mardi 28 décembre 2010

L'Allemagne renforce sa lutte informatique défensive...

A son tour, l'Allemagne fait évoluer son organisation de lutte informatique offensive en créant un "Centre National de Défense Électronique". Cette organisation devra répondre notamment aux nouveaux standards de lutte informatique qui devient progressivement une composante majeure de l'activité de l'OTAN.

Ce centre répond également à une constatation simple : la hausse des attaques et la multiplication des détections des tentatives d'intrusions. A noter que les officiels allemands n'hésitent pas à divulguer les origines "chinoises" des attaques.

Sans plus de précisions, on ne peut déduire exactement ce que représente la notion d'origine dans le discours : technique ou en termes de "volonté". Il n'en reste pas moins que l'Asie est réputée abriter un grand nombre de machines vérolées et disponibles comme relais pour des attaques diverses. Ce n'est le seul endroit...

Plutôt bon élève en matière de SSI, il faut également comprendre ce que représente cette innovation. En effet, alors que le domaine internet national français pointe au 18ème rang en matière de nombre de noms de domaine, celui de l'Allemagne est bel et bien le troisième derrière le .com et le .cn (chinois).

Plus rarement cité comme "LE" pays des nouvelles technologies (au contraire des USA, de la Chine, Russie, Corée du Sud, Brésil...), l'Allemagne a toutefois su prendre le virage internet tôt et a maintenu sa place.

Avec plus de 13 millions de noms de domaines enregistrés, il y a ici une indication de l'importance de la protection des réseaux mais également de l'importance de la SSI et de LID.

Source :

http://www.spyworld-actu.com/spip.php?article14304

http://www.bundesregierung.de/nn_774/Content/DE/Mitschrift/Pressekonferenzen/2010/11/2010-11-19-statement-bk-nato-rat-1.html

http://www.domainesinfo.fr/statistiques.php

http://www.novatim.com/newsletters/mai_2010/SIR8.html : pour la répartition géographique des machines infectées

vendredi 24 décembre 2010

.BANQUISE ? et Joyeux Noël

Je ne résiste pas à relayer la plaisanterie de Domaines Infos qui nous informe de la création du .banquise ouvert dés ce soir et évidemment dédié aux fans du Père Noël !

On y trouvera aussi quelques sympathiques clins d'oeil aux principaux "trolls" de la gouvernance : "premier arrivé, premier servi" ou encore les alphabets non latins !!!

J'arrête avec ces quelques plaisanteries et j'en profite pour sacrifier à une forme de tradition que plusieurs blogs ou liste de diffusion ont désormais adopté !

Je tenais donc à souhaiter de très bonnes fêtes et en particulier un Joyeux Noël à mes fidèles lecteurs.

Je les remercie ainsi de leur fidélité et de leurs commentaires, qu'ils soient publiés ou adressés en privé !

Merci à vous et profites-en bien !


Source :

http://www.domainesinfo.fr/actualite/2270/une-exclusivite-indom-l-ouverture-du-banquise.php

mercredi 22 décembre 2010

Fiche de lecture..

Peu à dire aujourd'hui sauf un conseil en matière de lecture : la relecture critique de Bruce Schneier de l'ouvrage "Cyber War: The Next Threat to National Security and What to Do About It".

Comme d'habitude, l'excellence de M. Schneier fait merveille et je suis dans l'ensemble d'accord avec son analyse (si on me le permet hein :) ). Je retiendrai en particulier les propos, du livre et du critique, sur les traités internationaux en matière de contrôle de lutte informatique.

Les auteurs, comme le critique, voient ainsi une très forte nécessité à mettre en place ces traités et négociations. Une des raisons invoquées est de contrôler une course aux armements qui devrait, selon leurs analyses, nécessairement arriver.

Je reste dubitatif sur les capacités réelles d'un traité quelconque à parvenir au contrôle du développement "d'armes" informatiques. D'une part parce que la notion d'arme me parait incomplètement adaptée aux méthodes de lutte informatique mais aussi parce qu'il me semble que les profils des acteurs de la lutte informatique ne relèvent que partiellement d'un contrôle étatique..

Cependant, j'admire la conclusion : à défaut de le faire de suite, il faut en parler, en discuter, analyser, évoluer afin d'avoir une action corrective ou préventive plus adaptée.

Source :


http://www.schneier.com/blog/archives/2010/12/book_review_cyb.html

lundi 20 décembre 2010

Informations en vrac...SpamHaus, Botnet, McConnell...

Quelques extraits de veille qui me paraissent intéressant :

- des chercheurs canadiens ont développé, sur une infrastructure haute-performance, un ensemble d'environ 3000 machines windows XP avant de lancer une infection sur ces machines à l'aide du botnet bien connu, Waledac. Cet effort a pour but de mieux comprendre les principes et méthodes de dissémination et de développer des méthodes d'éradication.

Des chercheurs français et américain notamment participent à ce projet qui parait particulièrement intéressant notamment lorsqu'on connait les problématiques juridique posées par ces botnets. Ainsi, si généralement, l'attaques de serveurs de Command&Control pose moins de soucis car ces machines "appartiennent" de manière plus complète au "botmaster", le cas des machines infectées, appartenant souvent à des particuliers "innocents" n'est pas évident : peut-on les "détruire" pour leur impact sur le système ? Peut-on mettre en cause la responsabilité de ces individus ? Sur quelle base juridique ?

Il est vrai qu'une technologie de "décontamination" à distance représenterait une solution alternative intéressante bien qu'également tendancieuse car elle supposerait de toute façon un accès à la machine qu'on appellerait "piratage" en d'autres temps ! La technologie ne peut donc répondre aux questions d'éthique et de droit à la place de l'humain ...

Source : http://www.technologyreview.com/computing/26938/?p1=A2

- “If you have kinetic war, you’re going to have cyber war…you’re going to have cyber espionage,” said Mike McConnell...

Une citation qui illustre ce que j'ai pu appeler la tendance "faucons du cyber"...Je me permettrais de répondre les choses suivantes :

=> Si une guerre se déclare, il y a aura bien avant des actes de hacktivisme (car les guerres ne se déclarent pas sans un contexte !) et des actes d'espionnage.

=> Il y a déjà des actes d'espionnage y compris entre pays alliés ou n'entretenant pas des relations violentes. Si l'on attend une guerre pour se préoccuper de sécurité informatique ou de SSI, les résultats seront désastreux...

=> Le cyber-espionnage est une bêtise que je pourrais rajouter dans mon lexique. Il s'agit d'espionnage utilisant à la fois le média et les outils les plus adaptés à sa réussite aujourd'hui...l'informatique.

=> Le cyber-espionnage est également une bêtise car aujourd'hui, toutes les pratiques de renseignement mêlent plus étroitement les aspects humains et techniques. Une illustration en est apportée dans une présentation faite cette année au C&ESAR.

- Une information récurrente mais intéressante : la volonté des armées américaines d'utiliser des plate-formes mobiles sur étagères (iphone, androïd) pour gérer des applications et matériels militaires. On apprend ainsi que l'entreprise ayant créé les missiles Patriot aurait également développé des applications, non pas pour lancer les missiles (ouf!) mais par exemple pour localiser ses coreligionnaires sur un champ de bataille....Avec les quelques chiffres récemment révélés sur les failles de ces plate-formes, les risques sont à craindre.


http://mobile.slashdot.org/story/10/12/19/2322237/US-Army-Considers-a-Smartphone-For-Every-Soldier


- Les limites du Hacktivisme ? Les mésaventures de wikileaks et la profusion des miroirs ont évidemment été vu par les communautés criminelles, opportunistes par nature, comme une occasion de générer des miroirs piégés...Fort heureusement, les sentinelles du web veillent et c'est ainsi que SpamHaus a pu alerter les internautes sur la dangerosité de certains mirroirs et domaines apparemment légitimes mais en fait utilisé à des fins malveillantes.

Le résultat a été un spectaculaire DDoS sur le site en question. Dans un message parvenu sur une liste, Steve Linford, un membre du SpamHaus a ainsi affirmé que son site était victime des "AnonOps".

Cet avatar renvoit notamment aux membre de Anonymous qui ont utilisé Internet et des dénis de service pour paralyser des sites (Amazon, Mastercard) qui auraient participé à la "répression" contre Wikileaks...Avec un succès mitigé !

Alors que les actions des Anonymous contre l'Eglise de Scientologie avait suscité à la fois une forme d'adhésion mais également été couronnées d'un certain succès, force est de constater qu'ici, cela relève d'une vaste erreur !

Faudrait-il y voir les limites de l'hacktivisme à la mode Anonymous ? Après tout, l'absence de chefs les conduit à se comporter un masse désorganisée soumise aux fantasmes et décision de chacun sous une vague idée ou un concept général qui justifie l'action...Et la manipulation trouve ici un creuset de choix !

Bref, si les capacités des mode d'action de type "hacktivisme" ne doivent pas être écartés en raison d'une véritable forme de "puissance", il faudra éviter de les considérer à tout coup comme une entité unique et cohérente dotée d'une volonté propre et de là, d'une forme de légitimité...

Casse-tête pour ceux qui devront en déduire un mode d'action et de traitement ou encore la recherche d'un "centre de gravité"....

http://it.slashdot.org/story/10/12/18/1738207/Spamhaus-Under-DDoS-Over-Wikileaksinfo

- C'est pourtant ce qu'a souhaité faire Interpol en créant un portail de déclaration des "cybercrimes" constaté, un peu à l'instar de I3C du FBI américain (Internet Crime & Complaint Center). L'usage permettra de voir le résultat !


http://www.bbc.co.uk/news/uk-politics-12004134

vendredi 17 décembre 2010

Petit lexique à l'usage des lecteurs....

Lors d'une présentation que j'ai eu l'opportunité de faire, en compagnie de collaborateurs avertis, j'ai pu parler des "faucons" du cyber, nom que j'ai donné à la tendance de coller du "cyber" partout et d'avoir un discours particulièrement belliciste et agressif vis-à-vis d'Internet.

Visiblement, je ne suis pas le seul puisque le blog News0ft conseille un test amusant : http://willusingtheprefixcybermakemelooklikeanidiot.com/

Bref, il m'est venu à l'idée d'établir un petit lexique évolutif dans le temps, éventuellement aidé des idées de mes lecteurs et permettant d'établir une forme de base de compréhension des adjonctions cyber que j'utilise.

Je préciserais également si je trouve le terme acceptable ou non en fonction de ce qu'il est censé représenter : un terme peut mal représenter une vraie réalité et donc être acceptable et améliorable mais un terme peut aussi très bien représenter une idée ou un concept saugrenue et donc inacceptable.

Le problème est souvent que personne n'a la même acception de tel ou tel mot. Aussi, je propose de donner éventuellement et d'abord, la mienne puis de la faire évoluer en fonction de vos idées et opinions (éclairées et construites s'entend :)...)

Commençons :

- CYBERESPACE : j'accepte ce terme car intuitivement on conçoit qu'Internet, ses multiples usages et technologies ont forgé une forme d'espace virtuelle dans lequel nous pouvons parfois avoir une ou plusieurs vies différentes qu'elles soient autonomes ou le prolongement d'une vie "réelle"...

- CYBERGUERRE : je n'accepte pas ! "La cyberguerre n'existe pas" disait Howard Schmidt, le cyberczar américain. La définition de la guerre est triple selon ma vision mais elle n'est pas réduite à un domaine virtuel sans lien direct avec la réalité. Je m'explique :

La guerre est un avatar juridique encadré par traités et des coutumes (qui représente en droit international une source valable, réelle et opposée par les instances internationales). Elle provient d'un souhait d'encadrer la violence des états et se définit selon des critères relativement précis.

La guerre est définie...par la réalité. Malgré tout ce que l'on peut dire, l'Afghanistan est pour moi, une guerre. Les ingrédients sont réunis : deux adversaires acharnés bien que de nature très différence, des objectifs politiques que l'on poursuit avec des moyens impliquant de la violence, l'implication directe ou indirecte de plusieurs peuples et malheureusement...des victimes civiles et combattantes.

La guerre, enfin, est un concept sociologique définie par plusieurs stratèges dont, bien sur, Clausewitz.

La cyberguerre n'est pas car : pas de victime, une violence inexistante ou limitée, pas toujours des objectifs politiques etc etc....

-CYBERSECURITE : je n'accepte pas trop non plus. De quoi parle-t-on ? On ne sait même pas. Je lui préfère nettement la notion de sécurité des systèmes d'informations intégrant des notions de sécurité informatique (technique) ou des notions plus organisationnelles voire très humaines comme peuvent prétendre le faire les disciplines de "l'intelligence économique" (encore un concept pas très heureux).

Pour moi, ce terme n'apporte rien en tant quel tel et il me parait inutile car incompréhensible ou réducteur.

-LUTTE INFORMATIQUE (offensive et défensive) : je suis plus proche de ces concepts qui bénéficient d'ailleurs d'une reconnaissance officielle, car ils me paraissent plus proches de la réalité. Il y a une notion de lutte entre deux groupes de hacktivistes pro-nationaux qui défendent leur idée de la nation en défigurant les sites d'un pays tiers ou d'une organisation tierce. Cette notion est présente également lorsque deux pays s'espionnent en usant de tiers de natures diverses et variées.

Bref, on est plus prés de la réalité d'après moi.

-CYBERCRIMINALITE : ce terme est devenu commun et est ambivalent pour moi. On prendra garde à ne pas confondre les entités, groupes et individus, agissant exclusivement grâce à Internet (revendeurs de 0day ou de botnets, de session DDoS...) de ceux qui l'utilisent pour ses facultés d'échange et d'organisation. Le terme peut aussi désigner l'ensemble des activités malveillantes à but lucratif commis sur Internet et grâce à Internet.

Il désigne donc, il est vrai, des formes de criminalité nouvelles par le "lieu" où elles s'appliquent mais pas forcément par la nature...On notera par ailleurs que ce terme est tout à fait impropre à de quelconques désignations ou actions juridiques. Pour cela, on pourra s'appuyer sur les lois Godfrain (notamment) qui ne parlent en aucun cas de cyber mais de STAD : Systèmes de Traitement automatisés de Données ou sur les lois plus classiques réprimant la criminalité.

Il est donc limité dans son usage à quelques contextes particuliers et notamment médiatiques et parfois, éventuellement sociologiques, lorsqu'on considère des groupes cybercriminels à proprement parler...Et encore, rien ne prouve pour le moment l'autonomie réelle de ces groupes criminels vis-à-vis des groupes classiques.

Prudence donc...

-CYBERWARFARE : je suis tangent sur ce terme car si on traduit souvent "warfare" par "art de la guerre", je suis très sceptique sur le point commun entre Impressions Soleil Levant (par exemple) et la violence propre à la guerre.

Quoiqu'il en soit et à défaut d'un meilleur terme en français, celui-ci pourrait représenter l'éventail des méthodes, usages, outils et techniques utilisés par ceux se situant dans un objectif de lutte informatique offensive ou défensive.

- CYBERDEFENSE : lors de la présentation que j'évoquais au début de cet article, nous avons choisi le concept de cyberdéfense comme étant situé un cran au dessus de celui de lutte informatique défensive car il intégrait les notions de résilience des populations notamment vis-à-vis de la subversion.

Cela dit, malgré cela, le terme reste peut-être encore un peu imprécis et je suis preneur de toutes les précisions que vous pourriez y apporter.

-Cyber-délinquance : Inutile. Il ne désigne rien de spécifique si ce n'est éventuellement le transfert de comportement socialement inacceptables sur Internet. Et là, il existe de meilleurs termes sans doute plus utiles pour les actions de correction et de prévention.

-Cybernétique : c'est une vraie discipline d'étude (http://fr.wikipedia.org/wiki/Cybern%C3%A9tique) ancienne et bien ancrée...

-Cyber-attaques : ce terme est pour moi délétère car il est trop médiatique et ne permet pas de comprendre ce qui a pu se passer. Il paralyse donc l'action et la réflexion. D'autres mots sont bien plus clair et descriptifs : attaque informatique dont les diverses formes sont documentés et connues, rumeurs et désinformations...

J'arrête ici ces quelques définitions en espérant que vous puissiez exprimer vos opinions et idées à ce sujet.

mercredi 15 décembre 2010

Avec précaution..Handle with care !

Edit : les infos du jour révèlent que l'audit lancé par les développeurs d'OpenBSD ont révélé deux failles dans les éléments de code associés à IPSec.

Cependant, comme le signale un des principaux collaborateurs du projet, ledit code a connu des modifications diverses au cours du temps. Rappelons que la révélation est intervenue à la fin de la clause de la non-divulgation de développeur à l'origine de l'information, soit 10 ans après !

En conséquence, affirmer que la cause de ces bugs est volontaire est déjà difficile. Faire porter la responsabilité à telle ou telle organisation est également délicat. Tout cela pour dire que, bien que les modifications soient suivies et enregistrées, sur une période de 10 ans, il faut se garder de conclusions hâtives...

En revanche, je pense que cela ne fait que confirmer les quelques leçons que j'ai cru pouvoir tirer de cet exemple : en matière de sécurité, la vérification fait partie des obligations...


================================================================================

Une information, à prendre avec beaucoup de précaution, m'a été donné aujourd'hui par un ami que je remercie. Elle illustre néanmoins quelques principes de sécurité qui paraissent intéressants de rappeler.

Une liste publique d'échange de mail a été le lieu choisi par l'un de ses membres pour révéler une information déroutante. Il s'agit d'une liste à vocation technique utilisée par la communauté technique développant OpenBSD. Il s'agit d'un système d'exploitation de type UNIX, libre, et clairement orienté sécurité. C'est à dire que ses développeurs sont très attentifs à ces questions et à la maitrise la plus aboutie du système.

Selon un de ses contacts, une entreprise, et ses collaborateurs auraient accepté des financements d'instances gouvernementales américaines pour introduire des portes dérobées (backdoors) dans le développement de composants réseau pour ce système d'exploitation. C'est tout de même relativement ennuyeux car le composant en question gère des fonctionnalités de sécurité réseau relativement avancé mais dont on espère beaucoup (IPSec pour ne pas le dire).

Je précise que bien que l'auteur de ces lignes ne déteste pas les aspects techniques, ce n'est pas le but de ce blog. Pour les plus techniques de mes quelques lecteurs, la source de cette article, comme toujours, vous donnera plus de précision.

En ces temps de "wiki-cyber-blabla", ce type d'information est à prendre avec des pincettes. L'information provient d'une source qui en connait une autre etc....J'ai pourtant choisi de diffuser cette information pour deux raisons principales : la prudence de l'auteur du mail ET ses recommandations de sécurité.

En effet, cette information, qu'elle soit vraie ou non, nous rappelle quelques mesures de sécurité particulièrement intéressantes :

1/ La sécurité par l'obscurité profite à la malveillance. Diffuser une telle information en recommandant un audit de code me parait une initiative bienvenue. Bien sur, on ne peut pas ré-auditer tous les codes à la moindre alerte mais la criticité éventuelle de ce composant justifie cet effort car son utilisation induit normalement un niveau de confiance supérieur, donc souvent, des usages de sécurité moins bien encadrés...Ex. : la sécurité des smartphones dont on use comme des PC en les protégeant comme....bref...

Plus généralement, ceci nous rappelle que l'introduction de la sécurité en amont dans un projet et la vérification, ou l'audit, sont des étapes de plus en plus incontournables.

2/ La maitrise des standards est un outil de souveraineté incontestable. Le fait même que cette hypothèse nous paraisse plausible et non tout à fait farfelue le prouve. On sent bien en effet que la possession de tels capacités d'intrusion serait à même d'intéresser tout acteur ayant des actions en termes de sécurité et de défense.

3/ La maitrise des matériels et des technologies est du même acabit. Etre dépendant d'une ou de quelques organisations et de leurs produits est un facteur de moindre maitrise qu'il convient d'évaluer et de faire évoluer !

4/ Quoi qu'on en dise, la sécurité des systèmes d'informations repose sur la notion de confiance et la capacité des systèmes et outils à transférer ces niveaux de confiance. Derrière un pare-feu, je me sens mieux...OU PAS!

Mais qu'importe, cela doit signifier une attention toute particulière sur les produits, techniques et technologies dont le but est d'élever le niveau de sécurité, donc d'élever la confiance car ils constituent, en quelque sorte, des SPOF...Peut-être une idée intéressante pour apprécier différemment les risques.

En conclusion, cette information peut être, ou non, une vraie nouvelle de type "breaking news". Elle reste néanmoins soumis à un impératif de vérification et de preuve. Elle a cependant l'avantage de donner un "petit coup de fouet" à ceux qui peuvent traiter de sécurité :).

Source :

http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

lundi 13 décembre 2010

Chronologie d'une attaque ordinaire...

A force de critiquer, mes quelques lecteurs vont déserter. J'ai donc aujourd'hui choisi de vous raconter une attaque informatique très ordinaire mais qui m'a permis de rire un peu...

Tout commence par un mail reçu dans ma boite aux lettres ! Intitulé "Urgence", celui-ci attire évidemment mon attention...

Envoyé par une personne que je connaissais, celle-ci me disait être dans une situation dramatique de danger immédiat...Détail amusant, la personne a également envoyé ce message à tout un carnet d'adresse dont quelques-uns également féru (voire plus) de sécurité...

A cette lecture, je reste dubitatif car ce n'est pas cohérente (faute d'orthographe, syntaxe très approximative et puis l'urgence par mail...bah, non...ca sent l'arnaque)

Bref, quelques recherches dans la mail non traité me donne une adresse IP d'origine. Subodorant qu'un escroc aura pas fait très attention, je fait quelques recherches et hop, je me retrouve en Côte d'Ivoire. Parvenant au même conclusion, les autres contacts et amis vont même plus loin en avertissant les autorités (CERT ivoirien notamment)...

Que s'est-il passé ?

=> un escroc a piraté une boite mail soit parce que la sécurité du système est basse ou mal configurée (ex. les questions secrètes ou encore le mail de secours avec un mot de passe trivial) soit parce que la machine de la victime a déjà été compromise.

=> celui-ci a écrit a tous les contacts afin d'espérer avoir un retour en utilisant une technique bien connue sous le nom de "fraude nigériane". Des esprits taquins parmi les contacts férus de sécu ont poursuivi le dialogue pour voir et celui-ci permet de voir que la personne finit toujours par demander de l'argent par le moyen le moins sécurité existant (la preuve finale!)

=> il est fort probable que l'escroc, flemmard par nature, utilise une adresse IP correspondant à son pays...Soit par un wifi ouvert, soit par sa propre box, soit un wifi piraté...bref...les présomptions sont fortes que l'attaque vienne bien du pays indiqué. Mais ce n'est pas une certitude suffisante pour en dégager une affirmation définitive !

J'espère que cette petite chronique vous aura amusé...En tout cas, nous sommes désolés pour la victime...

En conclusion : attention au mot de passe ! pensez à la chaine de sécurité de votre mail ! et à la sécurité de votre poste de travail...

Too much Wikileaks...et DNSSEC ?

Oui, j'en ai assez de wikileaks, wikiwars ou je ne sais quoi...On entend plus parler que de cela que ce soit dans la blogosphère, le net ou les journaux télévisés...

Comme si cela était nouveau ? Comme si cela était inattendu ? Comme si on n'avait déjà rien vu venir...

En plus, l'aspect médiatique autorise toutes les dérives, toutes les bêtises et fait oublier certains aspects plus importants.

Je concède que la mobilisation rapide et son intensité aient pu surprendre mais, et je suis désolé, cela n'a rien de nouveau ou d'extraordinaire...

Rien de nouveau : cela arrive fréquemment dans les pays où la liberté d'expression est mise à mal car ce sont les seules outils dont ils disposent pour échanger et se faire entendre. (rappelez-vous l'Iran, la Birmanie...)

Cela arrive aussi tous les jours en parallèle des conflits et des différents points de violence politique identifiables dans le monde.

Rien d'extraordinaire car comme le font remarquer les plus techniques des blogueurs sécurité, il suffit de relire quelques présentations pour constater l'activisme technique et les capacités de certains groupes pour avoir vraiment le frisson.

Et dans tout cela, qui se préoccupera du fait que la zone .net a été signée pour désormais utiliser DNSSEC ?

En effet, le .net est la première zone, par la taille (13 millions de domaines) à être signée et c'est donc une première.

Par ailleurs, ce gTLD est géré par VeriSign, gestionnaire également du .com et de 2 root servers (A et J).

On peut ainsi voir la signature du .net comme un prélude et un test grandeur nature avant la signature du .com et de la racine...A voir hein !

En bref, une évolution notable du système de nommage qui me semble bien plus importante que wikileaks ! (mais bon, c'est encore une opinion...)

Source :

http://gcn.com/articles/2010/12/10/dnssec-.net-domain-signs-on.aspx


Et les sources pour wikileaks me direz-vous ? Bah partout, partout, partout...du mauvais et du moins mauvais...Parfois du bon..mais toujours trop :D

lundi 6 décembre 2010

Stratégie de l'Identité américaine...

Un petit peu de (auto)publicité pour un article co-écrit avec un collègue...Mais chut...

L'article décrit le nouvel écosystème de gestion de l'identité sur Internet tel que proposé par Howard Schmidt, le cyberczar américain. Décliné en plusieurs articles, on y trouve :

- la description de l'environnement et son fonctionnement technique/non-technique

- les avantages/inconvénients

- les bouleversements occasionnés...

Bonne lecture à tous :)

Source :

http://blogs.orange-business.com/securite/2010/12/identite-sur-le-net-une-question-technique-et-politique---chapitre-1-quelles-sont-les-nouveautes.html

http://blogs.orange-business.com/securite/2010/12/identite-sur-le-net-une-question-technique-et-politique---chapitre-2-impacts-et-limites-12.html

dimanche 5 décembre 2010

Où l'on reparle de l'IUT, de la Russie et des traités "cyber"

Je vous conseille la lecture de l'article cité dans les sources qui retrace l'histoire et les racines de l'activisme russe et celui de l'IUT en faveur d'un traité concernant le cyberespace.

J'en retiens quelques points et notamment :

- le "background" de Hamadoun Touré, secrétaire général de l'IUT, ingénieur originaire du Mali et formé...en Russie. Les derniers rendez-vous de l'IUT ont confirmé le souhait très fort d'aboutir pour 2011 à la rédaction d'un tel traité.

- la première résolution proposée à l'ONU par la Russie sur le thème de "information security" date de 1998 ! Elle concernait effectivement la limitation des capacités de subversion d'un pays et en particuliers la capacité des "mots" à être des "armes". On y retrouve ainsi toute la composants si particulière des doctrines de sécurité russe en matière de cyberespace mais également l'approche soutenue par l'IUT de contrôle des armements.

- Un tel accord serait d'ailleurs déjà mis en oeuvre entre les pays de l'Organisation de Coopération de Shanghai dont les membres aurait approuvé un accord proposé par la Russie et définissant la guerre de l'information comme :

“confrontation between two or more states in the information space aimed at . . . undermining political, economic, and social systems [or] mass psychologic [sic] brainwashing to destabilize society and state.”

- A noter : aucune résolution de l'ONU en la matière, et notamment celles proposées par la Russie, ne se restreint au monde cyber. Le mot n'apparait même pas par la suite !

- Les analystes russes aurait déjà avancé que de telles opérations informationelles de déstabilisation conduites par un ou plusieurs pays envers un pays tiers pouvaient être considéré comme une agression au sens de la charte de l'ONU..ce qui, si ce point était accepté, serait susceptible de mettre également en jeu les traités de défense ou de sécurité collective.

- l'article pointe avec justesse les difficultés à appliquer purement et simplement les "lois de la guerre" (ici les convention de Genève et de la Haye ainsi que la charte de l'onu) en raison des difficultés à établir les notions d'attaquants et les limitations à la défense et à la réaction ou encore la protection des civils. Par ailleurs, il saisit justement la question du contrôle des armements impossibles dans ce contexte.

- Par ailleurs, si un tel traité de contrôle des armements voyait le jour, il est fort possible qu'il mette en oeuvre des mécanismes de contrôles associés comme il en existe aujourd'hui plusieurs (AIEA, TCO, FCE...). Cependant, il semble que les USA soient très réticents à cet exercice car ils auraient tendance à penser qu'ils seraient les seuls à appliquer de telles limitations. A noter d'ailleurs que la résolution russe proposée à l'ONU en 2008 sur de telles limitations a été refusé uniquement par les USA.

- Le rôle de la gouvernance et de l'ICANN est en particulier très discuté et remis en cause par l'ensemble des acteurs. Ainsi, l'ICANN n'est pas reconnue par l'UIT en tant que telle et n'est pas invitée aux rencontres de l'organisation internationale. J'ai déjà évoqué l'histoire de la gouvernance qui a donné à l'ICANN des pouvoirs que l'UIT souhaitait détenir. Il faut savoir que le Président Clinton, dont les relations avec l'ONU, étaient notoirement mauvaises, est à l'origine du système ICANN (indirectement) et le rejet de l'UIT considéré comme affligé de tous les défauts de l'ONU...

C'est tout de même un jeu dangereux que joue ici l'UIT. En insistant sur la souveraineté des Etats sur Internet et leur soi-disant légitime interventionnisme en la matière, elle attire, par son discours, des pays à tendance autoritaire notamment. Cela ne sera certainement pas forcément au bénéfice des populations qui n'adhéreront pas plus, dans l'avenir, à un système qui aura notoirement mis en danger leurs libertés...

Un excellent article, à mon sens, d'un observateur avisé et renseigné du domaine qui épargne les aspects techniques sans cependant tomber dans l'erreur. Un must :) !

Source :

http://www.worldaffairsjournal.org/articles/2010-NovDec/full-Gjelten-ND-2010.html

vendredi 3 décembre 2010

De l'hacktivisme à la minute pour Wikileaks !

Rarement j'aurais réagi si rapidement à l'actualité mais j'avoue que celle-ci vaut le détour !

Pour ceux qui ne suivent pas de très prés l'actualité, il se trouve que Wikileaks a de gros soucis en ce moment. Comme le montre, un récent article du Figaro, celui-ci a vu son nom de domaine (wikileaks.org) disparaitre puis soi-disant revenir. Cela dit, ma machine ne fait pas les résolutions donc je doute encore un peu..

Les pressions politiques augmentent comme le montre le même article du Figaro qui nous affirme ainsi qu'Amazon aurait proprement "viré" le mauvais coucheur. Celui serait désormais hébergé (entre autres) en France, chez OVS. Celui-ci, suite à une réaction pas très maligne mais bien sentie de Eric Besson (cf. le Figaro encore), a décidé de communiquer et de se protéger un peu, ce que cet hébergeur fait avec raison et à priori sans parti pris.

Cela dit, Wikileaks rencontre tout de même se sérieux problèmes de noms de domaines et de DNS (quoique j'arrive à résoudre le .ch) et ainsi une initiative originale est née, relayée notamment sur twitter.

Pour les fans du geek-world, on peut ainsi observer des détenteurs de noms de domaine créant des sous-domaines nouveaux pointant sur wikileaks. Ainsi, je pourrais créer le domaine wikileaks.cidris.fr pour aller sur les adresses IP des sites hébergées en France (par OVH) et en Suède.

Edit: Il semble qu'il y ait également de nombreux miroirs également. J'ai fait quelques tests et il semble qu'il y ait une portion de noms de domaines alternatifs mais également de véritables miroirs...A suivre !

Et évidemment, on peut s'amuser à y voir la prédiction de Peter Sunde sur le DNS en pair-à-pair se réaliser !

Je trouve qu'il y a beaucoup d'humeur, un brin d'anarchisme mais également beaucoup d'hacktivisme "pacifique" dans ces actions de particuliers qui s'opposent ainsi alors que plusieurs gouvernements et grandes sociétés fait tout pour faire disparaitre le site...La preuve que le contrôle du Net reste encore relativement complexe à moins de basculer dans le totalitarisme...

Source : Pas de source ici, je ne suis pas google, je ne fais pas du pub ou de relais car je ne souhaite pas prendre parti. Twitter est ouvert à tous :)

Information Assurance Range

Il y a quelques mois, ce blog se faisait l'écho des quelques informations disponibles sur le National Cyber Range, un outil de simulation suffisamment puissant pour tenter de mener de véritables opérations de lutte informatique à grande échelle.

Nous apprenons aujourd'hui que le Départment de la Défense américain (DoD) s'est octroyé une forme de "bac à sable" dénommé Information Assurance Range. Même si celui-ci n'est pas directement rattaché au précédent, il en possède, à priori, à une échelle moindre, les capacités essentielles.

Retenons qu'en effet, le National Cyber Range est développé par l'agence de recherche DARPA tandis que l'IAR appartient au DoD.

Sa fonction, d'après l'article, serait d'émuler un environnement comparable au Global Information Grid, le futur ensemble de systèmes d'informations et de communications du DoD. Il servirait ainsi à entraîner les équipes du DoD, programmer des exercices de lutte et de sécurité informatique entre les différentes agences du gouvernement américain.

Un élément intéressant dans l'arsenal d'un planificateur de la cyber-défense :D !

Pour conclure et faire le lien avec des posts précédents : il devrait être capable d'utilisation IPv6 dés 2011 !

Source :

http://gcn.com/Articles/2010/12/01/DOD-Launches-Cyber-Test-Range.aspx?Page=1

jeudi 2 décembre 2010

Communiqués de presse

Aujourd'hui, point d'analyse, je me borne à relayer deux informations très intéressantes émanant de l'ANSSI dont le rôle en matière de cyberdéfense à proprement parler s'affirme.

1/ L'EIC (Centre Informatique Estonien) et l'ANSSI ont signé un accord de coopération en matière de cyberdéfense. Cet accord formalise surtout des éléments de partage d'informations et de connaissance.

Pour ceux qui auraient vécu dans une caverne depuis 5 ans, rappelons que l'Estonie a été un des rares pays à subir des attaques informations produisant des effets notables au sein de la société et des organisations. Elle accueille depuis une centre de formation et de partage d'information de l'OTAN en matière de cyberdéfense, à Tallyn la capitale, le CCD COE.

L'Estonie est également un pays particulièrement "connecté", c'est à dire que les aspects les plus officiels de la vie des citoyens peuvent être réalisés sur le NET.

Très intéressant donc !

2/ L'ANSSI a participé à la réalisation de l'exercice de lutte informatique organisé par l'OTAN : Cyber Coalition 2010.

Le point notable à mon sens : le scénario. Celui-ci met en avant des opérations militaires menées par la coalition dans des territoires présentant des acteurs et des affrontements de types "asymétriques". Ceux-ci opèrent des actions de lutte informatique pour perturber les opérations menées par l'OTAN.

J'avoue apprécier beaucoup ce scénario en raison du continuum ainsi crée entre opérations militaires réelles et virtuelles.

Source :


http://www.ssi.gouv.fr/site_article267.html


http://www.ssi.gouv.fr/site_article269.html

mercredi 1 décembre 2010

RIP IPv4...vive Huawei !

Partisan d'une observation attentive de la gouvernance internet, l'auteur des lignes pense que se niche dans ces processus et organisations des éléments déterminants pour l'avenir de l'Internet (certes..) mais également de la cyber-défense.

Je tiens ainsi à signaler deux évènements notables :

- l'attribution récente de 4 "slash 8" ou encore /8 par l'ICANN a rendu l'espace d'adressage un peu plus restreint.

Rappelons les principes de la construction d'une adresse IP avant d'analyser l'information. Une adresse IP est une adresse attribuée à une machine dans un réseau. Contrairement à ce que l'on croit, l'adresse n'est ni stable ni même forcément unique dans le temps et par machine.

Une adresse IP, c'est ça : 54.87.56.76 par exemple. Elle est codée sur 32 bits, soit 4 octets (un octet = 8 bits). Un bit est une "quantité élémentaire d'information" dont la valeur est 1 ou 0...Facile jusque-là !

Considérons que nous pouvons maintenant écrire une telle adresse sur 32 chiffres différents dont la valeur est 1 ou 0 (et oui, l'informatique c'est binaire). Néanmoins, la répartition ainsi faite des octets a une importante non négligeable car elle entre notamment dans l'identification du réseau auquel appartient la machine.

En bref, si l'on regarde un peu plus prés, on peut ainsi s'apercevoir que ces groupes de 4 octets sont en fait des groupes de 4x8 bits (vous me suivez :D). Pour désigner un ensemble d'adresse, on va prendre une notion de dénominateur commun. Ainsi, parler d'un "/8" revient à parler de toutes les adresses dont le premier octet est commun.

Si les deux premier octet sont communs, on parlera de /16 puis de /24 et enfin, un /32 représente en fait une unique adresse...

Ex. 67.0.0.0/8 fait référence à toutes les adresses IP commençant par 67...

Autre point important, vu que l'on code sur 32 bits variant entre 0 et 1, nous avons donc 2^32 ou encore "2 puissance 32" possibilités, soit un peu plus de 4 milliards. Chacun des 4 octets (entre les points) vaut donc 8 bits, ce qui représente donc 2^8 adresses ou 256 possibilités.

Autrement dit, aucun des quatre composantes ne peut aller au-delà de 255 (dont le 0)...Il y a donc 256 "/8".

Aujourd'hui, l'ICANN vient de distribuer 4 /8. Il reste en tout 7 /8 mais en pratique uniquement 2 car en vertu d'un protocole d'accord, une fois ces deux /8 distribués, les 5 restants seront attribués aux entités de distribution locale.

Cet indice supplémentaire du rétrécissement de l'espace d'adressage doit quelque peu nous alerter car même si des solutions palliatives existent, elles apportent également leur lot de problème. Une vraie solution pourrait résider dans la version suivante du protocole IPv6, qui n'est que partiellement déployée et utilisée...Peut-être le sentiment d'urgence changera-t-il tout cela car l'on pourrait sinon craindre des phénomènes de "lutte" pour l'obtention et l'utilisation d'adresses IP. A ce sujet, il a déjà été avancé la possibilité de "marché noir".


- Second point : l'arrivée de Huawei parmi les partenaires et sponsors d'importance de l'ISOC Monde.

Ce point est notable pour plusieurs raisons à mon sens. Tout d'abord car il met en avant un certain manque de représentation dans le monde des infrastructures informatiques des entreprises françaises. On compte tout de même Alcatel-Lucent à un niveau équivalent à l'ISOC.

Cependant si Huawei est un vrai concurrent de Cisco, il m'est plus difficile d'appréhender la vraie position d'Alcatel-Lucent vis-à-vis de ces géants.

Enfin, être un partenaire n'est pas tout : il faut participer et innover. En la matière, il semble que les auteurs des RFC soient majoritairement liées à des entreprises connues et actives en matière d'influence technologique et donc politique. Ce point mériterait d'être complétement contrôlé mais il semble faire l'unanimité parmi les participants réguliers au processus d'innovation et de standardisation.

En effet, l'ISOC encadre le déroulement et le fonctionnement de l'IETF qui constitue un des organismes de standardisation du web. Être à la source de développements des futurs standards et être un partenaire d'importance peut donc constituer un facteur d'influence pour un industriel dont on soupçonne fortement les liens avec le monde politique de son pays d'origine...

Comme Cisco, quasi-monopole en son temps apportait des doutes et des craintes sur notre capacité à assurer notre souveraineté technologique, les démarches de Huawei peuvent également être interprétés comme une stratégie d'influence. Ceci pourrait se comprendre alors que la Chine semble avoir un dilemme à résoudre entre : sa volonté de maitrise et de contrôle, sa volonté d'attirer industriels et entreprises mais également sa volonté de regagner des réelles capacités au sein de la gouvernance Internet.

Je crois fermement que les processus et organisations de la gouvernance internet reflètent voire créent des réalités géopolitiques qui pourraient constituer de véritables défis dans les années à venir. J'espère vous en avoir convaincu.

Source :

http://tech.slashdot.org/story/10/11/30/2351245/Free-IPv4-Pool-Now-Down-To-Sevennobr-wbrnobr8s


http://isoc.org/wp/newsletter/?m=201011

http://www.isoc.org/orgs/members.php

mardi 30 novembre 2010

Racine alternative : un tournant dans l'histoire de la gouvernance ?

Eh non, pas de Wikileaks dans ce post aujourd'hui car j'ai tendance à fuir comme la peste ce qui fait frémir et s'agiter la presse. D'autant que je ne trouve pas de révolutions dans cette publication qui semble avoir un besoin de satisfaction de l'égo...D'un strict point de vue analytique cependant, je trouve que cela est effectivement très intéressant sur le fonctionnement de la diplomatie internationale.

Premier post donc depuis le retour de la conférence C&ESAR, conférence très intéressante à laquelle j'ai eu la chance de pouvoir participer en tant qu'auteurs et orateurs (notamment sur les doctrines de cyberdéfense...).

Cette présentation et d'autres ont été l'occasion pour nous de mettre en avant les problématiques de légitimé liés à la gouvernance Internet. Parmi ces questions,
la gestion de la racine est de celles qui alimentent les controverses.

Ce n'est évidemment pas la première fois que le concept de racine alternative est évoqué. Cependant, jusque-ici, celui semblait avoir eu des effets limités.

J'ai tendance à penser que l'ICANN tire aujourd'hui sa légitimité d'une certaine efficacité (malgré tout) mais également d'une capacité à rassembler l'ensemble des acteurs dans ses différentes organisations et forums. Autrement dit, c'est un système massif d'adhésion associé à une capacité technique avéré (la composante IANA détient ainsi de réelles capacités d'actions sur la racine) qui semble compenser une légitimé sujette à caution.

Un tweet pourrait ainsi bouleverser tout cela. Mais celui-ci émane de Peter SUNDE, un des associés dans la fondation du plus célèbre des sites de torrent, The Pirate Bay. Ce passionné a été victime des systèmes de la gouvernance puisque l'ICANN a révoqué, à la demande de certaines autorités liées au copyright, des noms de domaines lui appartenant.

Il a ainsi appelé à une libéralisation de la racine qui passerait par un système ouvert et transparent de la gestion du DNS. Celui-ci fonctionnerait de manière totalement décentralisé et notamment grâce au P2P (on ne se refait pas)...

Il faut être un peu critique ici car, en tant que passionné de sécurité des SI, on voit de suite qu'un tel système est encore trop peu mature pour fournir toute les qualités de confiance et d'intégrité obligatoire pour fonctionner ! Après tout, le DNS est réellement un système essentiel !

Bien entendu, je ne préjuge pas des avis de toute la communauté des noms de domaines, notamment ceux qui ont des intérêts commerciaux. J'omets également de parler de la souveraineté réelle et normale des pays sur leur domaine Internet : quid de leur capacité de régulation si le système est décentralisé !

Bref, on comprend que ce système est encore trop peu abouti pour susciter autre chose que de l'intérêt et un peu d'amusement.

Cependant, considérant la personnalité médiatique de l'auteur et les tendances de plusieurs acteurs majeurs à remettre en cause le système de gouvernance, on ne pourrait juger que cette déclaration et proposition ne saurait provoquer un mouvement de changement global !

A suivre donc et à méditer...Et pourquoi pas, concevoir un système propre de confiance et de sécurité pour le DNS :D ?

Source :

http://www.korben.info/hello-all-isp-of-the-world.html

mardi 16 novembre 2010

Routage, Sécurité & Internet : de l'innovation !

Edit : à l'appui des opinions défendues dans cet article, je vous renvoie aux échanges sur l'hypothétique usurpation des routes par la Chine en avril 2010. Je ne me prononce pas sur la véracité ou non des faits mais les expériences montrent que cela n'a rien d'impossible...

Comme vous pouvez également le lire, la capture de trafic aurait été relativement courte dans le temps, probablement parce que la surveillance de l'état des tables de routage à tout instant a permis d'alerter et de corriger.

Je vous laisse vous prononcer sur les impacts relatifs et donc la criticité associé aux éléments fondateurs d'Internet :).

Source :

http://www.cnis-mag.com/internet-plie-sous-le-poids-de-la-chine.html

==================================================================================

RPKI pour Resource Public Key Infrastructure ou, en français, Infrastructure de Gestion de Clés pour le routage est une solution technique et en cours de normalisation visant à améliorer la sécurité d’Internet en rendant le routage moins vulnérable à certaines attaques. Je parle bien de la sécurité d’Internet, c'est-à-dire la capacité des systèmes à respecter les niveaux souhaités de Disponibilité, Intégrité et Confidentialité.

1/ Problématique technique et de gouvernance

Dans de précédents articles (ici, là et encore ici), Jean-François Audenart analysait avec clarté la problématique posée par le manque de sécurité du routage sur Internet. Le principal problème du routage se pose actuellement entre les AS ou Autonomous System, c’est-à-dire les grands acteurs d’Internet, utilisant le protocole de routage BGP.

Pourquoi cela ? Tout simplement car dans leurs domaines respectifs, les AS disposent de droits extensibles sur l’ensemble des niveaux techniques. Au contraire, entre ces AS, donc sur Internet, ces droits-là ne s’appliquent plus et l’on tombe dans les processus de gestion en commun du Net ou encore Gouvernance Internet.

Le principal défaut de BGP est notamment d’être un protocole un peu naïf : il accepte toute information venant d’un autre routeur comme légitime (ou peu s’en faut). Il était donc relativement facile (pas si évident toutefois) de se positionner comme un « espion » en obligeant le trafic entre deux points à passer par ses propres infrastructures.

Plus encore, le protocole permet également la propagation des erreurs de configuration manifestes permettant ainsi quelques exemples cocasses comme le blocage de Youtube par le Pakistan alors que ce dernier ne visait qu’à restreindre l’accès en interne. Quelques années plus tôt, un infortuné AS avait également commis une telle erreur en annonçant toutes les routes de l’Internet : il s’effondra rapidement bloquant le trafic de…tout l’Internet.

Fort heureusement, une veille très active permet de pallier aux principaux problèmes rencontrés. Ainsi, le blocage de Youtube n’aura duré que quelques heures. Cette même veille autorise également des réactions très rapides en cas de ruptures de connexions par exemple afin de « re-router » le trafic comme cela se produit régulièrement lorsque des câbles sub-océaniques se rompent (tempêtes, séismes, pêche…).

Le système parait cependant quelque peu faible à long-terme notamment au vu de l’expansion d’Internet et de la croissance des utilisateurs et des usages. Cette problématique, longtemps oublié par la Gouvernance Internet, retrouve ainsi toute sa place avec une solution récente qui parait plus stable pour l’avenir.

2/ La solution : RPKI !

Sous cette solution au nom barbare se cache un ensemble d’aspects déjà bien connus. En effet, il s’agit, plus ou moins, d’appliquer au routage, ce que l’on a appliqué au DNS.

DNSSEC, bien plus connu que RPKI, est ainsi une solution qui consiste à utiliser les techniques de cryptographie pour signer chaque enregistrement DNS et authentifier ainsi la source de l’information.
D’une manière similaire, RPKI propose de garantir la légitimité des routeurs envoyant à d’autres routeurs des informations.

Pour ce faire, la solution propose d’attribuer à chaque détenteur légitime d’un espace d’adresse, un certificat (un peu de la même manière que pour les banques sur Internet) qui sera échangé avec les informations de routage. Ainsi, les annonces faites par un routeur légitime pourraient être propagées et reconnues comme légitime par un autre routeur qui pourra donc l’intégrer à sa table de routage.

Pour reconnaitre une information de routage comme légitime, la RPKI proposera une liste de Route Origin Authorizations (ROAs), c’est à dire de titulaires susceptibles d’annoncer telle ou telle plage d’adresses IP.

Dans le cas contraire, si un routeur annonce, par exemple, une route avec un préfixe plus court, alors qu’il n’est pas légitime, les routeurs pourront refuser les informations car elles ne seront pas accompagnées du certificat attestant de la légitimité des informations.

A côtés de cela, devront être constituées des autorités de certification, une ou plusieurs, ayant la possibilité d’attribuer, de contrôler et de révoquer les certificats.

3/ Limites de la solution

Cette solution est une mesure de sécurité efficace pour certaines menaces. En revanche, je ne suis pas sur qu’elle couvre l’ensemble des risques de configurations. Elle ne remplace donc que partiellement la veille active citée plus haut.

Par ailleurs, l’utilisation de certificat de ce type suppose une autorité de certification, une politique de révocation et de contrôle. Dans un autre article, je mettais en avant les limites de l’architecture de sécurité liée aux certificats, limites que la RPKI connait également.

Parmi ces limites, on peut ainsi penser à la réactivité. Le routage n’est pas une carte routière relativement statique dans le temps, bien au contraire. La pratique du « peering » consistant à transporter, pour un autre opérateur, une partie de son trafic est évolutive dans le temps et la légitimité, au sens de la RPKI, devient donc également une notion variable. Cette contrainte forte différencie donc des infrastructures à base de certificat plus traditionnelles et représente un défi.

De plus, cette solution pose également un problème de légitimité. En effet, les standards techniques d’Internet (attention : pas uniquement du Web) sont réalisés, pour la plupart, par une organisation à but non lucratif appelée IETF. Or, malgré toute la qualité des travaux et du mode d’organisation de l’institution par ailleurs, les modèles de sécurité qu'elle a proposé n'ont pas suscité une adhésion effective. RPKI doit son origine à d’autres organisations et peut ainsi souffrir d’une question de légitimité.

Enfin, cette solution modifie de manière relativement importante la répartition des pouvoirs et provoque de débats passionnés. Ainsi, par exemple, qui aura le contrôle de l’autorité chargée de délivrer les certificats ? En effet, cette autorité aura par exemple une capacité inouïe de révoquer les certificats des AS de tout un pays et donc de les rendre non légitimes et perturber ainsi fortement ses capacités de connexion. Une capacité presque plus dérangeante que celle que possèdent VeriSign sur la racine du DNS….

Conclusion : la sécurité est autant technique qu’organisationnelle voire même politique, une leçon que nous ne cessons jamais de voir s’appliquer !

On notera enfin que la solution serait déjà en cours de test et déploiement. Par ailleurs, pour satisfaire mon côté grincheux, je reprendrais la proposition exprimée dans les sources ci-dessous : la sécurité du routage est une question cruciale du net, sans doute plus que les questions du moment sur les noms du domaine. Une leçon à retenir aussi !

Source :

http://blog.internetgovernance.org/blog/_archives/2010/9/7/4624281.html

http://www.bortzmeyer.org/rpki-et-igp.html

http://www.ripe.net/ripe/policies/proposals/2008-04.html

http://www.bortzmeyer.org/certificats-ressources-internet.html

http://www.networkworld.com/news/2009/012009-internet-routing.html?page=1

lundi 15 novembre 2010

Stuxnet...breaking news ?

Une unité d'analyse de Symantec a publié récemment sur son blog des éléments d'analyse complémentaire sur Stuxnet. Il propose également une vidéo constituant un POC du comportement attendu de Stuxnet.

Je commenterai en première partie les découvertes et en seconde, la vidéo.

Comme vous vous en souviendrez peut-être, le but réel de Stuxnet était resté jusqu'à présent très nébuleux permettant à n'importe qui de raconter n'importe quoi mais également à des personnes plus pondérées de mettre en avant quelques points intrigants.

Résumons les découvertes récentes :

- Stuxnet ne délivrerait tout son potentiel qu'en présence de composants particuliers fabriqués par des industriels finlandais et iraniens. Ces composants agiraient sur la fréquence notamment de certains éléments de système industriels. Il est fait allusion à des moteurs et des centrifugeuses...

- Stuxnet ne "travaillerait" que sur des composants relativement rares car travaillant à des fréquences élevés à très élevés et provoquerait des modifications de fréquences sur de courtes périodes.

- les fréquences visées sont particulièrement hautes et font l'objet de régulations, ce qui permet aux experts de Symantec d'affirmer le caractère ciblé du Botnet (ce qui n'est pas nouveau mais constitue un nouvel indice).

Ces découvertes sont évidemment très intéressantes car elles permettent de faire entrer des "faits" dans le mythe Stuxnet. Au-delà de ça, je trouve que l'affirmation selon laquelle les chercheurs ont découvert la raison d'être du malware est un peu facile.

En effet, ils ont brillamment décrit le modus operandi et les conditions d'exercices du malware. Mais, si leurs découvertes permettent de restreindre les cibles potentielles (incluant des systèmes de gestion des installations nucléaires à priori car ceux-ci utiliseraient des composants fonctionnant sous ces fréquences), on n'a pas une cible définitive ou un scénario unique ou encore une motivation claire. Et il n'est pas sur que cela soit découvert !



La vidéo présentée ici se veut une preuve de concept du fonctionnement de Stuxnet. Pour les non-technophiles ou techniciens, les précisions suivantes peuvent suivre. Pour les autres, ce ne sera pas très utile.

=> L'ordinateur équipé du logiciel représente le vecteur d'infection des système industriel. Équipé de Windows, le ver utilise les vulnérabilités du système d'exploitation pour s'introduire dans la machine et contaminé une application spécifique, celle qui permet de configurer les systèmes de gestion des matériels industriels.

=> le boitier de gauche représente le système SIEMENS en cause. Il s'agit d'un système électrique de régulation d'un processus industriel quelconque, ici l'injection de l'air dans un gonflement.

=> le gonfleur de ballon représente le composant industriel à proprement parler, celui qui agit directement "dans la réalité" :)

Scénario :

1/ Dans un premier temps, l'opérateur configure (sur l'ordinateur windows) le matériel de gestion en entrant les valeurs importantes. Ici, c'est le nombre de secondes de gonflage mais pour Stuxnet, ce serait des valeurs cibles de fréquence de rotation à priori.

2/ Il télécharge le code sur le composant de gestion et met celui-ci sous tension. On observe que l'ordinateur n'est plus utile. Le gonflage s'effectue dans la limite des paramètres indiqués.

3/ L'opérateur infecte volontairement sa machine (le passage avec la console en vert et noir en mode "matrix"..) en exécutant un malware de même type que Stuxnet. Si, ici, l'opérateur l'exécute directement, en réalité, le malware s'exécute automatiquement en utilisant des vulnérabilités diverses sur la machine et des vecteurs d'infections comme les clés USB ou un réseau local.

4/ l'opérateur configure à nouveau le composant de gestion, comme dans la première étape et télécharge à nouveau ce code. Mais, ici, le malware s'est introduit dans la "boucle" et va agir directement sur le composant de gestion.

5/l'infection, invisible dans toutes les phases, va alors modifier le comportement du gonfleur et faire exploser le ballon...OUPS !

Le POC reste très intéressant car même simpliste, il permet de visualiser le fonctionnement du malware et d'en déduire quelques parades.

En résumé donc, des informations intéressantes mais je n'y vois pas de "breaking news" justement...Mais on m'accusera sans doute encore d'être un esprit chagrin :D

Source :

http://www.symantec.com/connect/blogs/stuxnet-breakthrough

mardi 9 novembre 2010

Organiser sa LID !

Organiser sa LID, lutte informatique défensive, reste un exercice complexe tant en termes techniques qu'en termes d'organisation.

Quels sont les outils de la défense contre les agressions informatiques ? On peut penser, par exemple, et sans prétention d'exhaustivité à : Firewall, antivirus, sondes de prévention d'intrusion, filtrages divers et variés, corrélation des logs....

Cependant, pour la pertinence du propos, je retiendrai une différence, contestable évidemment entre Sécurité des SI et "défense informatique" ou LID. Pour moi, la SSI est un phénomène continuel d'amélioration de la sécurité des SI, sécurité que l'on comprend au travers du trigramme DIC pour Disponibilité, Intégrité et Confidentialité.

En revanche, la Lutte Informatique Défensive relèvera ici des actions, réactions, outils et processus permettant de gérer les évènements de sécurité informatique et plus particulièrement les crises, les problèmes, les attaques....

Pourquoi cette distinction ?

Tout d'abord, il est vrai que je lui trouve une certaine pertinence et ce, de façon tout à fait personnelle. Plus simplement, elle est aussi contenue dans le titre d'un récent RFC, le RFC 6045 intitulé Real-time Inter-network Defense. Ce post est ainsi basé sur une analyse par un spécialiste des RFC qui nous en donne les grandes lignes.

Un RFC, pour "Request For Comments" est un standard publié par l'IETF, principale organisme de standardisation de la Gouvernance Internet. On lui doit de nombreuses normalisations de protocoles et solutions au sein desquels la sécurité est souvent bien prise en compte.

Une des problématiques au cœur de la sécurité, et de la défense informatique, repose notamment sur les capacités d'interaction entre les acteurs concernés. Par exemple, en cas d'attaques par déni de service, il faut pouvoir réagir rapidement auprès de son hébergeur ou son opérateur pour mettre en place des mesures permettant d'atténuer l'effet du déni de service (par exemple, diriger le trafic vers "nul part").

Coordonner ses réactions demande donc un échange d'informations le plus efficace et structuré possible. C'est alors ici que l'on se place sur un terrain de réaction et donc, pour moi, de LID et c'est là que ce RFC intervient.

Ce RFC créé ainsi un nouveau format de message et de requêtes adressés automatiquement aux différents acteurs impliqués dans une attaque informatique. Une série d'échanges RID sera donc capable d'alerter les acteurs, de demander des interventions et de suivre, en temps réel, les actions réalisées pour mettre fin à l'attaque. Destiné à faciliter les échanges, le protocole présent donc à la fois un fort taux de standardisation (format XML) mais également de larges capacités de transmission de l'information (on peut transmettre un paquet litigieux dans son ensemble).

Destiné à être relativement automatisé, RID peut réagir visiblement à la fois à une détection humais comme automatique. Le RFC le positionne ainsi au sein des organes (techniques) de gestion des réseaux et des solutions de gestions des incidents. On dénombre ainsi 6 requêtes RID distinctes :

- Requête de recherche d'une source de l'incident auprès d'un opérateur : on émet ainsi plusieurs fois cette requête pour arriver à la source

- Requête d'investigation si la source est identifiée

- Un envoi d'informations sans requête associée

- Une requête sur les détails d'une attaque connue mais pas forcément subie (pour tenter de la prévenir au cas où on serait victime une vulnérabilité identique)

- Deux requêtes permettant de transmettre les résultats intermédiaires ou finaux.

Bien évidemment, la sensibilité de tels échanges supposent des solutions de communications sécurisées (authentification mutuelle, chiffrement...).

L'intérêt de RID porte sur plusieurs points :

=> C’est un RFC donc un standard qui a été partagé par les acteurs du Net. Par exemple, celui-ci a été porté par un collaborateur de la société EMC, bien connu dans le monde de l'hébergement informatique. S'il est adopté largement comme c'est le cas de nombreux protocoles et sa "cible" finale, il fournira un cadre générique d'échange d'informations et de pratique de sécurité partagée. Il suppose cependant que les sociétés et organisations mettent la main à la pâte et l'acceptent et il peut donc également "tomber à l'eau".

=> C’est un protocole relativement technique adapté à la LID en tant que telle, ce qui reste tout de même assez rare et donc très intéressant.

=> c'est un protocole qui semble savoir dépasser la technique pour prendre en compte des pratiques de gestion de crise et d'attaque informatique, ce qui en fait quelque chose de grande valeur.

Librement inspiré de l'article produit par www.bortzmeyer.org, j'ai essayé de mettre en exergue les qualités et le contexte d'application d'une telle solution. Nul doute que de telles approches apportent beaucoup à la "cyberdéfense" et qu'elles pourront apporter beaucoup à ceux qui se préoccupent de lutte informatique.

Source :

http://www.bortzmeyer.org/6045.html

lundi 8 novembre 2010

Brève diplomatique

Ce blog a déjà mis en exergue la dynamique enclenchée par les Etats-Unis, consistant à signer des traités de sécurité avec des pays alliés incluant notamment la cyber-sécurité.

L'exemple le plus connu reste les "rounds" de négociation entre Etats-Unis et Russie car il est le plus emblématique. On n'oubliera pas les négociations avec le Canada dont ce blog s'est fait l'écho.

Désormais, on retiendra aussi qu'une telle démarche a été enclenchée avec l'Australie à l'occasion d'un voyage d'Hillary Clinton. La responsable de la diplomatie américaine a ainsi amené le dialogue sur le sujet de la sécurité globale incluant la cybersécurité.

Il semblerait que les USA aient désormais parfaitement intégré, à tous les niveaux, la dimension "cyber-warfare", c'est à dire la diversité des modalités d'action existant en matière de guerre informationnelle.

Source :

http://news.xinhuanet.com/english2010/world/2010-11/06/c_13594238.htm

vendredi 5 novembre 2010

Information en vrac...

Edit : l'ANSSI, qui a participé à l'exercice européen de lutte informatique, a publié un communiqué de presse que je vous laisse découvrir

http://www.ssi.gouv.fr/site_article262.html


================================================================================

L'information est peu dispendieuse aujourd'hui : il y en a beaucoup !

=> James Clapper, directeur de la "national intelligence" aux Etats-Unis, est une sorte de coordinateur du renseignement. Son rôle est notamment d'optimiser le rôle des nombreuses agences de renseignement américaines.

Il a annoncé que son département allait mettre en oeuvre un "national intelligence cyber manager" dont le rôle ne serait pas d'assurer, en tant que tel, la "cybersécurité" mais bel et bien d'apporter les pratiques de renseignement dans le cadre de cette démarche.

On connaissait déjà l'existence d'un Open Source Center opéré par la CIA dont le rôle était le recueil et l'analyse du renseignement en source ouverte. Il semble désormais que les multiples problèmes posés par Wikileaks, aient conduit à l'émergence de cette fonction.

Il semblerait que son rôle soit notamment d'équilibrer les besoins d'échanges d'informations avec la sécurité et de permettre une meilleure intégration du cyberespace dans les pratiques de renseignement mais également une meilleure transversalité de la gestion de l'information...A suivre...

=> La République du Myanmar, ou la Birmanie, a vu ses accès Internet fortement diminués par une attaque de type déni de service. Le site Arbor Networks en a fait une analyse mais peu d'information sont encore disponibles. On notera tout de même que les flux ont atteint des niveaux de 10 à 15 Gbps, ce qui n'est pas rien !

A suivre également pour de plus amples analyses même si déjà, plusieurs articles pointent du doigt la motivation politique...

=> L'ENISA, agence de sécurité informatique de l'Europe, a concocté un scénario de lutte informatique en partenariat avec plusieurs responsables européens (comme l'ANSSI par exemple).

Ce premier exercice européen reste cependant modeste face à la série d'exercices américains "Cyberstorm" et ne traite ainsi pas des questions d'infrastructures critiques. Il semble cependant qu'un des objectifs soit la résilience des réseaux.

Evidemment, et un peu tristement, les détails de Cyber Europe 2010 restent largement confidentiels. Cela dit, Cyberstorm 3 n'a pas non plus tout dévoilé, ce qui parait tout à fait légitime !

On compte 22 participants européens avec en plus, l'Islande, la Norvège et la Suisse.

A suivre également...

Je clos ici ce bulletin d'information sur le monde de la "cyber-défense" !

Source :

http://www.spyworld-actu.com/spip.php?article14086

http://www.bbc.co.uk/news/technology-11696249


http://fcw.com/articles/2010/11/02/geoint-clapper-cyber-role-dod-budget.aspx


http://threatpost.com/en_us/blogs/massive-denial-service-attack-severs-myanmar-internet-110310

jeudi 4 novembre 2010

Cyber Command : Opérationnel !

Un communiqué de presse nous apprend que l'US Cyber Command est désormais complétement opérationnel.

Basé à Fort-Meade, au même endroit que la NSA, il est commandé par le Général K. Alexander également chef de la NSA.

La collaboration de ces deux organisations fait sans doute hurler les partisans des théories de la conspiration mais elle présente toutefois une logique séduisante, la NSA fournissant l'expertise et le Cyber Command la stratégie et le cadre d'emploi.

Rappelons que la mission officielle, appuyée par les déclarations de son commandant en chef, reste la défense et la préservation des réseaux militaires américains.

Cependant, de récentes évolutions relayées par ce blog tendent à montrer que cette unité pourrait être "forcée" de protéger également les réseaux civils. Le manque de cohérence restant perturbant, il paraissait cependant évident qu'une telle démarche était de rigueur !

Enfin, le volet offensif reste peu abordé même si la posture des USA en la matière a toujours été que la défense comportait un volet offensif prononcé.

Le Cyber Command, qui a fait couler beaucoup d'encre, est placé sous le commandement de l'US Strategic Command, unité stratégique de très grande importance pendant la guerre froide et la course au nucléaire.

Source :

http://www.defense.gov/releases/release.aspx?releaseid=14030


http://www.wired.com/dangerroom/2010/11/it-begins-militarys-cyberwar-command-is-fully-operational

mardi 26 octobre 2010

Contre-vérités sur les botnets...

Les botnets sont actuellement parmi les menaces les plus sérieuses sur Internet. Leur capacité à se répandre sur de très nombreuses machines et l'aspect "couteaux-suisses" les rend en effet très dangereux.

Généralement, les botnets présentent des architectures relativement similaires autour de 3 composants principaux :

- un composant de réplication : le rôle de celui-ci est d'assurer la plus grande et la meilleure réplication du vers suivant les objectifs du concepteur. Clés USB, mails...peuvent être des intermédiaires efficaces en la matière. Il est automatisé.

- un composant de prise de contrôle : souvent composé de l'exploitation d'une faille, connue ou non, ce composant est également automatisé. Son objectif est d'acquérir un niveau de contrôle élevé sur la machine afin de pouvoir initier le composant de réplication, se maintenir dans la machine mais également de mettre en place l'ensemble des fonctions qui pourront être utilisées ou déclenchées par la suite

- un composant de direction et de gestion : ce composant est également appelé "Control & Command" ou "C&C&". Ce composant n'a pas vocation à être automatique car il est utilisé par le concepteur du ver pour effectuer toutes les opérations : mise à jour des composants, exploitation des machines infectées (spam, DDoS...)...

J'imagine que les lecteurs déjà familiers avec ces notions auront tiqué devant les simplifications abusives mais j'espère que les autres auront suivi.

La littérature trop simpliste de la cybersécurité alarmiste attribue fréquemment la paternité et la responsabilité de ces botnets à nos amis chinois ou russes. Une analyse simpliste des IP révélant en effet de nombreuses adresses attribuées à ces zones.

Cependant, une analyse récente de Damballa montre une répartition très intéressante des serveurs de contrôles :



Vos esprits aiguisés auront remarqué que les 4 premiers pays hébergeant le plus de ce type de serveurs sont : UK, USA, Allemagne et France...Ces statistiques très intéressantes permettent de formuler quelques hypothèses :

=> la cybersécurité alarmiste n'est pas très maligne : facile mais ça fait du bien

=> le niveau de compétence en sécurité informatique/hacking reste très élevé dans les zones décrites. Il suffit pour cela de voir les niveaux atteints lors des conférences spécialisées. Si les "White Hat" (oups..je simplifie encore..désolé) sont si bons, alors les "Black Hat" doivent l'être également...

=> A contrario, il est un fait avéré que le niveau de sécurité est très bas en Inde mais également en Chine (cf. le taux de pénétration de Stuxnet). Le manque de moyens couplé au peu d'intérêt direct pour la sécurité a permis le développement de nombreux groupes cybercriminels qui profitent également du très fort taux de pénétration de l'informatique dans ces pays notamment en Inde et Russie mais également avec une très forte croissance en Chine.

=> il reste également possible que ces C&C soient réellement créés par des groupes étrangers cités souvent en exemple. Cependant, si j'étais chinois ou russe, l'Inde serait plus tentant que les pays européens qui disposent quand même d'une culture en sécurité plus élevée.

Résumons :

Fait 1 : les C&C sont aux USA, en France, en Grande-Bretagne et en Allemagne

Fait 2 : ces pays comportent de très bons éléments visibles en sécurité informatique et donc, très certainement en piratage.

Fait 3 : les pays comme la Chine et l'Inde sont des proies tentantes.

Conclusion : nous sommes sans doute plus que responsables dans la création et la dissémination des botnets.

Ces quelques faits, éléments d'analyses et hypothèses sont bien évidemment contestables. Ils éclairent cependant d'une lumière nouvelle le monde de botnet et de la cybercriminalité et contribuent à nous délivrer des fantasmes simplistes chinois ou russes.

Source :
http://blog.damballa.com/?p=897

jeudi 21 octobre 2010

Army Cyber Command (ARCYBER) lancé !

Nouvel entrant dans la chaine de commande "US/CYBER", l'ARCYBER est l'entité appartenant à l'US Army (Armée de Terre américaine) qui exercera dorénavant les fonctions de protection des réseaux informatiques de l'US Army.

Cette entité se veut l'exacte réplique des unités appartenant à la Navy (Fleet Cybercom ou USAF Cybercom). A ce titre, elle est également assujettie et placée sous le commandement stratégique de l'US CYBERCOM.

Parmi les localisations finales évoquées pour cette entité se trouve Fort Meade qui abrite déjà la NSA et l'US CYBERCOM. D'autres lieux ont été évoqués comme Fort Belvoir, VA.

En termes d'organisation, le nouveau commandement sera composé de plusieurs unités et notamment : Army Network Enterprise Technology Command, le 9th Signal Command et certaines unités du 1st Information Operations Command/Land.


Source : http://fcw.com/Articles/2010/10/20/Cyber-Defense-Army-Cyber-Command.aspx?Page=1

lundi 18 octobre 2010

R.I.P. pour l'indépendance de la cybersécurité américaine !

Elle n'aura pas fait long feu cette indépendance de la cybersécurité. Malgré les dénis répétés du Commandant en chef de l'US CYBERCOM, les militaires américains disposent désormais d'un "droit de regard" sur la cybersécurité américaine dans son ensemble...

Pourquoi et Comment?

Le "comment" est relativement simple : il s'agit d'un accord entre deux ministères d'envergures aux Etats-Unis : le Départment of Homeland Security ou DHS et le Department of Defense ou DOD.

Cet accord prend la forme d'un MOA ou Memorandum of Agreement portant sur la cybersécurité.

Il est disponible librement sur le sites du DHS conformément aux draconiennes lois sur les publications publiques des Etats-Unis.

On notera que ce document reste court et concis et ne doutons pas que certains protocoles d'accords plus opérationnels demeurent sous le sceau du secret. Rien de plus normal !

Voilà pour le "comment". Le "pourquoi" est évidemment plus intéressant.

En effet, m'intéressant régulièrement aux publications et à la littérature spécialisée outre-atlantique, j'ai pu constater que le DHS bénéficie d'une mauvaise presse en matière de SSI et qu'il fait figure de mauvais élève.

Par ailleurs, malgré les moyens remarquables mises en oeuvre, nos alliés ont réalisé qu'aucune organisation ne disposait à l'heure actuelle des capacités importantes (et sans doute parfois fantasmées) de la NSA.

Cenpendant, cette organisation est loin de faire l'unanimité et a une emprise incontestable sur toutes les questions de sécurité informatique au sein de l'administration des Etats-Unis. L'actuel dirigeant de l'ICANN, Rod Beckstrom, ancien chef de la National Cyber Security Division, avait en effet rapidement démissionné de ce poste arguant justement de l'insupportable main-mise de l'agence sur toutes ces questions.

C'est ainsi que le document prévoit la mise en place d'un agent de liaison du DHS, en poste permanent à la NSA bien qu'exclu de la chaine de commandement opérationel de l'agence (Point 3). Cette coopération s'étend d'ailleurs aux questions des achats, des choix technologiques ou encore de l'identification des menaces.

Cette association sera matérialisée par un Directeur du DHS ainsi que par d'autres personnels. Le Directeur en question aura également l'opportunité de représenter le DHS auprès du Cyber Command dont on connait les liens ténus avec la NSA (même Commandant et même localisation géographique). Ce personnage-clé de l'accord aura également un rôle très fort de "synchronisation" et de valorisation du lien entre les deux organisations ainsi que la divulgation précoce des menaces dans le cadre du partenariat public-privé.

Du côté de la NSA, cet individu sera accompagné par un alter-égo qui prendra en charge notamment toute les questions matérielles et il en est de même au niveau de l'US CYBERCOM.

La lecture de cet accord m'oblige toutefois à revoir mon avis premier. En effet, il parait légèrement disproportionné en faveur du DHS. Celui-ci dispose en effet d'une personnalité-clé à qui la NSA et le CYBERCOM réfère sans cesse et apporte leur expertise.

Par ailleurs, l'apport de l'expertise reste relativement unilatéral : des éléments de coopération du CYBERCOM et des services cryptographiques de la NSA seront en effets transférés et localisés dans les locaux du NCCIC : National Cybersecurity and Communications Integration Center.

On est donc en présence d'un accord qui, à priori, tente de préserver les pré-carrés de chacun des "ministères" tout en reconnaissant l'urgent besoin du DHS en matière de compétences de pointe en sécurité informatique.

Par ailleurs, on remarquera que le "sens" de la collaboration révèle un souhait de préserver les réseaux et systèmes informatiques américains "civils" de "l'intrusion" du DoD et donc limiter la main-mise des militaires dans les réseaux civils.

Cet accord, bien que public et limité vis-à-vis de ce que sera son application réelle, révèle donc un souhait de préserver un statu-quo. Déséquilibré par nature, il donne au DHS plus de pouvoir pour gérer la coopération et les échanges. Mais sans compétences réelles, il n'en reste pas moins que c'est bien la NSA qui apporte ses savoir-faire et non pas l'inverse...

Les Etats-Unis auraient-ils ouvert la boite de Pandore ???

Source : http://www.dhs.gov/ynews/releases/pr_1286984200944.shtm

Stuxnet...un échec d'amateurs ?

Je vous invite à lire cette analyse de Stuxnet : http://www.darkreading.com/blog/archives/2010/10/stuxnet_an_amat.html

On y trouve en effet ce qui me semble être une analyse mesurée des aspects non-techniques du ver. En effet, certaines analyses ont pu être faites par des auteurs plus ou moins compétents techniquement (on dira avertis en matière d'informatique) mais très juste en matière de stratégie ou d'opérations militaires.

Cette approche, au contraire, se fonde sur des faits communément admis : les 4 0-Day, la composante vers et la composant industrielle...mais revoit les actions du ver à l'aune d'une véritable stratégie militaire.

Et l'auteur, israélien, de conclure et d'espérer qu'un tel "fiasco" ne relève pas des services de son pays car dans le cas contraire, ce serait quelque peu triste quant à leurs capacités à mener des opérations clandestines, ou discrètes, de haut niveau.

Une vision rafraichissante...

vendredi 15 octobre 2010

Informations en vrac...

Quelques informations intéressantes que je tiens à partager avec vous avant un we bien mérité après une salaire de galères et de grèves...

1/ Michael Chertoff, ancien secrétaire d'Etat au Department of Homeland Security, a pu faire une magnifique déclaration lors d'une conférence organisée par RSA. Il a ainsi appelé à la création d'une doctrine de cybersécurité qui s'inspirerait de la doctrine nucléaire des USA.

A croire que les USA ne savent plus que jurer par le nucléaire en oubliant les impossibilités irréductibles d'une application simple, ou non, de la notion de dissuasion nucléaire au cyberespace !

Si j'étais mesquin, je dirais qu'avec de telles pointures dans le domaine, les USA ne sont pas prêts de réduire les soi-disant milliers d'attaques quotidiennes subies par le Pentagone...

2/ Un peu dans le même ordre d'idée, un des directeurs du Government Communications Headquarters ou GCHQ, l'équivalent de l'ANSSI chez nos amis britanniques, a apporté des éléments assez intéressants dans un discours public, le premier prononcé par un directeur en exercice.

Iain Lobban a ainsi affirmé qu'il relevait du devoir du pays de se doter des capacités de défenses contre les attaques informatiques. Sans aller jusqu'à affirmer être en train de développer des capacités de lutte informatique offensive, il a également déclaré que la Grande-Bretagne devait être capable de dissuader les états ou les groupes terroristes de mener de tels opérations contre les systèmes britanniques.

Décidément, la dissuasion est à la mode. On reconnaitra toutefois que la communication et le fait de "montrer ses muscles" sont des moyens déjà existants de la dissuasion : on ne peut faire peur que si on est effectivement craint ! Et pour cela, il faut pouvoir démontrer ses capacités.

Au-delà de cet aspect déclaratoire, on peut rester sceptique sur la capacité d'un pays à dissuader un groupe terroriste, déjà prêt à se sacrifier, de mener des attaques informatiques...sauf à penser que si ledit groupe mène justement de telles attaques, c'est qu'il n'est plus vraiment prêt à se sacrifier...à voir...

3/ Selon une source relativement laconique, les 27 pays européens devrait mener un exercice de cybersécurité le mois prochain...

Pas plus d'informations pour le moment mais cela reste une étape très intéressante de prise en compte de la problématique au niveau européen.

Voilà pour aujourd'hui :)

jeudi 14 octobre 2010

Infrastructures vitales et cybersécurité - Dialogue

Charles Bwele (Électrosphère), un des animateurs du site d'analyses stratégiques Alliance Géostratégique a eu la gentillesse de me proposer un dialogue ouvert sur le thème des infrastructures vitales.

Nous vous proposons donc de prendre connaissance des résultats de cet échange, publiés sur le blog Alliance Géostratégique.

Ce dialogue se veut ouvert, sans parti-pris et nous l’espérons, le plus intéressant possible. Comme d'habitude, vos commentaires sont les bienvenus !

Bonne lecture !

INFRASTRUCTURES VITALES ET CYBERSECURITE

mardi 12 octobre 2010

L'Inde et son OS : un passage obligé ?

Aujourd'hui, nous apprenons que l'Inde a décidé de publier son propre système d'exploitation afin de garantir une meilleure sécurité, une plus grande indépendance vis-à-vis des grandes oligopoles du logiciel et une meilleure maitrise de sa souveraineté.

L'Inde n'est pas la première et ce blog a communiqué sur les initiatives russe, chinoise et nord-coréenne.

On peut donc se demander si un tel effort est un passage obligé pour garantir sa souveraineté...Petite analyse pour et contre !

POUR :

=> Il est vrai qu'un tel développement assure une réelle maitrise de l'ensemble du logiciel et des composants. Il est donc un facteur de souveraineté et de sécurité dans le sens où on évite les pièges des matériels et logiciels sur étagères (contrefaçons, pièges, backdoors...)

=> Au-delà d'une maitrise conjoncturelle, ce type d'approche envoie également une signal fort en termes militaire ou de défense. Il permet également d'enclencher un mouvement global de maitrise de l'information qui commence par les OS pour aller jusqu'aux applications spécifiques, aux matériels..bref à l'ensemble des composantes de "l'informatique".

=> Economie : même si on ne mesure pas entièrement les capacités à faire des économies, il y a sans doute des gains réels en matière économique à initier une telle démarche. Cependant, cela reste à prouver définitivement.

=> Interopérabilité : cet aspect apparait ici car aujourd'hui, la plupart des standards permettent de conserver de bons niveaux de communication et d'échanges avec de nombreux partenaires : réseaux, mail, documentation...

CONTRE - on dira plutôt que ce sont des points où il faut porter son attention :

=> Qualité/Sécurité : avec 50 ingénieurs, selon les données transmises, il parait très délicat de développer un système d'exploitation plus performant, sécurisé et efficace que certains systèmes Linux ou Unix. Les communautés du libre étant à la fois passionnées, parfois intransigeantes, et très larges, il parait impossible pour ce groupe d'ingénieur d'avoir les même standards de qualité et de sécurité

=> Liberté/Ouverture vs. fermeture : les articles affirment que ce logiciel sera développé en secret et donc totalement fermé.

Or, aujourd'hui, il est illusoire de penser qu'un tel système, à partir de sa mise en production, voire avant, restera totalement secret. L'Inde n'est pas renommée pour ses capacités à sécuriser l'information ! On peut donc se douter que rapidement, ce système sera mis à l'épreuve par les pirates pour en déceler les failles.

De plus, les logiciels libres ont cette capacité d'amélioration infinie car ils sont testés par tous les passionnés et sont donc dans une dynamique d'amélioration. Un logiciel fermé, par nature, ne bénéficiera pas de cette capacité de tests et de corrections.

On peut, bien sur, imaginer que les développeurs indiens utiliseront, comme les autres pays, les résultats et production du logiciel libre. Mais même si certains composants sont sécurités, c'est l'architecture du système, la sécurité de certains composants spécifiques, les effets collatéraux ou encore la sécurité de l'ensemble qui bénéficiera pas du regard de la communauté.

On croirait presque, à me lire, que je suis contre une telle démarche. Il n'en est rien car je pense vraiment qu'une industrie de qualité couvrant l'ensemble des "couches" informatiques est un vrai plus aujourd'hui pour la maitrise stratégique.
Cependant, après réflexions, il apparait qu'il existe des obstacles non négligeables dans un tel développement et que certaines déclarations simplistes ne seront jamais suivies d'effet !

Source :

http://www.pcinpact.com/actu/news/59784-inde-developper-systeme-exploitation-ferme.htm


http://www.spyworld-actu.com/spip.php?article13957

lundi 11 octobre 2010

De l'usage du juste vocabulaire !

Trop souvent, nous autres analystes n'abordant les aspects techniques qu'à la marge, omettons l'usage du juste mot pour désigner un phénomène ou un évènement.

S'il est vrai que ce blog et son auteur évitent le plus possible les approximations ou encore, évitent de coller du "cyber" partout, je crois pouvoir dire que ce n'est pas toujours le cas.

Ainsi en est-il des "catastrophistes" qui confondent la modification brutale de l'aspect d'un site web (défaçage) avec une attaque informatique susceptible de causer un désastre...

A cet égard, un récent rapport réalisé par la société MANDIANT semble apporter une analyse très intéressante. J'avoue ne pas avoir lu le rapport mais seulement la synthèse croustillante de Security Vibes qui détaille rapidement les étapes principales d'une intrusion ou d'une attaque informatique "générique".

En effet, selon l'effet final recherché, la physionomie de l'attaque peut différer à bien des niveaux mais la trame principale est en effet très intéressante car elle s'appuie sur des données "réelles" extraits des analyses post-attaques (forensics) effectuées par ces spécialistes.

Je vous laisse donc profiter, lire au moins la synthèse, sinon l'intégralité du rapport !

Source: http://www.securityvibes.com/community/fr/blog/2010/02/09/autopsies-dattaques-cibl%C3%A9es

mardi 5 octobre 2010

Le Canada se dote d'une stratégie de cyber-sécurité

Récemment publiée, la Canada’s Cyber Securit y Strategy fait entrer le pays dans un club encore assez restreint des pays mettant en avant une stratégie indépendante vis à vis du cyberespace.

Quoique relativement courte, un peu plus de 15 pages, cette vision est intéressante car elle définit une position officielle et autonome du Canada que l'on évoquait, jusqu'ici, plus comme partenaire des USA que comme pays autonome en matière de cyber-sécurité.

Ce document, dont ce blog annonçait la venue il y a quelques mois, concrétise donc des efforts de réflexion attendus.

Quels en sont les points saillants ?

=> Une définition du cyberespace intéressante mais restrictive. Elle se focalise sur l'espace créé par l'interconnexion des réseaux et les informations qui y circulent. Cette définition prend en compte la dimension du cyberespace en prenant en compte les 1,7 milliards d'internautes, le fait que 60% des Canadiens déclarent leurs impôts en ligne ou encore que 67% d'entre eux l'utilisent pour les services bancaires.

=> Quelques données chiffrées : le chiffre d'affaires des ventes en lignes représente 62,7 milliards de dollars canadiens et près de 90% de l'activité commerciale se feraient en utilisant en partie Internet.

=> On apprend également l'existence du Canadian Cyber Incident Response Centre, sans doute le CERT-Canadien.

=> Le Canada considère avec justesse l'évolution de la menace dans la stratégie, ce qui n'est pas si commun. Ainsi, le vol d'identité est très largement pris en compte par la stratégie qui lui donne une place inédite jusqu'ici.

Très justement, la stratégie analyse les 4 facteurs-clés de succès des attaques informatiques à l'heure actuelle : peu chères, assez facile, efficiente, peu risquées.

A cela, il faut ajouter une prise de position forte : les attaques ciblées et les plus pernicieuses ne peuvent relever que des états. Or, cela n'a pas été prouvé car il existe de nombreux groupes criminels ou plus inclassables possédant aujourd'hui des capacités extensives de nuisances par la création de malwares de qualité. Le malware "Zeus" en est un des exemples!

Cependant, si cette stratégie met en avant le poids important de l'aspect militaire ou stratégique des attaques informatiques, elle n'est pas une doctrine militaire. Celle-ci sera visiblement publiée par la suite (ou conservée secrète) et sera le fruit d'une réflexion des autorités militaires canadiennes.

L'analyse de la menace se conclut par une approche équilibrée qui prend garde à ne pas oublier les très grandes capacités des groupes cybercriminels ou les terroristes. Concernant ce dernier sujet, le document se montre prudent en évoquant les utilisations traditionnelles (propagande, organisation, recrutement) mais évoque également l'utilisation d'internet à des fins de perturbations plus profondes (ex. : des OIV comme cibles).

=> La stratégie retenue est tripartie : protéger les systèmes gouvernementaux, inciter et collaborer pour assurer la protection des systèmes non gouvernementaux mais critiques, aider les citoyens à se protéger.

1/ La protection des systèmes gouvernementaux passe par une définition claire des rôles et responsabilités de chacun. La plupart des grands ministères se voit désigné pour une ou des tâches précises.

- des lieux communs : le Treasury Board aura ainsi une responsabilité globale de mise à niveau de la sécurité. La Police Montée assumera une fonction d'investigation en ce qui concerne la cybercriminalité...

- des nouveautés : le ministère des affaires étrangères aura pour rôle de coordonner une "cyber security foreign policy" ce qui reste relativement rare dans les expressions publiques des stratégiques "cyber" tout comme la référence directe aux rôles endossés par les services de renseignement.


2/ La protection des infrastructures critiques sous-entend des formes de partenariats publics-privés. Il est intéressant de constater que le diagnostic reste identique : après tout, le Canada aurait pu conclure que cette protection doit relever uniquement du secteur public par exemple.

En revanche, le Canada semble se focaliser sur les aspects économiques alors que les approches récentes, en France par exemple, intègrent les infrastructures vitales (eau, énergie, transports...) et leur dépendance à l'informatique ainsi que l'interpénétration des réseaux. Cette dimension semble moins perceptible dans l'approche canadienne.

3/ La protection des individus est mis en avant comme renforçant la sécurité globale du pays. A cet effet, le Canada se met en ordre de bataille pour ratifier la Convention de Budapest sur la cybercriminalité.

Par ailleurs, la Police Montée aura la possibilité de créer un Integrated Cyber Crime Fusion Centre permettant la prise en compte des spécificités de la lutte contre la cybercriminalité.

Conclusion : cette stratégie dont la concision et la clarté sont étonnantes au premier abord révèle toutefois un équilibre et une rare complétude. Parmi ses idiosyncrasies, la volonté d'avoir une approche interne/international intégrée et la notion de "communauté de sécurité" où la responsabilité appartient à tous, simple utilisateur, entreprises et gouvernements. D'un autre côté, l'aspect militaire parait très léger alors qu'il est bien plus prégnant ailleurs (comme en France) ainsi que la dimension informatique des infrastructures critiques.

Cette stratégie n'est pas sans rappeler le document "National Strategy To Secure Cyberspace" publié aux Etats-Unis en 2003.

Source :


http://isc.sans.edu/diary.html?storyid=9661&rss


http://www.publicsafety.gc.ca/prg/em/cbr/ccss-scc-eng.aspx