CIDRIS - Cyberwarfare

Des rustines pour SSL ?

2012-02-01T00:00:00.000-08:00

Dans un article précédent, ce blog proposait une synthèse des problématiques récentes qui ont touché "SSL", c'est-à-dire à la fois les vulnérabilités intrinsèques mais également les problématiques spécifiques qui ont touché de manière plus générale l'écosystème de cette solution de sécurité.

En particulier, la population des autorités de certification laissent de nombreux analystes dubitatifs après les très importantes problématiques de sécurité rencontrées par Comodo ou encore Diginotar.

Rappelons en effet que lors de la présentation du certificat qui assure une partie de la sécurité de la transaction, celui-ci est contrôlé notamment via l'autorité de certification qui constitue une garantie de confiance...Si cette dernière s'avère "mal placée", alors le modèle souffre alors d'une vulnérabilité.

Conscient de tout cela, il est fort probable que les chercheurs s'activent afin de trouver des solutions. En tentant de résumer, on pourrait dire qu'il existe 2 méthodes principales pour traiter cela :

=> bouleverser le système ou le changer complètement. Cela implique de disposer d'un modèle de sécurité remplaçant adéquat et adapté.

Mais cela suppose aussi de pourvoir l'appliquer. On peut ici alors distinguer deux cas d'usages, soit le modèle est "centralisé" et ce sont les acteurs du Net concernés qui devront l'appliquer. Soit il est "décentralisé" et l'utilisateur aura tout le travail à faire...

On ne préjuge pas des modèles futurs ici et il peut exister une solution intermédiaire comme l'est SSL/TLS à mon sens : il faut que chacune des parties s'impliquent : version à jour, vulnérabilités corrigées rapidement etc etc...Des attaques comme "Firesheep" consiste ainsi à profiter d'une application laxiste (quelques pages en HTTPS - donc utilisant SSL/TLS - seulement).

=> Une autre approche consiste à apposer des "rustines" sur le système existant afin d'en corriger les vulnérabilités. Dans le cas qui nous occupe, certaines relèvent purement de questions d'organisations ou d'humains : c'est parfois bien plus compliqué !

C'est pourtant ce que propose "Convergence" : un système dont l'objectif est de garantir une plus grande souplesse, côté utilisateur, dans la gestion de la confiance accordée aux CA et à ceux qui utilisent leurs certificats.

Plus précisément, le constat opéré par son créateur, est que le système nécessiterait une propriété supplémentaire qu'il dénomme "trust agility" que l'on pourrait traduire par "confiance à degré multiples".

L'idée est assez simple : si vous n'avez plus confiance dans un CA (VeriSign ou encore Comodo), la seule solution que vous avez est alors de le supprimer de votre base de confiance....Non seulement, ce n'est pas à la portée du premier quidam venu mais c'est également se priver de tous les sites qui utilisent un certificat "garanti" par ceux-ci ...Ou alors, il faut à nouveau leur faire confiance, ce qui n'a pas de sens.

Aussi, Marlinspike propose-t-il d'introduire un nouvel intermédiaire dans les acteurs de la transaction sécurisée par SSL. Un add-on firefox est d'ailleurs déjà disponible.

Se basant sur un système distribué, l'objectif est que des "notaries" attribuent des "notes" ou des jugements de sécurité aux CA et surtout aux sites webs les utilisant notamment en entretenant un historique et en détectant des modifications suspectes. N'importe qui peut acquérir ce type de qualification même si, dans l'esprit, son créateur attend plus les sociétés de sécurité et autres passionnés, chercheurs, universités...que le quidam moyen.

Celui-ci, en revanche, pourra décider quel sont les "notaries" auxquels il fait confiance...et de là, avoir accès à des CA notés en fonction et une connaissance plus avancée de l'historique "SSL" du site web auquel l'utilisateur accède.

Ainsi, en reprenant un exemple, si vous visitez Google.fr (en HTTPS), le certificat reçu sera soumis à un ou plusieurs "notaries". Si ceux-ci révèlent une modification récente (un changement brusque de CA par exemple), l'utilisateur sera alerté.

Quelques commentaires maintenant...Commençons avec le positif :

=> ce système est ouvert, relativement distribué et laisse une grande place à l'utilisateur qui peut adapter son comportement et mettre en oeuvre ses choix...

=> il met fin à une forme de toute-puissance des CAs que les problématiques de sécurité ont déjà largement entamé en les faisant passer par les fourches caudines de personnes plus intraitables en matière de sécurité...

=> il permet également d'aller plus loin dans le contrôle et l'authentification. Des critères associés à l'historique du site permettent très certainement de distinguer plus de choses et d'être plus efficaces dans la prévention de l'attaque. On peut même imaginer un contrôle plus poussé associant un regard sur les mises à jours et les corrections de vulnérabilités ou encore l'usage de SSL/TLS sur l'intégralité des pages du site.

Le négatif est associé, comme souvent, aux qualités du système :

=> l'aspect décentralisé et ouvert laisse craindre des dérapages : j'imagine déjà des "notaries" malveillants qu'il faudra également détecter, supprimer...ce qui suppose un contrôle supplémentaire. On est alors dans le contrôle du contrôle du contrôleur !

=> Par ailleurs, il est nécessaire d'atteindre une masse critique de notaries...Considérant l'implication des acteurs de la sécurité sur Internet, c'est loin d'être impossible mais pour le moment, on compte seulement 2 notaries...

=> de manière générale, l'ajout d'une couche de sécurité présentant quelques doutes n'est pas forcément une bonne idée pour sécuriser une autre "couche"...

=> le système fait appel à l'utilisateur pour gérer des listes, ajouter un add-on firefox et être attentif à un avertissement de la machine...En ai-je dit assez ???

Convergence est donc un système qui vise à "patcher" la logique de sécurité de SSL/TLS et son écosystème. Comme on l'a vu, certaines de ses caractéristiques paraissent très intéressantes et bienvenues malgré une certaine jeunesse du système.

A contrario, on peut craindre certaines dérives issues de la nature même du système. Se situant dans un objectif de continuité, cet exemple est la preuve que la communauté ne se satisfait plus du système et que celui-ci doit évoluer : nous verrons comment !

Source :

http://www.darkreading.com/security/client-security/232500640/the-future-of-web-authentication.htm

http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity

Classement McAfee /SDA des pays les plus "cybersécurisé"

2012-01-31T01:17:00.000-08:00

Un rapport publié par Security & Defense Agenda avec le concours de McAfee propose à son tour un classement des pays en fonctions de leur capacité de résistance aux cyber-attaques.

Pour se faire, le rapport établit une note composée "d'étoiles" se basant sur divers critères comme "l'hygiène informatique", l'usage moyens des technologies de sécurité des réseaux, l'existence de stratégie ou encore l'existence de standards évolués de sécurité. Le rapport évalue également cette propension à créer un écosystème de sécurité en observant aussi la dépendance à Internet des pays. On trouve enfin des critères comme l'existence d'un ou plusieurs CERTs, notamment à vocation nationale, et la participation aux communautés formelles ou non de ces entités.

De manière tout à fait intéressante, le rapport octroie ses meilleurs étoiles (4 et demi) aux pays suivants : Finlande, Israël et Suède. L'Allemagne et la France se voient notés à 4 étoiles, ce qui les place relativement bien. Parmi les points pénalisants pour la France, le fait que les petites structures ne soient pas forcément capable d'intégrer les principes de sécurité : elle remplit cependant nombre de critères qui la place dans les pays de tête.

Dans un article précédent, on faisait référence à un autre classement qui mettait les USA, l'Australie et la Grande-bretagne dans les premiers. Ici, ils héritent respectivement de 4, 3,5 et 4 étoiles, ce qui ne les place plus dans le peloton de tête.

D'autres acteurs connus comme la Chine et la Russie doivent se satisfaire de 3 points bien que le rapport reconnaisse des lacunes dans leurs capacités à mesurer réellement la réalité.

Parmi les explications, il est avancé que le facteur déterminant dans la réussite à créer un écosystème de sécurité et des mesures efficaces est notamment la petite taille du pays.

Celui-ci, lorsqu'il recueille la meilleure note, est alors profondément dépendant à Internet mais également très avancé dans la conduite du partenariat public-privé. Par exemple, en Israël, l'intervention du gouvernement semble particulièrement importante et sévère en cas de manquement.

La Finlande semble également avoir une tradition de ce type de rapport, hérité de son modèle social et culturel. Elle semble également ne pas faire mystère de ses capacités d'attaque comme le souligne le rapport, critère qui n'apporte pas, dans le cas de la Chine et de la Russie, des "étoiles" en supplément.

Bien que le rapport laisse un peu dubitatif sur les capacités à générer des critères et objectifs de mesure efficaces et parlants - on trouve surtout des résultats d'entretiens - dans les paragraphes relatifs aux pays, la conclusion donne à réfléchir. En effet, alors qu'on apprend à peine que le Département de l'Energie aux Etats-Unis met en place un centre dédié à la sécurité (Joint Cybersecurity Coordination Center), on en vient à se demander si la taille ne fait pas tout à l'affaire.

En effet, alors que l'on évoque souvent le caractère très évolutif et la dissymétrie entre les capacités et la "mobilité" des attaquants (technique, géographique...), les "poids lourds" que sont les grands pays, sujet à des complexité administrative, pourraient avoir plus de difficulté à évoluer.

Comme souvent, de tels classement sont sujets à caution et doivent être interprétés avec prudence. Il n'en demeure pas moins que l'idée suggérée en conclusion demeure intéressante.

Source :

http://www.nextgov.com/nextgov/ng_20120130_9902.php

Sécurité privée et actions policières

2012-01-19T01:25:00.000-08:00

L'actualité récente a largement évoquée le cas KoobFace, un malware dont la propagation s'appuyait largement sur Facebook dont il a fait d'ailleurs d'un anagramme en guise de nom.

La communauté de chercheurs en sécurité s'est notamment mobilisée et a permis de porter de sévères coups à l'organisation qui gérait le malware, notamment en publiant des noms, photos et en divulguant tout cela le plus largement possible.

Notons cependant que les auteurs ne seraient pas pour le moment inquiétés en Russie...Cette problématique de l'inaction des responsables policiers et judiciaires n'est pas automatiquement imputable à une forme de faiblesse coupable des services Russes. On la rencontre aussi dans d'autres pays comme la Roumanie où l'on évoque clairement une "hacker town"...On m'objectera, avec raison, que les pays de l'ex-urss possèdent suffisamment de points communs pour que ce ne soit qu'une question de regards détournés par les responsables de ces pays.

Peut-être..mais nous pouvons aussi penser que le mal est plus profond et il est connu : en l'absence d'autorité légitime et reconnue comme telle, il est très difficile de faire appliquer des lois et réglements qui parfois n'existent pas ou encore sont inapplicables car stoppés par les frontières. Un problème classique au sujet d'Internet.

On peut ici faire un parallèle avec le cas de la piraterie aux alentours de la Corne de l'Afrique et de la Mer Rouge...Les carences des états abritant les pirates mais également les problématiques de liberté des espaces maritimes ont conduit à des solutions diverses. Par exemple, en France, il a été décidé de collaborer avec les armateurs privés afin de former des EPE (équipe de protection embarquée), des militaires à bords de bateaux privés.

La problématique ici était notamment d'éviter l'embrasement de la situation et des scénarios sordides voire pire causés par des équipes de sécurité privées mais ne respectant que partiellement les classiques règles d'engagement ou plus généralement, les modes de comportement que s'imposent les forces militaires étatiques. Un choix pourtant fait par d'autres pays mais refusés en France.

Et pourtant, dans le domaine de l'Internet, on constate que c'est exactement cela qui vient de se passer. Dans un article récent, on peut apprendre comment Facebook, victime du malware également qui s'appuyait sur ses services, a sévi contre l'organisation et ses serveurs C&C afin d'en arrêter la propagation et d'en limiter les effets.

S'il est dit que le géant devrait partager les résultats de ses actions avec des services officielles, il n'est mentionné nul part qu'il y a eu coopération ou même autorisation. Pourtant, cela n'est pas du domaine de l'impossible car il y a quelques mois, le FBI s'attaquait fermement à un malware de manière similaire, avec toutefois tout l'encadrement juridique voulu.

La question que l'on peut alors se poser est la dérive de capacité de sécurité orientées vers l'offensive et conduisant à des formes de guerres larvées perpétuelles sur le Net. D'aucuns diraient que c'est déjà le cas. Sans doute...Mais que cela améliore globalement le niveau de sécurité et apporte une réelle valeur ajoutée me laisse profondément dubitatif : force doit rester à la loi et à ses représentants sous peine de tout y perdre...

Cela nécessite sans doute de profonds changements dans les modes de relations entre états mais un acteur privé agissant ainsi, qui plus est de son propre chef (pour autant qu'on le sache) parait une dérive à terme dangereuse.

Si vous n'êtes pas trop déprimés par cet article, n'hésitez pas à aller voter sur le "Hall of Fame" à l'occasion des 20 ans d'Internet !

Source : dans le texte

Cyber Power Index

2012-01-16T04:50:00.000-08:00

Une initiative intéressante du cabinet de consultants Booz Hallen Hamilton est disponible en ligne. Il s'agit d'un classement des pays "puissances du cyber" si l'on prend une certaine liberté avec la traduction.

L'idée, qui n'est pas nouvelle, consiste à proposer un index et un classement des pays disposant de capacités réelle dans le cyberespace. Pour proposer une mesure relativement objective, le classement s'appuie sur ce qui semble être une sorte d'analyse risque-pays.

Fréquemment utilisé dans le domaine des assurances par exemple, ce type d'approche permet de "noter" (eh oui...sans doute un peu comme une agence de notation) un pays et d'estimer le niveau de risque qu'il présente afin, par exemple, de déduire les montants d'une police d'assurance si on veut y faire des affaires et s'assurer.

Notons quelques points qui paraissent ici intéressants pour l'auteur :

=> un peu de fierté tout d'abord avec une 6ème place intéressante pour la France. Comme on a pu le faire remarquer précédemment, les efforts de la France sont parfois difficilement perceptibles car le secret demeure marqué. Néanmoins, avec une poste marquée depuis le Livre Blanc de 2008 et de récents efforts autour de l'ANSSI notamment (mais pas uniquement si l'on regarde les lois de dépense pour l'année à venir), ces éléments ont été retenus par le cabinet.

=> les 3 premiers pays sont anglo-saxons, avec dans l'ordre : Grande-Bretagne, USA et Australie suivi du Canada et de l'Allemagne

=> Il est très intéressant de s'intéresser assez précisément aux données utilisées pour attribuer les notes. Celles-ci sont réparties en 4 catégories :

- Environnement juridique et régulation qui s'intéresse à l'engagement du gouvernement et les plans numériques, de cyberdéfense etc etc...

- Le contexte social et économique : innovation, situation du marché informatique...

- L'infrastructure technique : accès et qualité des accès au cyberespace incluant la téléphonie mobile mais aussi les serveurs dits sécurisés

- Importance au sein des industries : à quel point les NTICs imprègnent les autres industries y compris la défense, la finance ou l'énergie.

Malgré des critères très globaux et intéressants, laissons-nous aller à quelques critiques. Tout d'abord, la qualification de "sécurisé" est appliqué à un serveur si celui-ci utilise du chiffrement pour les échanges sur Internet. Si l'on parle de SSL (et j'ai tendance à penser que c'est cela), on se relira avec profit des articles récents.

Continuons avec le classement des premiers : non seulement, on se souviendra que la Grande-Bretagne était plus connue récemment pour ses pertes fréquentes et en grande quantité de données mais tous les articles récents relatifs aux Etats-Unis montrent aussi des grandes faiblesses en matière de sécurité et quelques récents scandales également comme le cas Wikileaks...

Certains articles sont également intéressants dans leur interprétation du classement et donne quelques clés de compréhensions supplémentaires.

Vous l'aurez compris, ce classement prône une vision assez orientée des choses (ex. l'usage d'une Smart Grid...) mais apporte une quantité d'informations relatives aux critères choisis qui sont particulièrement intéressantes.

Notons également que cette notion de "puissance numérique" bien qu'elle ne soit pas réellement nouvelle, demeure toujours intéressante à étudier et comprendre, notamment lorsque l'approche est particulière, comme c'est le cas ici.

Source : dans le texte

Profil de hacktiviste à tendance radicale

2012-01-13T06:38:00.000-08:00

Un article intéressant de Foreign Affairs s'intéresse aux profils des "jihadistes" que l'on trouve notamment sur les forums. Parmi eux, l'article s'est visiblement intéressé à une frange parmi les plus agressive, de ceux qui ont servi à une radicalisation progressive puis plus active et enfin réelle de certains acteurs. Ainsi, lors des arrestations, on se rendait compte que de nombreux jihadistes avait un passé commun au sein de ces réseaux.

De manière un peu ironique, l'article se demande ce qui pousse ces acteurs, qui ne se radicalisent pas forcément dans la réalité, à participer et à passer de très nombreuses heures sur ces forums et y participer très activement. En effet s'interroge l'article, quel est l'intérêt de ces acteurs alors qu'ils ne sont pas payés et passent leur temps à poster des liens des vidéos et liens et à réagir sur les articles des autres ?

Certaines explications avançaient l'argument de la psychologique spécifique, et violente, du terroriste en puissance tandis que d'autres arguaient d'un hypothétique caractère violent et intrinsèque à l'Islam. Toutefois, il existe d'autres explications.

Ainsi, selon d'autres chercheurs, la passion, le temps investi et les modes d'échanges, de débats et de relations ne sont pas sans rappeler d'autres types d'échanges sur Internet. Allant plus loin, l'auteur émet l'hypothèse que les "trolls", les compétitions entre joueurs, et autres sujets très débattus se situent dans un mode de relation et d'échange identique.

Une des causes serait l'effet de compétition qu'offre, par exemple, les jeux en ligne mais également tous les éléments agrémentant la participation d'une récompense : notoriété, réputation, score, hiérarchie au sein des forums etc etc...Dénommé "gamification", ce type de relation ou d'expérience sociale s'inscrit dans un cadre qui privilégie la compétition à l'amusement et détourne parfois l'échange de son but premier.

Ainsi, de nombreux forums de type "islamistes" ont implémenté ce système de gains de points, conçus comme permettant de discriminer entre le bon et le mauvais message. D'autres semblent avoir conçu leur système comme trop facile car la réputation n'inspire pas confiance. Or, sur le web, et dans tout système décentralisé et en absence de référence "absolue", le recours à la réputation permet de distinguer entre le légitime et l'illégitime.

L'article conclu sur l'exemple spécifique d'un recruteur de ces réseaux qui aurait échangé avec nombre d'auteurs d'actions terroristes (fusillade Fort Hood, bombe à Times Square...) et qui aurait bénéficié de cet effet de "gamification" et de compétition pour la notoriété.

Cet article apporte un regard assez innovant, que je ne connaissais pas, sur la radicalisation sur le web et ses mécanismes. Comme toute approche de nature sociologique, elle n'est pas évidente à confirmer mais mérite d'être réfléchie. Une meilleure connaissance des ressorts de ces phénomènes constitue aussi un bon moyen d'y trouver des parades.

Source : dans le texte

Renouveau dans la gouvernance ?

2012-01-12T04:25:00.000-08:00

Inutile de le nier, le rôle des gouvernements et autres forces étatiques dans le cyberespace ne cesse de croître. Cet aspect était évoqué dans plusieurs articles précédents et on peut simplement le constater par la croissance de la production de texte relatifs à ces aspects et qui dépassent le strict cadre de la sécurité. Ainsi, la majorité des doctrines ou stratégies émises se réserve le droit d'intervenir ou considère les processus de la gouvernance comme un point d'attention.

Le rôle prépondérant et spécifique des Etats-Unis au sein de la gouvernance a fait débat et demeure controversé. Toutefois, il faut accorder une forme de succès, peut-être en demi-teinte, à la gouvernance : elle continue d'exister et elle assure certains services importants. Ainsi, du côté de l'ICANN, on peut considérer que certains cadre juridiques ou pratiques économiques se sont améliorés. Du côté de l'IETF, la production des standards a permis des évolutions, en cours et ont concouru à l'amélioration de la sécurité...Notez que la difficulté réside notamment dans la multiplicité et le grand nombre des acteurs et que l'Internet demeure malgré tout et encore "UN".

Ce rôle, comme nous le disions, est pourtant remis en cause au sein même du gouvernement. Ainsi, Larry Strickling, sous-secrétaire d'Etat au Commerce pour la Communication et l'Information, l'organisme de contact principal de la gouvernance, affirme que le rôle trop fort des états dans ces processus serait de nature à bouleverser l'équilibre et le rendre inefficace à l'avenir.

Allant plus loin, il ajoute que selon lui, un Internet contraint par un traité de droit international perdrait toute l'attractivité qui a permis aux innovateurs d'en développer les différents aspects et qu'un contrôle accru serait une forme de mort de l'innovation et conduirait le système à stagner.

Promouvant également l'approche "multi-stakeholder", pour multi-partenaires au sein de la gouvernance, une approche en vigueur depuis plusieurs années, cette déclaration et cette vision semble être assez nouvelle dans l'administration américaine. Elle parait également être partagée par plusieurs ministères car le représentant à l'OCDE des Etats-Unis défendait pour sa part des principes généraux, non réduits à des politiques étatiques simples ou des accords internationaux, de nature à permettre le développement d'un Internet libre.

Cette évolution de ton correspond également à une thématique de l'internet comme outil de liberté mise en exergue par les révolutions arabes et les contraintes imposées par des régimes dictatoriaux. Pour autant, l'administration américaine peut également avoir plusieurs actions et se constituer comme un froid joueur d'échecs : ce discours n'empêche pas la conduite d'opérations offensives ou les actions d'influence, y compris par le monde privé, des standards et pratiques de la gouvernance.

Un sujet à évaluer dans le temps..

Source :

http://www.nextgov.com/nextgov/ng_20120111_1140.php

Vol de numéros bancaires et atteintes scada en Israël

2012-01-12T02:00:00.001-08:00

Conformément à un des commentaires publiés suite à un de mes articles, il semblerait que les vols des numéros de carte bleue soit imputable à très peu d'individus (peut-être un seul) qui plus est, fort éloigné de la zone en question.

Le contexte demeure toutefois empreint de tensions entre les déclarations "cyberterroristes" des officiels et les affrontements, par web interposé et dans la réalité, avec certaines factions palestiniennes.

Dans ce même environnement d'affrontement, un affilié du collectif Anonymous et antisec a publié une liste sur Pastebin. Selon eux, cela permettrait d’accéder à des systèmes de type SCADA dont la criticité a été maintes fois évoqué sur ce blog (encore récemment dans les commentaires) et dans le milieu de la SSI.

Source: dans le texte

Des innovations en structures de sécurité

2012-01-11T00:19:00.000-08:00

On ne pourra désormais plus dire que les fondements d'Internet ne sont plus sécurisés. En effet, l'arrivée de DNSSEC est désormais bien ancrée dans la réalité et devrait apporter un plus indéniable en matière de sécurité.

Qu'est-ce que le DNS ?

Le DNS est tout à la fois un système, une organisation et une technologie...En ce qui concerne la partie système, elle repose sur une technologie associant les adresses numériques de vos machines et serveurs (les IP) à un nom de domaine. Lorsque vous demandez "www.google.fr", il vous est indiqué une adresse comme 209.85.135.147 (pas contrôlée).

Considérant que, peu ou prou, une large majorité d'applications utilisent le DNS pour leur fonctionnement, ce système est au coeur d'Internet...Il a malheureusement connu un certain nombre d'attaques et se sont ainsi révélées plusieurs vulnérabilités. C'est le cas de la fameuse "faille Kaminsky".

Celle-ci a, parmi d'autres raisons, pousser à l'adoption d'un standard nouveau, DNSSEC pour DNS sécurisé, utilisant des mécanismes de signature cryptographique. Ces mécanismes assurent notamment une chaîne de confiance dans les réponses qui sont données lorsque un navigateur interroge un serveur DNS.

Relativement complexe à mettre en oeuvre, elle est pourtant une recommandation de plus en plus suivi puisque Comcast, un des grands fournisseurs américains a annoncé avoir procédé à la signature d'un nombre important de ses domaines (+ de 5000)...Cela représente un progrés certains dans l'évolution de l'infrastructure de sécurité du Net.

A noter également que la problématique de la sécurité de la Smart Grid, le réseau "intelligent" et évolué de distribution d'électricité aux Etats-Unis connait un renouveau. Après que la majorité des acteurs ait exprimé des craintes sur la sécurité, une étape vient d'être franchie.

Il s'agit d'un projet mené avec le secteur privé et désirant aboutir à la création d'un modèle de sécurité, et de mesures de la sécurité, adapté à cette problématique spécifique. Dénommé "Electric Sector Cybersecurity Risk Management Maturity", ce modèle pourrait apporter quelques innovations intéressantes en matière de mesures de la sécurité et d'évolution.

Notons, tout de même, que le secteur de la sécurité semble se poser beaucoup de questions actuellement en remettant en cause, par exemple, certaines approches, organisations et autres normes de la SSI. C'est un des axes traités par nos soins (avec le blog ami Si-Vis) dans notre chronique sur AGS.

Des sujets qui montrent donc une certaine évolution, à suivre toutefois, avec un oeil critique.

Source : dans le texte

Physionomie de lutte informatique

2012-01-10T06:07:00.000-08:00

Deux messages intéressants ont suscité de l'intérêt chez votre serviteur. Tout d'abord, une analyse du blog de sécurité d'OBS qui évoque une forme de loi du Tallion dans le domaine de la lutte informatique et des échanges de "horions numériques".

L'auteur, sans s'en rendre compte, évoque une forme d'organisation des acteurs hostiles et pratiquant une forme de violence sur Internet car, pour pratiquer la loi du Tallion, il faut une organisation sociale. Un rapide retour historique nous rappelle que les luttes et vengeances d'un âge bien antérieur au nôtre ont trouvé dans ce code la première forme de justice sociale. Et c'est bien dans un texte de loi que l'on en retrouve une des premières expression (Code d'Hamourabi). C'est, il faut bien s'en rendre compte, une forme d'organisation qui est tout à fait contraire à l'anarchie à laquelle on l'assimile parfois.

Cette forme d'organisation que j'évoquais dans un post précédent possède, à mon sens, une structure sociale certaine. Pour ma part, j'y vois quelques chose de bien plus clair, déterminé et volontariste, quand l'auteur n'y voit que des échanges violents...J'en veux notamment pour preuve un article de l'excellent D. Danchev, spécialiste des arcanes de la cybercriminalité qui détaille justement une de ces organisations. Il y démonte ainsi une partie de la structure d'un des vers particulièrement actif, Koobface.

Je trouve aussi très intéressant certains termes employés dans ce message. En particulier : riposte proportionnée à l'agression, la tentation de "tirer les premiers", frappes offensives au titre de la dissuasion...

Tout cela n'est pas sans rappeler, pour ceux qui apprécient le domaine, les thèmes, logiques et approches de la dissuasion dans ses différents aspects et progressions que l'on identifie lorsqu'on effectue une approche un peu historique de la chose.

Assisterait-on à une progression de l'idée de la dissuasion globale intégrant le cyberespace, comme nous en évoquions l'idée dans un interview il y a quelques jours ?

Source : dans le texte

Du nouveau...et de l'ancien en SSI

2012-01-09T01:45:00.000-08:00

Un petit post sécurité pour revenir à certaines matières qui me plaisent aussi beaucoup. Bien que dédié aux questions plutôt doctrinales et stratégiques, l'auteur se commet parfois sur des posts relatifs à la sécurité.

J'en profite pour rappeler que le flux twitter @cidrisec est disponible et remplace l'ancien, appelé à disparaître. Et je remercie également tous ceux qui ont eu la bonté de s'y abonner et de lire mes quelques élucubrations.

Quelques informations presque classiques peuvent appeler quelques commentaires :

- tout d'abord, divers établissements financiers israéliens auraient subi une suite d'attaque permettant de dérober de nombreux (6000 au moins selon les articles) numéros de carte bancaire. Notons que certains responsables font une glissade potentiellement dangereuse en accusant les ressorts du terrorisme d'avoir perpétré cette attaque. N'est-il pas parfois dangereux d'être aussi certains des motivations des acteurs : l'action qui s'ensuit est alors orientée alors qu'ici, c'est peut-être simplement une question d'opportunité et de "gros sous".

- je signale l'excellent article, à mon sens, paru sur le blog Orange Business Sécurité. Ce message rappelle quelques vulnérabilités intéressantes de la fonctionnalité VLAN - Virtual LAN ou encore réseau virtuel - offerte par certains équipements informatiques de réseaux (switchs). Pour les plus néophytes, ces appareils offrent des fonctionnalités d'accès aux réseaux et d'interconnexions (en théorie, au sein d'un même réseau).

La "mode" et les avantages indéniables de la virtualisation (souplesse, économies) ont aussi participé à la popularité croissante de ce type d'outils...Effectivement, il est connu que ce type d'outils sont très utilisés au sein des entreprises spécialisées en hébergement et fournitures de services informatiques.

L'idée est la suivante : un "LAN" est le réseau sur lequel se situe par exemple votre poste de travail ou votre ordinateur personnel, derrière la "box"...Ce réseau est dit "local", parfois "privé" et n'accède pas directement à l'internet par exemple. Il s'oppose justement au WAN, les réseaux étendu ou large comme peut l'être Internet.

Créer un VLAN sur un équipement réseau, c'est créer un LAN virtuel que l'on distinguera des autres par l'attribution de ports (les prises réseau) spécifiques (c'est le cas dans l'exemple de l'article) : le port 1 et 3 sont dans le VLAN 1 et le 2 et 4 dans le VLAN 2...

Il existe d'autres manières de distinguer des VLAN sur les équipements, par exemple, en leur attribuant un numéro que les équipements connectés devront "présenter" lors des échanges avec cet équipement : celui-ci prendra garde à ne pas mélanger les informations numérotées en fonction justement de ce numéro...

Pour autant, tout cela diminue, comme le montre l'article, le niveau de sécurité par rapport au bon vieux LAN disposant de ses câbles et équipements dédiés. Ainsi, l'intégrité et la confidentialité des informations sont susceptibles d'être menacées en autorisant des VLAN différents à échanger. La disponibilité peut être impactée car si un équipement "tombe", l'ensemble des LAN (virtuels) qu'ils hébergent ne sont plus servis.

=> Il semblerait que des pirates informatiques aient réussi à accèder à une partie du code source d'un populaire anti-virus.

Assisterait-on à une forme de pratique des attaques bien plus organisées encore, et peut-on imaginer une forme de tactique, ou de stratégie au choix, des acteurs malveillants consistant à s'attaquer à tous les producteurs de sécurité afin de mieux percer leurs failles et celles de leurs produits ?

On se rappellera des attaques menées contre RSA qui auraient ensuite permis de mener des attaques sur des entités utilisant leur système de sécurité.

Une tendance à suivre...

Source : dans le texte

Budget "cyber" du Pentagone

2012-01-06T01:37:00.000-08:00

Le budget américain pour la Défense a été présenté jeudi par le biais d'un document stratégique précisant des orientations fortes dans un contexte assez pressant de réduction des dépenses. Ainsi, il est envisagé une réduction d'environ 490 milliards sur une période de 10 ans.

Malgré tout, les USA resteront le pays le mieux dotés en matières de budgets de la défense car une statistique semble affirmer que leur budget demeurera supérieure aux budgets cumulés des 10 puissances suivantes.

Toutefois, comme c'est parfois le cas outre-atlantique, les documents et textes officiels relatifs aux budgets contiennent des informations intéressantes. Ainsi l'on peut apprendre que tout le monde ne sera pas perdant dans ces coupes budgétaires. Au contraire, les domaines du renseignement et de la cyber-sécurité/défense verront leurs budgets augmenter.

Avec un budget de 3.2 milliard de dollars pour 2012 uniquement et consacré strictement aux domaines de la cyber-sécurité, le secteur peut s'avérer satisfait. Et cela ne semble pas s'arrêter là.

En effet, comme on l'évoquait récemment pour le cas du Japon, il semblerait que la vision de l'offensive informatique trouve sa place dans les textes émis. Le document qui établit ainsi les autorisations de dépense budgétaires pour les USA prévoiraient ainsi un ensemble de mesures élargissant les prérogatives américaines dans la lutte pour la protection des réseaux.

Toujours selon le texte de loi, ce type d'action resterait strictement encadrée et notamment soumis aux décisions du Président ainsi qu'aux lois de la guerre et celles du War Powers Resolution.

Il est intéressant de constater que ce type d'action, qui sort du strict cadre de l'action de services de sécurité et de renseignement pour entrer dans le domaine de l'action militaire plus classique, deviendra peut-être une des "tendances" pour 2012 comme l'hacktivisme l'a été pour 2011.

Source : dans le texte

Des satellites pour hacker

2012-01-05T02:19:00.000-08:00

Une information intéressante relayée ici et là et qui fait l'actualité depuis la dernière conférence du CCC. Il s'agit d'un projet initié par plusieurs hackers et consistant à développer un réseau de satellites construits et gérés par des groupes de hackers dans le but, notamment mais pas que, de fournir des réseaux de secours en cas de perturbation de quelque nature que ce soit : politique, climatique...

Ce projet est lié à un autre, également relatif aux problématiques spatiales et aéronautiques dénommé "Constellation". Ce projet, pré-existant, a notamment pour objectif de mener des études de manières distribuées en utilisant, pour quelques moments, une partie de la puissance de calcul de vos ordinateurs.

Pour 2034, le groupe se fixe le projet ambitieux de "déposer" un hacker sur la Lune. Il n'est pas fourni cependant de date de lancement de la "flotte" de satellites. De même, on en sait peu sur les moyens financiers et autres.

Il n'en demeure pas moins que ce sujet est intéressant car il illustre une fois de plus la volonté et la nouvelle forme de "pouvoir" que sont les hacktivistes et hackers idéalistes de toute sorte. Bien sûr, pour le moment, cela semble plutôt prêter à rire car la transition dans la réalité des capacités online très importantes de ces hackers laissent dubitatifs. N'oublions cependant pas qu'Internet, bien que basé sur une technologie développée et récupérée par des militaires, a démarré avec une bande de chercheurs dans des universités..Cet esprit de créativité est donc tout à fait cohérent avec cette mouvance.

On ne parlera pas des conséquences du fait qu'il existerait alors des réseaux tout à fait libre, contrôlés par des individus dont les opinions libertaires et parfois naïves sont de nature à constituer un terreau fertile pour des gens moins bien intentionnés.

Pour ceux qui souhaiteraient en savoir plus, un fil twitter existe ainsi qu'une mailing-list.

Source :

http://www.informationweek.com/news/government/security/232301230

Virus Japonais...Info ou intox ?

2012-01-04T00:32:00.000-08:00

L'information relayée par plusieurs sources est assez intéressante : les autorités japonaises développeraient, à des fins de sécurité et de défense, des outils de lutte informatique offensives parfois appelées "virus" dans certaines sources.

La construction de ces outils ferait suite à des multiples attaques informatiques visant à dérober des secrets au sein des conglomérats japonais dont une des caractéristiques est d'avoir de multiples activités dont des programmes pour la défense japonaise.

Rappelons également que le Japon est contraint par sa constitution, elle-même prenant sa source dans une histoire bien connue, à des forces d'auto-défense, avec une nuance forte par rapport à nos armées et leurs modalités d'action. Toutefois, cela ne contraint pas leurs capacités technologiques et les forces d'auto-défense maritime japonaise ne sont absolument pas négligeables : je vous invite à lire l'article sur les rivalités avec la marine chinoise.

Cette limitation n'empêche pas les japonaise de participer aux opérations internationales comme celles menées en Irak ou en Afghanistan avec un rôle non-combattant cependant.

Toutes ces limitations peuvent peut-être en partie expliquer l'interdiction qui est faite de développer des virus et autres outils malveillants. Les sources ne précisent cependant pas si l'interdiction ainsi faite incombe aux acteurs classiques, à tous les acteurs ou alors aux acteurs militaires.

Cette distinction est importante car il semblerait que le virus ait été développé par une entreprise privée dans le cadre de contrats avec les autorités japonaises. Sujet particulièrement sensible, il semble que jusqu'à maintenant, ce soit surtout des services bien particuliers des états qui soient engagés dans la réalisation de ce type d'outils. Notons bien qu'à ce sujet, on ne connait pourtant pas forcément grand chose si ce n'est que la prérogative de l'offensive au plan international demeure clairement régalienne.

Considérant la réticence habituelle des états à s'engager officiellement sur un sujet qui présente de nombreuses incertitudes, c'est ici une nouveauté que d'en voir une déclaration quasi-officielle, même si elle est indirecte : c'est le cas lorsque les responsables nippons déclarent souhaiter faire évoluer la loi pour permettre l'utilisation de tels outils.

Enfin, on notera que les comparaisons avec Stuxnet sont un peu "osées" car le contexte parait bien différent :

- l'objectif des outils développés semble être pour le moment de mener des "contre-attaques" afin d'identifier puis de neutraliser les sources identifiables des attaques. On n'est pas dans l'offensif "pur" avec un objectif à priori clair et unique.

- la reconnaissance officielle de quoi que ce soit à son sujet n'a jamais eu lieu même indirectement, à mon sens.

- L'attribution à un quelconque gouvernement est loin d'être certaine : on a pu lire tout à ce sujet et notamment la quasi-totalité des pays possédant éventuellement ce genre de capacités ont été pointés du doigt.

"Info" plutôt qu' "intox" donc pour cette "innovation" japonaise qui présente des caractéristiques méritant de s'y attarder.

Source :

http://www.zdnet.fr/actualites/le-japon-met-au-point-un-virus-d-etat-pour-contrer-les-attaques-exterieures-39767017.htm#xtor=EPR-105

http://si-vis.blogspot.com/2012/01/le-japon-teste-une-cyberarme.html

Meilleurs voeux 2012 & SSI

2012-01-03T00:01:00.000-08:00

En ce début d'année, je souhaite adresse à tous mes lecteurs mes meilleurs voeux pour 2012 !

Commençons donc bien l'année avec la continuité de la chronique initiée avec le blog ami Si-Vis Pacem relative aux problématiques de la démarche SSI telle que nous avons pu la connaître dans différentes organisations.

Celle-ci est disponible ici : http://alliancegeostrategique.org/2012/01/03/la-securite-de-l%E2%80%99information-est-elle-un-echec-de-la-problematique-de-l%E2%80%99inventaire-et-du-volume-des-donnees/

Notre objectif est de tenter d'appréhender les principales difficultés de cette démarche et de proposer, éventuellement, quelques idées ou principes permettant de déroger à des habitudes qui n'ont pas montré une réelle efficacité.

N'hésitez donc pas à réagir et surtout à proposer vos idées et retours d'expérience si vous le souhaitez. Car nous le savons tous, s'il est relativement aisé d'établir un constat, il est plus dur d'en dénicher les racines (ce que nous tentons de faire) et d'évoluer vers une meilleure pratique.

Bonne lecture et bonne année à tous !

Cyberdissuasion ou cyber dans la dissuasion

2011-12-29T01:36:00.000-08:00

La "cyber-dissuasion" est un sujet épineux et âprement discuté. Bien souvent, les bons connaisseurs de la technique en voit uniquement l'aspect "réalisation" et insistent sur le caractère technique et irréaliste de ce type d'approche.

Et si le sujet était mal posé ? Et si le prisme était, pour une fois, trop technique ? Et si nous abordions les choses par le mauvais angle ?

C'est ayant à l'esprit ces question que j'ai proposé à l'auteur des Lignes Stratégiques de répondre à quelques questions. L'interview a été publié et demeure donc disponible à l'adresse suivante de l'Alliance Géostratégique.

Pour ma part, cela a pu faire profondément évoluer mon point de vue et j'insiste sur la nécessité d'aborder tout cela avec un esprit curieux et ouvert et surtout, pluridisciplinaire. En effet, il faut bien considérer que la dissuasion est une affaire complexe : technique, politique/diplomatique mais également militaire (dans le sens pur de l'affrontement et du conflits) et psychologique.

Pour donner un aperçu à ceux qui diraient que la dissuasion dans le cyber n'a pas de sens, n'oublions pas, par exemple, que la dissuasion n'est plus...dissuasion lorsqu'elle est réalisée ! L'usage des armes de la dissuasion est justement l'échec du système...

Source : dans le texte

Cyber Coalition 2011 - Exercice (encore)

2011-12-23T01:41:00.000-08:00

Contrairement à ce que j'écrivais, l'année 2011 a connu un autre exercice, dans le cadre de l'OTAN cette fois-ci et appelé Cyber Coalition 2011. Celui-ci n'est pas le premier puisqu'on retrouve des tels exercices depuis au moins 2008.

29 états ont participé à cet exercice organisé autour d'un scénario mettant en avant un contexte difficile d'intervention multilatérale dans un pays connaissant des conflits ethniques et religieux (disclaimer oblige : "tout ceci n'a rien à voir avec la réalité et même si c'était le cas, ce n'est pas de notre faute") et donc les acteurs intentent des attaques sur les réseaux.

Notez également le très bon résumé de l'ANSSI qui en la matière représentait la France.

Je profite de ces derniers messages de l'année pour remercier mes lecteurs et vous souhaiter à tous de très bonnes fêtes de fin d'année !

Analyse du "Blueprint for a Secure Cyber Future" - DHS

2011-12-14T23:18:00.000-08:00

Cette fin d'année, qui fut très riche en publications stratégiques diverses, est également assez intense avec des acteurs d'importance proposant leur vision. Après le Royaume-Uni, ce sont encore les Etats-Unis, plus précisément l'équivalent d'un ministère de la sécurité intérieure - Department of Homeland Security DHS - qui nous propose une stratégie.

Pour mémoire, on se souviendra que dans le découpage des responsabilités américaines en matière de défense informatique, le Pentagone a une obligation de défense des réseaux militaires tandis que le DHS a celle relative aux réseaux civils, incluant notamment une grande partie des infrastructures critiques.

Dans un tel document, d'environ une cinquantaine de pages, il est fréquent de trouver au début un résumé pratique car il contient souvent les grands axes de la stratégie que suivront les auteurs. Ce document n'y échappe pas et propose ainsi 2 domaines d'applications incluant des grands axes qui définiront les futures étapes d'application de la stratégie :

=> La protection des infrastructures d'information critiques

=> Construire un écosystème dans le cyberespace plus "fort" (entendez plus conforme aux valeurs qui sont les leurs).

Ces deux domaine reposent eux-mêmes sur des buts qui seront atteints si certains objectifs sont remplis. On rappelle donc la logique :

Domaine d'application => Buts => série d'objectifs.

Pour la protection des infrastructures critiques, la stratégie retient 4 buts principaux :

-Réduire l'exposition aux risques "cyber" et donc améliorer la sécurité

- Développer la capacité de réaction et de reprise d'activité

- Maintenir un niveau de connaissance de la situation de risque ou de crise, de manière partagée

- Augmenter la résilience

Pour l'évolution de l'environnement cyber :

- Augmenter la capacité des individus et des organisations à agir de manière sécurisée dans le cyberespace

- Faire évoluer vers une sécurité accrue les outils et protocoles communs qui fondent justement le cyberespace

- Construire des communautés de collaboration

- Mettre en place des processus transparents.

Le nouvel écosystème proposé devra présenter les caractéristiques suivantes :
- Les risques des NTICs sont compris et maitrisés par les utilisateurs

- Les organisations et les individus appliquent au quotidien les bonnes pratiques et les standards de sécurité et de respect de la vie privée

- Les identités des organisations, individus et réseaux sont clairement établies et authentifiées - Les fonctions de sécurité sont inhérentes au système et inter-opérables

- Des fonction de réponse automatique sont mises en place ainsi que des indicateurs, de machine en machine, afin de répondre aux problématiques de sécurité

Comme on l'évoquait plus haut, les buts de ces domaines d'applications sont soutenus par une série d'objectifs.

Dans la suite de cet article, on présentera surtout les objectifs en relation avec les buts et domaines afin de comprendre essentiellement la structure de cette stratégie.

Différents éléments nouveaux, à mon sens, sont à noter :

La reprise d'une forme de contrôle de l'Internet qui semblait être peu ou prou "abandonnée" par les Etats-Unis. On ne cite ni l'ICANN ni aucun autre organisme classique de normalisation technique ou générique de l'Internet mais la notion de "leadership" dans les organismes de standardisation est claire.

C'est également vrai pour le développement d'un modèle de sécurité inter-opérable qui tend, peut-être, à créer un "bon" et des "mauvais" modèles...La crainte est alors de ne plus disposer d'un environnement si riche, prolifique et créateur en la matière.

La notion "d'authentification de l'identité" est à lier, d'après moi, au document présentant un nouveau modèle de gestion de l'identité par Howard Schmidt. L'équilibre entre la nécessité de confiance dans certaines relations (commerciales, administratives) et celles liées à la protection de la vie privée et d'un certain anonymat n'est pas très clair.

L'évolution des pratiques de partage de l'information a encore récemment fait l'actualité aux Etats-Unis et constitue un vrai enjeu. A cet égard, le retour d'expérience sera sans doute intéressant car, comme il a été évoqué, des fortes contraintes existes et pèseront sans doute sur la bonne volonté des acteurs.

On concluera par l'exposé d'une réelle innovation à mon sens. Trop souvent, l'entreprise est décrié pour sans manque de gestion de la sécurité ainsi que l'utilisateur ("le problème est entre la chaise et le clavier"). Il me parait très intéressant qu'un des objectifs de cette stratégie soit de redonner à l'utilisateur une forme de responsabilité de sa sécurité en accentuant les aspects "pratiques" et "éducatifs" des outils de sécurité fournis. C'est peut-être là que réside la plus grande innovation de ce document.

Source :

http://www.dhs.gov/files/publications/blueprint-for-a-secure-cyber-future.shtm

Exercices informatiques depuis 1997

2011-12-13T23:51:00.000-08:00

A lire dans le "Journal du Net", des extraits du dernier ouvrage de Daniel Ventre. En particulier, on retiendra une liste complète des exercices connus concernant tous les problématiques de crise informatique ou encore celles de lutte informatique.

http://www.journaldunet.com/solutions/securite/cyberattaque-et-cyberdefense/les-exercices-de-cybersecurite-1997-2007.shtml

Publication du "Blueprint for a Secure Cyber Future" - DHS

2011-12-13T07:20:00.001-08:00

Le DHS, Department for Homeland Security vient de publier un document concernant les perspectives de sécurité dans le cyberespace.

En attendant une analyse plus approfondie, certains éléments sont déjà discutés sur Internet.

United Kingdom Cyber Security Strategy 2011 - 2ème partie

2011-12-08T04:23:00.000-08:00

Dans un précédent article, nous débutions l'analyse de cette stratégie établie par le Royaume-Uni. Plusieurs points étaient retenus en guise de conclusion :

=> une analyse de deuxième niveau qui montre semble-t-il une certaine maturité

=> l'analyse et l'actualisation des menaces et risques se réfèrent justement à l'actualité sans tomber dans l'instantanéité

=> les concepts de sécurité évoluent profondément notamment avec la présence renforcée de l'ensemble des acteurs et une référence forte aux usages.

Le 4ème chapitre nous apprend que le livre blanc anglais relatif aux questions de défense et de sécurité (Strategic Defence and Security Review) a également consacré certains développements au cyber et à ses problématiques ainsi qu'un budget d'environ 650 £ répartis sur 4 ans au sein d'un programme dénommé National Cyber Security Programme (NCSP).

Le diagramme présenté ci-dessous et qui définit la répartition des budgets au sein de ce programme illustre d'ailleurs les priorités retenues mais également le large éventail des composantes de la "cyber-défense" : on y trouve la criminalité mais également les questions de sécurité des systèmes d'informations de l'état ainsi que la part réservé aux services de sécurité.

Ce dernier chapitre révèle également une liste de priorités déjà évoquées ci-dessous ainsi que des éléments relatifs à la création d'unités complémentaires : le Global Operations and Security Control Centre, localisé à Corsham, et dont le travail sera notamment d'assurer la sécurité informatique pour les armées avec d'éventuels éléments qualifiés de "proactifs".

Autre point intéressant, la fonction "publique" de la protection des infrastructures vitales est réalisée par le The Centre for the Protection of National Infrastructure auquel sera associé un "cyber security hub" permettant notamment des échanges entre les secteurs public et privé afin de partager des informations essentielles en matière de cyber-défense.

Retenons que les anglais, bien que recrutant des "hackers" ne semblent pas faire étalage de leur capacité offensive sauf à lire entre les lignes. Pour autant, ceux-ci disposeront d'un organisme de formation adossé au GCHQ, la "pointe de diamant" de la lutte informatique. Cet institut disposera d'un budget d'environ 2 millions de £ sur un peu plus de 3 ans.

En matière de lutte contre la cybercriminalité, la référence pudique à l'utilisation des compétences de "cyber-specials" interroge la notion d'emploi des "ex-pirates" reconvertis. Des programmes de sensibilisation des plus jeunes ainsi que de nombreuses autres mesures démontrent l'investissement en matière de formation des utilisateurs. La Convention de Budapest aurait été ratifiée et semble devenir un instrument de choix dans le traitement à l'international de la question.

En matière de refonte du cyberespace, l'ONU est également impliquée car elle accueille un groupe d'experts dédié au sujet qui devra trancher certaines questions. C'est également le cas de l'IUT. Il est intéressant de noter la référence à un partenariat priviligié entre le Royaume-Uni et la France sur ces questions ainsi que des références sibyllines dont la cible demeure inconnue : "Develop new bilateral relationships on cyber with those emerging powers that are active in cyberspace." Les "pouvoirs" ici peuvent autant désigner des "mouvances" comme l'hacktivisme avec qui pourtant, en raison de l'absence de "centre", il parait délicat d'entretenir de réelles relations, que des Etats dont la présence sur Internet peut constituer un "poids" politique considérable dans ces discussions.

Il serait inutile de continuer ainsi sur le dernier chapitre qui reprend toutes les mesures permettant "d'implémenter" les 4 objectifs décrits. Les mesures en questions sont d'ailleurs largement développées et déclinées en actions relativement claires, ce qui renforce la crédibilité et la maturité de cette stratégie. Pour une lecture plus efficace, les annexes proposent une version en tableau des objectifs/Mesures/Actions.

Nous n'irons pas plus loin dans l'analyse de cette stratégie qui présente un certain nombre d'éléments caractéristiques. Notons tout de même qu'il ne s'agit pas vraiment ici de doctrine ou d'une approche "défense et sécurité" classique car celle-ci semble aller bien plus loin en intégrant de nombreuses dimensions qui lui donne un caractère global.

Ces dimensions sont autant spécifiques au cyberespace et aux éléments de sécurité : rappel du rôle de l'utilisation, lutte éclairée contre la cybercriminalité, développement des capacités et compétences...qu'aux approches classiques en relations internationales. En effet, à bien y regarder, tous les acteurs ont été identifiés et trouvent une place dans cette stratégie : on a donc bien une approche très large qui, pour le moment, laisse penser qu'on est en présence d'une des vision les plus aboutie...Reste à voir la réalisation !

Source :

http://www.cabinetoffice.gov.uk/sites/default/files/resources/uk-cyber-security-strategy_0.pdf

Cyber-ExerciceS 2011 : suite et sans doute fin

2011-12-06T00:56:00.000-08:00

L'heure est décidément aux exercices de sécurité et de lutte informatique avec plusieurs acteurs majeurs mettant en place ce type d'action :

- l'US CyberCom a lancé un exercice de grande ampleur de type "Red Flag" baptisé "CyberFlag" sur le site de Nellis Base qui héberge justement les fameux exercices.

Classiquement composé d'un "capture the flag" si l'on peut dire avec une équipe en attaque et une seconde en défense, les résultats demeurent confidentiels.

Lire le commentaire sur le blog Si-Vis.

- D'un autre côté, l'IUT, associé à IMPACT que ce blog a déjà évoqué, ont également lancé un exercice impliquant plusieurs pays dont des états asiatiques, ce qui demeure relativement rare pour le moment dans les exercices de ce type.

3 types d'attaques ont été utilisées : spam, diffusion de malwares et déni de service dans cet exercice impliquant plusieurs pays : Vietnam, Birmanie, Laos et sans doute Malaisie.

On connait le tropisme particulier de l'IUT qui développe sous la présidence de Hamadoun Touré un activisme surprenant pour la prise en compte des éléments de lutte informatique et "cyber attaque" au sein de son organisation.

Source :

http://www.silicon.fr/litu-se-prepare-aux-cyber-attaques-66663.html

Nuntius Belli - Theatrum Belli - Laissez un message !

2011-12-06T00:50:00.000-08:00

Le site Theatrum Belli qui traite des questions de sécurité et de défense a lancé une initiative dédiée aux soldats en opérations, surtout en Afghanistan...

Il ne s'agit pas de politique ou je ne sais quoi mais d'un simple message à envoyer pour les Noël notamment et ceux qui la passent loin de chez eux...

On pourrait me rétorquer qu'il y a plein de causes à défendre, plein de gens malheureux etc etc...Et je suis bien d'accord. Mais c'est mon choix alors pas de débats inutiles s'il vous plait.

=======================================================

Le binôme de NUNTIUS BELLI (Pascal Dupont et Stéphane Gaudin) reste sur la brèche pour Noël 2011.

Lecteurs de TB, prenez 10 minutes de votre temps pour écrire un message de soutien (10-15 lignes) à nos soldats en Afghanistan (directement à partir du formulaire ci-dessous).N'hésitez pas à impliquer vos amis, vos collègues de travail ou d'association, votre comité d'entreprise...Nous comptons sur vous !

Vos messages seront imprimés puis envoyés par colis sur le terrain pour Noël.L'objectif est de pouvoir distribuer un message par soldat (soit près de 4000 messages différents). Un défi réalisable !

Exemple : chaque maire de France pourrait déposer un message (et pourquoi pas des membres des conseils municipaux). Cela serait perçu comme un vibrant témoignage du lien armée-nation. D'autant plus que la Défense était présente au salon des Maires et des Collectivités locales du 22 au 24 novembre.

Vous pouvez également adresser un message audio (MP3) que vous pouvez envoyer à contact@theatrum-belli.com ou bien une lettre, un dessin d'enfant, une carte postale à l'adresse suivante :THEATRUM BELLIc/o Pascal DUPONT23, Rue de Bellevue88110 Raon l’Étape

PS : Nous rappelons que soutenir les troupes françaises ne signifie pas forcément soutenir le choix politique de leur déploiement. Il s'agit d'un geste citoyen et fraternel en dehors de toute considération politique.

Opération NUNTIUS BELLI : Pour leur 10e Noël, envoyer votre message de soutien aux soldats français en Afghanistan

United Kingdom Cyber Security Strategy 2011

2011-12-05T07:49:00.000-08:00

A l'instar de nombreux autres pays et alors que ses services annoncent un recrutement de "hackers", le Royaume-Uni publiait récemment une mise à jour de sa doctrine de cyber-sécurité. La précédente datait de 2009 et est disponible également.

Ce texte est particulièrement intéressant car il s'agit d'une première remise à jour d'une doctrine de sécurité déjà établie. C'est une forme de "seconde génération" de doctrine de sécurité dans le cyberespace.

Cette stratégie est établie jusqu'à 2015, ce qui fait du Royaume-Uni, le premier état à considérer l'amélioration continue (bonne pratique de SSI !) un des moteurs de sa stratégie. A cette fin, elle établit un budget lié, d'environ 650 millions de Livres Sterling, sur la même durée et établit la "menace" et la problématique du cyberespace dans les 3 plus importantes.

Elle définit également 4 objectifs principaux :

=> Renforcer la lutte contre la cyber-criminalité par la création, notamment, d'une National Crime Agency qui travaillera au-delà de la question cybercriminelle mais constituera une entité unique pour toutes les questions criminelles complexes de ce type.

=> Renforcer sa résilience contre les cyber-attaques : on sent plus la prégnance du diplomatico-stratégique ici, c'est à dire d'une adresse aux Etats alliés ou non, agences de renseignements et autres.

=> Participer à l'évolution globale du cyberespace vers un domaine plus et mieux contrôlé offrant des meilleurs garanties de sécurité pour les usagers.

Comme en 2009, la stratégie établit un objectif transverse relatif aux compétences et acquisition technologique et, à mon sens, commet une erreur en mélangeant moyens et objectifs. D'autant qu'elle prononce ensuite une liste de moyens classiques, relativement génériques au demeurant, parmi lesquels :

=> le renforcement du partenariat public-privé

=> l'établissement de relations privilégiées avec les FAI à des fins de sécurité

=> une meilleure coopération internationale

=> un renforcement des capacités de défense autour des entités déjà connues (GCHQ par exemple).

En poursuivant, nous découvrons le premier chapitre consacré aux l'évaluation des modifications économiques induits par le développement de l'usage des NTICS : consommation, éducation mais aussi économies pour les états...

Un second chapitre traite ensuite des menaces évolutives, qui constituent très certainement une des causes de ce renouvellement et de l'évolution de cette stratégie. Considérant sa structure, on peut même plutôt y voir une forme de mise à jour, ce qui serait cohérent avec la description d'une stratégique au sens classique. Celle-ci constitue un ensemble d'objectifs avec un certain délai : il ne serait pas logique de les voir changer chaque année.

En revanche, un ré-examen de la situation de la menace ou, plus généralement, de l'environnement, plus régulièrement permet de procéder à des ajustements et reste tout à fait pertinent vis-à-vis d'une démarche que l'on imagine plus longue et complexe.

Comme attendue, l'analyse de la menace est très intéressante. Elle reprend les problèmes sous-jacents (pas de sécurité dans l'architecture du Net) ainsi que les acteurs classiques et leurs atteintes communes, cybercriminels et cybercriminalité.

En revanche, lorsqu'elle s'attarde sur l'aspect terroriste, c'est bien pour mettre en avant l'aspect logistique et communication offensive. Tout en préservant la question des attaques sur les infrastructures, la stratégie n'en fait pas pour le moment le problème le plus important.

En bonne place figure également la mouvance "hacktiviste" qui a été cette année particulièrement au centre des attentions avec des attaques de perturbation, sur la réputation. Les menaces par les services de renseignement étrangers sont également abordés sans distinction particulière.

Si le document évoque des exemples récents avec la montée des mobiles/malwares et le cas de Sony, elle n'oublie pas des éléments plus délicats à aborder : la préservation des valeurs du pays dans un environnement d'échange ou encore la problématique des normes de demain qui feront, il est vrai, une bonne part des vulnérabilités du futur.

De manière assez étonnante dans ce chapitre se trouve également des éléments sur l'accès à Internet pour le public, en particulier dans le contexte du "printemps arabe", et la nécessité de posséder un corpus partagé de principes, droits et textes juridiques concernant le cyberespace.

Le 3ème chapitre décrit les grands principes de la mise en application des 4 axes de cette stratégie. A l'instar de l'approche allemande, que l'on avait critiquée lors de sa parution, il semble que la vision "risque" soit inhérente à cette stratégique. Malgré tout, il semble que cette stratégie conserve une vision très politique des choses qui dément cette vision "risk approach". Et ce n'est pas plus mal...Voici les principes retenus :

=> une approche fondée sur la coopération avec le secteur privé mais également à l'international

=> un équilibre entre sécurité et droits de l'homme, qui n'est pas forcément nouvelle mais résonne des préoccupations actuelles.

=> une protection axée sur 3 rôles principaux

- utilisateur : sensibilisation, conscience...Cela passe par apprendre à protéger des mots de passe ou encore faire des mises à jour

- entreprise : protection des savoir-faire, production de services et offres de sécurité...

- gouvernement : construire le cadre juridique, éducatif, se préoccuper des menaces de haut-niveau, participer aux évolutions internationales...

Afin de simplifier la lecture, nous arrêterons là l'analyse et proposons une suite dans un second article, voire un troisième. Voici donc un premier élément de conclusion.

Que peut-on retenir des premiers éléments de cette stratégie ?

Tout d'abord, on retiendra qu'elle se situe dans la droite ligne de la précédente et si elle semble en hériter quelques défauts, elle marque par une forme de maturité. Ainsi, l'analyse de la menace est équilibrée tout en restant globale et à jour.

La prise en compte de l'actualité ne dissimule ainsi pas, à la lecture, des tendances plus profondes et des analyses très pertinentes comme la question des valeurs et des droits de l'homme ou encore la place du droit.

Enfin, on notera une considération élevée et intéressante de la sécurité qui replace l'utilisateur au centre de ses usages tout en conservant au hautes-instances des rôles d'expertise et de régulation. Il n'est plus question donc d'un simple effet d'annonce sans un contexte intellectuel construit.

A suivre donc...

Source :

http://webarchive.nationalarchives.gov.uk/+/http://www.cabinetoffice.gov.uk/media/216620/css0906.pdf

Cyber Intelligence Sharing and Protection Act of 2011

2011-12-02T05:35:00.000-08:00

MAJ

Selon un récent article, cette coopération se ferait au travers d'un organisme "tampon" dénommé National Information Sharing Organization (NISO). Il semblerait aussi que des inquiétudes aient été émises par divers parties concernant une augmentation des pouvoirs d'acquisition d'information notamment de la NSA. C'est tout le problème de ce type d'action afin de partager l'information...

======================================================

La publication et la proposition de ce projet de loi aux Etats-Unis devraient interpeller tout ceux intéressés par le partenariat public-privé.

En effet, dans l'environnement incertain du cyberespace, il parait évident à tous que les secteurs publics et privés doivent coopérer afin d'améliorer la sécurité, en particulier en échangeant des informations sur les attaques en cours ou à venir.

Si cela semble incontestable, il n'en demeure pas moins que diverses difficultés existent et en particulier la protection des informations et de certains secrets qui ne doivent pas tomber entre toutes les mains.

Lorsqu'ils sont "confinés" dans les instances spécialisées des gouvernements, ces informations sont sans doute mieux protégées (quoiqu'on puisse en douter avec les démêlés de Wikileaks). Le partage d'information doit donc être encadré et s'inscrire dans un cadre légal cohérent et c'est ce que propose ce fameux projet de loi.

Le système semble même aller plus loin puisque les entreprises seront incités à collaborer de manière anonyme et sur une base volontaire. Les informations recueillies devront être partagées par l'ensemble des acteurs sous peine de créer des distorsions de concurrence. Enfin, le système évoque même la possibilité de "punir" des entreprises qui auraient négligé d'agir afin de se protéger contre les attaques dont elles auraient été averties par ce système.

Il est à noter que ce système constitue une forme de réponse, qui n'est sans doute pas la première, à cette problématique semble-t-il complexe. Toutefois, l'on peut se demander si la complexité n'est pas humaine plus que technique (au sens juridique/procédures) car la notion même de coopération "en-dehors" est absolument étrangère à tous les acteurs :

- en ces temps de rudes concurrences, une entreprise aura tendance à souhaiter la chute de ses concurrents...

- on imagine quand même assez mal les discrets services de sécurité proposer des informations aux entreprises quand ce serait aussi leur révéler des méthodes, des intérêts ou encore des capacités

Bref, c'est un peu une révolution culturelle qui est demandée ici et on se demande si un "simple" projet de loi sera suffisant.

Source : http://www.nextgov.com/nextgov/ng_20111130_2019.php

De "l'art opératif" en matière de cyber-opérations...

2011-11-21T09:38:00.000-08:00

Dans un article précédent, il était fait allusion à un rapport soumis par le Département de la Défense américain au Congrès et précisant certains éléments relatifs aux publications stratégiques émises plus tôt dans l'année par le DoD.

Ce rapport est désormais disponible, et en voici les éléments marquants. Tout d'abord, le document rappelle sa référence, en la matière la fameuse "Department of Defense Strategy for Operating in Cyberspace" qui fait du cyber un espace d'affrontement au même titre que les autres tout en maintenant également la qualité de "démultiplicateur" de force". Ce point n'est pas forcément étonnant si l'on considère les espaces maritimes ou aériens qui, de par la liberté (haute-mer / haute atmosphère) sont autant des espaces de conflits que des espaces favorisant nombre d'actions des Etats.

Là où cependant le document apporte quelque chose, c'est sur le renouveau des concepts et doctrines nécessaires à l'intégration du "cyber" dans les opérations (peut-on parler d'art opératif ou autre ici ???) et à cet égard, le rapport qui nous est fourni ici nous apporte des précisions que nous déplorions dans le document de stratégie.

Ces éléments sont présentés sous la forme de 13 problématiques clés qui seront reprises ici. Notons toutefois que le document place, et c'est important tout action dans le cyber dans le cadre classique des opérations : une autorité, des missions claires et le respect des lois internes, internationales.

1- La posture déclarée de cyberdissuasion dans le cyberespace dans le contexte actuel.

Cette première problématique est à lire avec circonspection : en effet, il y est bien noté que la poste de dissuasion n'est pas si claire et évidente que cela car non seulement les USA sont très vulnérables selon leurs dires mais que les adversaires ont tout avantage à les attaquer tout en étant moins vulnérables eux-mêmes dans le cyberespace...C'est une petite révolution.

Ainsi, il est ré-affirmé que les modalités de réponses sont multiples et qu'elles interviendront dans le cadre de la dite "légitime défense", ce qui nécessite de caractériser l'attaque mais aussi de l'attribuer, ce qui demeure un point crucial dont le rapport fait état. Ainsi, il est noté que si les éléments de dissuasion faisaient défaut, la réponse pourrait être militaire et très…réelle.

Par ailleurs, et pour mémoire, notons une définition formelle de la dissuasion retenue ici :

- empêcher un adversaire d'attaquer une cible
- lui présenter les risques et coûts relatifs à une telle attaque entendus ici comme "représailles".

Précisons aussi que cette forme de dissuasion n'est entendue que dans un cadre légal et global, international qui doit conduire à adopter en commun, avec des alliés, des codes de conduites et autres normes.

Ce paragraphe sur la dissuasion est à prendre comme tel : un changement relativement important dans la considération des possibilités offertes par cette voie.

2- Préserver la capacité d'action du Président en cas de crise d'envergure.

Ce paragraphe constitue presque une forme d'adresse, ce qui tendrait à prouver que ce rapport constitue un avertissement à d'autres pays en précisant les termes des doctrines précédentes, plus théoriques.

Il est ainsi clairement écrit que tout état qui songerait à amoindrir la capacité d'information, décision et action du Président et des éléments décisionnels des USA prendrait un risque conséquent. A cela s'ajoute la possibilité de réponse, cyber ET/OU autres, à ce type d'attaque.

A cet égard, le rôle des entités de sécurité et de renseignement ainsi que celui du Cyber Command sont mis en avant et clairement établis.

3- Comment assurer une effectivité de la cyber-dissuasion

Un paragraphe en lien avec le premier mais qui mérite son propre développement. Le DoD considère bel et bien que la problématique de l’attribution demeure la question cruciale et se propose d’y répondre en 3 points relatifs au forensic, à la centralisation/partage des informations et aux « canaux auxiliaires »…

Il s’agit d’assurer une forme de corrélation des traces à l’échelle du Département de la Défense afin de faciliter le travail de ses éléments « forensiques ». Par ailleurs, des éléments de détection basés sur le comportement doivent être développés ainsi que des moyens de lier localisation physique et virtuelle. Bien que la tâche demeure particulièrement complexe et puisse paraître démentielle, n’oublions pas que, bien souvent, c’est le comportement des cybercriminels qui les fait attraper et que des éléments de lien physique-virtuels existent déjà (ex. les Google cars).

4- Ce paragraphe n’est intéressant qu’à un point mais d’importance : les USA ont la capacité de mener des opérations offensives dans le cyberespace pour se défendre ainsi que des alliés même si la preuve implique de déclassifier des documents sensibles.

5 – Ce point insiste sur la nécessité de maintenir une transparence dans le cadre de telles opérations notamment pour éviter des débordements en cas d’attaques. Ici semble être concerné le cas où un pays peut devenir un intermédiaire involontaire dans le cas d’attaques contre les USA : les réponses doivent être prévues, concertées et surtout il faut être transparent. Cette problématique est à mettre en corrélation avec le point 10 qui caractérise la « bonne attitude » du pays ainsi concerné.

6 – Ce point, encore une fois, se résume à une information de taille : il existerait des règles d’engagement, développées dans le cadre dit classique des opérations militaires mais concernant strictement la défense des réseaux.

7- Ici, il faut avouer que la question est presque stratosphérique : il est en effet annoncé que les Etats-Unis considèrent sérieusement la problématique de la considération de l’intrusion, à des fins de renseignement dans des réseaux étrangers et que cette intrusion soit considérée comme un acte hostile. Comme on le signifiait plus haut, ce rapport résonne comme une adresse aux alliés et adversaires potentiels et ce caractère semble ici à nouveau présent sans que l’on puisse clairement déterminer son destinataire.

8 et 9 sont relatifs aux échanges d’informations et coopérations non seulement avec le Congrès mais également avec les alliés proches et ceux de l’OTAN.

11 / 12 / 13 - Ces points concluent l’exposé des problématiques auxquelles sont confrontées les Etats-Unis en insistant sur les armes mais également sur la définition de l’acte de guerre. On en retiendra 3 points :

- De manière générale, le droit existant, que ce soit en matière d’armes ou de conflits, suffit et doit être appliqué

- - En matière d’acte de guerre, il semble qu’il y ait là un aveu d’impuissance mais également une forme de pragmatisme car le rapport déclare que la qualification d’acte de guerre relèvera en fin de compte de la décision et de la considération par le Commandant en Chef, donc le Président.

- - Bien qu’une cyber-arme soit encore quelque chose de non communément défini, le caractère dual est présent dans tous les esprits : cela ne constitue pas un obstacle à l’application du droit international…

En guise de conclusion, le rapport insiste sur la nécessité de maintenir de fortes capacités d’analyse et de modélisation. Passé relativement inaperçu, ce document est néanmoins particulièrement intéressant à plusieurs titres et apporte des informations relativement nouvelles ne serait-ce que par leur aspect déclaratif.