attaques "ordinaires" et les problèmes qui se posent aux administrateurs et responsables sécurité. Sans forfanterie j'espère, mon cas personnel me semble fournir matière à réflexion. En effet, je suis client et titulaire d'un serveur disponible sur Internet et suis régulièrement confronté à des questions de sécurité...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'utilité de ce serveur est essentiellement de procurer des services réseaux, notamment des tunnels, que je peux facilement utiliser à partir d'une connexion non connue et donc potentiellement dangereuse. Entre autres...Pour compliquer l'affaire, il s'agit d'un serveur virtualisé qu'une petite société loue en louant elle-même des serveurs physiques à une seconde, et plus grande, entreprise.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Considérant mes intérêts, je me suis intéressé à la sécurité du serveur...Bien que j'ai oublié de le préciser, le serveur fonctionne sous Linux Debian et la <a href="http://www.debian.org/doc/manuals/securing-debian-howto/">lecture du manuel</a> est très utile. Parmi plusieurs réglages, l'exposition du serveur a été limité par l'usage d'un firewall, les protocoles d'administration à distance ont été limités. J'ai également mis en oeuvre quelques outils afin d'obtenir une meilleure visibilité sur le danger qu'un serveur court sur Internet...et puis pour s'amuser avec les logs. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ainsi, un <a href="http://www.fail2ban.org/">outil automatique d'exclusion</a> a été installé ainsi qu'un<a href="http://www.snort.org/"> système de détection d'intrusion</a> ou encore un <a href="http://www.clamav.net/lang/en/">antivirus</a>....Puis j'ai installé mes outils réseaux avant de laisser vivre un peu le serveur. Régulièrement, je m'y connecte pour le mettre à jour et surtout m'intéresser aux logs...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
On en retire plusieurs leçons...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'une part, sur un serveur lambda présentant des caractéristiques génériques - comme l'usage d'un port d'administration classique - le taux de scan est véritablement affolant. Je m'intéresse ainsi aux tentatives de connexions ratées puis réussies ou encore aux informations remontées par les outils de détection ou de prévention d'intrusion. Par exemple, sur 5 jours, il est possible de constater plus de 2000 tentatives échouées de connexion...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les adresses IP ayant émises ces connexions sont d'ailleurs au final peu nombreuses et sont identifiées comme appartenant à des entités russes ou chinoises (sic...). Si l'on s'amuse un peu, on remarque ensuite que les tentatives de connexion se font par paquets d'environ une petite centaine de tentatives à chaque heure de la journée. Cela fait songer au comportement automatisé d'un outil quelconque.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Toutefois, la recherche de ces informations n'est pas nécessairement intéressantes mais elle permet parfois de se rendre compte de certaines limites : par exemple, le comportement d'une des adresses est tel que une ou deux minutes se passent entre plusieurs tentatives. Cela déjoue donc mon système et c'est pourquoi le système d'exclusion n'est pas efficace en l'état.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
D'autre part, la lecture et l'analyse de ces logs n'est pas évidente. Pour être franc et puisque ce n'est pas une action que je réalise chaque jour - la plupart du temps, les vérifications sont moins poussées - il serait difficile de tout détecter. Rappelez-vous qu'un fichier log est une succession de lignes contenant des informations "techniques" : il faut donc l'analyser intelligemment pour en tirer quelque chose !</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
De plus, dans mon cas, la quantité de logs est raisonnable et ce que je recherche est relativement simple. Imaginez alors des équipements concernant une organisation de taille importante (et son trafic quotidien) et l'importance des journaux d'évènements ! Il est alors nécessaire de disposer d'outils efficaces et d'une équipe aguerrie et bien formée surtout si l'on cherche à comprendre les ressorts d'une attaque.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Cette chronique d'une attaque ordinaire permet donc de comprendre que non seulement l'Internet est un milieu agressif mais que le paisible internaute ne le voit guère. D'autre part, il est facile de ne pas détecter l'attaque et de passer à côté de l'élément intéressant ! </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ceci nous amène à conclure qu'en matière de lutte informatique, la "matière grise" est aussi importante que les bons outils et que les problématiques sont complexes...Au final, nous ne sommes pas si loin du Livre Blanc...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Source : dans le texte</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-89573203418841901252013-04-17T00:38:00.000-07:002013-04-17T00:38:08.398-07:00Colloque Stratégie et Réseaux - 27 mai 2013<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-CLeI_ghVK2s/UWcKZuerlTI/AAAAAAAAAEw/x_YdHPsrZJk/s1600/strat%C3%A9gie+et+r%C3%A9seau.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="http://4.bp.blogspot.com/-CLeI_ghVK2s/UWcKZuerlTI/AAAAAAAAAEw/x_YdHPsrZJk/s640/strat%C3%A9gie+et+r%C3%A9seau.jpg" width="507" /></a></div>
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7986081543618046546.post-49447931194580641252013-04-16T01:53:00.000-07:002013-04-16T01:54:23.602-07:00Des signaux faibles ?<div dir="ltr" style="text-align: left;" trbidi="on">
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://gestion-crise.emoveo.fr/wp-content/uploads/2012/05/Fotolia_29717022_XS.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="199" src="http://gestion-crise.emoveo.fr/wp-content/uploads/2012/05/Fotolia_29717022_XS.jpg" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Source : emoveo.fr</td></tr>
</tbody></table>
<div style="text-align: justify;">
Le<a href="http://www.secuobs.com/news/12042013-cansecwest-embedded.shtml"> récit par Mme Loquet de ses aventures à Cansecwest 2013</a> a fourni matière à réflexion. En effet, alors qu'elle nous relate le déroulement des conférences et des moments festifs, l'interview du patron de Vupen, Chaouki Bekrar constitue le point de départ de la réflexion.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Relativement discret, celui-ci évoque néanmoins les réussites de sa société et de ses équipes de chercheurs en sécurité. Pour mémoire, <a href="http://www.vupen.com/">la société Vupen</a> fait commerce des vulnérabilités qu'elle peut déceler dans des produits, souvent grands publics, et logiciels. Elle s'est notamment illustrée pour avoir été une des première à "faire tomber" le navigateur de Google (chrome). </div>
<br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Car, en effet, la conférence est également l'occasion du concours Pwn2own qui permet aux participants de démontrer la vulnérabilité de certains logiciels très connus comme Chrome, Internet Explorer, Flash, Windows...</div>
<br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Les propos de M. Bekrar sont à retenir car selon lui, la sécurité de ces logiciels est croissante et nécessite un investissement en temps et en recherche important. Nous évoquions <a href="http://cidris-news.blogspot.fr/2013/04/opinions-trancheestechnicite-vs-tactique.html">ici la problématique de la sécurité des logiciels </a>et du développement.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
La lecture du blog <a href="http://cybergeopolitik.blogspot.fr/2013/04/la-cybersecurite-priorite-strategique.html">cybergeopolitk</a> révèle également des budgets importants consacrés aux problématiques de sécurité et de lutte informatique par les Etats-Unis alors même q<a href="http://www.opex360.com/2013/04/10/lus-air-force-cloue-au-sol-17-escadrons-de-combat/">u'ils connaissent d'importants soucis budgétaires</a>. Cette tendance se traduit aussi dans la multiplications des annonces, des partenariats et des démarches en matière "cyber".</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En bref, peut-on assister à une modification dans le milieu de la sécurité ? Pourrait-on imaginer, à l'instar de la <a href="http://fr.wikipedia.org/wiki/Transition_d%C3%A9mographique">transition démographique</a> que la SSI commence à évoluer vers une sécurité accrue en même temps que la médiatisation des problèmes augmentent ?</div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://acces.inrp.fr/eedd/climat/dossiers/empreinte_eco/image/image001.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="150" src="http://acces.inrp.fr/eedd/climat/dossiers/empreinte_eco/image/image001.gif" width="320" /></a></div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: justify;">
Remplaçons alors taux de natalité par le niveau de défaillance SSI et la population totale par le niveau de médiatisation...Nous entrerions alors dans une phase 1 où la médiatisation et la prise en compte se renforcent de manière très importante. Se produit alors, tant bien que mal, une élévation globale du niveau de sécurité. </div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Bien sur, cette analogie ne tient pas très longtemps : elle ne fait qu'illustrer très simplement une transition intéressante. Notez aussi que la prise en compte croissante de la SSI dans certaines sociétés, par ailleurs très évolué technologiquement ne garantit pas que la majeure partie des organisations saura en tirer profit.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Il reste donc, très certainement, de beaux jours à la SSI et plus encore à la LID. Rien n'empêche cependant de se poser parfois la question de la pertinence d'un signal...même très faible.</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Source :</div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
<i>dans le texte</i></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Unknownnoreply@blogger.com0