mercredi 30 mars 2011

De l'IP à l'Assemblée Nationale..

Lecteurs assidus, vous êtes tous au courant de la raréfaction et de la presque disparition des adresses IP de type IPv4.

Récemment, ce blog mettait en avant les "premières" transactions économiques directes concernant des adresses IP et les dérives possibles.

Fort de ma veille quotidienne, j'ai pu découvrir l'échange de questions réponses parlementaires ayant récemment eu lieu à propos des adresses IP. Qu'un tel échange ait lieu dans cette enceinte n'est pas anodin et je trouve cela plutôt très positif. Je n'en dirai pas autant de la réponse du gouvernement...

La question est posée par Mme la Député Laure de La Raudière qui n'est pas complètement une nouvelle venue dans les questions politiques et Internet. Je reproduis ici son intervention :

"Mme Laure de La Raudière attire l'attention de M. le ministre auprès de la ministre de l'économie, des finances et de l'industrie, chargé de l'industrie, de l'énergie et de l'économie numérique, sur les risques liés à l'épuisement des adresses IPv4. Internet repose sur l'interconnexion de plusieurs dizaines de milliers de réseaux qui partagent un protocole de communication commun, le protocole Internet IP, qui permet d'attribuer à chaque terminal un identifiant unique, l'adresse IP. La version la plus utilisée aujourd'hui de ce protocole, IPv4, fournit des adresses sur 32 bits, ce qui permet d'en générer plus de quatre milliards. Or selon les experts, les derniers blocs d'adresses disponibles devraient être alloués par l'Internet assigned numbers authority aux registres Internet régionaux en mars 2011. Ce problème avait été anticipé et une nouvelle version d'IP finalisée en 1998, IPv6, code les adresses sur 128 bits, ce qui permettra d'en générer un nombre inépuisable. Certes, des adresses IPv4 sont encore disponibles et il existe des méthodes, comme la translation d'adresse, permettant de continuer à faire fonctionner Internet malgré la pénurie d'adresses IPv4. Mais ces palliatifs ne paraissent pouvoir offrir ni la même qualité de service ni les mêmes potentialités en termes d'innovation et de concurrence qu'une migration vers des réseaux compatibles avec IPv6. Certains pays ont mis une obligation de compatibilité à la norme IPv6 de tous les matériels (au sens large) connectés à Internet à partir d'une certaine date. Au vu des enjeux économiques et sociétaux liés à la continuité de service de l'Internet en France, elle lui demande quelle est l'analyse qu'en fait le Gouvernement et quelles sont les mesures qu'il entend prendre à ce sujet. "

Personnellement, je suis relativement admiratif quant à cette question. J'ai noté, pour analyse, les points saillants :

- Risques liés à l'épuisement : c'est très juste et bien formulé

- 32 bits et 128 bits : on retiendra le souhait d'être juste techniquement. En revanche, coder sur 128 bits n'offrent pas un espace illimité d'adressage car il est fini. La véritable formule est "virtuellement illimité" considérant la taille de l'espace par rapport aux besoins, même énormément extrapolés.

- On note également la bonne connaissance de mécanismes palliatifs dont la formulation est juste et qui, effectivement, ne sont pas efficaces à tout point de vue et sur certains protocoles même si, avec diverses astuces, cela fonctionne. Reste à savoir si ce qui palliatif aujourd'hui ne pourrait pas être la norme demain...

- Dernier point : je n'étais pas au courant que de telles obligations légales pour l'adoption de la version 6 du protocole IP existaient dans certains pays et si mes lecteurs savent lesquels, je serais heureux qu'ils le partagent.

Bref, une question intéressante qui ne semble pas contenir de bêtises...(pour moi).

Voyons la réponse :

"La pénurie d'adresses IPv4 est prévue depuis une dizaine d'années. Les dernières estimations indiquent que les registres Internet régionaux en charge de l'allocation des blocs d'adresses IPv4 (RIPE NCC pour l'Europe) ne seront plus en mesure de fournir des adresses IPv4 à partir de la fin de l'année 2011. Un autre protocole d'adressage (IPv6), disponible depuis plus de dix ans, permet de répondre à cette pénurie d'adresses, les autres solutions alternatives étant jugées moins performantes à moyen et long termes. La pénurie d'adresses IPv4 ne signifie pas la fin de ce protocole d'adressage mais la cohabitation entre les adresses IPv4 et IPv6 au sein des réseaux de communication électroniques. Les opérateurs ont commencé, selon leurs différents plans stratégiques, à déployer lPv6 au sein de leurs réseaux et gérer la cohabitation avec lPv4. Le Gouvernement s'attache depuis plusieurs années à contrôler que les dernières adresses IPv4 soient allouées de manière équitable par l'Autorité pour les noms et numéros assignés (IANA) au niveau mondial et par le registre Internet RIPE NCC au niveau européen. La vitesse d'adoption du protocole IPv6 par les entreprises françaises dépend, quant à elle, de leurs stratégies propres. La plupart des opérateurs de réseaux de communications électroniques devraient être en mesure de déployer des adresses IPv6 courant 2012 et de gérer la courte période de pénurie en adresses grâce aux stocks dont ils disposent et aux solutions alternatives valables à court terme"

Plusieurs remarques à porter sur les parties mises en valeurs :

- "la pénurie est prévue"...Certes ! Tout le monde le dit mais rien ne semble avoir été fait. Les premières phrases de cette réponse sont inutiles car tout cela est déjà su (comme le fait que les solutions alternatives à IPv6 sont moins performantes)...

- "la cohabitation" des adressages : alors là, c'est juste ridicule...Si la compatibilité entre v4 et v6 était si évidente, on l'aurait fait depuis longtemps et le problème ne se poserait pas. Un des problèmes est justement qu'IPv6 apporte un lot de fonctionnalités intéressantes mais n'est pas immédiatement et directement compatible. Sur un réseau, on ne met pas directement les deux, à mon sens, il faut bel et bien un mécanisme de "translation". Par ailleurs, cela suppose aussi de profondes évolutions dans les systèmes gérant tous les composants réseaux qui n'intègrent pas directement IPv6...

La cohabitation est "gérée" par certains opérations qui, comme Free ou Nerim (sans doute d'autres) proposent d'utiliser, sur une partie de leur réseau, une adresse IPv6. Mais cela ne permet pas d'aller sur l'ensemble d'Internet, en tout cas, pas directement.

Par ailleurs, quelqu'un peut-il me dire si de l'adressage IPv6 a été proposé à un niveau plus "industriel" (Data center, backbone...) ?

- "Le gouvernement s'attache à contrôler que la réparitition soit équitable" ? Soi-disant mais General Electic et IBM disposent toujours de leur /8.

- "La vitesse d'adoption dépend de la stratégie des entreprises françaises"...On touche le fond je pense...Les deux plus grands équipementiers réseaux sont "CISCO" et "HUAWEI" si je ne m'abuse, qui sont américains et chinois. Les constructeurs de matériels de sécurité (Juniper, CheckPoint...) ne sont majoritairement pas français. Or, c'est bien d'eux que dépend surtout l'adoption du protocole ainsi que de la volonté des opérateurs internationaux de l'utiliser. Je rappellerais à cet égard que notre opérateur national de télécommunications n'est pas dans le "TOP-TEN", c'est-à-dire les Tiers 1.

Bref, la question n'appartient absolument pas uniquement aux entreprises françaises et je dirais que c'est presque une question globale...de gouvernance.

Vous l'aurez compris, je trouve que cette réponse n'apporte pas grand-chose et qu'elle avance comme vrai des éléments passablement faux. Cependant, mon ton volontiers polémique peut m'avoir entrainé à des approximations ou pire. Merci de me les signaler, je les corrigerais volontiers !

Source : http://questions.assemblee-nationale.fr/q13/13-96138QE.htm

Budgets de SSI au sein de la Défense...

Edit : une information récente nous donne un budget pour la cybersécurité au Royaume-Uni, environ 650 Livres, soit environ 732 Millions d'Euros. Selon le blog ami Si-Vis, le budget de l'ANSSI serait d'environ 90 millions d'euros.

La différence peut également s'expliquer par le fait que le budget anglais prend en compte de nombreux aspects : celui de l'ANSSI ne prend pas en compte tous les budgets ventilés dans d'autres administrations et agences.

Il demeure tout de même une certaine différence d'échelle.

Source :

http://www.cnis-mag.com/en-bref-46.html


http://www.zdnet.co.uk/news/security-management/2011/04/20/uk-cybersecurity-spending-plans-revealed-40092586
/

===============================================================

Des publications récentes ont permis d'avoir une vision intéressante des budgets consacrés par les composantes de la Défense américaine à la "cybersécurité", c'est-à-dire aux questions élargies de sécurité de systèmes d'informations appliquées au domaine de la défense.

Regardons et commentons :



On trouve aussi un détail de ces informations :

Le total global de l'effort financier consenti pour la question de la "cyber-sécurité" est conséquent puisqu'il est évalué à un montent de 3,2 MILLIARDS de dollars. Une somme conséquente s'il en est...

Autres chiffres intéressants :

- l'US Cyber Command est doté d'un budget de 159 Millions de dollars

- l'Armée de l'Air est doté du budget le plus élevé parmi les autres composantes des forces armées avec 440 Millions de dollars. Cela n'est pas étonnant puisque l'Armée de l'Air est une composante avancée en la matière, ayant même changé sa devise pour rendre compte de l'évolution de ses missions.

- le budget consacré à la seule PKI est proprement énorme avec : 37 millions de dollars

- le budget du DHS pour la même problématique est légèrement inférieur à un milliard : 936 millions de dollars.

A noter également :

- l'incapacité à faire la différence entre les budgets de la NSA et du Cybercommand

- une clarté et un niveau d'information remarquable.

Pour faire le parallèle, il est possible de constater que l'ANSSI dispose d'un budget d'environ 90 millions d'euros. Malgré quelques recherches, il ne m'a pas été possible de déterminer l'effort global consenti par la Défense française pour ces questions.

Ces quelques d'informations sont éclairantes quant au niveau de l'effort que les Etats-Unis fournissent pour ces questions. Toutefois, en guise de conclusion, nous retiendrons que Bruce Schneier, dans un récent interview, se déclare déçu des actions prises par le Congrès malgré ses interventions et ses allocutions au sein de l'institution.

Il conclut lui-même en rappelant que le budget ne fait rien à l'affaire car il est particulièrement facile de mal dépenser son argent !...A méditer..

Des informations complémentaires sur le blog Si-Vis !

Sources : les sources sont dans les images et le texte.

vendredi 25 mars 2011

Triste Journée pour l'Adresse IP...

Une bien triste nouvelle aujourd'hui qui me parait cependant très intéressante : des adresses IPv4 ont été vendues d'entreprise à entreprise !

Dans un précédent article, j'évoquais le fait que le "pool" d'adresses IPv4 arrivait en limites de capacités et avait été pratiquement complétement distribuées (ce qui ne veut pas dire utilisées.. !).

J'attirais également l'attention de mes lecteurs sur le fait que certains craignaient un "marché noir" de l'adresse IP.

Nortel, constructeur canadien d'équipements de télécommunications (un petit "cisco) est actuellement une entreprise en faillite. Pour répondre à ses besoins d'argent, il a décidé de vendre 666.624 adresses pour un montant de 7.5 millions de dollars, soit un peu plus de 11 euros pas IP.

L'offre a trouvé preneur auprès de...Microsoft !

Jusqu'ici, les adresses IP étaient distribuées "gratuitement", les providers (comme Free, France Télécom) adhéraient (moyennent un certain prix) à des organisations régionales distribuant (gracieusement dans ce cas) des paquets d'adresse. Ces paquets d'adresses étant répartis par IANA .

Le problème est donc que la raréfaction de ces adresses induit des comportements nouveaux dont nous voyons ici la première trace. Gageons que cela ne s'arrêtera pas là d'autant qu'il semble bien que la Gouvernance Internet soit bel et bien dépossédée de cette gestion alors même qu'elle est en responsable...

Source :

http://blog.internetgovernance.org/blog/_archives/2011/3/23/4778509.html

mercredi 23 mars 2011

Plan d'action du Cyber Command

L'US Cyber Command dont ce blog s'est fait l'écho à de nombreuses reprises est parfois encore une entité aux responsabilités mystérieuses.

Opérationnel depuis peu, ses orientations ont parfois laissé dubitatif les observateurs quant son commandant en chef affirmait son dévouement unique et complet aux aspects militaires...et signait quelques mois plus tard un accord de coopération avec le Department of Homeland Security.

Au-delà de ces aspects, la mission est définie comme suit sur le site officiel :

"USCYBERCOM plans, coordinates, integrates, synchronizes, and conducts activities to: direct the operations and defense of specified Department of Defense information networks and; prepare to, and when directed, conduct full-spectrum military cyberspace operations in order to enable actions in all domains, ensure US/Allied freedom of action in cyberspace and deny the same to our adversaries."

Bien qu'intéressante, il manque peut-être d'éléments factuels pour mieux percevoir les implications de cette définition. Aussi, il me semble intéressant de reproduire le plan d'action retenu et dévoilé par le Général K. Alexander lors d'un interview (librement traduit) :
  • Considérer le cyberespace comme un domaine au sein du ministère américain de la défense
  • Développer et utiliser des mesures de défense actives (Attaques ?) ainsi que tout autre type de défense innovants et adaptés au cyber
  • Dévelepper des partenariats avec d'autres agences fédérales, le secteur privé sur la base d'une stratégie de cyber sécurité commune (Cyber 3.0 ?)
  • Renforcer les relations avec les partenaires étrangers
  • Développer et recruter des personnes compétentes en matière de cyber-sécurité

Notons aussi la forte volonté de développer des architectures plus souples (basées sur le Cloud Computing) plus faciles à défendre et incorporant des technologies de type client-léger.

Ceci est intéressant d'un point de vue SSI car, dans l'esprit de la proposition, cela reviendrait à déporter les risques et les mesures de sécurité sur un environnement à priori mieux contrôlé qu'est le data-center.

Je serais moins affirmatif considérant que le facteur humain reste une question épineuse : il est, pour moi, à la fois la source du problème mais aussi et surtout la solution. Par ailleurs, la tentation du contrôle par la technologie est rarement récompensée. Centraliser des applicatifs sur un environnement physiquement et logiquement plus facilement contrôlable peut sembler apporter une véritable hausse du niveau de sécurité...

Certes mais c'est sans compter d'autres problématiques de sécurité : celle des clients-légers, l'importance croissante du mode "connecté"...

Quoi qu'il en soit, cette "road-map" apporte de vraies informations intéressantes sur les priorités du Cyber Command.

Pour poursuivre sur ce sujet, n'hésitez pas à allez lire le billet, sur le même sujet d'un blogueur-ami : http://si-vis.blogspot.com/2011/03/einstein-3-apres-le-dhs-le-dod.html

Source :

http://fcw.com/articles/2011/03/22/cyber-command-head-outlines-initiatives.aspx

mardi 22 mars 2011

L'ICANN valide le .XXX

Un peu de gouvernance avec une pincée de sécurité, voici le menu du jour. L'ICANN a en effet, validé la création d'un nouveau Top-Level Domain (TLD), c'est à dire un domaine de tête et générique qui plus est mais dédié aux sites pornographiques et à l'industrie du genre...En quelque sorte, le ".com" du "rose"...

Dénommé ".xxx", ce gTLD a connu une histoire houleuse puisqu'il était déjà en lice alors que je commençais à peine à m'intéresser à la question. En 2005, il semblait que la question allait être réglée puisque l'ICANN délivrait une autorisation au futur gestionnaire du ".xxx", ICM Registry. C'était sans compter la pression des gouvernements et notamment celle des Etats-Unis puisque ceux-ci imposèrent pour la première fois à l'ICANN, un véto pur et simple rendant ainsi peu crédible la notion d'indépendance de l'organisation.

Toutefois, cette information m'inspire deux réflexions :

- la première est que, alors que tous les gouvernements étaient opposés à cette ouverture, l'ICANN a décidé d'autoriser de son propre chef le lancement de cette extension. Nous verrons toutefois comment cela évolue vraiment !

Ce cas illustre donc bien l'indépendance nouvelle de l'ICANN qui, forte de son nouvel accord (AOC) dispose d'une plus grande liberté d'action.

Cependant, rien n'est jamais simple et si les gouvernements ont longtemps négligé Internet, ils en reviennent aujourd'hui et souhaitent généralement plus de contrôle. Alors que, en 1998, les USA avaient poussé à la création de l'ICANN qui satisfaisait un besoin de réactivité, qualité que l'ONU, par exemple, ou l'IUT, ne possédait pas, les échanges semblent montrer que les Etats ne souhaitent plus être qualifiés de simples "parties prenantes" au sein de la Gouvernance au même titre que les autres participants.

En somme, c'est une forme de défi que l'ICANN lance aux gouvernements et à la communauté Internet...

- Cette question politique se double de quelques questions de sécurité également intéressante. Elles peuvent se résumer cependant en une phrase : il ne faut pas faire entièrement confiance à l'arrivée de cette nouvelle extension.

En effet, au premier abord, la protection des plus jeunes (que l'on ne souhaite pas forcément voir visiter dans leurs jeunes années de telles sites) parait renforcée. On a enfin une cible unique (tout ce qui se termine par .xxx) à blacklister sur Internet et dans nos logiciels de protection parentale...

Certes, mais il semblerait que l'industrie pornographique ne soit pas particulièrement heureuse de ce choix qui semble les contraindre à n'exister que dans un "territoire" ou une zone précise du Net. Pas de fausses joies donc !

Par ailleurs, rien ne les oblige à s'inscrire sur ces sites et rien ne garantit que nos chères têtes blondes seront mieux protégées.

De plus, et peut-être le savez-vous déjà, les sites pornographiques font aussi d'excellents appâts pour les criminels numériques de tous poils. Attirer quelques visiteurs n'est pas excessivement difficile et on est prêt à parier que les visiteurs ne seront pas aussi attentifs aux paramètres et indicateurs de sécurité qu'ils peuvent l'être habituellement...

Or, le ".xxx" offre à ces criminels tout un nouveau champ de nommage propre à leur permettre de mener diverses attaques en profitant d'un faux sentiment de confiance induis par un pseudo-contrôle sur les domaines en ".xxx". Cela ne les empêche pas plus de continuer à agir comme auparavant mais là n'est pas la question.

Le TLD "triple X"est donc intéressant à double point de vue, sécurité et politique/stratégie. Les deux "visions" adossées à cette problématique apportent une profondeur de vue que seul le "mariage" de référentiels ou d'approches nous permet d'avoir...

Source :

http://blog.internetgovernance.org/blog/_archives/2011/3/19/4775146.html

lundi 21 mars 2011

Cyberespace et acteurs du cyberconflit

Je relaie ici, bien que ne l'ayant pas encore lu, le nouvel ouvrage de M. Vente : "Cyberespace et Acteurs du cyberconflits".


Peut-être vous demandez-vous pourquoi ce blog fait l'effort de relayer un ouvrage avec tant de "cyber" ? A cela, il y a deux raisons principales :

- la première est la justesse de ton de M. Ventre. Tout d'abord, la justesse technique de ses propos n'est jamais mise en cause pour deux raisons : d'une part par les collaborations qu'il a pu avoir, d'autre part car il évacue les écueils techniques

- d'autre part, il est nécessaire de changer d'angle de vision. Ayant eu la chance de faire quelques interventions auprès d'étudiants, j'ai pu insister sur la nécessité de multiplier les "points de vue".

Ainsi, le point de vue "technique" est nécessaire pour comprendre la base des attaques et en extraire des" points saillants"...Mais la technique ne suffit pas n'en déplaise à nos spécialistes en sécurité informatique que je lis avec avidité pourtant !

En effet, il existe aussi, et de manière indubitable, une dimension militaire, politique, stratégique...à la guerre de l'information, aux actions dans le "cyberespace" (dont il existe plusieurs définitions) et c'est à ce sujet que M. Ventre s'intéresse...

Une lecture complémentaire donc pour ceux qui sont passionnés par ces sujets : http://infowar.romandie.com/post/11928/222861

vendredi 11 mars 2011

Australian Cyberwarfare Unit

Reconnaissant les problématiques de sécurité spécifiques amenées par l'usage grandissant des systèmes d'informations et les vulnérabilités associées, l'Australie a dévoilé récemment l'organisation mise en place pour traiter ces questions, tant d'un point de vue SSI classique que d'un point de vue plus militaire.

Ainsi, l'Australie annonce disposer d'un CERT qui accomplit les tâches normalement dévolues à ce type d'organisation mais également d'un Cyber Security Operations Centre (CSOC) placé sous l'autorité du Defence Signals Directorate (DSD).

De plus, les organisations liées au renseignement et communément appelées ASIO - Australian Security Intelligence Organization semblent également travailler avec ces autres services. Plus encore, ils semblent disposer d'une organisation dédiée à l'investigation sur des attaques informatiques ayant potentiellement des origines étatiques.

Source :

http://www.securecomputing.net.au/News/250899,ag-speech-transcript-creating-cyberwarfare-unit.aspx/2

jeudi 10 mars 2011

Cyber Security Strategy for Germany...

A son tour donc, l'Allemagne publie sa stratégie de cyber-sécurité ! N'étant pas un familier de la langue de Goethe, j'ai profité de sa traduction en anglais pour la lire. Cette traduction est intéressante et je note, à mon grand dam, que nous n'avons pas fait le même effort...

Le document se veut relativement court également mais donne d'emblée le ton en nous proposant une définition du cyberespace et en intégrant la question des infrastructures critiques.

"Cyberspace includes all information infrastructures accessible via the Internet beyond all territorial boundaries".

La fin du document propose également quelques définitions intéressantes (non entièrement reproduites ici) :

- Cyberspace is the virtual space of all IT systems linked at data level on a global scale. IT systems in an isolated virtual space are not part of cyberspace. Bien évidemment, le dernier point est surprenant et pas forcément partagé.

- Les cyber-attaques sont les attaques contre les critères de sécurité classiques : DIC. En cas d'attaque sur la confidentialité, ils parleront de "cyber-espionnage" et lorsqu'il s'agit d'intégrité ou de disponibilité, ce sera "cyber-sabotage".

- Logiquement, la cyber-sécurité est l'état dans lequel les risques ont été réduits de manière à retrouver un état acceptable. Le partage des tâches est également logiquement appliqué : aux militaires, les systèmes militaires, aux civils, les systèmes civils.

On note aussi la reconnaissance indirecte du caractère critique d'Internet dés le début de ce document puisqu'il est considéré que l'Etat, les entreprises, les citoyens, l'économie et les infrastructures vitales reposent sur les technologies de la communication ET Internet.

Très surprenante est la phrase suivante : "Cyber attacks are launched both from Germany and abroad" qui contient tout entier l'essentiel de l'analyse de la menace. Si l'Allemagne ne fait pas mystère de la hausse du nombre d'attaques et de leur complexité croissante, reconnaître que certains systèmes relevant de la responsabilité légale d'un particulier ou d'une organisation du pays (autrement dit, une machine "appartenant" à l'Allemagne) puissent être des attaquants est réellement nouveau.

Bien évidemment, on saisit bien que l'idée qui se dissimule ici est celle de l'absence de force des frontières au sein du numérique, le caractère profondément transnational de certaines attaques et la difficulté à déterminer les sources...Un problème classique mais rarement mis en valeur de cette manière.

La suite de l'analyse n'apporte pas de nouveautés particulière : elle reconnait les grandes catégories des assaillants et perturbateurs et fait référence au fait que les infrastructures sont désormais des cibles avec l'exemple de Stuxnet.

Reconnaissant le caractère indispensable de la coopération internationale, on trouve également une série de principes soutenant le concept de cyber-sécurité dans la vision allemande. En particulier, on note des références à une approche très "SSI", c'est-à-dire "Disponibilité, Intégrité et Confidentialité" de la cyber-sécurité. A cela s'ajoute la protection des droits et libertés des citoyens, un thème que l'on avait déjà vu dans le document hollandais.

L'armée allemande est citée comme une des organisations supportant la stratégie de cyber-sécurité sans beaucoup de précisions toutefois.

Viennent ensuite les 10 points particuliers à cette stratégie :

1 : Protéger les infrastructures critiques. A cet égard, la définition donnée en fin de document est intéressante car proche de la nôtre. Toutefois, les secteurs retenus pour entrer dans cette catégorie sont uniquement : Energie, Transports et Télé-communications. Soit la stratégie ne révèle pas tout, soit l'approche allemande en la matière est moins mature que la nôtre avec le décret SAIV et les 13 secteurs identifiés. Toutefois, l'approche allemande donne toute son importance au partenariat public-privé.

2 : Sécuriser les systèmes allemands en profitant de l'expertise privée également et à l'aide d'une "task force" dédiée à la sécurité au sein du Ministère de l'Économie et des Technologies.

3: Améliorer la sécurité des SI au sein des systèmes publics. L'intérêt ici est de noter qu'une telle proposition se conçoit différemment en Allemagne en raison du caractère fédéral qui oblige justement à impulser au niveau central de telles mesures pour en assurer le respect dans tous les Länder.

4: Il est prévu la création d'un National Cyber Response Centre, organisme chargé d'optimiser l'organisation et les réactions. Le nombre et la diversité des organisations avec qui ce centre devra coopérer est impressionnant : Federal Office for Information Security (BSI), Police, Renseignement, Sécurité intérieure, Armée...Il sera un peu l'équivalent de notre CERTA avec une différence majeure, c'est qu'en France, les armées disposent de structures propres.

5: National Cyber Security Council : cet organisme représente la version "top-level"de l'organisation précédente. Il a pour but de rassembler tous les acteurs et les représentants des
ministères et des régions allemandes.

6: Meilleur contrôle et répression de la cybercriminalité

7: Coopération internationale afin d'assurer l'élévation du niveau de "cyber-sécurité". Sont cités : le Conseil de l'Europe, l'OCDE, l'ONU mais également le G8 à propos duquel l'Allemagne révèle être en train de travailler sur l'augmentation des mesures anti-botnets.

8: Utiliser des technologies de confiance : il s'agit ici de disposer d'une base technologique suffisante pour garantir le respect de la souveraineté dans tous les domaines. Je l'ai évoqué dans un article précédent.

9 et 10 : Développer les compétences et les ressources dans les organisations dédiées à la sécurité afin d'assurer la réussite de leur mission.

En conclusion, je retiendrais 4 points :

- l'approche de l'Allemagne est réellement très orientée Sécurité des Systèmes d'Informations au sens classique. La référence aux risques acceptables et les multiples références aux critères classiques de sécurité en font foi. C'est une approche un peu déroutante car elle parait décalée alors qu'il semble que les autres documents aient apporté une certaine originalité. Cet effort d'imagination pourrait être dû, selon moi, au fait que la "cyber-sécurité" serait une question un peu plus complexe que la "simple" SSI...ou du moins différente !

- Les éléments intéressants, pour moi, sont contenus dans l'organisation très "coopérative" proposée par cette stratégie qui peut être source d'enseignements.

- D'un autre côté, l'Allemagne semble un peu délaisser les aspects militaire à proprement parler et semble avoir une approche moins mature que la nôtre en matière d'infrastructures vitales. Il est ici réjouissant de constater que notre approche est loin d'être la plus simple et que nous sommes particulièrement avancés sur certains points.

Toutefois, ce que ne dit pas cette stratégie, c'est que l'Allemagne dispose déjà d'organisations, comme le BSI, plutôt efficace en matière de sécurité. Par ailleurs, le domaine de tête allemand (.de) est le 3ème plus grand domaine Internet après le .com et juste derrière le .cn (chine). A noter d'ailleurs que le .cn et le .de sont très très proches et possèdent chacun plus de 13 millions d'enregistrements...

L'Allemagne n'est donc pas un pays "novice" de l'Internet, tout au contraire, et on en trouve des preuves également dans les questions de sécurité qui ont agité le pays : la capacité à écouter les conversations chiffrées par Skype ou encore la possibilité d'introduire des virus de type "Cheval de Troie" dans les ordinateurs de suspects poursuivis par la Police...Reste toutefois que le "passage à l'échelle stratégique" ne parait pas aussi bon que le reste.

Source :

http://kingsofwar.org.uk/2011/03/germanys-cyber-security-strategy/comment-page-1/

mercredi 9 mars 2011

Bercy or not Bercy...

Edit : En fait, j'ai des éléments éventuellement intéressants suite aux éléments du dernier article de Paris Match...Ainsi, j'ai pu trouver quelques informations intéressantes en libre accès sur Internet : noms de domaines de serveurs mails du minefi, des adresses et des formats d'adresses correspondant à Bercy et enfin plusieurs noms de collaborateurs dont certains estampillés "cadre" ou "cabinet"...

Bref, de telles informations peuvent être utilisées pour préparer les attaques dont on parle et contrairement aux assertions un peu rapide de l'article en question, ces informations ne sont pas dissimulées !

Par discrétion, je tairais les moyens et les résultats dont j'ai usé pour trouver cela mais je pense que chaque spécialiste en sécurité et notamment les spécialistes en intrusion pourront confirmer si besoin ! Et surtout, ils n'ont rien d'exceptionnel

=====================================================================

desA tort peut-être, je ressens une certaine pression pour publier sur Bercy. J'avouerais que je n'ai pas grand chose à dire de plus aussi me permettrais-je d'orienter mes lecteurs sur des sources intéressantes ou "moins" intéressantes.

"Je n'aime pas" :

- l'article de Paris Match...Certains auteurs s'en sont d'ailleurs gentiment moqués en nous invitant à réfléchir : http://reflets.info/bercy-sept-cent-millions-de-chinois-et-moi-et-moi/

- une intervention sur BFM TV qui affirmait en substance qu'il fallait chercher à qui profite le crime et en déduisait la culpabilité des chinois...

"Je trouve intéressant" :

- l'article de SID qui constitue un très bon résumé et montre le niveau technique "moyen" de l'attaque : http://sid.rstack.org/blog/index.php/462-du-piratage-de-bercy

- l'article de M. Ventre qui rappelle quelques constantes en particulier que les États constituent des cibles de choix, que cette attaque est "classique" et qu'il faut se garder de toute analyse hâtive : http://pro.01net.com/editorial/529614/les-cyberattaques-nepargnent-personne-surtout-pas-letat/

- le communiqué de l'ANSSI : http://www.ssi.gouv.fr/site_article320.html

- le scénario alternatif, que je trouve très crédible, de M. E. Filiol sur l'implication des hacktivistes et de la mouvance altermondialiste (ex. des fanas de Wikileaks) : http://www.dedefensa.org/article-bercy_la_piste_de_l_altermondialisme_numerique_09_03_2011.html

Pour ma part, je n'ai rien à ajouter car tout me semble dit ! Je ne dirais pas que c'est un non-sujet car c'est peut-être une douche froide salutaire :D Rappelons toutefois une chose : les attaques réussies sont par nature très discrètes voire non repérables : combien alors d'attaques en cours et inconnues pour UNE détectée ?

mardi 8 mars 2011

Pour le 200ème Message, une invitation !

CIDRIS fête aujourd'hui sont 200ème message, articles ou billet selon votre confession !

C'est l'occasion de remercier tous mes lecteurs fidèles qui suivent ce blog et m'aident de leurs commentaires en directs ou via ce blog !

Voici d'ailleurs une invitation pour les passionnés de stratégie militaire notamment :


lundi 7 mars 2011

PPP: I Still Haven't Found What I'm Looking For...

C'est par ces quelques mots, titre d'une fameuse chanson du groupe U2, que William Jackson, très bon analyste américain des questions de sécurité et cyberdéfense représente l'état d'esprit des participants à la conférence RSA Security...

Pourquoi ce blues ? Parce que, décidément, le partenariat public-privé demeure une épine dans le pied des acteurs impliqués, publics ou privés.

Les premiers reconnaissent leur incapacité à assurer la sécurité de tous et ne peuvent que s'appuyer sur le privé pour la gestion des infrastructures privées en particulier. D'un autre côté, le monde privé s'irrite et semble demeurer frustré des coopérations à sens unique, en particulier du partage d'informations.

Malgré plusieurs propositions d'expert reconnus, Adi Shamir (le "S" de RSA) et Whitfield Diffie du fameux Diffie-Hellman, incitant la NSA, notamment à recourir aux capacités des chercheurs et autres, ils demeurent des difficultés dont chacun semble se préoccuper.

Il est intéressant de constater que ces difficultés semblent communes : en France, l'auteur de ce blog a déjà pu entendre la frustration évoquée ci-dessus exprimée par les acteurs privés. Ou encore, lors de séminaires, des acteurs qu'on soupçonnait très fortement d'être Opérateur d'Importance Vitale s'étonnaient du contenu des obligations qu'on leur imposait et du manque de concertation.

La réponse est-elle si simple et se réduirait-elle à plus d'échanges ? Certainement pas...et la réponse semble bien plus complexe.

Toutefois, il semble que deux éléments paraissent déterminants pour envisager l'avenir de la relation public-privé au profit de la sécurité. C'est en tout cas les conclusions d'un travail présenté lors de colloque en sécurité :

=> s'inspirer et apprendre des autres formes de gouvernance ou co-gestion : gouvernance internet, droit de la mer, droit des espaces aériens, environnement...

=> changer le paradigme de la sécurité pour adopter une approche commune de "la sécurité de tous par tous"...Encore très conceptuel, il faudra être capable de décliner ce concept dans des versions plus opérationnels et d'en comprendre les conséquences.

Il semble toutefois que ce nouveau paradigme nous pousserait à mieux appréhender les relations et inter-dépendances (ex. l'électricité pour les télécommunications) et donc à envisager plus de coordination et d'échanges...sic !

Source :

http://gcn.com/articles/2011/03/07/cybereye-public-private-secuity.aspx

jeudi 3 mars 2011

Gouvernance : le futur de IANA

NTIA est l'agence américaine responsable des télécommunications électroniques, l'équivalent de notre ARCEP. Elle a publié récemment un document dont la portée stratégique mérite, à mon sens, d'être développée ici.

Tous mes lecteurs n'étant pas familier de la gouvernance internet, je me permets de rappeler ici les grands traits des acteurs. N'hésitez pas, par ailleurs, à consulter le schéma en P.3 du document de l'AFNIC sur la gouvernance internet et le dossier afférent.

Le coeur du problème est, comme bien souvent, le DNS. Le DNS est un annuaire sur Internet mettant en relation votre localisation/identifiant sur le réseau, c'est à dire l'adresse IP, avec un nom de domaine bien plus "parlant" pour nous autres humains. L'adresse IP est la donnée technique permettant à votre machine d'échanger avec une autre et prend une forme numérique de type : 134.176.9.245...Un nom de domaine sera : www.google.fr ou tout autre.

Ce système est primordial dans le bon fonctionnement d'Internet, et des réseaux informatiques, car sans lui, bien peu de choses peuvent fonctionner. Il est donc, au même titre que d'autres aspects des infrastructures, critique !

Le DNS est organisé d'une manière assez similaire en termes techniques ou conceptuels suivant le modèle suivant :


En haut, une "racine", invisible à l'usage mais qui se matérialise par un point à la fin de l'adresse Internet. Viennent ensuite les domaines de têtes (ou TLD) dans lesquels on trouve les "pays" (.fr, .de)...et les autres (.com, .org). Ensuite viennent les domaines détenus par les particuliers ou les organisations.

A chaque niveau de la pyramide se trouvent des serveurs de noms permettant d'aiguiller vers le niveau suivant afin d'obtenir une réponse définitive dans le bas de la chaine. Bien que cet exposé soit très simplificateur, il met en valeur l'aspect critique du système et surtout de sa racine.

La racine peut être vue comme le résultat de deux aspects : un serveur "maitre" ou A-root et les autres serveurs racines. La maitrise du premier ou A-root est évidemment de première importance.

En termes de gestion, les serveurs DNS sont gérés par différents opérateurs. L'ICANN assure ici une fonction de gouvernance et de régulation principalement. Le coeur des opérations : distributions des adresses IP, planification des actions sur la racine, gestion de la sécurité (DNSSEC) appartient, pour l'essentiel, à un autre organisme inclu dans l'ICANN mais relevant d'une fonction particulière : IANA.

Cette particularité se reflète dans le cadre contractuel différent :

- auparavant lié par un Memorandum of Understanding avec le Department of Commerce et NTIA, l'ICANN a gagné en 2009 un peu plus d'indépendance avec le contrat Affirmation of Commitments qui la libère d'une partie de la "tutelle" du DoC.

- d'un autre côté, IANA conserve un lien fort avec le DoC et NTIA (NTIA relève du DoC) par l'intermédiaire du "Purchase of Orders" qui lui, est en vigueur jusqu'en 2011.

Ceci étant posé : caractère critique et pyramidal du DNS, importance de IANA et lien fort avec le DoC, on en concluera que la "fonction" IANA est bel et bien une fonction stratégique aussi importante sinon plus que les autres qui relèvent de l'ICANN.

On voit ici les actions de IANA et son périmêtre : root-server, IP...

Que nous apprend ce document ?

Tout d'abord que le contrat en question connait un terme en 2011 et qu'il est temps de savoir ce que IANA deviendra et notamment la question de son indépendance vis-à-vis de l'ICANN ? du DoC ?

Ensuite, ce document dévoile, en filigrane, quelques informations importantes :

- le processus de mise à jour de la racine dans lequel interviennent massivement IANA (of course !) mais aussi VeriSign (gestionnaire technique de la racine) et le DoC.

-Le rôle de VeriSign est connu depuis longtemps mais les documents officiels ou juridiques faisant état de ce rôle sont relativement rares.

- Le rôle du DoC est primordial ici mais unique car aucun autre pays n'a ce pouvoir sur la racine et il parait peu crédible qu'il abandonne cette capacité.

Un certain nombre de questions intéressantes :

- la gestion des IP et des protocoles doit-il être affecté à un organisme différent de celui qui gère la racine? Le maintien des deux rôles au sein d'un même organisme a un fondement historique (parmi d'autres).

- Quelle est la légitimité de cette organisation ?

- doit-on augmenter le formalisme et le niveau de relations entre IANA et les organismes comme l'IETF qui collaborent quotidiennement ?

- les domaines "pays" doivent-ils être traités différemment au niveau de la gestion de la racine ? Une question cruciale !

- quelles sont les améliorations de sécurité envisageables ?

Ce document, sans doute anodin, est pourtant particulièrement intéressant car il révèle des enjeux stratégiques majeurs en reconnaissant une réalité de faits souvent contestée mais rarement écrite comme cela (en tout les cas pour moi) et en mettant en avant des enjeux particulièrement aigües : place des états dans la gestion de leur domaine-pays, responsabilité de la fonction IANA, indépendance vis-à-vis du gouvernement des Etats-Unis ?

En conclusion, on remarquera que ce document est public et qu'il fait appel aux commentaires de tout un chacun dans la logique de la gouvernance internet qui estime que chaque acteur doit être représenté et peut répondre...N'hésitez donc pas à le faire !

Source :

http://www.ntia.doc.gov/frnotices/2011/fr_ianafunctionsnoi_02252011.pdf

mardi 1 mars 2011

Conflits de gouvernance...

Mesquinerie internationale ou vrai problème ?

Un entrefilet dans une newsletter a attisé ma curiosité : il s'agissait d'un conflit de standard entre l'UIT et l'IETF/ISOC à propos d'un des protocoles importants sur Internet et dans les réseaux : MPLS.

J'ai déjà longuement abordé les raisons pour lesquelles l'IUT ne fait pas partie de la gouvernance Internet et son souhait profond de participer pleinement à toutes les questions concernant le cyberespace.

MPLS pour Multiprotocol Label Switching est un protocole de première importance notamment dans les grands réseaux des opérateurs de télécommunications - et entre opérateurs - car il permet de gérer plus facilement, en ajoutant des labels aux paquets de données, toutes ces interconnexions.

Je n'entrerai pas dans les détails mais ce qu'il faut retenir est l'importance de ce protocole dans les infrastructures de télécommunications et donc..au sein d'Internet.

Comme il se doit, ce protocole peut être associé à un ensemble d'outils de gestion, de contrôle afin de pouvoir gérer les problèmes qui surviennent. Cet ensemble d'outil est appelé un OAM - Opérations, Administrations et Maintenance et il fait l'objet d'un ou plusieurs standard.

Le problème ici vient du fait qu'un groupe de travail de l'IUT a décidé de travailler à son propre OAM, ses propres standards permettant de gérer les réseaux MPLS. Il y a ici, je pense, une forme de légitimité puisque l'IUT réunit également les grands acteurs des télécommunications et que sa "zone" d'action concerne bel et bien les grands réseaux télécoms, indépendamment d'Internet.

Toutefois, et malgré l'existence, a priori, d'un protocole d'accord entre IETF et IUT, le fait qu'il existe deux chemins de standardisation différents n'est pas bon puisque, on le rappellera, c'est le fait que les standards soient ouverts et partagés qui a permis l'Internet.

D'un autre côté, le "domaine réservé" de l'IETF est celui de l'Internet et on peut d'ailleurs bien voir que ce sujet a été déjà traité par les deux organisations témoignant de son caractère incertain en termes de classement.

Rappelons cependant qu'un effort de cohérence avait été réalisé pour permettre une progression vers un but unique et garantir l'unicité du standard. Cet "alarme" lancée par l'ISOC montre donc bien que les acteurs de la gouvernance internet appartiennent à un système mouvant et réactif dont l'équilibre se redéfinit quotidiennement. Par ailleurs, il montre aussi que l'opposition entre les deux organisations n'est pas close et cela ne constitue pas une garantie d'un avenir serein pour l'Internet...(à relativiser toutefois..il y a sans doute bien d'autres soucis plus urgents pour Internet)

Source :

http://isoc.org/wp/newsletter/?p=3295