jeudi 29 décembre 2011

Cyberdissuasion ou cyber dans la dissuasion

La "cyber-dissuasion" est un sujet épineux et âprement discuté. Bien souvent, les bons connaisseurs de la technique en voit uniquement l'aspect "réalisation" et insistent sur le caractère technique et irréaliste de ce type d'approche.

Et si le sujet était mal posé ? Et si le prisme était, pour une fois, trop technique ? Et si nous abordions les choses par le mauvais angle ?

C'est ayant à l'esprit ces question que j'ai proposé à l'auteur des Lignes Stratégiques de répondre à quelques questions. L'interview a été publié et demeure donc disponible à l'adresse suivante de l'Alliance Géostratégique.

Pour ma part, cela a pu faire profondément évoluer mon point de vue et j'insiste sur la nécessité d'aborder tout cela avec un esprit curieux et ouvert et surtout, pluridisciplinaire. En effet, il faut bien considérer que la dissuasion est une affaire complexe : technique, politique/diplomatique mais également militaire (dans le sens pur de l'affrontement et du conflits) et psychologique.

Pour donner un aperçu à ceux qui diraient que la dissuasion dans le cyber n'a pas de sens, n'oublions pas, par exemple, que la dissuasion n'est plus...dissuasion lorsqu'elle est réalisée ! L'usage des armes de la dissuasion est justement l'échec du système...

Source : dans le texte


vendredi 23 décembre 2011

Cyber Coalition 2011 - Exercice (encore)

Contrairement à ce que j'écrivais, l'année 2011 a connu un autre exercice, dans le cadre de l'OTAN cette fois-ci et appelé Cyber Coalition 2011. Celui-ci n'est pas le premier puisqu'on retrouve des tels exercices depuis au moins 2008.

29 états ont participé à cet exercice organisé autour d'un scénario mettant en avant un contexte difficile d'intervention multilatérale dans un pays connaissant des conflits ethniques et religieux (disclaimer oblige : "tout ceci n'a rien à voir avec la réalité et même si c'était le cas, ce n'est pas de notre faute") et donc les acteurs intentent des attaques sur les réseaux.

Notez également le très bon résumé de l'ANSSI qui en la matière représentait la France.

Je profite de ces derniers messages de l'année pour remercier mes lecteurs et vous souhaiter à tous de très bonnes fêtes de fin d'année !

mercredi 14 décembre 2011

Analyse du "Blueprint for a Secure Cyber Future" - DHS

Cette fin d'année, qui fut très riche en publications stratégiques diverses, est également assez intense avec des acteurs d'importance proposant leur vision. Après le Royaume-Uni, ce sont encore les Etats-Unis, plus précisément l'équivalent d'un ministère de la sécurité intérieure - Department of Homeland Security DHS - qui nous propose une stratégie.

Pour mémoire, on se souviendra que dans le découpage des responsabilités américaines en matière de défense informatique, le Pentagone a une obligation de défense des réseaux militaires tandis que le DHS a celle relative aux réseaux civils, incluant notamment une grande partie des infrastructures critiques.

Dans un tel document, d'environ une cinquantaine de pages, il est fréquent de trouver au début un résumé pratique car il contient souvent les grands axes de la stratégie que suivront les auteurs. Ce document n'y échappe pas et propose ainsi 2 domaines d'applications incluant des grands axes qui définiront les futures étapes d'application de la stratégie :

=> La protection des infrastructures d'information critiques

=> Construire un écosystème dans le cyberespace plus "fort" (entendez plus conforme aux valeurs qui sont les leurs).

Ces deux domaine reposent eux-mêmes sur des buts qui seront atteints si certains objectifs sont remplis. On rappelle donc la logique :

Domaine d'application => Buts => série d'objectifs.

Pour la protection des infrastructures critiques, la stratégie retient 4 buts principaux :

-Réduire l'exposition aux risques "cyber" et donc améliorer la sécurité

- Développer la capacité de réaction et de reprise d'activité

- Maintenir un niveau de connaissance de la situation de risque ou de crise, de manière partagée

- Augmenter la résilience

Pour l'évolution de l'environnement cyber :

- Augmenter la capacité des individus et des organisations à agir de manière sécurisée dans le cyberespace

- Faire évoluer vers une sécurité accrue les outils et protocoles communs qui fondent justement le cyberespace

- Construire des communautés de collaboration

- Mettre en place des processus transparents.

Le nouvel écosystème proposé devra présenter les caractéristiques suivantes :
- Les risques des NTICs sont compris et maitrisés par les utilisateurs

- Les organisations et les individus appliquent au quotidien les bonnes pratiques et les standards de sécurité et de respect de la vie privée

- Les identités des organisations, individus et réseaux sont clairement établies et authentifiées
- Les fonctions de sécurité sont inhérentes au système et inter-opérables

- Des fonction de réponse automatique sont mises en place ainsi que des indicateurs, de machine en machine, afin de répondre aux problématiques de sécurité


Comme on l'évoquait plus haut, les buts de ces domaines d'applications sont soutenus par une série d'objectifs.

Dans la suite de cet article, on présentera surtout les objectifs en relation avec les buts et domaines afin de comprendre essentiellement la structure de cette stratégie.


Différents éléments nouveaux, à mon sens, sont à noter :

La reprise d'une forme de contrôle de l'Internet qui semblait être peu ou prou "abandonnée" par les Etats-Unis. On ne cite ni l'ICANN ni aucun autre organisme classique de normalisation technique ou générique de l'Internet mais la notion de "leadership" dans les organismes de standardisation est claire.

C'est également vrai pour le développement d'un modèle de sécurité inter-opérable qui tend, peut-être, à créer un "bon" et des "mauvais" modèles...La crainte est alors de ne plus disposer d'un environnement si riche, prolifique et créateur en la matière.

La notion "d'authentification de l'identité" est à lier, d'après moi, au document présentant un nouveau modèle de gestion de l'identité par Howard Schmidt. L'équilibre entre la nécessité de confiance dans certaines relations (commerciales, administratives) et celles liées à la protection de la vie privée et d'un certain anonymat n'est pas très clair.

L'évolution des pratiques de partage de l'information a encore récemment fait l'actualité aux Etats-Unis et constitue un vrai enjeu. A cet égard, le retour d'expérience sera sans doute intéressant car, comme il a été évoqué, des fortes contraintes existes et pèseront sans doute sur la bonne volonté des acteurs.

On concluera par l'exposé d'une réelle innovation à mon sens. Trop souvent, l'entreprise est décrié pour sans manque de gestion de la sécurité ainsi que l'utilisateur ("le problème est entre la chaise et le clavier"). Il me parait très intéressant qu'un des objectifs de cette stratégie soit de redonner à l'utilisateur une forme de responsabilité de sa sécurité en accentuant les aspects "pratiques" et "éducatifs" des outils de sécurité fournis. C'est peut-être là que réside la plus grande innovation de ce document.

Source :

http://www.dhs.gov/files/publications/blueprint-for-a-secure-cyber-future.shtm

mardi 13 décembre 2011

Exercices informatiques depuis 1997

A lire dans le "Journal du Net", des extraits du dernier ouvrage de Daniel Ventre. En particulier, on retiendra une liste complète des exercices connus concernant tous les problématiques de crise informatique ou encore celles de lutte informatique.

Publication du "Blueprint for a Secure Cyber Future" - DHS

Le DHS, Department for Homeland Security vient de publier un document concernant les perspectives de sécurité dans le cyberespace.

En attendant une analyse plus approfondie, certains éléments sont déjà discutés sur Internet.


jeudi 8 décembre 2011

United Kingdom Cyber Security Strategy 2011 - 2ème partie

Dans un précédent article, nous débutions l'analyse de cette stratégie établie par le Royaume-Uni. Plusieurs points étaient retenus en guise de conclusion :

=> une analyse de deuxième niveau qui montre semble-t-il une certaine maturité

=> l'analyse et l'actualisation des menaces et risques se réfèrent justement à l'actualité sans tomber dans l'instantanéité

=> les concepts de sécurité évoluent profondément notamment avec la présence renforcée de l'ensemble des acteurs et une référence forte aux usages.

Le 4ème chapitre nous apprend que le livre blanc anglais relatif aux questions de défense et de sécurité (Strategic Defence and Security Review) a également consacré certains développements au cyber et à ses problématiques ainsi qu'un budget d'environ 650 £ répartis sur 4 ans au sein d'un programme dénommé National Cyber Security Programme (NCSP).

Le diagramme présenté ci-dessous et qui définit la répartition des budgets au sein de ce programme illustre d'ailleurs les priorités retenues mais également le large éventail des composantes de la "cyber-défense" : on y trouve la criminalité mais également les questions de sécurité des systèmes d'informations de l'état ainsi que la part réservé aux services de sécurité.

Ce dernier chapitre révèle également une liste de priorités déjà évoquées ci-dessous ainsi que des éléments relatifs à la création d'unités complémentaires : le Global Operations and Security Control Centre, localisé à Corsham, et dont le travail sera notamment d'assurer la sécurité informatique pour les armées avec d'éventuels éléments qualifiés de "proactifs".

Autre point intéressant, la fonction "publique" de la protection des infrastructures vitales est réalisée par le The Centre for the Protection of National Infrastructure auquel sera associé un "cyber security hub" permettant notamment des échanges entre les secteurs public et privé afin de partager des informations essentielles en matière de cyber-défense.

Retenons que les anglais, bien que recrutant des "hackers" ne semblent pas faire étalage de leur capacité offensive sauf à lire entre les lignes. Pour autant, ceux-ci disposeront d'un organisme de formation adossé au GCHQ, la "pointe de diamant" de la lutte informatique. Cet institut disposera d'un budget d'environ 2 millions de £ sur un peu plus de 3 ans.

En matière de lutte contre la cybercriminalité, la référence pudique à l'utilisation des compétences de "cyber-specials" interroge la notion d'emploi des "ex-pirates" reconvertis. Des programmes de sensibilisation des plus jeunes ainsi que de nombreuses autres mesures démontrent l'investissement en matière de formation des utilisateurs. La Convention de Budapest aurait été ratifiée et semble devenir un instrument de choix dans le traitement à l'international de la question.

En matière de refonte du cyberespace, l'ONU est également impliquée car elle accueille un groupe d'experts dédié au sujet qui devra trancher certaines questions. C'est également le cas de l'IUT. Il est intéressant de noter la référence à un partenariat priviligié entre le Royaume-Uni et la France sur ces questions ainsi que des références sibyllines dont la cible demeure inconnue : "Develop new bilateral relationships on cyber with those emerging powers that are active in cyberspace." Les "pouvoirs" ici peuvent autant désigner des "mouvances" comme l'hacktivisme avec qui pourtant, en raison de l'absence de "centre", il parait délicat d'entretenir de réelles relations, que des Etats dont la présence sur Internet peut constituer un "poids" politique considérable dans ces discussions.

Il serait inutile de continuer ainsi sur le dernier chapitre qui reprend toutes les mesures permettant "d'implémenter" les 4 objectifs décrits. Les mesures en questions sont d'ailleurs largement développées et déclinées en actions relativement claires, ce qui renforce la crédibilité et la maturité de cette stratégie. Pour une lecture plus efficace, les annexes proposent une version en tableau des objectifs/Mesures/Actions.

Nous n'irons pas plus loin dans l'analyse de cette stratégie qui présente un certain nombre d'éléments caractéristiques. Notons tout de même qu'il ne s'agit pas vraiment ici de doctrine ou d'une approche "défense et sécurité" classique car celle-ci semble aller bien plus loin en intégrant de nombreuses dimensions qui lui donne un caractère global.

Ces dimensions sont autant spécifiques au cyberespace et aux éléments de sécurité : rappel du rôle de l'utilisation, lutte éclairée contre la cybercriminalité, développement des capacités et compétences...qu'aux approches classiques en relations internationales. En effet, à bien y regarder, tous les acteurs ont été identifiés et trouvent une place dans cette stratégie : on a donc bien une approche très large qui, pour le moment, laisse penser qu'on est en présence d'une des vision les plus aboutie...Reste à voir la réalisation !

Source :

http://www.cabinetoffice.gov.uk/sites/default/files/resources/uk-cyber-security-strategy_0.pdf

mardi 6 décembre 2011

Cyber-ExerciceS 2011 : suite et sans doute fin

L'heure est décidément aux exercices de sécurité et de lutte informatique avec plusieurs acteurs majeurs mettant en place ce type d'action :

- l'US CyberCom a lancé un exercice de grande ampleur de type "Red Flag" baptisé "CyberFlag" sur le site de Nellis Base qui héberge justement les fameux exercices.

Classiquement composé d'un "capture the flag" si l'on peut dire avec une équipe en attaque et une seconde en défense, les résultats demeurent confidentiels.


- D'un autre côté, l'IUT, associé à IMPACT que ce blog a déjà évoqué, ont également lancé un exercice impliquant plusieurs pays dont des états asiatiques, ce qui demeure relativement rare pour le moment dans les exercices de ce type.

3 types d'attaques ont été utilisées : spam, diffusion de malwares et déni de service dans cet exercice impliquant plusieurs pays : Vietnam, Birmanie, Laos et sans doute Malaisie.

On connait le tropisme particulier de l'IUT qui développe sous la présidence de Hamadoun Touré un activisme surprenant pour la prise en compte des éléments de lutte informatique et "cyber attaque" au sein de son organisation.

Source :

Nuntius Belli - Theatrum Belli - Laissez un message !

Le site Theatrum Belli qui traite des questions de sécurité et de défense a lancé une initiative dédiée aux soldats en opérations, surtout en Afghanistan...

Il ne s'agit pas de politique ou je ne sais quoi mais d'un simple message à envoyer pour les Noël notamment et ceux qui la passent loin de chez eux...

On pourrait me rétorquer qu'il y a plein de causes à défendre, plein de gens malheureux etc etc...Et je suis bien d'accord. Mais c'est mon choix alors pas de débats inutiles s'il vous plait.

=======================================================

Le binôme de NUNTIUS BELLI (Pascal Dupont et Stéphane Gaudin) reste sur la brèche pour Noël 2011.

Lecteurs de TB, prenez 10 minutes de votre temps pour écrire un message de soutien (10-15 lignes) à nos soldats en Afghanistan (directement à partir du formulaire ci-dessous).N'hésitez pas à impliquer vos amis, vos collègues de travail ou d'association, votre comité d'entreprise...Nous comptons sur vous !

Vos messages seront imprimés puis envoyés par colis sur le terrain pour Noël.L'objectif est de pouvoir distribuer un message par soldat (soit près de 4000 messages différents). Un défi réalisable !

Exemple : chaque maire de France pourrait déposer un message (et pourquoi pas des membres des conseils municipaux). Cela serait perçu comme un vibrant témoignage du lien armée-nation. D'autant plus que la Défense était présente au salon des Maires et des Collectivités locales du 22 au 24 novembre.

Vous pouvez également adresser un message audio (MP3) que vous pouvez envoyer à contact@theatrum-belli.com ou bien une lettre, un dessin d'enfant, une carte postale à l'adresse suivante :THEATRUM BELLIc/o Pascal DUPONT23, Rue de Bellevue88110 Raon l’Étape

PS : Nous rappelons que soutenir les troupes françaises ne signifie pas forcément soutenir le choix politique de leur déploiement. Il s'agit d'un geste citoyen et fraternel en dehors de toute considération politique.

Opération NUNTIUS BELLI : Pour leur 10e Noël, envoyer votre message de soutien aux soldats français en Afghanistan

1293703724.png

lundi 5 décembre 2011

United Kingdom Cyber Security Strategy 2011

A l'instar de nombreux autres pays et alors que ses services annoncent un recrutement de "hackers", le Royaume-Uni publiait récemment une mise à jour de sa doctrine de cyber-sécurité. La précédente datait de 2009 et est disponible également.

Ce texte est particulièrement intéressant car il s'agit d'une première remise à jour d'une doctrine de sécurité déjà établie. C'est une forme de "seconde génération" de doctrine de sécurité dans le cyberespace.

Cette stratégie est établie jusqu'à 2015, ce qui fait du Royaume-Uni, le premier état à considérer l'amélioration continue (bonne pratique de SSI !) un des moteurs de sa stratégie. A cette fin, elle établit un budget lié, d'environ 650 millions de Livres Sterling, sur la même durée et établit la "menace" et la problématique du cyberespace dans les 3 plus importantes.

Elle définit également 4 objectifs principaux :

=> Renforcer la lutte contre la cyber-criminalité par la création, notamment, d'une National Crime Agency qui travaillera au-delà de la question cybercriminelle mais constituera une entité unique pour toutes les questions criminelles complexes de ce type.

=> Renforcer sa résilience contre les cyber-attaques : on sent plus la prégnance du diplomatico-stratégique ici, c'est à dire d'une adresse aux Etats alliés ou non, agences de renseignements et autres.

=> Participer à l'évolution globale du cyberespace vers un domaine plus et mieux contrôlé offrant des meilleurs garanties de sécurité pour les usagers.

Comme en 2009, la stratégie établit un objectif transverse relatif aux compétences et acquisition technologique et, à mon sens, commet une erreur en mélangeant moyens et objectifs. D'autant qu'elle prononce ensuite une liste de moyens classiques, relativement génériques au demeurant, parmi lesquels :

=> le renforcement du partenariat public-privé
=> l'établissement de relations privilégiées avec les FAI à des fins de sécurité
=> une meilleure coopération internationale
=> un renforcement des capacités de défense autour des entités déjà connues (GCHQ par exemple).

En poursuivant, nous découvrons le premier chapitre consacré aux l'évaluation des modifications économiques induits par le développement de l'usage des NTICS : consommation, éducation mais aussi économies pour les états...

Un second chapitre traite ensuite des menaces évolutives, qui constituent très certainement une des causes de ce renouvellement et de l'évolution de cette stratégie. Considérant sa structure, on peut même plutôt y voir une forme de mise à jour, ce qui serait cohérent avec la description d'une stratégique au sens classique. Celle-ci constitue un ensemble d'objectifs avec un certain délai : il ne serait pas logique de les voir changer chaque année.

En revanche, un ré-examen de la situation de la menace ou, plus généralement, de l'environnement, plus régulièrement permet de procéder à des ajustements et reste tout à fait pertinent vis-à-vis d'une démarche que l'on imagine plus longue et complexe.

Comme attendue, l'analyse de la menace est très intéressante. Elle reprend les problèmes sous-jacents (pas de sécurité dans l'architecture du Net) ainsi que les acteurs classiques et leurs atteintes communes, cybercriminels et cybercriminalité.

En revanche, lorsqu'elle s'attarde sur l'aspect terroriste, c'est bien pour mettre en avant l'aspect logistique et communication offensive. Tout en préservant la question des attaques sur les infrastructures, la stratégie n'en fait pas pour le moment le problème le plus important.

En bonne place figure également la mouvance "hacktiviste" qui a été cette année particulièrement au centre des attentions avec des attaques de perturbation, sur la réputation. Les menaces par les services de renseignement étrangers sont également abordés sans distinction particulière.

Si le document évoque des exemples récents avec la montée des mobiles/malwares et le cas de Sony, elle n'oublie pas des éléments plus délicats à aborder : la préservation des valeurs du pays dans un environnement d'échange ou encore la problématique des normes de demain qui feront, il est vrai, une bonne part des vulnérabilités du futur.

De manière assez étonnante dans ce chapitre se trouve également des éléments sur l'accès à Internet pour le public, en particulier dans le contexte du "printemps arabe", et la nécessité de posséder un corpus partagé de principes, droits et textes juridiques concernant le cyberespace.


Le 3ème chapitre décrit les grands principes de la mise en application des 4 axes de cette stratégie. A l'instar de l'approche allemande, que l'on avait critiquée lors de sa parution, il semble que la vision "risque" soit inhérente à cette stratégique. Malgré tout, il semble que cette stratégie conserve une vision très politique des choses qui dément cette vision "risk approach". Et ce n'est pas plus mal...Voici les principes retenus :

=> une approche fondée sur la coopération avec le secteur privé mais également à l'international
=> un équilibre entre sécurité et droits de l'homme, qui n'est pas forcément nouvelle mais résonne des préoccupations actuelles.
=> une protection axée sur 3 rôles principaux

- utilisateur : sensibilisation, conscience...Cela passe par apprendre à protéger des mots de passe ou encore faire des mises à jour
- entreprise : protection des savoir-faire, production de services et offres de sécurité...
- gouvernement : construire le cadre juridique, éducatif, se préoccuper des menaces de haut-niveau, participer aux évolutions internationales...

Afin de simplifier la lecture, nous arrêterons là l'analyse et proposons une suite dans un second article, voire un troisième. Voici donc un premier élément de conclusion.

Que peut-on retenir des premiers éléments de cette stratégie ?

Tout d'abord, on retiendra qu'elle se situe dans la droite ligne de la précédente et si elle semble en hériter quelques défauts, elle marque par une forme de maturité. Ainsi, l'analyse de la menace est équilibrée tout en restant globale et à jour.

La prise en compte de l'actualité ne dissimule ainsi pas, à la lecture, des tendances plus profondes et des analyses très pertinentes comme la question des valeurs et des droits de l'homme ou encore la place du droit.

Enfin, on notera une considération élevée et intéressante de la sécurité qui replace l'utilisateur au centre de ses usages tout en conservant au hautes-instances des rôles d'expertise et de régulation. Il n'est plus question donc d'un simple effet d'annonce sans un contexte intellectuel construit.

A suivre donc...

Source :

vendredi 2 décembre 2011

Cyber Intelligence Sharing and Protection Act of 2011

MAJ

Selon un récent article, cette coopération se ferait au travers d'un organisme "tampon" dénommé National Information Sharing Organization (NISO). Il semblerait aussi que des inquiétudes aient été émises par divers parties concernant une augmentation des pouvoirs d'acquisition d'information notamment de la NSA. C'est tout le problème de ce type d'action afin de partager l'information...

======================================================
La publication et la proposition de ce projet de loi aux Etats-Unis devraient interpeller tout ceux intéressés par le partenariat public-privé.

En effet, dans l'environnement incertain du cyberespace, il parait évident à tous que les secteurs publics et privés doivent coopérer afin d'améliorer la sécurité, en particulier en échangeant des informations sur les attaques en cours ou à venir.

Si cela semble incontestable, il n'en demeure pas moins que diverses difficultés existent et en particulier la protection des informations et de certains secrets qui ne doivent pas tomber entre toutes les mains.

Lorsqu'ils sont "confinés" dans les instances spécialisées des gouvernements, ces informations sont sans doute mieux protégées (quoiqu'on puisse en douter avec les démêlés de Wikileaks). Le partage d'information doit donc être encadré et s'inscrire dans un cadre légal cohérent et c'est ce que propose ce fameux projet de loi.

Le système semble même aller plus loin puisque les entreprises seront incités à collaborer de manière anonyme et sur une base volontaire. Les informations recueillies devront être partagées par l'ensemble des acteurs sous peine de créer des distorsions de concurrence. Enfin, le système évoque même la possibilité de "punir" des entreprises qui auraient négligé d'agir afin de se protéger contre les attaques dont elles auraient été averties par ce système.

Il est à noter que ce système constitue une forme de réponse, qui n'est sans doute pas la première, à cette problématique semble-t-il complexe. Toutefois, l'on peut se demander si la complexité n'est pas humaine plus que technique (au sens juridique/procédures) car la notion même de coopération "en-dehors" est absolument étrangère à tous les acteurs :

- en ces temps de rudes concurrences, une entreprise aura tendance à souhaiter la chute de ses concurrents...

- on imagine quand même assez mal les discrets services de sécurité proposer des informations aux entreprises quand ce serait aussi leur révéler des méthodes, des intérêts ou encore des capacités

Bref, c'est un peu une révolution culturelle qui est demandée ici et on se demande si un "simple" projet de loi sera suffisant.

lundi 21 novembre 2011

De "l'art opératif" en matière de cyber-opérations...

Dans un article précédent, il était fait allusion à un rapport soumis par le Département de la Défense américain au Congrès et précisant certains éléments relatifs aux publications stratégiques émises plus tôt dans l'année par le DoD.

Ce rapport est désormais disponible, et en voici les éléments marquants. Tout d'abord, le document rappelle sa référence, en la matière la fameuse "Department of Defense Strategy for Operating in Cyberspace" qui fait du cyber un espace d'affrontement au même titre que les autres tout en maintenant également la qualité de "démultiplicateur" de force". Ce point n'est pas forcément étonnant si l'on considère les espaces maritimes ou aériens qui, de par la liberté (haute-mer / haute atmosphère) sont autant des espaces de conflits que des espaces favorisant nombre d'actions des Etats.

Là où cependant le document apporte quelque chose, c'est sur le renouveau des concepts et doctrines nécessaires à l'intégration du "cyber" dans les opérations (peut-on parler d'art opératif ou autre ici ???) et à cet égard, le rapport qui nous est fourni ici nous apporte des précisions que nous déplorions dans le document de stratégie.

Ces éléments sont présentés sous la forme de 13 problématiques clés qui seront reprises ici. Notons toutefois que le document place, et c'est important tout action dans le cyber dans le cadre classique des opérations : une autorité, des missions claires et le respect des lois internes, internationales.

1- La posture déclarée de cyberdissuasion dans le cyberespace dans le contexte actuel.

Cette première problématique est à lire avec circonspection : en effet, il y est bien noté que la poste de dissuasion n'est pas si claire et évidente que cela car non seulement les USA sont très vulnérables selon leurs dires mais que les adversaires ont tout avantage à les attaquer tout en étant moins vulnérables eux-mêmes dans le cyberespace...C'est une petite révolution.

Ainsi, il est ré-affirmé que les modalités de réponses sont multiples et qu'elles interviendront dans le cadre de la dite "légitime défense", ce qui nécessite de caractériser l'attaque mais aussi de l'attribuer, ce qui demeure un point crucial dont le rapport fait état. Ainsi, il est noté que si les éléments de dissuasion faisaient défaut, la réponse pourrait être militaire et très…réelle.

Par ailleurs, et pour mémoire, notons une définition formelle de la dissuasion retenue ici :

- empêcher un adversaire d'attaquer une cible
- lui présenter les risques et coûts relatifs à une telle attaque entendus ici comme "représailles".

Précisons aussi que cette forme de dissuasion n'est entendue que dans un cadre légal et global, international qui doit conduire à adopter en commun, avec des alliés, des codes de conduites et autres normes.

Ce paragraphe sur la dissuasion est à prendre comme tel : un changement relativement important dans la considération des possibilités offertes par cette voie.

2- Préserver la capacité d'action du Président en cas de crise d'envergure.

Ce paragraphe constitue presque une forme d'adresse, ce qui tendrait à prouver que ce rapport constitue un avertissement à d'autres pays en précisant les termes des doctrines précédentes, plus théoriques.

Il est ainsi clairement écrit que tout état qui songerait à amoindrir la capacité d'information, décision et action du Président et des éléments décisionnels des USA prendrait un risque conséquent. A cela s'ajoute la possibilité de réponse, cyber ET/OU autres, à ce type d'attaque.

A cet égard, le rôle des entités de sécurité et de renseignement ainsi que celui du Cyber Command sont mis en avant et clairement établis.

3- Comment assurer une effectivité de la cyber-dissuasion

Un paragraphe en lien avec le premier mais qui mérite son propre développement. Le DoD considère bel et bien que la problématique de l’attribution demeure la question cruciale et se propose d’y répondre en 3 points relatifs au forensic, à la centralisation/partage des informations et aux « canaux auxiliaires »…

Il s’agit d’assurer une forme de corrélation des traces à l’échelle du Département de la Défense afin de faciliter le travail de ses éléments « forensiques ». Par ailleurs, des éléments de détection basés sur le comportement doivent être développés ainsi que des moyens de lier localisation physique et virtuelle. Bien que la tâche demeure particulièrement complexe et puisse paraître démentielle, n’oublions pas que, bien souvent, c’est le comportement des cybercriminels qui les fait attraper et que des éléments de lien physique-virtuels existent déjà (ex. les Google cars).

4- Ce paragraphe n’est intéressant qu’à un point mais d’importance : les USA ont la capacité de mener des opérations offensives dans le cyberespace pour se défendre ainsi que des alliés même si la preuve implique de déclassifier des documents sensibles.

5 – Ce point insiste sur la nécessité de maintenir une transparence dans le cadre de telles opérations notamment pour éviter des débordements en cas d’attaques. Ici semble être concerné le cas où un pays peut devenir un intermédiaire involontaire dans le cas d’attaques contre les USA : les réponses doivent être prévues, concertées et surtout il faut être transparent. Cette problématique est à mettre en corrélation avec le point 10 qui caractérise la « bonne attitude » du pays ainsi concerné.

6 – Ce point, encore une fois, se résume à une information de taille : il existerait des règles d’engagement, développées dans le cadre dit classique des opérations militaires mais concernant strictement la défense des réseaux.

7- Ici, il faut avouer que la question est presque stratosphérique : il est en effet annoncé que les Etats-Unis considèrent sérieusement la problématique de la considération de l’intrusion, à des fins de renseignement dans des réseaux étrangers et que cette intrusion soit considérée comme un acte hostile. Comme on le signifiait plus haut, ce rapport résonne comme une adresse aux alliés et adversaires potentiels et ce caractère semble ici à nouveau présent sans que l’on puisse clairement déterminer son destinataire.

8 et 9 sont relatifs aux échanges d’informations et coopérations non seulement avec le Congrès mais également avec les alliés proches et ceux de l’OTAN.

11 / 12 / 13 - Ces points concluent l’exposé des problématiques auxquelles sont confrontées les Etats-Unis en insistant sur les armes mais également sur la définition de l’acte de guerre. On en retiendra 3 points :

- De manière générale, le droit existant, que ce soit en matière d’armes ou de conflits, suffit et doit être appliqué

- - En matière d’acte de guerre, il semble qu’il y ait là un aveu d’impuissance mais également une forme de pragmatisme car le rapport déclare que la qualification d’acte de guerre relèvera en fin de compte de la décision et de la considération par le Commandant en Chef, donc le Président.

- - Bien qu’une cyber-arme soit encore quelque chose de non communément défini, le caractère dual est présent dans tous les esprits : cela ne constitue pas un obstacle à l’application du droit international…

En guise de conclusion, le rapport insiste sur la nécessité de maintenir de fortes capacités d’analyse et de modélisation. Passé relativement inaperçu, ce document est néanmoins particulièrement intéressant à plusieurs titres et apporte des informations relativement nouvelles ne serait-ce que par leur aspect déclaratif.

dimanche 20 novembre 2011

Comment former un "cyber warrior" ?

Un ton provocateur et humoristique pour annoncer une information intéressante relative aux programmes de formations des forces armées américaines concernant le domaine informatique et notamment "cyber".

On apprend ainsi que l'Air Force dispose de plusieurs modules de formation du "Undergraduate cyber training" au "Mission Qualification Training". Le premier concerne des formations relativement basiques tandis que le second apporte les formations et qualifications nécessaires à ceux qui seront affectés dans des unités dites de "network warfare".

L'Army (Armée de Terre) et l'USMC paraissent moins portés sur les questions de lutte informatique au contraire des questions plus orientées "sécurité" : réseaux, systèmes ou encore satellites et autres.

Enfin la Navy propose aussi des programmes délibérément orientés comme le "Center for Information Dominance" qui propose des cours de sécurité mais également des éléments plus avancés comme de la cryptographie et ou des compléments dans le domaine.

En résumé, on peut donc constater la richesse des formations proposées, qui doivent être associées, à des éléments moins connus comme il se doit. Notons aussi que, dans la lignée de ses actions précédentes, l'USAF est particulièrement avancée suivi par la Navy.

Source :

http://fcw.com/articles/2011/11/28/feat-military-cyber-training-side-overview.aspx?m=1

mercredi 16 novembre 2011

Infos en vrac : ICANN, OTAN & DoD

Quelques informations en vrac pour cette semaine, de source très différentes et sur des sujets variés :

=> Le gouvernement américain a lancé un appel d'offres pour la fonction IANA de l'ICANN. Pour les néophytes de la gouvernance internet, cette fonction, représentée par un ensemble de services, assure le coeur des services de gouvernance à vocation technique : prise de participation dans la gestion de la racine, interface avec les autres acteurs, maintien des référentiels...

Cela dit, et comme le montre les termes de l'accord, aucune rétribution n'est à attendre de cette fonction et les candidats doivent être américains. Autant de raisons qui font dire aux acteurs et observateurs que le marché est biaisé...De plus, et au-delà de la seule préservation des intérêts américains, l'ICANN semble être le destinataire essentiel de l'appel d'offre entendu que sans cette fonction, l'organisation est dépossédée d'un de ses deux coeurs de métiers...Le second, découlant du premier, étant d'assurer une coordination des processus et acteurs de la gouvernance internet

http://www.lemonde.fr/technologies/article/2011/11/14/la-racine-du-net-soumise-a-un-appel-d-offres_1603342_651865.html

=> Proposé par le blog de D. Ventre, econflicts.blogspot.com, une information dévoilée par un des dirigeants de l'Alliance Atlantique révèle que l'Agence semble être à la recherche d'une harmonisation et d'une stratégie de cyber-défense plus intégrée. Le Maj. Gen. Patrick Fermier, directeur des C3, aurait ainsi évoqué le renforcement des capacités de l'OTAN, éventuellement sous un commandement unifié...A suivre !

http://defensesystems.com/articles/2011/11/10/agg-nato-coordinated-cyber-defense.aspx?admgarea=TC_CYBER&m=1

=> Enfin, proposée par un lecteur de ce blog qui se reconnaîtra et que je remercie ici, une information selon laquelle le Pentagone aurait remis un nouveau rapport au Congrès précisant les éléments de stratégie dévoilée plus tôt dans l'année. Ce blog avait insisté sur les aspects flous et peu précis de ce texte et il semblerait que ce rapport soit justement là pour préciser certains aspects et notamment l'intégration de la composante cyber dans les opérations militaires américaines et dans la planification...Sur ce sujet, et sur le traitement par les forces armées américaines de ces sujets, je vous renvoie au Cahier N°2 de l'Alliance Géostratégique dans lequel ces éléments sont abordés. L'intégration de la capacité offensive, et sa reconnaissance, semble désormais appartenir à part entière aux outils des militaires américains bien que certaines règles d'actions semblent encore poser nombre de questions.

http://www.washingtonpost.com/national/national-security/pentagon-cyber-offense-part-of-us-strategy/2011/11/15/gIQArEAlPN_story.html


Source : dans le texte

dimanche 13 novembre 2011

Nouveau blog dédié aux cyberconflits

A suivre le nouveau blog Econflits, animé par Daniel Ventre sur les sujets habituellement traités par cet auteur...

Présenté en anglais, il proposera également des textes d'auteurs moins connus de la blogosphère franco-française dédiée à ces sujets..

A ajouter dans vos reader, blogrolls et autres !

http://econflicts.blogspot.com/

lundi 7 novembre 2011

Exercice Cyber Atlantic 2011

Pour ceux qui auraient été complétement dépourvus de connexion Internet ces derniers jours, il est à signaler la tenue d'un exercice de lutte informatique commun entre les Etats-Unis et plusieurs pays d'Europe : Cyber Atlantic 2011.

Premier du genre amenant les Etats-Unis à participer à un exercice pan-européen, cet exercice se fait également sous l'égide de l'ENISA (l'agence européenne de SSI) et se situe dans la droite lignée des exercices précédents Cyber Europe (notamment en 2010).

Selon les quelques éléments sur le sujet, l'attaque aurait mis en jeu une suite d'éléments souvent dénommés sous le vocable APT. Pour mémoire, ce type d'attaque, très commune à l'heure actuelle, utilise de manière intelligente une suite d'exploits dont la technicité n'est pas forcément très élevée. Les failles organisationnelles et vulnérabilités intrinsèques font le reste...Une attaque à l'heure du temps donc...

Source : http://www.zdnet.fr/actualites/l-europe-et-les-etats-unis-s-entra-nent-a-contrer-les-cyberattaques-39765379.htm#xtor=EPR-100

jeudi 3 novembre 2011

Des avis contradictoire sur la Chine

Des récents éléments d'un rapport sur la Chine, paru aux Etats-Unis, impute des attaques survenus sur des satellites américains aux techno-guerriers de l'Empire du Milieu.

Les éléments en question semblent issus d'un rapport préparatoire rédigé pour une commission as hoc du Sénat américain dont le pouvoir n'est plus à démontrer. Cette commission, dénommée "UU.S.-China Economic and Security Review Commission.S.-China Economic and Security Review; Commission" se concentre comme son nom l'indique sur des questions de sécurité

Ces éléments affirment donc que deux satellites, à vocation géologique et d'observation, auraient subi des problématiques de transmission et de parasites à plusieurs reprises en 2007 et 2008. L'affaire fut suffisamment importante pour susciter des enquêtes.

S'il semble que les problèmes rencontrés par les satellites aient été confirmés par plusieurs sources, leur attribution à la Chine est encore une fois le réflexe premier. A nouveau, en l'absence de preuves concrètes, l'on est amené à douter de ces assertions et à se demander si une forme, avouée ou non, de théorie du complot ne permet pas aux Etats-Unis de diaboliser un adversaire afin notamment de se persuader d'un danger, sur lequel ce blog ne se prononce pas, afin de démontrer l'utilité de certaines branches de l'administration. Rappelons aussi que les négociations budgétaires sont tendues outre- atlantique et les coupes franches dans le budget du Pentagone font l'objet de tractations intenses.

Pas d'angélisme non plus pour autant, la Chine est très certainement un acteur dont l'importance est croissante ces dernières années et qui prend une place prépondérante. Un ami disait ainsi, il se reconnaîtra, que le 21ème siècle débuta réellement lorsque l'Europe fit appel aux pays émergents dont la Chine (sic) pour sauver sa structure monétaire. Doté d'un appétit féroce qui s'explique aussi par un retard technologique et des pressions démographiques fortes, il n'est pas étonnant de constater une réelle forme d'agressivité du pays...

Pour autant, il est important de relativiser, ce que fait, semble-t-il, intelligemment, un rapport publié par un auteur australien qui apporte un œil neuf sur la Chine.

Ainsi, ce document relève plusieurs points dont la portée dans la réflexion semble notable.Selon lui, la Chine peut avoir mener des opérations informatiques offensives : cela n'en fait pas pourtant un adversaire extraordinairement talentueux. Au contraire, c'est plus une position défavorable, c'est-à-dire des connaissances et compétences encore inférieures à celles de l'occident qui semble pousser à une stratégique préventive d'attaques dissimulées dans le but de s'évaluer, d'évaluer les capacités des autres et de s'améliorer. Une application du principe voulant que la meilleure défense soit l'attaque...mais que celle-ci n'est pas forcément frontale ! Après tout, le but est de survivre, pas de briller.

De plus ajoute le rapport, les systèmes chinois ne sont pas moins vulnérables et les dirigeants semblent en avoir conscience. L'auteur semble ici indiquer la véracité des allégations de ces dirigeants sur les attaques et vulnérabilités dont sont victimes les chinois : elles constituent une des raisons majeurs pour lesquelles ceux-ci sont si proactifs en matière d'offensive.

On me répondra pourtant que les attaques sont monnaie courantes et que certaines semble avoir été profondes ou complexes ou encore très réussies. A cela, on pourrait répondre, comme le fait le rapport, que les attaquants exploitent tout d'abord une vraie dépendance des pays avancés à ces technologies.

Pour aussi avancés qu'ils soient, nos pays maîtrisent pourtant mal la sécurisation de leurs systèmes comme le montre nos récents articles ainsi que toutes les récentes attaques. Ainsi, la plupart des experts demeurent consternés par la médiocrité des attaques qui utilisent des "trucs" connus depuis longtemps et des vulnérabilité dont la persistance pourrait valoir nombre de licenciements à ces responsables...

Pour résumer, selon le rapport, les chinois sont encore en retard pour plusieurs années dans le domaine de l'information warfare. Pour autant, ils ne sont pas dénués de toute capacité mais celles-ci, relatives, fonctionnent mieux dans un mode préventif que réactif ou de grande ampleur (cas d'un conflit à composante informatique forte). C'est surtout nos défaillances et nos faiblesses, associées à notre très forte dépendance, qui leur permet de faire fonctionner leurs outils et de leur donner un tel retentissement/efficacité.

Cette opinion discordante dans le bruit ambiant fournit matière à une réflexion intéressante. Elle a le mérite de fournir un point de vue équilibré et une vision particulière que cet article a tenté d'expliquer. Enfin, elle a le mérite d'être global et d'intégrer l'ensemble des composantes et questions : elle nous invite à mieux réfléchir et à repenser nos modèles d'actions et d'informations.

Sources :

http://www.nextgov.com/nextgov/ng_20111031_9543.php

http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/?fp=16&fpid=1

Le rapport en question : http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf

vendredi 28 octobre 2011

Des signes d'offensive dans le cyber ? Finlande et DHS

Quelques éléments nous conduisent à interroger la notion d'offensive dans le cyberespace. En particulier deux :

- la publication par la Finlande d'une stratégie de lutte informatique aux relents offensifs

- un discours orienté de la secrétaire d'Etat du DHS, Janet Napolitano.

Dans le cas de la Finlande, il s'agit d'un document proposé par le Ministère de la Défense. Ce point peut-être intéressant car, par exemple, aux USA, il existe des documents de très haut niveau stratégique en complément de document publié par les armées. Ici, on est donc à un niveau "intermédiaire" : ce n'est pas une doctrine d'emploi mais pas non plus une stratégie nationale.

Or, ici, la Finlande ne fait pas mystère du développement de capacités offensives afin d'offrir une "Plateforme de Réponse crédible". Si l'on reprend les mots d'un officiel, celui-ci considère que la "meilleure défense demeure l'attaque" et qu'on ne peut être ni crédible ni efficace sans capacité offensive.

Il est à noter que ce document demeure un "draft" et non encore une position officielle, celle-ci étant espérée pour 2012 par les autorités. Il semble aussi intéressant de retenir que ce cheminement de pensée semble être inspiré par la Suède qui a subi en 2009 des attaques informatiques relativement importantes. Par ailleurs, la Finlande semble collaborer largement avec le CCD COE de l'OTAN situé en Estonie.

Lors d'un évènement officiel, Janet Napolitano a présenté une vision très "punchy" du futur de la défense informatique des Etats-Unis en insistant particulièrement sur le recrutement de personnalités dites de type "hackers" connaissant tout ensemble les ressorts de l'attaque et celle de la sécurisation.

Les qualifiant de "cyber geeks" (sid), elle a évoqué la problématique accrue du recrutement et des difficultés afférentes. Il n'en demeure pas moins qu'il semble que pour ces personnalités officielles, la possession de capacités offensives demeurent un pré-requis. Un ancien directeur de la NSA a d'ailleurs ajouté que selon lui, cette agence devrait se voir confier plus des responsabilités en matière de protection - notez qu'elle en possède déjà beaucoup.

Il semble ainsi que quelques indices tendent à confondre cette vision actuellement très duale de l'attaquant et du défenseur. S'il demeure vrai qu'un à un niveau très personnel, le professionnel en SSI sait la nécessité de bien connaître les modalités des attaques afin d'adapter sa défense, cela est différent pour un gouvernement.

Ainsi, le caractère spécifique des attaques, souvent dissimulées, et que l'on pourrait presque qualifier de "clandestines" renvoie à des méthodologies d'action de l'Etat souvent discrètes et que l'on ne reconnait surtout pas officiellement. Pour moi, il s'agirait d'une évolution intéressante que ces évènements matérialisent : cela peut demeurer cependant juste un épiphénomène.

Source : dans le texte

jeudi 27 octobre 2011

L'AFNIC formalise ses relations avec l'ICANN

L'AFNIC est l'entité française chargée de la gestion du ".fr" et de quelques autres domaines. Son domaine de compétence est donc une frange particulière du cyberespace au sein duquel les autorités françaises, le gouvernement, disposent de capacités de régulation et d'intervention.

Il existe donc une forme de souveraineté appliquée à cet espace défini de manière particulière (les noms de domaines ne sont qu'une partie du Net). Etant une forme d'attribut de souveraineté, les noms de domaines dits "nationaux" ou ccTLD ("country code Top Level Domains) ne collaborent que sous une forme de participation volontaire non contraignante à l'ICANN et au système de gouvernance.

A l'inverse, les gTLD, les domaines dits "génériques" comme le .com ou le .org sont gérés par des entités disposant d'une forme de délégation attribuée par l'ICANN. En revanche, la gestion opérationnelle diffère des processus de gouvernance et d'évolution du système de nommage : une structure de coopération existe au sein de l'ICANN mais les membres (des représentants des Etats) n'ont pas vocation à adhérer à tout de manière général. Autrement dit, si les pays sont obligés de collaborer avec IANA/ICANN pour des raisons de fonctionnement, rien ne les oblige à le faire pour le reste.

Aussi, il a été mis en place un principe d'adhésion ou de partenariat spécifique pour les pays qui, au cas par cas, décident, par l'intermédiaire de leur représentant de signer des accords de coopération avec l'ICANN. Ces accords prennent différentes formes et l'ICANN et l'AFNIC viennent d'en signer un. On notera que cet accord intervient relativement tardivement par rapport à d'autres pays et dans les processus de gouvernance internet.

mercredi 26 octobre 2011

ONU & OTAN : Lutte informatique et sécurité du cyber-espace

Le mois d'octobre est riche en informations liées aux problématiques de lutte informatique et de sécurité dans le "cyberespace". Ce billet se consacrera notamment à quelques-unes des dernières actions et décisions prises par l'OTAN et l'ONU dans ces matières. Ces informations sont en effet, particulièrement riche en données sous-jacentes.

Ainsi, l'OTAN a annoncé le 19 et 20 septembre plusieurs initiatives d'envergure concernant la cyber-défense. Toutes deux menées par le NC3A, une des agences de l'OTAN chargées des questions de télécommunications et informatiques (NATO Consultation, Command and Control Agency), la première vise à s'assurer le concours des industriels.

Dénommée "2012 cyber defence procurement", cette première initiative vise à répondre aux objectifs définis dans le dernier concept stratégique. Pour cela, elle s'appuie non seulement sur les besoins définis dans le document mais également sur les investissements réalisés par les Etats depuis (28 millions d'euros au moins). Ces investissements sont destinés à financer des travaux menés par les industriels de défense des membres de l'alliance dans les sujets retenus. Ceux-ci ont en effet 90 jours pour réaliser des propositions qui permettront à l'OTAN de développer les compétences attendues.

Le second projet se rapporte à un ensemble de décisions renforçant les capacités de collaboration des membres de l'alliance sur ce sujet. A cet égard, je vous conseille la lecture du document présentant la nouvelle organisation qui pourra faire l'objet d'une analyse plus poussée. Bien que moins visible à l'extérieure de l'agence, il semble que cette décision concertée des membres de l'OTAN soit de nature à profondément reformer l'organisation de cyber-défense de l'Alliance. Par ailleurs, il est notoire que l'OTAN est une entité qui produit notamment des normes de comportements et qui permet de faire cohabiter des militaires de nombreuses cultures et origines. Peut-être un "mieux" pour la "cyber-défense" ?

Plus récemment, l'Assemblée Générale de l'ONU s'attaquait à un ensemble de problèmes épineux et la première commission se penchait sur "TRAITÉ SUR LE COMMERCE DES ARMES, TEXTES TRAITANT DES ARMES À SOUS-MUNITIONS, SÉCURITÉ DU CYBERESPACE AU CŒUR DES DÉBATS DE LA PREMIÈRE COMMISSION".

Comme souvent en matière d'organisations internationales et en diplomatie, c'est au détour des lignes que l'on trouve le "croustillant"...que je propos de restituer ici (au moins celui que j'ai perçu).

Ainsi, le traitement des "armes, armes à sous-munitions" avec la sécurité du cyberespace est de nature à interroger. Mal à l'aise depuis le début avec la notion d'armes informatiques, force est de considérer que nos représentants à l'ONU semblent moins frileux...De même, la notion de "désarmement" abordée dans le texte semble tout à fait utopique dans ce contexte.

D'autres déclarations sont également intéressantes :

- celle de l'Australie, soutenue par les USA, sur l'effectivité de l'application du droit humanitaire constituant une base de départ dans les négociations de normes régissant le cyberespace. Par ailleurs, les USA ont souligné leur participation dans le cadre d'un groupe d'experts à constituer en 2012. Le représentant australien insiste d'ailleurs sur la nécessité de s'accorder sur des acceptions communes et sur la nécessité de négocier sur les différents aspects du cyberespace. Pour autant, il note que la structure actuelle de la gouvernance internet est légitime car les gouvernements ne sauraient contrôler Internet. On rappellera tout de même que les USA disposent d'un peu plus de contrôle en la matière que les autres.

- celle de la Chine qui rappelle en premier lieu qu'elle est victime de nombreuses cyber-attaques et soi-disant une des principales victimes. Dans un second temps, elle revient sur le code de conduite international relatif à la sécurité de l'information proposée avec la "Fédération de Russie, le Tadjikistan et l’Ouzbékistan".

On se rappellera que ce respect de la sécurité de l'information comporte notamment un volet relatif à l'usage de la "propagande"...Le sujet et son domaine d'application sont assez différents comme ce blog a pu déjà le montrer.

Ces quelques informations semblent bien montrer que l'activisme diplomatique demeure constant au sein des instances concernées. De même, les évolutions de l'OTAN démontrent une prise en compte croissante de ces problématiques...A voir pour l'avenir !

Source :


lundi 24 octobre 2011

Café Stratégique 10 - Stratégies dans le cyberespace

A l'appui de la récente publication du cahier n°2 d'AGS portant sur les stratégies dans le cyberespace, un café stratégique, formule désormais bien connue, est organisée afin de rencontrer un des auteurs, M. C. Bwele.

Co-fondateur de l'Alliance, passionné d'informatique, de nouvelles technologies, il est également titulaire du prix Marcel Duval pour un de ses articles sur la dissuasion dans le cyberespace.

Toutes les informations ci-dessous :



Nouvel ouvrage - D. Ventre - Surveillance et contrôle dans le cyberespace

Les questions de contrôle d'Internet et de la surveillance des télécommunications sont désormais incontournables. Où que l'on se tourne, les sujets fleurissent qui précipitent les débats :

- Au niveau national : HADOPI, LOPPSI2,

- Au niveau européen : Paquet télécom, neutralité du Net

- Au niveau mondial : main-mise des Etats-Unis sur Internet, neutralité, pouvoirs de la NSA, Gouvernance Internet

et les crises ne manquent pas non plus : Wikileaks, Anonymous, les ventes par des sociétés occidentales de matériels informatiques utilisés à des fins de contrôles dans les pays du "printemps arabe"...

C'est donc sur un sujet difficile où la polémique est reine et les avis tranchés que se sont penchés Ms. Ventre et Ocqueteau. Nul doute que l'approche claire et dénuée de facilités à laquelle nous a habitué M. Ventre saura éclairer un débat qui vire parfois à l'aigre...

jeudi 20 octobre 2011

Retour Francopol 2011

Un billet publié par M. PAGET qui travaille en tant qu'expert en sécurité informatique chez McAFEE nous propose quelques informations intéressantes.

De retour de FRANCOPOL, colloque consacré aux questions de cybercriminalité au Canada, il retranscrit certains éléments extraits des conférences. Si le sujet de la cybercriminalité est abondamment traité et fait l'objet de nombreux ouvrages, l'impression, très personnelle, que j'en retire est que l'on se consacre beaucoup à la cybercriminalité "Net-to-Net"...

Cette notation, encore une fois qui m'appartient, se réfère aux activités mettant en avant les actions criminelles perpétrées directement sur Internet : vol d'identifiants bancaires, arnaques et extorsions, ventes mensongères...Toutefois, s'il existe de nombreuses catégories de "cybercriminels", demeure la sensation que l'usage du net par la criminalité plus "classique" et pré-existante est moins bien connue...Du moins, par l'auteur de ces lignes.

M. PAGET reproduit donc, avec l'autorisation de l'auteur David Décary-Hétu, un résumé de certaines de ses recherches portant sur cet aspect de l'usage criminel du Net.

En particulier :

Pour les novices en matière de criminalité, je vous conseille quelques recherches sur les premiers noms qui sont effectivement des groupes criminels organisés connus et de dimensions importantes.

Par ailleurs, n'hésitez pas à consulter les articles et publications de cet auteur qui semble bien connaître son sujet.

Source : dans le texte

lundi 10 octobre 2011

"Wikileaks"- Executive Order du Président Obama

Texte attendu, le fameux "executive order" du Président OBAMA est un texte qui répond aux problématiques de divulgation d'information qui sont intervenues notamment dans le cadre de "l'affaire Wikileaks".

Un "executive order" est un texte équivalent à un décret du Président ou du Premier Ministre : il est pris par le chef de l'exécutif et a donc une portée très large. Il n'est pas forcément public comme en témoigne certains pris par son prédécesseur et que le Président OBAMA avait choisi de déclassifier à son arrivée.

Ce document enjoint aux administrations de s'atteler à différentes tâches afin de mieux protéger leurs secrets. En particulier, un audit ainsi qu'une révision des procédures seront obligatoires. Par ailleurs, les agences deviennent responsables des informations qu'elles créent, traitent puis partagent, créant ainsi un régime de responsabilité dont l'absence antérieure, si avérée, demeure très surprenant.

Ce texte crée également plusieurs comités, en particulier le Insider Threat Task Force dirigé par le Procureur Général (Attorney General), en pratique, le Ministre de la Justice. Ce premier comité aura pour tâche, encore une fois étonnante, de former une stratégie permettant aux agences de mieux gérer (licencier) les personnels dont la capacité à détenir/gérer des informations confidentielles semble limité.

Un second comité, le Classified Information Sharing and Safeguarding Office aura pour tâche de développer et d'entretenir une progression constante des bonnes pratiques en matière de préservation des informations confidentielles. Ce comité fournira également le personne au comité inter-agence chargé de cautionner les politiques d'échanges et de sécurité des informations.

Apparemment attendu dans la communauté de sécurité et du renseignement, cet acte présidentiel ne semble pas présenter de grandes nouveautés. Au contraire, il semble poser des bases dont l'absence d'existence antérieure laisse perplexe.

Peut-être peut-on trouver un élément de réponse à cette absence dans la dévotion des Etats-Unis envers les fonctions de renseignement. Si cette pratique nécessite une certaine dose de secret, elle a aussi besoin de nombreux échanges pour "construire" de l'information, par recoupements par exemple. Or, une des analyses du 11 Septembre, évènement traumatique s'il en est, pointait du doigt un manque de coopération des services de renseignement, notamment au niveau des échanges. L'équilibre délicat entre protection et échanges aura peut-être été plus en faveur de l'échange dernièrement avant de connaitre un certain revirement.

Notons aussi que les analyses de sécurité semblent pointer du doigt la tendance à protéger de manière périmétrique les installations et systèmes...Pour paraphraser d'autres blogueurs, la présence d'un firewall n'empêche pas aujourd'hui ces fameuses attaques en profondeur ou "APT" qui s'appuient sur la faiblesse d'un maillon interne. Il y a donc un historique lourd également sur la prise en compte tardive de la menace interne qui explique également certaines mesures de ce décret.

Source :