Classement McAfee /SDA des pays les plus "cybersécurisé"

Un rapport publié par Security & Defense Agenda avec le concours de McAfee propose à son tour un classement des pays en fonctions de leur capacité de résistance aux cyber-attaques.

Pour se faire, le rapport établit une note composée "d'étoiles" se basant sur divers critères comme "l'hygiène informatique", l'usage moyens des technologies de sécurité des réseaux, l'existence de stratégie ou encore l'existence de standards évolués de sécurité. Le rapport évalue également cette propension à créer un écosystème de sécurité en observant aussi la dépendance à Internet des pays. On trouve enfin des critères comme l'existence d'un ou plusieurs CERTs, notamment à vocation nationale, et la participation aux communautés formelles ou non de ces entités.

De manière tout à fait intéressante, le rapport octroie ses meilleurs étoiles (4 et demi) aux pays suivants : Finlande, Israël et Suède. L'Allemagne et la France se voient notés à 4 étoiles, ce qui les place relativement bien. Parmi les points pénalisants pour la France, le fait que les petites structures ne soient pas forcément capable d'intégrer les principes de sécurité : elle remplit cependant nombre de critères qui la place dans les pays de tête.

Dans un article précédent, on faisait référence à un autre classement qui mettait les USA, l'Australie et la Grande-bretagne dans les premiers. Ici, ils héritent respectivement de 4, 3,5 et 4 étoiles, ce qui ne les place plus dans le peloton de tête.

D'autres acteurs connus comme la Chine et la Russie doivent se satisfaire de 3 points bien que le rapport reconnaisse des lacunes dans leurs capacités à mesurer réellement la réalité.

Parmi les explications, il est avancé que le facteur déterminant dans la réussite à créer un écosystème de sécurité et des mesures efficaces est notamment la petite taille du pays.

Celui-ci, lorsqu'il recueille la meilleure note, est alors profondément dépendant à Internet mais également très avancé dans la conduite du partenariat public-privé. Par exemple, en Israël, l'intervention du gouvernement semble particulièrement importante et sévère en cas de manquement.

La Finlande semble également avoir une tradition de ce type de rapport, hérité de son modèle social et culturel. Elle semble également ne pas faire mystère de ses capacités d'attaque comme le souligne le rapport, critère qui n'apporte pas, dans le cas de la Chine et de la Russie, des "étoiles" en supplément.

Bien que le rapport laisse un peu dubitatif sur les capacités à générer des critères et objectifs de mesure efficaces et parlants - on trouve surtout des résultats d'entretiens - dans les paragraphes relatifs aux pays, la conclusion donne à réfléchir. En effet, alors qu'on apprend à peine que le Département de l'Energie aux Etats-Unis met en place un centre dédié à la sécurité (Joint Cybersecurity Coordination Center), on en vient à se demander si la taille ne fait pas tout à l'affaire.

En effet, alors que l'on évoque souvent le caractère très évolutif et la dissymétrie entre les capacités et la "mobilité" des attaquants (technique, géographique...), les "poids lourds" que sont les grands pays, sujet à des complexité administrative, pourraient avoir plus de difficulté à évoluer.

Comme souvent, de tels classement sont sujets à caution et doivent être interprétés avec prudence. Il n'en demeure pas moins que l'idée suggérée en conclusion demeure intéressante.

Source :

http://www.nextgov.com/nextgov/ng_20120130_9902.php

Sécurité privée et actions policières

L'actualité récente a largement évoquée le cas KoobFace, un malware dont la propagation s'appuyait largement sur Facebook dont il a fait d'ailleurs d'un anagramme en guise de nom.

La communauté de chercheurs en sécurité s'est notamment mobilisée et a permis de porter de sévères coups à l'organisation qui gérait le malware, notamment en publiant des noms, photos et en divulguant tout cela le plus largement possible.

Notons cependant que les auteurs ne seraient pas pour le moment inquiétés en Russie...Cette problématique de l'inaction des responsables policiers et judiciaires n'est pas automatiquement imputable à une forme de faiblesse coupable des services Russes. On la rencontre aussi dans d'autres pays comme la Roumanie où l'on évoque clairement une "hacker town"...On m'objectera, avec raison, que les pays de l'ex-urss possèdent suffisamment de points communs pour que ce ne soit qu'une question de regards détournés par les responsables de ces pays.

Peut-être..mais nous pouvons aussi penser que le mal est plus profond et il est connu : en l'absence d'autorité légitime et reconnue comme telle, il est très difficile de faire appliquer des lois et réglements qui parfois n'existent pas ou encore sont inapplicables car stoppés par les frontières. Un problème classique au sujet d'Internet.

On peut ici faire un parallèle avec le cas de la piraterie aux alentours de la Corne de l'Afrique et de la Mer Rouge...Les carences des états abritant les pirates mais également les problématiques de liberté des espaces maritimes ont conduit à des solutions diverses. Par exemple, en France, il a été décidé de collaborer avec les armateurs privés afin de former des EPE (équipe de protection embarquée), des militaires à bords de bateaux privés.

La problématique ici était notamment d'éviter l'embrasement de la situation et des scénarios sordides voire pire causés par des équipes de sécurité privées mais ne respectant que partiellement les classiques règles d'engagement ou plus généralement, les modes de comportement que s'imposent les forces militaires étatiques. Un choix pourtant fait par d'autres pays mais refusés en France.

Et pourtant, dans le domaine de l'Internet, on constate que c'est exactement cela qui vient de se passer. Dans un article récent, on peut apprendre comment Facebook, victime du malware également qui s'appuyait sur ses services, a sévi contre l'organisation et ses serveurs C&C afin d'en arrêter la propagation et d'en limiter les effets.

S'il est dit que le géant devrait partager les résultats de ses actions avec des services officielles, il n'est mentionné nul part qu'il y a eu coopération ou même autorisation. Pourtant, cela n'est pas du domaine de l'impossible car il y a quelques mois, le FBI s'attaquait fermement à un malware de manière similaire, avec toutefois tout l'encadrement juridique voulu.

La question que l'on peut alors se poser est la dérive de capacité de sécurité orientées vers l'offensive et conduisant à des formes de guerres larvées perpétuelles sur le Net. D'aucuns diraient que c'est déjà le cas. Sans doute...Mais que cela améliore globalement le niveau de sécurité et apporte une réelle valeur ajoutée me laisse profondément dubitatif : force doit rester à la loi et à ses représentants sous peine de tout y perdre...

Cela nécessite sans doute de profonds changements dans les modes de relations entre états mais un acteur privé agissant ainsi, qui plus est de son propre chef (pour autant qu'on le sache) parait une dérive à terme dangereuse.

Si vous n'êtes pas trop déprimés par cet article, n'hésitez pas à aller voter sur le "Hall of Fame" à l'occasion des 20 ans d'Internet !

Source : dans le texte

Cyber Power Index

Une initiative intéressante du cabinet de consultants Booz Hallen Hamilton est disponible en ligne. Il s'agit d'un classement des pays "puissances du cyber" si l'on prend une certaine liberté avec la traduction.

L'idée, qui n'est pas nouvelle, consiste à proposer un index et un classement des pays disposant de capacités réelle dans le cyberespace. Pour proposer une mesure relativement objective, le classement s'appuie sur ce qui semble être une sorte d'analyse risque-pays.

Fréquemment utilisé dans le domaine des assurances par exemple, ce type d'approche permet de "noter" (eh oui...sans doute un peu comme une agence de notation) un pays et d'estimer le niveau de risque qu'il présente afin, par exemple, de déduire les montants d'une police d'assurance si on veut y faire des affaires et s'assurer.

Notons quelques points qui paraissent ici intéressants pour l'auteur :

=> un peu de fierté tout d'abord avec une 6ème place intéressante pour la France. Comme on a pu le faire remarquer précédemment, les efforts de la France sont parfois difficilement perceptibles car le secret demeure marqué. Néanmoins, avec une poste marquée depuis le Livre Blanc de 2008 et de récents efforts autour de l'ANSSI notamment (mais pas uniquement si l'on regarde les lois de dépense pour l'année à venir), ces éléments ont été retenus par le cabinet.

=> les 3 premiers pays sont anglo-saxons, avec dans l'ordre : Grande-Bretagne, USA et Australie suivi du Canada et de l'Allemagne

=> Il est très intéressant de s'intéresser assez précisément aux données utilisées pour attribuer les notes. Celles-ci sont réparties en 4 catégories :

- Environnement juridique et régulation qui s'intéresse à l'engagement du gouvernement et les plans numériques, de cyberdéfense etc etc...

- Le contexte social et économique : innovation, situation du marché informatique...

- L'infrastructure technique : accès et qualité des accès au cyberespace incluant la téléphonie mobile mais aussi les serveurs dits sécurisés

- Importance au sein des industries : à quel point les NTICs imprègnent les autres industries y compris la défense, la finance ou l'énergie.

Malgré des critères très globaux et intéressants, laissons-nous aller à quelques critiques. Tout d'abord, la qualification de "sécurisé" est appliqué à un serveur si celui-ci utilise du chiffrement pour les échanges sur Internet. Si l'on parle de SSL (et j'ai tendance à penser que c'est cela), on se relira avec profit des articles récents.

Continuons avec le classement des premiers : non seulement, on se souviendra que la Grande-Bretagne était plus connue récemment pour ses pertes fréquentes et en grande quantité de données mais tous les articles récents relatifs aux Etats-Unis montrent aussi des grandes faiblesses en matière de sécurité et quelques récents scandales également comme le cas Wikileaks...

Certains articles sont également intéressants dans leur interprétation du classement et donne quelques clés de compréhensions supplémentaires.

Vous l'aurez compris, ce classement prône une vision assez orientée des choses (ex. l'usage d'une Smart Grid...) mais apporte une quantité d'informations relatives aux critères choisis qui sont particulièrement intéressantes.

Notons également que cette notion de "puissance numérique" bien qu'elle ne soit pas réellement nouvelle, demeure toujours intéressante à étudier et comprendre, notamment lorsque l'approche est particulière, comme c'est le cas ici.

Source : dans le texte

Profil de hacktiviste à tendance radicale

Un article intéressant de Foreign Affairs s'intéresse aux profils des "jihadistes" que l'on trouve notamment sur les forums. Parmi eux, l'article s'est visiblement intéressé à une frange parmi les plus agressive, de ceux qui ont servi à une radicalisation progressive puis plus active et enfin réelle de certains acteurs. Ainsi, lors des arrestations, on se rendait compte que de nombreux jihadistes avait un passé commun au sein de ces réseaux.

De manière un peu ironique, l'article se demande ce qui pousse ces acteurs, qui ne se radicalisent pas forcément dans la réalité, à participer et à passer de très nombreuses heures sur ces forums et y participer très activement. En effet s'interroge l'article, quel est l'intérêt de ces acteurs alors qu'ils ne sont pas payés et passent leur temps à poster des liens des vidéos et liens et à réagir sur les articles des autres ?

Certaines explications avançaient l'argument de la psychologique spécifique, et violente, du terroriste en puissance tandis que d'autres arguaient d'un hypothétique caractère violent et intrinsèque à l'Islam. Toutefois, il existe d'autres explications.

Ainsi, selon d'autres chercheurs, la passion, le temps investi et les modes d'échanges, de débats et de relations ne sont pas sans rappeler d'autres types d'échanges sur Internet. Allant plus loin, l'auteur émet l'hypothèse que les "trolls", les compétitions entre joueurs, et autres sujets très débattus se situent dans un mode de relation et d'échange identique.

Une des causes serait l'effet de compétition qu'offre, par exemple, les jeux en ligne mais également tous les éléments agrémentant la participation d'une récompense : notoriété, réputation, score, hiérarchie au sein des forums etc etc...Dénommé "gamification", ce type de relation ou d'expérience sociale s'inscrit dans un cadre qui privilégie la compétition à l'amusement et détourne parfois l'échange de son but premier.

Ainsi, de nombreux forums de type "islamistes" ont implémenté ce système de gains de points, conçus comme permettant de discriminer entre le bon et le mauvais message. D'autres semblent avoir conçu leur système comme trop facile car la réputation n'inspire pas confiance. Or, sur le web, et dans tout système décentralisé et en absence de référence "absolue", le recours à la réputation permet de distinguer entre le légitime et l'illégitime.

L'article conclu sur l'exemple spécifique d'un recruteur de ces réseaux qui aurait échangé avec nombre d'auteurs d'actions terroristes (fusillade Fort Hood, bombe à Times Square...) et qui aurait bénéficié de cet effet de "gamification" et de compétition pour la notoriété.

Cet article apporte un regard assez innovant, que je ne connaissais pas, sur la radicalisation sur le web et ses mécanismes. Comme toute approche de nature sociologique, elle n'est pas évidente à confirmer mais mérite d'être réfléchie. Une meilleure connaissance des ressorts de ces phénomènes constitue aussi un bon moyen d'y trouver des parades.

Source : dans le texte

Renouveau dans la gouvernance ?

Inutile de le nier, le rôle des gouvernements et autres forces étatiques dans le cyberespace ne cesse de croître. Cet aspect était évoqué dans plusieurs articles précédents et on peut simplement le constater par la croissance de la production de texte relatifs à ces aspects et qui dépassent le strict cadre de la sécurité. Ainsi, la majorité des doctrines ou stratégies émises se réserve le droit d'intervenir ou considère les processus de la gouvernance comme un point d'attention.

Le rôle prépondérant et spécifique des Etats-Unis au sein de la gouvernance a fait débat et demeure controversé. Toutefois, il faut accorder une forme de succès, peut-être en demi-teinte, à la gouvernance : elle continue d'exister et elle assure certains services importants. Ainsi, du côté de l'ICANN, on peut considérer que certains cadre juridiques ou pratiques économiques se sont améliorés. Du côté de l'IETF, la production des standards a permis des évolutions, en cours et ont concouru à l'amélioration de la sécurité...Notez que la difficulté réside notamment dans la multiplicité et le grand nombre des acteurs et que l'Internet demeure malgré tout et encore "UN".

Ce rôle, comme nous le disions, est pourtant remis en cause au sein même du gouvernement. Ainsi, Larry Strickling, sous-secrétaire d'Etat au Commerce pour la Communication et l'Information, l'organisme de contact principal de la gouvernance, affirme que le rôle trop fort des états dans ces processus serait de nature à bouleverser l'équilibre et le rendre inefficace à l'avenir.

Allant plus loin, il ajoute que selon lui, un Internet contraint par un traité de droit international perdrait toute l'attractivité qui a permis aux innovateurs d'en développer les différents aspects et qu'un contrôle accru serait une forme de mort de l'innovation et conduirait le système à stagner.

Promouvant également l'approche "multi-stakeholder", pour multi-partenaires au sein de la gouvernance, une approche en vigueur depuis plusieurs années, cette déclaration et cette vision semble être assez nouvelle dans l'administration américaine. Elle parait également être partagée par plusieurs ministères car le représentant à l'OCDE des Etats-Unis défendait pour sa part des principes généraux, non réduits à des politiques étatiques simples ou des accords internationaux, de nature à permettre le développement d'un Internet libre.

Cette évolution de ton correspond également à une thématique de l'internet comme outil de liberté mise en exergue par les révolutions arabes et les contraintes imposées par des régimes dictatoriaux. Pour autant, l'administration américaine peut également avoir plusieurs actions et se constituer comme un froid joueur d'échecs : ce discours n'empêche pas la conduite d'opérations offensives ou les actions d'influence, y compris par le monde privé, des standards et pratiques de la gouvernance.

Un sujet à évaluer dans le temps..

Source :

http://www.nextgov.com/nextgov/ng_20120111_1140.php

Vol de numéros bancaires et atteintes scada en Israël

Conformément à un des commentaires publiés suite à un de mes articles, il semblerait que les vols des numéros de carte bleue soit imputable à très peu d'individus (peut-être un seul) qui plus est, fort éloigné de la zone en question.

Le contexte demeure toutefois empreint de tensions entre les déclarations "cyberterroristes" des officiels et les affrontements, par web interposé et dans la réalité, avec certaines factions palestiniennes.

Dans ce même environnement d'affrontement, un affilié du collectif Anonymous et antisec a publié une liste sur Pastebin. Selon eux, cela permettrait d’accéder à des systèmes de type SCADA dont la criticité a été maintes fois évoqué sur ce blog (encore récemment dans les commentaires) et dans le milieu de la SSI.

Source: dans le texte

Des innovations en structures de sécurité

On ne pourra désormais plus dire que les fondements d'Internet ne sont plus sécurisés. En effet, l'arrivée de DNSSEC est désormais bien ancrée dans la réalité et devrait apporter un plus indéniable en matière de sécurité.

Qu'est-ce que le DNS ?

Le DNS est tout à la fois un système, une organisation et une technologie...En ce qui concerne la partie système, elle repose sur une technologie associant les adresses numériques de vos machines et serveurs (les IP) à un nom de domaine. Lorsque vous demandez "www.google.fr", il vous est indiqué une adresse comme 209.85.135.147 (pas contrôlée).

Considérant que, peu ou prou, une large majorité d'applications utilisent le DNS pour leur fonctionnement, ce système est au coeur d'Internet...Il a malheureusement connu un certain nombre d'attaques et se sont ainsi révélées plusieurs vulnérabilités. C'est le cas de la fameuse "faille Kaminsky".

Celle-ci a, parmi d'autres raisons, pousser à l'adoption d'un standard nouveau, DNSSEC pour DNS sécurisé, utilisant des mécanismes de signature cryptographique. Ces mécanismes assurent notamment une chaîne de confiance dans les réponses qui sont données lorsque un navigateur interroge un serveur DNS.

Relativement complexe à mettre en oeuvre, elle est pourtant une recommandation de plus en plus suivi puisque Comcast, un des grands fournisseurs américains a annoncé avoir procédé à la signature d'un nombre important de ses domaines (+ de 5000)...Cela représente un progrés certains dans l'évolution de l'infrastructure de sécurité du Net.

A noter également que la problématique de la sécurité de la Smart Grid, le réseau "intelligent" et évolué de distribution d'électricité aux Etats-Unis connait un renouveau. Après que la majorité des acteurs ait exprimé des craintes sur la sécurité, une étape vient d'être franchie.

Il s'agit d'un projet mené avec le secteur privé et désirant aboutir à la création d'un modèle de sécurité, et de mesures de la sécurité, adapté à cette problématique spécifique. Dénommé "Electric Sector Cybersecurity Risk Management Maturity", ce modèle pourrait apporter quelques innovations intéressantes en matière de mesures de la sécurité et d'évolution.

Notons, tout de même, que le secteur de la sécurité semble se poser beaucoup de questions actuellement en remettant en cause, par exemple, certaines approches, organisations et autres normes de la SSI. C'est un des axes traités par nos soins (avec le blog ami Si-Vis) dans notre chronique sur AGS.

Des sujets qui montrent donc une certaine évolution, à suivre toutefois, avec un oeil critique.

Source : dans le texte