CIDRIS - Cyberwarfare

Rétrospectives sur les stratégies de cyber-défense !

2012-05-16T07:28:00.002-07:00

L'ENISA nous propose un document intéressant qui fait un état des lieux des documents assimilables à des stratégies relatives à la cyber-défense ou des acceptions proches.

L'institution en profite pour inventer un concept, le "NCSS" pour National Cyber Security Strategy et expose les travaux de ses rédacteurs selon deux axes : les pays européens et non-européens ayant publié une NCSS. A terme, l'ENISA devrait publier un guide de recommandations et de bonnes pratiques afin d'aider les pays à produire ce genre de document et à établir une démarche idoine.

Parmi les pays européens à avoir produit ce type de document : Estonie, Finlande, Slovaquie, République Tchèque, France, Allemagne, Lituanie, Luxembourg, Hollande, Grande-Bretagne. En gras, les pays ayant publié en 2008 et en italique, ceux l'ayant fait en 2011.

Pour les autres pays : Etats-Unis, Canada, Japon,India, Australia, New Zealand and Colombia...Le document n'est cependant pas exhaustif et s'intéresse à l'approche des 3 premiers.

Les travaux de l'ENISA sont à comprendre comme les résultats préliminaires d'un projet plus global visant justement à produire ce guide de bonnes pratiques. Ils apportent cependant une analyse intéressante et transversale des caractéristiques principales des stratégies des pays analysés.

Voici un petit résumé de la manière dont l'ENISA a perçu les composants essentiels des stratégies nationales étudiées :

A noter que les critères choisis par votre serviteur sont notamment :

- Global : pour déterminer une vision globale, une approche générale du cyberespace en dehors des intérêts stricts du pays

- Militaire : lorsque la stratégique évoque défense ou intègre un aspect militaire

- Economie : Intégration de l'approche et des questions économiques

- SSI et Systèmes infos : sécurité des SI et approche "techniques" diverses

- Civil : par opposition à une approche militaire

- Education : si la stratégie détermine le besoin de former

- Echanges : si la stratégie évoque le besoin d'alliances ou d'approches internationales

- CIIP : Critical Information Infrastructure Protection

On peut émettre quelques réflexions à la lecture de ce document. L'approche militaire et/ou "défense" des choses semblent être marginales (ou l'ENISA l'a compris comme telle) et peu de pays, sauf ceux ayant une vocation militaire encore forte et "déterminée" semblent en avoir pris le parti. A contrario, l'aspect "civil" est bien plus présent : les documents se fondent souvent sur une approche de protections des organisations, institutions et populations au travers des systèmes informatiques.

De même, on trouve généralement des aspects "techniques" : la protection de l'information intègre une dimension informatique bien comprise et qui n'est jamais complètement écartée.

Enfin, le concept de CIIP ne semble pas non plus un franc succès même si l'analyse de l'ENISA n'est que partielle et qu'il faut ajouter ma vision biaisée à ceci. Notons que souvent, pour avoir lu d'autres stratégies, on trouve des aspects relevant de cette vision des systèmes d'information mais plus rarement le concept initial.

On conclura par un aspect intéressant : la nécessité des échanges internationaux ne semble pas être une mesure nécessaires pour toutes les stratégies. L'ENISA peut également ne pas l'avoir retenu car on en trouve trace dans le document français sans que l'étude en fasse mention. Pour ces auteurs, peut-être était-il nécessaire de trouver une approche plus volontariste en la matière.

Ce document apporte une vision transversale qui demeure toujours intéressante bien que partielle et sans doute un peu biaisée. C'est toutefois un travail intéressant qui pourrait être fait, sur des critères plus précis.

Source : dans le texte

Réflexions sur le modèle SSL

2012-05-11T05:26:00.000-07:00

SSL, ce fameux protocole de sécurité, fait depuis plusieurs mois régulièrement l'actualité. Malheureusement, c'est plus souvent pour ses failles et les problématiques inhérentes à son modèle de sécurité que pour ses innovations.

Toutefois, il existe des réflexions pour proposer de nouveaux modèles permettant de pallier aux faiblesses de l'actuel. Le système Convergence en est un, que nous avons d'ailleurs déjà évoqué. Google a également proposé un système de son cru, appelé "Certificate Pinning".

Aussi intéressant soient-ils, ces systèmes ne sont pas entièrement satisfaisants car ils donnent trop de pouvoir à une entité ou ne résolvent que partiellement la question de la chaîne de confiance. Car, au final, c'est bien la question centrale qui préoccupe vraiment la communauté, au-delà des failles intrinsèques qui existent mais sont plus rares et paradoxalement, semblent plus facile à corriger.

Un récent entretien avec Taher Elgamal est particulièrement éclairant. Il est le concepteur d'un algorithme de partage de clés au coeur de ces solutions de cryptographie et a participé à la création du protocole SSL. Ainsi, les concepteurs étaient déjà bien conscient des problématiques de confiance et des dérivés du modèle.

Plus encore, le modèle de sécurité initial donnait à l'éditeur du navigateur (Mozilla, Internet explorer, Chrome, Opéra...) la qualité de signataire des certificats et de racine. Cette solution n'a toutefois pas été acceptée en raison des responsabilités prises et celles-ci ont été déléguées aux autorités de certification.

Reconnaissant également que la question principale est bien celle de l'infrastructure publique des clés et des certificats, il plaide cependant pour une approche pragmatique de la question et ne rejette pas les solutions évoquées ci-dessus. Le certificate-pinning de Google lui semble ainsi une approche plus efficace mais celle-ci devrait être gérée au niveau de l'IETF selon lui et non pas un acteur, aussi important soit-il.

Il existe d'ailleurs des projets au sein de l'IETF traitant de ces questions. L'amusante illustration de cet article s'en fait l'écho en se référant au "mantra" de l'IETF. Elle y ajoute le coeur de l'idée du projet visant à améliorer SSL : se servir du DNS.

DANE est ainsi le projet visant à ajouter dans les réponses DNS, dans des champs spécifiques, des composant cryptographiques permettant de transmettre les informations nécessaires à l'initiation d'une transaction SSL/TLS.

De plus, DANE (DNS-Based Authentication of Named Entities) repose sur une fonctionnalité de sécurité très intéressante que possède le DNS depuis l'ajout de l'extension DNSSEC qui permet d'obtenir la validation d'une réponse par une chaîne de confiance.

Autrement dit, il s'agirait de déplacer la validation et la signature d'un certificat des autorités de certification (CA) vers le DNS et ses différents acteurs, ce qui n'est pas forcément loin de l'idée originale des concepteurs SSL.

Il est à noter que l'article évoque une tendance qui est de s'appuyer sur le DNS pour soutenir certains services de sécurité. La signature de la zone racine associée à la mise en place de DNSSEC ont en effet non seulement fourni la preuve qu'il était possible à l'Internet d'évoluer profondément mais aussi d'améliorer la sécurité.

Cette tendance qui concerne diverses solutions dont notamment celles visant à sécuriser le routage (Ex. ROVER) doit pourtant être analysée avec circonspection. Tout d'abord, le DNS peut paraître une seule et même instance mais il n'en est rien. Il existe de nombreux acteurs, publics ou privés et de très nombreuses manières d'aborder la gestion des domaines. En conséquence, cela ne résout pas les problématiques juridiques qui pourrait émerger.

Enfin, le DNS n'a pas forcément été conçu pour absorber autant de services et il faut se demander si l'évolution croissante de son niveau de criticité ne doit pas remettre en cause son environnement de sécurité.

Pourtant, loin de se montrer strictement négatif, il faut reconnaître à ces solutions de vraies qualités. En particulier, l'IETF reste un acteur légitime et une évolution de sécurité prise à son niveau possède de vraies chances de réussir. De plus, l'idée de se servir du DNS présente à la fois un caractère efficace tout en restant global, ce qui semble correspondre aux idées de certains experts.

L'évolution de SSL qui reste au coeur de la navigation sécurisée est donc une problématique de sécurité globale. Associée au DNS, elle devient une vraie question de gouvernance et fournit matière à s'interroger et à continuer de s'intéresser à ces questions.

Source : dans le texte

Changement de statut pour le Cyber Command ?

2012-05-09T02:55:00.002-07:00

Connaissez-vous les Combattant Command des forces armées des Etats-Unis ?

Pour résumer, ce sont des organisations placées quasiment au plus haut niveau de la chaîne de commandement puisqu'ils obéissent aux ordres du Président transmis par le Secrétaire de la Défense. De manière plus pragmatique, on peut les assimiler à des unités d'emploi des forces armées sur des périmètres spécifiques.

En effet, un Unified Combattant Command (UCC) peut ordonner des opérations à des forces appartenant au moins à deux armes des forces armées. Ses responsabilités sont larges, étendues et se définissent justement par cette capacité élargie et continue. Enfin, on peut les distinguer en deux types :

- les UCC à responsabilité régionale. Ce sont des entités gérant l'action des forces armées sur des zones du globe bien particulières.

- les UCC à vocation fonctionnelle qui se distinguent par des occupations spécifiques.

En bref, toute action ou opération militaire menée par les forces armées américaines est, peu ou prou, programmée et ordonnée par ces entités. On comprend donc l'importance qu'ils peuvent revêtir dans l'action des Etats-unis en termes militaires.

Par exemple, l'UCC Special Operations Command est "l'empoyeur" des forces spéciales américaines. Ou encore, le Strategic Command était particulièrement chargé des questions nucléaires....et de l'US Cyber Command.

Le Cyber Command est également un commandement de haut niveau et il dispose depuis, de commandements subornnés placés auprès de chacune des forces armées : Navy, Army ou encore Marine.

Toutefois, considérant l'importance prise par les aspects informationnels dans les stratégies et discours des responsables américains, l'idée a été émise d'en faire un UCC à part entière.

Cette évolution devrait être proposé par l'actuel président du Joint Chieff of Staffs au Secrétaire à la Défense puis au Président américain. Il semble y avoir un consensus sur le sujet bien que l'agenda demeure inconnu, en particulier en période d'élection.

Bien évidemment, cette élection constituerait un signal très fort faisant ainsi du cyberespace un éventuel domaine d'action tout à fait autonome pour les forces armées américaines. Bien que parfois théoriquement assimilé à un autre espace de bataille, il ne semble pas pour le moment que la plupart des forces armées aient directement mis ce concept en application. Cela pourrait changer prochainement.

Toutefois, il n'est pas sans susciter des oppositions, la problématique de la responsabilité effective de cette unité n'ayant pas été complètement réglé : ses limites ne sont pas connues, ce qui laisse subsister un flou. Or, ce flou pourrait être exploité plus largement si l'autonomie décisionnelle du Cyber Command était élargie. Et cela pose de nombreuses questions dans un pays jaloux de ses libertés autant que de sa sécurité.

Source :

http://en.wikipedia.org/wiki/Unified_Combatant_Command

Les caractères accentués possible en .fr

2012-05-03T07:40:00.000-07:00

Une petite révolution dans le nommage Internet en France puisque l'Afnic permet depuis aujourd'hui l'enregistrement de noms de domaines intégrant des "é", "è" et autres "à". Auparavant, la liste était réduite à un alphabet plus simple.

Dénommés "IDN", ces noms de domaines internationalisés sont une évolution obligatoire afin d'intégrer les différentes formes d'écritures, de langages et de caractères existants de par le monde. Bien évidemment, certains se sont montrés précurseurs comme les entités appartenant à des pays utilisant langues chinoises ou encore arabes. En ce qui nous concerne, c'est surtout l'accès aux caractères accentués, mais pour d'autres, il s'agit de disposer d'Internet dans sa langue natale : ce qui n'est pas rien.

Par ailleurs, cela n'est sans profondément changer la vision que nous avons du DNS. Il existe en effet des IDN intégrant des caractères particuliers (n'appartenant pas au standard ASCII) uniquement dans la partie domaine du nom mais pas dans l'extension. (dans exemple.fr, exemple est le nom de domaine quand .fr est l'extension).

D'autres entités, relevant de pays ou non, ont choisi de demander également à ce que les extensions fassent partie de ce processus, créant de ce fait de nouvelles extensions. Ainsi en est-il du .中国 pour la Chine, qui serait un équivalent, dans une langue chinoise, du .cn ou du .fr.

Un problème se pose toutefois : le système en tant que tel n'a pas été modifié, c'est à dire que le DNS continue à ne connaître que des noms dans l'alphabet occidental simplifié ou ASCII. Pour pallier à ce problème, il a été défini une norme transitoire ou intermédiaire permettant de "traduire" un nom internationalisé en un nom unique sous une forme déviée. Par exemple, l'extension chinoise ci-dessus est en réalité envoyée sous la forme suivante : ".xn--fiqs8s".

Cette norme, dénommée "Punycode" et standardisée par l'IETF au sein d'un RFC traitant des IDNA (IDN dans les Applications). Elle s'applique autant au nom de domaine qu'à l'extension. Cela a toutefois une conséquence non négligeable : un nom de domaine enregistré demeure unique. Ainsi, par exemple, les deux extensions chinoises sont-elles différentes puisque le DNS les comprend différemment.

Mais cela peut aller plus loin : un "francois.fr" n,'est pas un "françois.fr". Pire encore, certains caractères peuvent apparaître identiques mais ne pas l'être car ils recevront une "traduction" punycode différente.

Cette problématique oblige donc les gestionnaires des noms de domaine institutionnels à faire évoluer leur dispositif de protection notamment en élargissant leur politique de protection. A cette fin, l'AFNIC permet une meilleure protection des détenteurs de ces droits en leur autorisant une période réservée d'achat.

N'oubliez donc pas de réserver les domaines accentués pouvant être utilisés comme le vôtre....Et pour les autres, ne cliquez pas n'importe où !

Source :

http://www.zdnet.fr/actualites/les-noms-de-domaines-fr-avec-accents-ouvrent-demain-39771336.htm

Le marché IP évolue

2012-05-02T07:04:00.002-07:00

L'adresse IP est décidément un sujet qui monopolise les lignes de ce blogs. Récemment, nous évoquions les difficultés de cette phase de transition tandis que, plus tôt, c'était les prémisses d'un marché de l'adresse IPv4 qui attirait notre attention.

Certaines évolutions de la physionomie de ce marché sont cependant remarquables. En témoigne la récente proposition de l'organisation chargé de la répartition des adresses au niveau européen (RIPE-NCC). Rappelons que cette gestion des adresses bénéficie d'un niveau centralisé au niveau de l'ICANN (ASO/NRO) mais aussi d'acteurs "locaux", des RIR, directement impliqués dans la redistribution et exerçant cette compétence à l'échelle d'un continent.

Une des problématiques identifiées est que les RIR ne sont pas tous nés en même temps. Ainsi, la dotation en adresses est-elle faible pour les derniers venus et très forte dans d'autres. Une des propositions seraient alors de permettre de réserver certaines adresses, relevant d'un RIR, même en appartenant à la zone géographique d'un autre RIR. Ainsi, pense-t-on, il deviendrait possible de rétablir un certain équilibre dans l'attribution de cette ressource (j'ai du mal à la voir autrement puisqu'elle est garante de la connectivité).

4 conditions sont prévues pour cela : les adresses "transférées" d'une zone de responsabilité à une autre le seront pour des besoins de "business" et ne seront pas vendues avant 15 mois. De plus, ces adresses auront pour objectif de couvrir des besoins opérationnels de connexion, actuels et futurs. Devant respecter les directives européennes antispam, les acheteurs d'une région différente du RIR d'origine se verront cependant appliquer les politiques de celui-ci.

Ce système ne semble pas convenir à tous les analystes en raison, selon eux, d'une incitation pour les exportateurs à restreindre les importations à et jouer sur la hausse des prix. Ils réclament au contraire une politique globale de l'échange qui ne privilégie pas le RIR d'origine des adresses en lui permettant de faire appliquer sa politique à une autre zone de responsabilité. D'autant que les adresses en surplus sont essentiellement "localisées" dans une unique zone de responsabilité (amérique du nord). C'est donc également octroyer des capacités de régulation renforcées au RIR de cette zone (ARIN).

Le marché de l'adresse IP, qui semble parfois une hérésie, se complique de jours en jour. Associé à cette très délicate phase de transition, fournir un système de marché pour fluidifier les échanges est une manière étrange de résoudre les problématiques de connectivité mondiale. Toutefois, considérant les difficultés d'entrée à l'IPv4, l'attrait de l'IPv6 se trouve quant à lui renforcé.

Source :

http://www.internetgovernance.org/2012/04/06/the-coming-trade-war-in-ip-address-blocks

Café Stratégique 16 - Traques sur le Net avec Eric Freyssinet

2012-05-02T02:31:00.000-07:00

IPv4/v6 : une difficile transition !

2012-04-25T05:09:00.001-07:00

Régulièrement, ce blog évoque les aspects de gouvernance de l'Internet et en particulier la difficile transition de l'IPv4 à la version 6.

Parmi les effets évoqués, celle de la création d'un marché de l'adresse IP qui, en officialisant ainsi une pratique, contribue à éviter l'émergence d'un marché noir de l'adresse mais monétise encore une ressource déjà rare et qui devient plus cher. Autrement dit, cela constitue des coûts supplémentaires et donc une barrière financière à l'accès pour les populations les moins aisées et desservies.

Cette période de transition semble ainsi marquée par ce type de pratique : offrir une solution nécessaire mais désagréable afin d'éviter un mal plus grand. C'est en substance le coeur des conflits qui ont opposé les participants de l'IETF à propos de cette phase délicate de transition.

Revenons sur ce conflit qui illustre bien les difficultés rencontrées à la fois par les opérateurs mais aussi par le système de gouvernance. Les organismes de standardisation ont décidé de réserver une portion de l'adressage public à un usage très controversé, portion débutant par 100.64.0.0 et jusqu'à 100.127.255.255.

Pour les moins techniques, rappelons que les adresses IP sont composées de 4 blocs que l'on représente séparés par des points. Par ex. : 1. 2 . 3. 4. Chaque bloc peut prendre toutes les valeurs entre 0 et 255. Autrement dit, la "première" adresse pourrait être 0.0.0.0 tandis que la dernière pourrait être : 255.255.255.255.

Cependant, ces blocs ont été découpés pour les attribuer plus facilement aux opérateurs. On a cependant pris soins de réserver certains blocs ou même certaines adresses. Par exemple, l'adresse 127.0.0.1 représentera toujours une adresse permettant à un ordinateur de se connecter...à lui-même. On l'appelle l'adresse de rebouclage ou loopback.

D'autres adresses comme celles commençant par 192.168 ou 172.16 ou encore 10.0 ont été réservées à la construction de réseaux dits privés, non-nécessairement connectés à Internet ou injoignable directement sur le net. Ce sont ces adresses qui sont utilisées dans vos réseaux domestiques et qui vous permettent d'avoir votre réseau privé à travers votre box.

Revenons à nos IP : pourquoi diable diminuer encore la quantité d'adresse disponible en la réservant à un usage privé ?

J'évoquais ci-dessus les fameuses boites internet disponibles à domicile. Celle-ci dispose d'une adresse publique vers Internet et plusieurs adresses des réseaux privées (cf. ci-dessus) pour vos ordinateurs, tablettes et autres smartphones. Ainsi, jusque-ici, chaque domicile avait une adresse publique et plusieurs adresses privées. Le dispositif de passage de l'un à l'autre est appelé NAT - Network Adress Translation - dont la signification est claire : on "traduit" d'une adresse à une autre, d'un réseau à un autre.

Toutefois, avec la raréfaction des adresses IPv4, il ne devient plus possible d'attribuer une adresse publique à chaque domicile, notamment en Asie, et il devient donc nécessaire de retranscrire ce système de "boite" disposant d'un accès à l'Internet public et des multiples adresses en privé...Ce système de NAT à l'échelle d'un opérateur entier (imaginez l'ensemble des abonnés Free) est appelé CGN pour Carrier Grade Nat.

Cependant, si l'adressage entre vous et votre box se fait sans problème dans les réseaux évoqués plus haut, le nouvel espace de réseau privé entre votre box et le CGN ne disposait pas d'un réseau spécifique. C'est désormais corrigé.

Toutefois, ce faisant, on entérine un concept, le CGN, qui est en fait une "rustine" puisqu'elle ne devait servir à qu'aider à la phase de transition. De plus, ces dispositifs ne conviennent pas du tout à de nombreuses applications sur Internet et notamment certains jeux, le protocole de téléphonie sur IP, le peer-to-peer...

Eh oui, si tous les abonnés de Free n'ont plus qu'une adresse publique appartenant au CGN, comment jouer entre eux en ligne si le jeu utilise l'adresse publique ?

Au final, cet exemple banal révèle toute la difficulté de la phase de transition mais également les problématiques de gouvernance. Celles-ci ont non seulement conduit à une distribution peu adaptée des adresses IP : l'Asie manque d'adresses alors que les premiers arrivés sur Internet en ont parfois trop. Mais elles obligent également à des solutions transitoires inquiétantes en raison de forts retards dans l'évolution vers IPv6.

Source :

http://www.bortzmeyer.org/6598.html

War Games Chine/USA

2012-04-24T08:51:00.000-07:00

Une information intéressante dont je dois la primeur à un fin observateur des relations cyber-internationales. Celle-ci fait en effet état de la tenue de plusieurs war games entre la Chine et les Etats-Unis l'année dernière.

Les relations entre les deux pays ne sont pas, au sujet des aspects informatiques, au beau fixe. La Chine est régulièrement accusée par les Etats-Unis de mener des attaques ayant vocation à dérober de l'information au sein des systèmes américaines. Niant les faits, elle affirme lutter ardemment contre le piratage et se pose en victime principale de la cybercriminalité mondiale.

Pour des raisons évidentes, ces "jeux" se sont déroulées dans l'atmosphère feutrée des joutes diplomatiques. Des intermédiaires ont d'ailleurs participé à l'organisation : deux think-tank, le fameux CSIS américain et le China Institute of Contemporary International Relations.

Impliquant les ministères de la défense et de la sécurité intérieure, du côté américain, l'initiative Track 1.5 a permis des rencontres entre officiels et acteurs de la sécurité dans un environnement très particulier et au final, assez peu officiel. On en sait assez peu côté chinois.

Le besoin de ces "pourparlers" non officiels a été ressenti par l'ensemble des acteurs et semble être considéré, de part et d'autre comme un moyen d'alléger les tensions...Les USA reprochant ainsi des vols de secrets et de propriété intellectuelle constituant des montants importants et les chinois étant très méfiants devant les velléités et les initiatives militaires américaines.

Nous conclurons avec le sujet des "jeux" en question : le premier consistait pour les participants à décrire les réactions en cas d'attaques (détectées) par un système malveillant de type Stuxnet. Le second, quant à lui, était à peu près identique sauf pour un aspect majeur : chaque acteur devait expliquer ses réactions dans le cas d'une telle attaque en étant sur que l'attaquant était justement l'autre.

No comment...

Source :

http://www.guardian.co.uk/technology/2012/apr/16/us-china-cyber-war-games

Organiser sa LID - Seconde partie

2012-04-23T06:45:00.005-07:00

Dans un précédent article, nous évoquions un RFC décrivant des procédures et des formats standardisés de message permettant aux organisation d'automatiser leurs échanges et d'améliorer réaction et coopération en cas d'attaques informatiques. Il s'agit de RID pour Real-time Inter-network Defense.

Le RFC 6045 formalisait ainsi des requêtes entre acteurs et opérateurs du monde de l'informatique et des réseaux permettant de mettre en place des mécanismes de défense plus efficaces. Dans cet article, nous évoquions également la spécificité des RFC et l'apport éventuel de ce type d'approche.

Le RFC 6545, objet de cet article, a comme l'auteur la même personne, toujours salariée de la société EMC. Mme Kathleen M. Moriarty est ainsi l'auteur de ces deux documents.

Selon l'auteur de l'analyse dont je m'inspire, ce document est au final une mise à jour du premier. Il est toutefois intéressant car il prend le "chemin des normes", un processus normatif donc amenant justement ce RFC à acquérir une réelle portée normative.

Ce document appelle quelques réflexions, notamment deux que voici :

- La structure des messages est très intéressante car elle est également révélatrice des problématiques des attaques informatiques modernes. La complexité de celle-ci et la difficulté à les exposer sont évoqués dans ce document. Cela implique des formats de message à la fois efficace mais pas forcément court, bien au contraire. Le document fournit d'ailleurs quelques exemples que l'on peut examiner.

On constate à la lecture que ces messages ne sont pas aisément déchiffrable par une lecture standard. Ils supposent des outils interprétant ces données pour leur donner toute leur portée. C'est un peu la force du système que de trouver un équilibre entre l'automatisation des tâches et la nécessaire analyse humaine que le système ne pourra fournir. On peut également considérer que ce document propose d'automatiser les tâches qui peuvent l'être afin de fournir plus de temps de réflexion et d'action efficace aux salariés impliqués dans la sécurité.

- L'envoi des messages est également un sujet intéressant. Dans le cadre d'une attaque détectée, il n'existe plus vraiment de confiance possible dans son réseau et ses systèmes. Il faut donc songer à disposer de moyens de communications avec les entités que l'on veut contacter qui soient fiables. Il faut assurer la confidentialité car les messages sont autant d'indices pour un attaquant sur sa détection, la fiabilité car ce dernier peut empêcher les messages RID et enfin, s'assurer de l'identité des auteurs et expéditeurs.

Tout cela appelle donc à une réflexion importante en matière de sécurité des systèmes d'informations et en particulier sur les procédures à suivre dans ce genre de cas. On doit songer aussi à tester l'efficacité de ces mesures qui ne doivent pas être découvertes lors de la crise. Enfin, le système RID s'insère dans un dispositif déjà existant : cela suppose donc une organisation mature voire d'une certaine taille et il dépend beaucoup de l'adoption par les autres entités. Au final, RID appelle donc à la création d'un éco-système de la sécurité, par une voie relativement technique, ce qui est effectivement un vrai défi.

Source : dans le texte

L'activisme d'Howard Schmidt

2012-04-13T01:01:00.004-07:00

Howard Schmidt est le coordinateur en matière de cybersécurité auprès du Président OBAMA. Sa tâche est ardue et sa nomination a été longtemps attendue. On mesure cependant mal les effets de ses activités au quotidien, ce qui peut s'expliquer par son rôle de coordination : les réalisations effectives sont à mettre au crédit d'autres entités. Il est possible de songer également à la multitude d'organisations publiques qui ont pour tâcher d'assurer une partie de la sécurité : sa tâche est réellement ardue.

Toutefois, deux articles récents ont attiré notre attention sur l'avancement important de plusieurs initiatives complexes qui sont, à mon sens, des succès : le lancement d'une réflexion sur la lutte contre les botnets et l'évolution du modèle de sécurité, sur son aspect "cyber", pour les industries de l'énergie.

Ainsi se sont réunis, dans le cadre d'un partenariat public-privé initié par M. Schmidt et son équipe, des représentants des entités qu'il serait souhaitable de voir associer à cette démarche. Il semblerait que ce soit la division "Secteur Public" de l'éditeur McAffee qui accueille et fédère ces participants. Parmi ceux-ci, se trouvaient : FAI, Vendeurs sur Internet, Fournisseurs de services sur Internet (moteur de recherche), avocats, activistes, associations de commerçants...

Parmi les objectifs que s'est fixé le groupe de travail se trouvent l'établissement d'une stratégie de lutte contre les botnets et un "arsenal" de mesures communes. Alors qu'aujourd'hui, la lutte contre ce type d'infrastructure malveillante se développe, il a été possible d'observer des actions lancées par des partenaires privées. Ce type d'action que nous analysions dans un article parait un dangereux précédent qu'il faut encadrer.

A cela doit évidemment s'ajouter une nécessaire dimension globale : on se rappellera que l'arrêt de certains distributeurs de spam n'avait causé des effets que relatifs sur la quantité produite. Quelques semaines après, le niveau d'émission revenait à son taux normal.

La seconde action médiatique de M. Schmidt est à chercher du côté des énergéticiens. S'il est une peur aux Etats-Unis, c'est bien les attaques informatiques sur les réseaux de distribution d'énergie dits "intelligent", les fameuses Smart Grid. Début janvier, nous évoquions justement le fameux modèle de maturité de sécurité de ce secteur.

Il semblerait que les travaux évoluent de manière rapide puisqu'une phase de test, basé sur le volontariat devrait être lancée et pilotée par le DHS devrait être lancée sous peu. Les procédures de recueil d'informations ont déjà été finalisées et on ne saurait oublier de rappeler ici l'évolution des procédures de partenariat public-privé que connaisse les Etats-Unis, notamment au travers du Cybersecurity Act of 2012.

La prolifération des activités, essais, mesures et réglementations que l'on constate aux Etats-Unis peut paraître étonnante. Alors que la mesure exact de leur niveaux de capacités et de compétences en matière de lutte informatique demeure très délicate, le pays a déjà prouvé qu'il était capable de très importants efforts lorsqu'un objectif était clairement établi, surtout si l'objectif est associé à la défense contre une menace. Plus que jamais, ces efforts doivent être suivis et compris si l'on veut percevoir l'évolution du domaine de la "cyber-sécurité".

Source : dans le texte

Café Stratégique 15 - Jeux d'Influences en Somalie

2012-04-09T23:51:00.001-07:00

La Russie se dote d'une stratégie pour le cyberespace !

2012-04-06T00:40:00.002-07:00

Un article de ma plume à lire sur l'Alliance Géostratégique :

http://alliancegeostrategique.org/2012/04/06/la-russie-se-dote-d%E2%80%99outils-pour-la-lutte-dans-le-cyberespace/

Centre européen de lutte contre la cybercriminalité

2012-03-29T00:51:00.005-07:00

L'Europe s'étoffe en matière de sécurité des systèmes d'informations et en particulier renforce ses capacités de lutte contre la cybercriminalité. La Commission Européenne vient en effet d'annoncer la création d'un tel centre qui devrait être actif en 2013.

Les institutions européennes font actuellement preuve d'un bel activisme en matière d'actions dans la sphère "cyber". Rappelons la publication par le Conseil de l'Europe d'une stratégie relative à la gouvernance Internet. Les lecteurs de ce blog se souviendront peut-être aussi de la mise en place d'une agence de gestion opérationnelle des systèmes d'informations au sein de l'Union Européenne.

Ce nouveau centre devrait être installé dans les locaux et intimement lié à l'agence Europol, ce qui témoigne d'une subtile intelligence d'organisation. Doté d'un budget conséquent, 388 millions de dollars par an, il pourrait ne pas être qu'un voeu pieu dans un domaine (la sécurité) où l'Europe n'est pas forcément toujours attendue.

En témoigne l'ENISA dont la place semble se marginaliser et dont on peut se demander quel sera le rôle plus tard. Souvent évoqué, sa localisation géographique, loin des centres de décision, pourrait rappeler que la politique et les centres de décisions sont plus une affaire de réseaux et d'humain qu'une question d'informatique, n'en déplaise aux technophiles.

On espère cependant qu'il leur sera donné des objectifs à la mesure des capacités et surtout des besoins car il semble demeurer un nombre conséquent de champs non couverts par ces organisations et leurs attributions.

Source :

http://www.zdnet.fr/actualites/un-centre-europeen-de-lutte-contre-la-cybercriminalite-operationnel-en-janvier-2013-39770141.htm

Centre européen de lutte contre la cybercriminalité

2012-03-29T00:51:00.004-07:00

Source :

http://www.zdnet.fr/actualites/un-centre-europeen-de-lutte-contre-la-cybercriminalite-operationnel-en-janvier-2013-39770141.htm

Les 3 priorités d'Howard Schmidt pour 2012 !

2012-03-27T05:04:00.003-07:00

Howard Schmidt, est un acteur connu désormais pour être le conseiller et le coordinateur en matière de cybersécurité du Président des Etats-Unis. Il livrait récemment ses priorités en matière de sécurité des systèmes d'informations pour les systèmes fédéraux.

Ces priorités peuvent être résumées en 3 axes :

=> Disposer de connexions internet "de confiance" présentant d'importantes fonctionnalités de sécurité et des moyens d'en mesurer l'efficacité

=> Monitoring des Systèmes d'Informations Fédéraux : derrière ce méchant américanisme peut-être compris une surveillance accrue de ces systèmes. Plus intéressant, M. Schmidt évoque le passage d'une sécurité statique à une sécurité dynamique, asssociant l'analyse des risques à des procèdures et outils permettant de diminuer le niveau de risque ou d'exposition de manière réactive.

Serait-ce que M. Schmidt lirait l'Alliance Géostratégique ?

=> Améliorer les outils et usages en matière d'authentification afin de disposer de réelles capacités d'authentification forte.

Si le choix de ces priorités relève évidemment d'un fort niveau d'abstraction, on est étonné par certaines références comme le fait de disposer d'un Internet sécurisé. Il semble demeurer l'illusion selon laquelle un système conçu dans des buts tout à faits différents pourrait remplir les besoin liés à une administration incroyablement inter-connectée.

Source :

http://www.whitehouse.gov/blog/2012/03/23/federal-departments-and-agencies-focus-cybersecurity-activity-three-administration-p

Exercice Locked Shields 2012 - OTAN

2012-03-26T01:56:00.002-07:00

L'OTAN, par l'intermédiaire du CCD COE, organise un exercice de lutte informatique qu'il faut ici signaler par son aspect multilatéral.

Il faut également remercier M. Ventre à qui nous devons cette information. Cet exercice opposera donc une équipe rouge (Red Team) constitué de participants estoniens et finlandais. A l'opposé, les Blue Teams seront relativement nombreuses.

On compte ainsi une équipe Suisse, Allemande, Espagnole, Finlandaise, Italienne et des équipes combinées : Austro-allemande, Danoise & Norvégienne et une équipe de l'OTAN.

Selon les communiqués, le scénario semble devoir faire appel à un ensemble de compétences et de capacités des équipes, des aspects purement techniques à l'approche communication de crise.

Source :

http://news.err.ee/sci-tech/1b722b80-f711-49d3-aacd-c045c6135533

http://www.ccdcoe.org/334.html

Routage et Sécurité : ROVER !

2012-03-23T01:21:00.005-07:00

L'excellent blog de S. Bortzmeyer nous fournit une information intéressante. Il semblerait que les solutions concourant à sécuriser le routage sur Internet et en particulier le protocole BGP se multiplient.

Dans une série d'article précédent, j'évoquais le développement d'une solution dont les prémisses sont déjà publiés. En effet, un important travail a été fourni permettant de formaliser une partie de la solution RPKI : elle concerne essentiellement pour le moment la validation de la légitimité de l'émetteur d'une information de routage. En simplifiant, elle permet d'avoir une assurance sur le fait qu'un opérateur annonçant détenir un ensemble d'adresses ait le droit de le faire.

Une seconde partie de la solution, très certainement plus complexe encore, consisterait à valider chaque étape. Si la première partie du protocole permet de s'assurer que l'annonceur est légitime et qu'il détient bien les adresses en question, la seconde partie doit répondre à une question plus complexe.

En effet, il faut s'assurer que les autres annonces sont légitimes et que le chemin parcouru par un paquet vers sa destination correspond bien aux accords ou aux souhaits du détenteur et des réseaux : éviter, par exemple, qu'un intermédiaire malveillant ne s'y glisse.

Cependant, cet ensemble de solution n'est pas unique et d'autres sont évoquées comme "ROVER". L'idée, assez plaisante, est d'utiliser les résolutions DNS inverses pour indiquer également le ou les AS d'origine autorisé.

Une résolution DNS donne une adresse IP lorsqu'on lui envoie un nom de domaine. Il existe pourtant une branche spécifique du DNS permettant de retrouver le nom de domaine associé à l'IP. Cette zone particulière est également attribuée aux détenteurs des IP, uniquement pour les IP les concernant.

Si vous cherchez www.cidris.fr, le DNS donnera : 183.249.191.88....En faisant une requête DNS inverse, on établit en fait une requête sur : 183.249.191.88.in-addr.arpa qui, comme vous le remarquerez, représente une adresse de type "nom de domaine" associant l'IP à un domaine très spécifique "in-addr.arpa". La réponse fournie est alors le nom de domaine associé à l'IP, par l'intermédiaire de cette formule spécifique.

En bref :

DNS : www.cidris => ? => 183.249.191.88

DNS-Inverse : 183.249.191.88 => ? => 183.249.191.88.in-addr.arpa => ? => www.cidris.fr (c'est pas tout à fait vrai avec des redirections mais c'est l'idée)

Comme vous le savez peut-être, une réponse DNS (ou inverse) possède de nombreux possibilités de vous informer. On parle parfois d'enregistrements : le premier d'entre est évidemment une adresse IP mais l'on peut également connaitre les serveurs mails ou autres.

Certains de ses enregistrements sont comme des formulaires vides et peuvent donc être utilisés pour donner les informations qui sont le coeur du projet : un AS légitime.

ROVER est une alternative à la complexité de RPKI qui ne satisfait pas tous les acteurs de la normalisation des réseaux. Notons qu'à terme, il est probable qu'une solution s'impose même si cela pourrait demander beaucoup d'efforts et de temps : la veille "routage" a encore de beaux jours devant elle !

Source : dans le texte

Cyber Conflict Competing National Perspectives - Daniel Ventre

2012-03-23T01:15:00.002-07:00

N'hésitez pas à découvrir le dernier ouvrage, en anglais, de M. Daniel Ventre !

Il s'agit ici d'un ouvrage collectif, une forme de publication déjà plébiscitée par cet auteur prolixe en matière d'études relatives à la conflictualité dans le cyberespace et à ses aspects militaire.

Stratégie pour la Gouvernance de l'Internet - Conseil de l'Europe

2012-03-22T09:04:00.001-07:00

Le 15 Mars 2012, le Conseil de l'Europe a publié une stratégie relative à la Gouvernance de l'Internet. Ce document fait date car il établit une prise de position politique ferme de l'entité et témoigne d'un intérêt réel pour la matière.

Cet intérêt est bien évidemment dans l'air du temps, que ce soit en raison des problématiques de criminalité, militaires ou encore stratégiques. Reste à déterminer si la manière dont l'entité s'empare du sujet correspond à une de ces logiques spécifiques.

Une bonne synthèse disponible en ligne permet effectivement de résumer ce document en quelques points. Tout d'abord, il est construit autour deux aspects principaux : la protection des droits et libertés des personnes et la lutte contre la cybercriminalité.

Aspect également remarquable, le Conseil de l'Europe ne se positionne pas ouvertement pour une révolution du système de gouvernance et donne au contraire une certaine légitimité à l'ICANN avec qui il entend maintenir des relations étroites.

Plongeons nous un peu plus dans le texte ! Quelques éléments sont ainsi passionnants.

Par exemple, le Conseil formule un certain éloge de la Convention de Budapest qu'il définit comme une référence à respecter et à partager entre états et entités afin de garantir une plus grande efficacité dans la lutte contre la cybercriminalité.

D'autres références sont intéressantes comme celles sur les données personnelles qui est au coeur d'un intense lobbying mais également du modèle de gratuité qui nous est proposée par des services comme Google.

On trouve également un engagement fort en faveur de la neutralité du réseau, sujet également très sensible. Décelable dés le début lorsque le texte parle d'un Internet "universel, ouvert et novateur", on le trouve ensuite clairement formulé à la ligne d'action 8 sur les 40 que compte la stratégie.

A cet égard, on peut interpréter le choix du Conseil de l'Europe : la neutralité du réseau serait un concept dérivé des droits de l'homme auquel il faudrait donner un contenu plus clair et surtout partagé afin d'en assurer le respect par l'ensemble des acteurs.

Proposant donc 40 lignes d'actions jusqu'en 2015, la tonalité de ce document est hautement politique et humaniste. La promotion de l'innovation et du développement ainsi que la protection des enfants et adolescents sont également un axe clé de cette stratégie.

Ainsi, la ligne d'action 8-c fonde, une fois encore sur les droits de l'homme, le principe d'une action normative inter-gouvernementale ayant pour objectif de définir les principes et mécanismes propres à éviter toute coupure ou dysfonctionnement de l'Internet. Une vision cynique pourrait voir en cela des modalités de préservation du net dans les "révolutions" comme celle du "printemps arabe" mais aussi une forme accrue de participation des gouvernements dans les décisions liées à la résilience du net, pour le moment cantonnées aux seuls pouvoirs des USA.

Pour autant, le document, notamment au point 12, se donne une vision claire des problématiques de criminalité sur Internet en insistant sur les liens avec le financement des activités criminelles ou terroristes diverses. A cet égard, la stratégie propose de manière assez remarquable des liens avec différents textes pré-existant comme la Convention sur la prévention du Terrorisme ainsi que l'établissement des relations, dans ce cadre spécifique, avec des institutions comme l'OSCE.

Enfin, de manière remarquable, le Conseil de l'Europe construit une forme de réseau des entités de gouvernance susceptible d'avoir une action politique dans les sujets qui sont au coeur de cette stratégique : Droits de l'homme et Protection, Lutte contre la criminalité et Développement économique et culturel.

Ne reniant pas, pour d'évidentes raisons diplomatiques, une approche très pragmatique, cette stratégie place le Conseil de l'Europe comme un acteur pré-éminent des entités de la gouvernance. Ainsi, la liste des entités identifiées comme partenaires pour la conduite de la stratégie et de la gouvernance comporte :

- l’Union européenne ; l’Organisation pour la sécurité et la coopération en Europe (OSCE) ; l’Organisation de coopération et de développement économiques (OCDE)

- les Nations Unies, et en particulier l’Organisation des Nations Unies pour l’éducation, la science et la culture (UNESCO), l’Alliance des civilisations, le Département des affaires économiques et sociales de l’ONU (UNDAES), l’Office des Nations Unies contre la drogue et le crime et l’Union internationale des télécommunications (UIT)

- les organisations, réseaux et initiatives oeuvrant contre la cybercriminalité et pour la cybersécurité comme Europol, Interpol, la Virtual Global Task Force, le Commonwealth, etc.

- la Banque mondiale

- les réseaux de gouvernance de l’Internet, et en particulier les groupes impliqués dans le Dialogue européen sur la gouvernance de l’Internet (EuroDIG), le Forum sur la gouvernance de l’Internet (FGI), les initiatives nationales du FGI et la Société pour l’attribution des noms de domaine et des numéros sur Internet (ICANN)

- les acteurs du secteur privé (notamment les fournisseurs de services et de technologies Internet)

- les réseaux professionnels, y compris les organes du secteur privé comme l’Association européenne des fournisseurs d'accès à l'Internet, la Chambre de commerce internationale et Business for Social Responsibility ;- les réseaux de la société civile ;

En gras, vous sont indiqués certaines des entités les plus connues mais parfois également les plus contestées.

Ce faisant, le Conseil de l'Europe dresse un panorama des acteurs pertinents de la Gouvernance et les reconnaissant, leur donne une certaine forme de légitimité. Si ce paysage semble intéressant, on pourrait craindre une dispersion des efforts auprès d'acteurs aux pouvoirs décisionnaires limités ou aux agendas contestables. Il demeure néanmoins particulièrement intéressant que le Conseil de l'Europe se penche enfin sur cette question essentielle.

Source :

http://www.silicon.fr/le-conseil-de-leurope-adopte-une-strategie-sur-la-gouvernance-dinternet-72890.html

https://wcd.coe.int/ViewDoc.jsp?Ref=CM(2011)175&Language=lanFrench&Ver=final&Site=COE&BackColorInternet=C3C3C3&BackColorIntranet=EDB021&BackColorLogged=F5D383

DARPA à l'honneur !

2012-03-20T01:28:00.006-07:00

Relativement discrète à l'origine, la DARPA ou Defense Advanced Research Project Agency est une entité de recherche relevant du Department of Défense américain, autrement dit le Ministère de la Défense.

Elle est désormais relativement bien connue du grand public, et dispose même d'un site Internet, pour plusieurs raisons : sa responsabilité dans le processus de genèse de ce qui est aujourd'hui notre Internet, le fait qu'elle soit une entité de pointe dans la recherche et la création de technologies pour les forces armées et enfin, sa capacité et légitimité à penser à des choses que l'on jugerait parfois un peu folles...Mais après tout, comment imaginer un réseau "unique" connectant le globe !

Ces derniers jours ont été l'occasion de parler à nouveau de cette entité, bien évidemment dans le cadre des éléments qui nous intéressent, au travers de deux projets intéressants.

Le premier provient d'un retour d'expérience des opérations militaires menées en Libye : il semblerait qu'à l'origine, des militaires américains aient envisagés de bloquer les systèmes de défense aériens libyens avant le déclenchement des opérations aériennes de l'OTAN. Toutefois, les outils alors en leur possession ne leur aurait pas permis d'agir et de réagir à la vitesse souhaitée : il est évoqué une durée d'un an pour développer un produit susceptible de produire les effets attendus.

Cela n'étonne pas forcément si l'on se rappelle un peu des particularités de Stuxnet : l'adaptation au contexte. La vision de la lutte informatique offensive parait parfois un peu bousculée par les habitudes induites par les intrusions constatées sur Internet notamment au travers d'outils spécialisés et popularisés par certains "script-kiddies". Pour autant, on pourra se rappeler que l'adaptation à une technologie spécifique et un contexte particulier (hors-réseau par exemple) n'est absolument pas évident et demande de très bien connaître la cible pour en déduire ses vulnérabilités et définir des mesures offensives efficaces.

C'est pourquoi il a été décidé, notamment par le sous-secrétaire d'Etat à la Défense, William J. Lynn III ainsi que par un représentant du Joint Chief of Staff d'affecter un budget de 500 millions de dollars à la DARPA.

Parmi les objectifs fixés et en cohérence avec l'analyse très personnelle développée ci-dessus, on retrouve la nécessité de :

- disposer d'outils permettant d'agit de manière conjointe avec les outils des forces armées notamment en termes de temps et d'échelle..

- disposer de programmes de type "fast track" permettant de développer rapidement des outils ayant des effets militaires perceptibles dans une perspective de temps compatibles avec les opérations. La notion de "fast track" étant parfois un peu antinomique avec celle de recherche..

- disposer de moyens pouvant "franchir" les absences de connexion : tous les systèmes de commandement et autres réseaux militaires n'étant pas automatiquement reliés à Internet, bien au contraire (comme le signale l'article).

Ces quelques éléments semblent parfois étonnants car on se demande en effet comment considérer la possibilité d'avoir des actions offensives dans le cyber sans se préoccuper des systèmes militaires que l'on cible et du fait que certains sont potentiellement anciens et pas forcément atteignables par Internet.

Peut-être que le passage au "public" de ces informations démontrent alors un certain niveau de maturité ? Ou que cette décision doit être lié à une perspective de dissuasion globale telle que nous l'évoquons parfois dans ce blog ou avec l'Alliance géostratégique ?

Quoi qu'il en soit, ces informations démontrent une évolution pratique et semble-t-il plus rigoureuse des perspectives d'offensives informatiques que les USA semblent vouloir intégrer dans l'ensemble des moyens militaires disponibles - l'action militaire n'étant ni le renseignement ni les actions confidentielles que l'on peut imaginer.

A noter que la DARPA intervient aussi dans des projets impactant profondément les structures et logiques de sécurité. S'agissant du second projet que nous évoquions ci-dessus, celui-ci s'adresse aux problématiques de mot de passe. Chacun connait le dilemme entre un mot de passe considéré comme "fort ", par exemple "4Foeioj61_é&2Tu" et notre pauvre capacité humaine à le retenir.

Depuis longtemps cependant, des tentatives sont faites pour reconsidérer cela. Certains experts considèrent par exemple que les modalités de conservation, chiffrement et transmission des mots de passe doivent devenir la référence en matière de mesure de la capacité de résistance d'un mot de passe.

L'initiative de la DARPA tend plus à supprimer l'usage du mot de passe en mesurant des caractéristiques humaines personnelles et non imitables comme notre manière de taper un "login" ou un identifiant. Tout cela pourrait être associé à des mesures permanentes du comportement comme l'usage de "leurres" qu'un usager légitime reconnaîtrait comme tel alors qu'un usager non-légitime irait ouvrir et serait reconnu comme tel....Bienvenue à l'ère de l'informatique comportementale !

La DARPA est donc de retour au coeur des enjeux de sécurité et de défense, au moins dans le milieu de l'informatique, avec deux informations qui démontrent peut-être qu'elle ne l'a jamais quitté ! Ces innovations, en particulier sur la notion d'outils militaires informatiques, sont également révélateurs d'une tendance plus marquée que, jusqu'ici, l'on pouvait considérer plus "fantasmée" que réellement matérialisée.

Sources :

http://www.nytimes.com/2012/03/18/business/seeking-ways-to-make-computer-passwords-unnecessary.html

http://www.nextgov.com/nextgov/ng_20120319_8788.php

http://www.washingtonpost.com/world/national-security/us-accelerating-cyberweapon-research/2012/03/13/gIQAMRGVLS_story.htm

Conférence Cyberdéfense - 11 Avril

2012-03-19T06:17:00.006-07:00

L'IHEDN organise un colloque portant sur la cyberdéfense avec M. Daniel Ventre que nos lecteurs connaissent bien et le Sénateur J.M. Bockel chargé d'un rapport sur le sujet pour le Sénat.

Date : 11 Avril 2012

Lieu : Amphi Desvallières à l'Ecole Militaire.

La participation est gratuite. Il suffit de s'inscrire à l'adresse suivante : ihedn.paris@wanadoo.fr ou IHEDN AR16 Case 41 - 75700 Paris SP 07 avant le 6 Avril.

Chine & USA : vers une évolution des moeurs ?

2012-03-09T07:33:00.000-08:00

Un nouveau rapport portant sur les stratégies de défense relatives au domaine du cyberespace portés respectivement par la Chine et les Etats-Unis est l'occasion de repenser quelque peu les relations ambiguës des deux pays sur ce sujet ainsi que de questionner la réalité.

Ainsi, il est désormais commun de pointer du doigts la la Chine ou certains de ses ressortissants qui entretiendraient des liens plus ou moins forts avec certains services gouvernementaux. La réalité semble également se prêter au jeu avec un certain humour puisque la moindre recherche que l'on pourrait effectuer sur un spam ou un phishing reçu dans votre boite mail a de fortes chances de vous indiquer une ressource "chinoise" dans certaines phases de la recherche.

Toutefois, loin des lieux communs, de nombreux avis commencent à se faire entendre pour proposer une vision différente de la réalité. Un premier pas a été franchi lorsque certaines études ont pu montrer la faiblesse réelle des systèmes informatiques chinois que l'usage massif de contrefaçon associé à des pratiques de sécurité laxistes rendaient particulièrement vulnérables. Ainsi, Security Vibes relate les mésaventures de certains services officiels lorsque certains éditeurs empêchent des copies pirates de fonctionner. Un autre rapport dont nous nous faisions l'écho montrait également une approche plus prudente de cette réalité dépeinte comme très agressive.

D'autres aspects, comme la culture, sont à prendre en compte. Ainsi, la définition de la protection l'information participe de visions parfois opposées. Ainsi, ce que nous dénommons censure n'est qu'un aspect de la protection de l'information jugée nécessaire dans le pays. Un autre aspect est celui de la lutte autour des idées et James Lewis rappelle que certains journaux politiques américains peuvent être considéré comme une "arme informationnelle" en Chine.

Le même James Lewis rapporte également un échange avec un responsable chinois selon lequel les pays se regarderaient en chiens de faïence, chacun connaissant tout à la fois l'étendue de ses points faibles et celui de l'autre en étant conscient d'être ainsi "observés". Une situation complexe qui n'est pas sans rappeler certains épisodes de la Guerre Froide.

Conscient des enjeux et des positions respectives des deux pays, le rapport évoqué au début de cet article propose ainsi aux deux pays d'échanger et de discuter sur ces sujets. Les lecteurs avertis de ces situations savent que la Russie et les Etats-Unis ont déjà entamé une série de pourparlers qui semblent en apparence bilatéraux. Les analyses du rapport et des articles insistent ainsi sur la nécessité d'avoir une approche multilatérale qui permettrait par exemple de mettre à plat un certain vocabulaire mais également de commencer des collaborations sur des bases et des besoins communs (criminalité, pédopornographie...).

Nous reviendrons dans un autre article sur le contenu précis du rapport qui invite les pays à se départir d'une attitude empreinte de méfiance pour un rapprochement concerté. Une occasion d'approfondir les liens de la Chine avec la lutte informatique !

Source :

http://www.nextgov.com/nextgov/ng_20120228_6587.php

http://www.securityvibes.fr/cyber-pouvoirs/chine-cyberguerre-espionnage/

https://threatpost.com/en_us/blogs/despite-intrusions-chances-us-china-cyber-war-are-small-030112

OTAN : cérémonie de lancement du NCIRC FOC

2012-03-09T04:05:00.006-08:00

Le 8 mars a été l'occasion pour l'OTAN, et plus particulièrement l'entité chargé des questions de réseaux et de systèmes d'informations, le NC3A qui a la charge plus général de nombre de questions technologiques qui ont des impacts sur les activités de l'organisation.

Le 8 mars 2012 a donc été créé ou lancé une composante supplémentaire des capacités de l'OTAN : le NCIRC FOC. Sous ce raccourci barbare se cache le nom suivant : NATO Computer Incident Response Capability, Full Operational Capability.

Il s'agit d'après l'article de procurer à l'organisation une capacité à faire fonctionner un CIRT ou un CERT, bien qu'il existe de subtiles différences entre les deux. En bref, l'idée est de disposer d'une capacité de réaction rapide en cas d'attaques informatiques ou de problématiques liées à la cyber-défense.

L'entité devra également assurer des actions complémentaires : mettre en place une série de senseurs, sondes et autres éléments permettant de mesurer l'activité des système en termes de sécurité, procurer des éléments permettant aux décideurs de prendre plus facilement des décisions liées à la sécurité ou la cyber-défense ou encore préparer des "kits" pour des futures Cyber Rapid Reactions Teams.

Dotée d'un budget de 58 millions d'euros, plus gros budget cyber-défense de l'organisation, la capacité sera assuré par un contractant privé, en l'occurence, un conglomérat formé de Finmeccanica, SELEX Elsag, VEGA et Northrup Grumman Corporation. Le contrat est prévu pour une durée de 5 ans.

Se doter d'une telle capacité augure positivement des capacités intrinsèques de l'Alliance même si on aurait pu s'attendre à ce qu'elle soit construite sur des ressources internes et non privées. Le cadre spécifique de l'OTAN et son action importante en matière de cyber-défense emportent peut-être des enjeux particuliers. Il faudra donc le voir à l'oeuvre...si possible !

Source: dans le texte

Illustration de la perception de la menace Anonymous

2012-03-02T14:00:00.001-08:00

La menace représentée par le collectif Anonymous ne cesse d'inquiéter et les récentes actualités, en particulier suite aux actions contre le service de stockage en ligne MegaUpload et son fondateur, ne font que renforcer les inquiétudes et interrogations.

Cette menace, comme toute éléments potentiellement malveillant à l'encontre d'un intérêt, doit être comprise et représentée pour être intelligible et partagée. C'est ce que nous pourrions appeler la perception de la menace que nous souhaitons illustrer ici.

Cette menace peut ainsi être évaluée en termes de capacités, de puissance ou encore de nuisance. L'avertissement, par le directeur de la NSA, sur d'éventuels projets d'atteintes aux réseaux électriques des Etats-Unis par ces collectifs peut ainsi être interprété comme une représentation de cette menace.

Notons toutefois que de telles capacités ne sont pas à la portée du premier venu et l'on pourrait se demander s'il n'existe pas des tentatives d'instrumentalisation à des fins diverses comme semble l'évoquer certains.

D'autres indices figurent également dans les études qui sont menées. Ainsi, la société Imperva s'est intéressée à une attaque attribuée à ce collectif afin d'en comprendre l'organisation et les ressorts.

De ces conclusions ressortent le fait que le groupe semble constitué de plusieurs niveaux de capacité et de responsabilité, avec des hackers de très bon niveau et des exécutants bien moins aguerris techniquement.

Le graphique ci-dessous représente également le chronologie d'une de ces "opérations" régulièrement menées par le groupuscule.

Ces quelques éléments illustrent la manière dont nous nous représentons cette menace qui possède, il est vrai, des caractères assez originaux qui la rendent difficile à cerner. Elle n'est pourtant pas forcément une représentation juste ou encore conforme à la complexité de la réalité.

Un récent article d'Adam Segal évoque ainsi la problématique des "cyber-milices" que certains pays peuvent utiliser en manipulant des égos ou des sentiments patriotiques. Le caractère non-officiel, parfois fortement revendicatif, peut ainsi cacher d'autres volontés ou intérêts non mis en avant. D'après ma lecture, l'auteur conclue sur une forme de dangerosité de ces cyber-mafia, très utile pour dissimuler des liens non avouables, mais complètement incontrôlables par la suite.

Il est ainsi fort possible de trouver des composants du groupuscule que nous évoquons ici, ce qui doit faire prendre conscience de la difficulté, non seulement de représenter cette menace, mais aussi des biais fréquents utilisés dans les analyses.

La prudence s'impose donc !

Source :

http://www.zdnet.fr/actualites/les-services-secrets-americains-voient-ils-dans-anonymous-un-danger-39768826.htm#xtor=EPR-105

http://online.wsj.com/article_email/SB10001424052970204059804577229390105521090-lMyQjAxMTAyMDIwMDEyNDAyWj.html

http://www.zdnet.fr/actualites/blackout-d-internet-le-31-mars-les-anonymous-repondent-non-39768872.htm#xtor=EPR-105

Café Stratégique 14 - Journalisme de guerre : enjeux et défis

2012-03-01T23:30:00.002-08:00