vendredi 29 avril 2011

Analyse et profiling des acteurs de la cybercriminalité

N'ayant pas eu la chance de participer à la conférence HES, j'ai été bien aise de trouver un article de CNIS Mag faisant référence à une présentation de représentants de l'ONU. L'auteur collabore notamment avec l'UNICRI, division de recherche sur les questions criminelles et judiciaires pour l'ONU.

De manière surprenante, la présentation reprend les travaux de l'ONU portant sur une étude des hackers, pirates et autres membres, de cet ensemble underground qui fournit également ses ressources "humaines" à la cybercriminalité organisée.

Or, de manière générale, le grand public dispose de relativement peu d'informations relatives à des approches scientifiques, ou du moins neutres, sur ces groupes. Bien souvent, ce sont des acteurs privés, par ailleurs vendeurs de matériels, logiciels ou prestations de sécurité, proposant leurs analyses et visions de ce monde.

Il leur est souvent reproché à la fois un manque possible de neutralité (FUD ? vendeurs d'insécurité ?...) et parfois une approche peu scientifique. Cela reste évidemment possible mais le vrai problème demeure, pour moi, le manque de références neutres justement qui permettraient d'avoir un certain recul sur les publications de ces sociétés mais aussi de profiter de leurs éventuelles valeurs ajoutées. En cela, déjà, ce document fournit des références intéressantes.

Je propose, comme souvent, ma vision et mes analyses, très personnelles, de ma lecture du document. Le document est disponible en Slide Share mais on peut facilement le télécharger en créant un compte. Vous apprécierez tout d'abord l'amusante référence à Hadopi dans l'introduction.

Peut-être vous souvenez-vous des assertions selon lesquelles la cybercriminalité avait atteint des sommets supérieurs à la criminalité classique, en particulier le trafic de drogue ? Notons ainsi le slide 9 qui semble un peu opposé à cette vision avec des éléments intéressants :

- le trafic de Cocaïne en USA et Europe sont les deux premières activités criminelles les plus rentables avec 38 et 34 millars de dollars respectivement selon les statistiques

- la cybercriminalité arrive loin derrière avec 3 items : fausses pharmacies (16 milliards de dollars), vol d'identité (1 milliard) et la pornographie infantile ( 250 millions).

La présentation enchaine avec des éléments intéressants sur Conficker et Stuxnet. La documentation sur Stuxnet laisse un peu dubitatif car elle donne la part belle aux infections iraniennes mais ne révèle rien quant à la Chine alors qu'elle semble également avoir été une victime selon les informations proposées par Daniel Ventre dans un article publié dans MISC 53.

Après quelques références obligatoires à War Games, la classification de l'évolutions des hackers est également intéressante :

- 1ère génération (années 70) : passionnée par la découverte et la connaissance. J'ai tendance à me demander si c'est si vrai que cela : nos ancêtres n'étaient pas des anges non plus...Mais comme je n'étais pas né en 1970, je n'en sais rien...

- 2ème génération : (1980-84) : la curiosité prend le pas et le hack devient le seul moyen de s'instruire.

- 3ème génération (90') : création de la communauté underground. Il parle également d'une passion dévorante (traduction libre :) ) pour le piratage.

- 4ème génération ( 2000 - today) à priori plus âpre au gain...qui aurait ainsi découvert la criminalité et le moyen d'en tirer profit.

Jetons un oeil aux raisons évoquées pour cette montée en puissance de la criminalité :

- la démocratisation des accès internet donne accès à une masse croissante d'utilisations constituant autant de cibles potentielles

- la crise mondiale crée une attirance pour l'argent facile et rapide

- "hacking prêt-à-porter" constitutif d'une démocratisation des moyens et surtout des outils rendant possible de nombreuses attaques et arnaques avec des compétences limitées

- par ailleurs, les recrues sont, selon l'auteur, légion et disponibles pour relayer des attaques : script kiddies, money mules...

- enfin : il n'y a pas de violence dans ces crimes et il existe une fort sentiment d'impunité.

De manière générale, lorsqu'il propose d'appréhender les attaques informatiques, l'auteur nous invite à dépasser les clichés en considérant la diversité des attaques et le mentalité. Le comportement social du hacker demeure ici la clé de la compréhension et il en déduit un fort besoin de mieux comprendre la mentalité et la structure des groupes et communautés hackers, ce qui est démontré par la méthodologie de recherche particulièrement intéressante.

Par ailleurs, le slide 42 propose une classification des hackers et pirates de tout poil qui n'est pas sans intérêt.

Je pourrais continuer très longtemps ainsi à vous citer les meilleurs passages de ce document particulièrement intéressant. Je préfère vous en recommander chaudement la lecture.

Source : dans le texte

mardi 26 avril 2011

Accord de coopération cyber entre Inde et Kazakhstan

Dans un précédent article, je faisais référence à une série d'attaque menées contre des entreprises du marché de l'énergie en proposant des idées et pistes d'analyse.

Certains en proposent d'autres, en particuliers que cette série d'attaque aurait notamment contribué au rapproche de l'Inde et du Kazakhstan au travers d'une série d'accords internationaux dont l'un porterait notamment sur la protection des systèmes d'informations, dénommée ici "cyber-sécurité". Il semble ainsi comporter la création d'une collaboration entre les CERT-in et le Kz-CERT, les deux entités de réaction informatiques des deux gouvernements.

Cet accord n'est, à priori, ni le seul, ni le plus important de la série signée par les représentants des deux Etats lors d'une rencontre organisée à Astana autour du 15-16 Avril. Il semble, par exemple, que le coeur de ces engagements repose autour des aspects du nucléaire civil.

En tout, 7 accords auraient été signés par les deux pays et il est ici intéressant de noter que l'engagement cyber est "au milieu" des autres. Il semble donc que les aspects liés à la cyber-défense ou à la sécurité des SI, d'un point de vue stratégique, se dirige vers une forme d'intégration dans les affaires internationales.

Source :

http://www.weeklypulse.org/details.aspx?contentID=486&storylist=9 (très polémique)

http://www.hindustantimes.com/News-Feed/restofasia/China-hackers--prompt-Indo-Kazakh-pact/Article1-686039.aspx

http://www.energetica-india.net/india-and-kazakhstan-agree-to-expedite-signing-of-satpayev-block-documents-/


vendredi 22 avril 2011

Géo-Analyser le Cyberespace !

Sujet délicat, l’application des modèles de géopolitique ou l’approche géographique du cyberespace est une réelle difficulté.

La cause en est simple : en tant que nouveauté, créé par l’appropriation humaine de la technologie, le cyberespace peut-être appréhendé de plusieurs manières : en renouvelant sa pensée ou en appliquant des visions anciennes. Les deux existent.

Certains essais sont innovants et montrent des tentatives intéressantes de modélisation du cyberespace qui tentent de sortir des concepts traditionnels. D’autres appliquent plus strictement les modèles et dérapent très souvent en tentant d’appliquer droit de l’espace, droit aérien ou encore droit de la mer au cyberespace.

La Gouvernance de l’Internet, avec la présence forte de quelques pays fournit aussi un cadre quasi-classique dans lequel les analyses géopolitique ou géostratégiques peuvent s’appliquer. Il est donc logique que toute analyse un peu classique s'y engouffre au risque de pas éclairer la compréhension. Au final, la conviction s’impose des aspects stratégiques portés ou induits par le cyberespace sans pour autant mieux comprendre le milieu ou donner une modélisation claire.

L’objet de cet article est donc de proposer des idées nouvelles pour ces modèles. Bien que ne prétendant en aucun cas à l'exhaustivité, cet article se propose de donner un contenu "cyber" à des notions classiques en géographique ou géopolitique.

Par exemple, peut-on trouver des frontières sur Internet ? Si oui, où et comment alors même qu'on ne cesse de clamer l'absence de frontières sur Internet ?

Peut-on décrire le cyberespace comme un zone possédant des ressources et suscitant des intérêts ? Si oui, quelles sont-elles ? Quels intérêts peuvent-elles déclencher ?

Il ne s'agit pas de se demander si le cyberespace est un territoire, par exemple, ou quel est la nature de ce territoire mais bien d'essayer de fournir quelques compléments aux modèles de représentation.

TELECHARGER L'ARTICLE INTEGRAL

(en matière de recherche et de savoir, je suis assez fan du partage...Je demande pourtant à être cité si vous reproduisez des extraits de l'article...il m'a pris pas mal de temps)

mardi 19 avril 2011

Annonce - Café Stratégique - Résilience dans l'Anti-Terrorisme

Organisation "Cyber" de l'US Navy

A l'occasion de modifications d'envergure, l'US Navy américaine dévoile l'organisation de sa composante "cyber" dans ses différentes acceptions. Placées sous l'autorité du Fleet Cyber Command (10th Fleet), commandement relié directement à l'US Cyber Command, ces unités dévoilent un certain nombre activités, semblant parfois très opérationnelles ou, au contraire, très doctrinales.

Les informations permettent également de rendre compte des "emprises" de l'US Navy réparties sur une large partie du globe.

Voici un schéma représentatif des unités et activités :


Source : http://cyber-politico.blogspot.com/2011/04/navy-cyber-organization-changed.html

dimanche 17 avril 2011

Ciel, on m'a piraté mon blog !

Bon, ce n'est pas tout à fait vrai mais c'est amusant...Vous souvenez-vous du message où je décortiquais une arnaque reçue par mail ?

De manière amusante, j'ai reçu un commentaire à un message tout à fait différent, qui m'a intrigué dans la forme et le fond...Ne cherchez pas, je l'ai supprimé immédiatement pour ne pas poser de problèmes à des négligents...

Bref, je reproduis ici le message avec des liens modifiés :

"ceheomsk (http://blog vide inutile.wordpress.com/) a ajouté un nouveau commentaire sur votre message "De l'IP à l'Assemblée Nationale.." :

For some reason, I can’t see all of this content, stuff keeps hiding? Are you taking advantage of java?

cheap nolvadex (un lien pointant vers une fausse pharmacie en ligne)"

Bref, l'anglais me déroute un peu car, écrivant en français et ayant, à priori, une très large majorité de lecteurs familiers de cette langue, je sens poindre une paranoïa familière. Quelques vérifications plus tard, le blog wordpress était vide et le lien pointait vers une fausse pharmacie prétendant me vendre un complément du style "petite-pilule-bleue". J'avoue m'être demandé si il y avait une tentative de vengeance.

En conclusion, je répondrais à certains de mes lecteurs qui me demandent pourquoi je ne donne pas un contenu plus professionnel à mon blog avec serveur dédié et nom de domaine à la clé. Bien évidemment, le domaine étant indépendant, je puis l'acheter dés maintenant. Ce genre d'évènement éclaire mon refus pour le moment.

Détenteur d'un site web indépendant, je prends une responsabilité sur le contenu et le contenant. Je dois alors veiller à la sécurité de mon serveur web et notamment du fait qu'il ne cause aucun préjudice de sécurité à qui que ce soit. Et ce, en plus du contenu. Hébergé chez un éditeur, je gagne du temps en confiant ces aspect à un tiers (google) et je n'ai plus qu'à veiller sur ce qui est publié sur ce blog, ce que j'ai fait ici en supprimant dés que possible ce message frauduleux et éventuellement dangereux.

Qu'en pensez-vous ?

vendredi 15 avril 2011

Mariage dans les tuyaux...

Dans un billet précédent, ce blog présentait la notion de "Tiers" 1, 2 ou 3, concept représentant la capacité d'un opérateur à offrir un service d'interconnexion de plus ou moins grande capacité (quantitative et qualitative).

On trouve aussi une définition selon laquelle un Tiers 1 est un opérateur ne se basant sur aucun achat de transit mais uniquement sur du peering privé avec d'autres opérateurs car disposant de réseaux très étendus.

Voici une représentation de l'état du marché en capacité de gestion du trafic Internet (du moins, je le comprends comme cela) :

Or, et c'est l'information intéressante, les deux premiers (Level 3 et Global Crossing) pourrait fusionner, le premier rachetant le second...Cela n'est pas sans poser quelques questions comme le montre le graphique suivant :

Si cette acquisition était autorisée, elle aurait un impact potentiel pour tous puisque la nouvelle entité détiendrait plus de 50% du marché de l'interconnexion des réseaux permettant l'existence d'Internet.

Or, et c'est un point notable pour moi : ces deux entités sont, dans ma compréhension, des entreprises privées américaines. Autrement dit, ce "deal" devrait être approuvé uniquement par le gouvernement ou le régulateur américain alors qu'il a des impacts potentiels pour tous...Une façon alternative de démontrer une réelle "puissance" sur Internet pour ce pays.

Par ailleurs, la source propose deux éléments de conclusion :

=> d'un point de vue commercial voire technique, il est logique d'assister à une telle demande. Les infrastructures coutant cher, il est plus intéressant d'y associer moins d'organisations et plus de clients.

Par ailleurs, conserver la majeure partie du trafic au sein d'un même opérateur réduit les coûts puisqu'il y a peu ou moins de transit inter-opérateurs qui peuvent prendre différentes formes mais engendrent généralement quelques surcouts.

Enfin, limiter le nombre d'opérateurs peut aussi être vu comme une optimisation de l'usage et du design des futures infrastructures et évite la consommation de ressources inutiles.

=> d'un point de vue plus proche du consommateur, la constitution d'un oligopole n'est jamais sans créer des inquiétudes. Les théories économiques semblent confirmer des hausses de prix dues à la baisse de la compétition.

La même baisse de compétition peut aussi causer une moindre stimulation à l'innovation et éventuellement une baisse de la qualité de service...

Enfin, l'article conclue (les analyses avant sont de pures opinions personnelles) en disant qu'un des impacts potentiels serait que des consommateurs de type entreprises ou organisations pourront se retrouver dépendant d'un unique opérateur (single-homed) bien qu'ayant choisi d'assurer une forme de redondance en achetant de l'interconnexion à plusieurs opérateurs (ici L3 et Global Crossing en multi-homed)...

Et vous, qu'en pensez-vous ?

Source, incluant les schémas :

http://www.renesys.com/blog/2011/04/level-crossing.shtml



jeudi 14 avril 2011

Des unités à la pelle !

La tendance est décidément à la création d'unités, après la publication de multiples stratégies, de lutte informatique ou dérivée.

Notons en particulier celle de l'Allemagne qui fait suite à la publication de sa stratégie en créant un Cyber Defense Center adossé au service Fédéral de Sécurité de l'Information. L'Allemagne ne figure pas forcément parmi les parents pauvres de la sécurité pour plusieurs raisons et notamment un domaine Internet très très étendu, le second plus important au global et le premier "point-pays" devant la Chine et les USA.

Par ailleurs, on se rappellera des questions relativement dérangeantes comme celle ayant amené la Justice Allemande à encadrer fermement l'utilisation de programmes de types "Chevaux de Troie" implantés sur l'ordinateur de suspects, dans le cadre de poursuites judiciaires.

Dernier indice, la vigueur et l'activité des communauté de hackers allemand dont on connait le CCC (parmi d'autres) et dont Eric Filiol reconnait la qualité dans un article au ton prophétique.

Notre voisin n'est pas le seul pays à avoir créé récemment de telles unités car l'Etat d'Israël aurait également procédé à la mise en place d'unité de contre cyber-terrorisme visant explicitement les menaces pouvant émaner des groupes et nébuleuses terroristes de type "islamistes".

Notons que, pour le moment, si de nombreuses actions perturbatrices ou malveillants ont eu lieu à l'encontre des systèmes de type industriels (et Stuxnet n'en est que la dernière "itération"), aucun acte de cyber-terrorisme à proprement parler n'a été réellement commis ou reconnus comme tel.

Plus généralement, derrière ce terme, on s'accorde à reconnaître les efforts de communication, propagande, recrutement, organisation et financement des groupes terroristes. Cela donne donc une perspective un peu particulière à cette unité récemment créée dont le focus semble ainsi un peu brouillé.

A la lecture des informations, il semble toutefois que cette unité pourrait être considérée comme une unité suppléante aux autres entités de sécurité et de renseignement...Au final, elle parait assez proche des autres organisations déjà mises en place avec un tropisme nettement plus agressif.

Who's next ?

Source :

http://www.dw-world.de/dw/article/0,,14960339,00.html

http://www.theregister.co.uk/2011/04/06/isreal_mulls_elite_counter_hacker_unit/


mardi 12 avril 2011

Un peu de concurrence dans le .Net ?

Les noms de domaine sur Internet sont une denrée bien particulière et essentielle. Le système qui les gère contient, à sa tête un organisme de régulation, l'ICANN.

Suivent ensuite des organismes de gestion communément appelés "Registres" qui peuvent relever d'un pays pour les ccTLD (.fr, .de...) ou d'une entreprise privée pour les autres (.com, .org...).

Un dernier niveau est utilisé, en contact avec l'acheteur/utilisateur du nom de domaine, ce sont les bureaux d'enregistrements (ou Registrars) qui vendent directement le nom de domaine et s'occupent des procédures pour vous.

Parmi les très grands Registres, le plus connu est bien évidemment, Verisign ! Bien connu pour ses offres de sécurité (SSL notamment) dont son site vante les vérites, on oublie parfois que cette entreprise, autrefois appelée Network Solutions, "truste" un peu les ressources du Net.

En effet, Verisign détient les délégations pour gérer (et avoir les bénéfices) du . COM (93 692 151 de noms de domaines) et le .NET (13 749 631 de noms de domaines) respectivement les 1er et 3ème plus importans domaine de l'Internet, le second étant le .DE allemand.

Non content de cela, Verisign est également le gestionnaire de la racine des root-servers et du système DNS, ce qui lui confère, avouons-le, une place privilégiée dans ce système.

Toutefois, tout n'est pas éternel avec la Gouvernance puisque l'ICANN a annoncé récemment ou plutôt rappelé, pour être exact, que le contrat confiant la gestion du .NET à Verisign arrivait à échéance le 30 Juin 2011...

Une forme d'appel d'offres et donc lancée pour reprendre cette activité, en ne préjugeant pas du souhait et de la capacité du Registre à reprendre cette activité très probablement lucrative.

Peut-être, cependant, une hausse de la concurrence dans ce secteur serait-il profitable à la communauté ? Pourquoi un organisme français ne se lancerait-il pas à la conquête de ce marché ?

En espérant avoir suscité, par ce court billet, quelques vocations !

Source : dans le texte...

De la "vraie" sécurité ou comment détecter une arnaque (ou pire) !

Plutôt orienté sur des questions de lutte informatique et autres aspects offensifs dans le domaine de la défense, ce blog n'en dédaigne pas moins les vraies questions de sécurité (et son auteur en est un fan) comme celle dont nous allons parler aujourd'hui...

Voici ce que j'ai reçu dans ma boite mail aujourd'hui :

Chère Madame, cher Monsieur, :

Cet email confirme que Vous avez bien crée un nouveau mot de passe et sélectionne des questions Secrètes pour votre compte

Si vous n’avez pas effectue ces Modifications
En effet le 25 Mars 2011 nous avons Prélever une somme erronée de 137.30 EURO Cet confusion est essentiellement du la Correspondance de vos noms et prénoms avec ceux d un autre Client.
A fin de procéder a un remboursement on votre faveur nous Vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute Information susceptible d accélérer ce reversement.
Remplissez le formulaire information de en cliquant sur ce lien si Dessous:

https://verified.visa.com/aam/data/default/landing.aam?partner=default&resize=yes

(j'ai modifié le lien vers google pour les étourdis)

1-Connectez-Vous
2-Confirmer vos informations de compte.
3-Reconnectez vous.

Nous vous remercions de votre grande attention a cette Question. S'il vous plait comprenez que c'est une mesure de sécurité destinée a Vous protéger ainsi que votre compte. Nous nous excusons pour tout inconvénient...

Un rapide coup d'œil me révèle les éléments suivants :

=> le mail est convaincant mais demeure des "phôtes d'aurotografe" bien que celles-ci ne soit pas forcément choquantes si on lit très rapidement mais c'est déjà un premier indice...Je les indique en rouge ci-dessus sans être exhaustif...

=> le mail m'est à priori directement adressé et mon adresse semble être directement indiquée..

=> un lien est donné, qui semble valide, mais renvoie sur un domaine tout à fait différent...

Les erreurs de langage, le faux lien, la demande de fourniture indirecte des numéros/identifiants et une certaine paranoïa habituelle me font douter qu'il s'agit d'un mail de phishing. Si je me connecte sur ce lien, je trouverais certainement une page plus ou moins crédible avec une page de login qui, au mieux, me volera seulement mes identifiants et au pire, m'installera un malware...En l'occurence, j'y suis allé avec une machine virtuelle mais je n'ai rien trouvé de tel : peut-être le ménage a-t-il déjà été fait...

Le lien dissimulée renvoie donc à un domaine particulier (http://www.adripeeathome.com) ....N'y ALLEZ PAS... et plus précisément à un dossier "images" de l'arborescence. Profitant de Google, je fais quelques recherches et trouve rapidement des informations intéressantes : ce site a été piraté récemment et un défaçage semble avoir été effectué. L'élément intéressant est que l'URL qui permet de s'apercevoir de ce hack fait également référence à ce fameux dossier "images".

Notons d'ailleurs que mon fournisseur de mail ne l'a pas recensé comme un spam ou équivalent, il faut donc être attentif et ne pas compter que sur les automates.

En creusant un peu plus, dans le corps du mail et en faisant des recherches, on peut trouver des informations intéressantes :

- une adresse mail d'un envoyeur

- une adresse IP d'un serveur mail utilisé ici qui serait à priori en Turquie...avec son nom de domaine associé, on peut retrouver des coordonnées...

- une adresse IP d'un serveur utilisé pour un script qui conduit ici à un serveur identifié comme étant au Maroc...

Bref, tout ceci est très international mais n'a rien à voir avec Visa ou aucune affiliations quelconques. Etant déjà convaincu de la fausseté de ce mail, ces quelques recherches ne servent qu'à montrer qu'il est fort probable qu'un pirate ou un groupe a pu utiliser diverses ressources (serveur mail, serveur dns) dont il usurpe l'usage pour mener à bien tout cela...

J'avoue qu'après avoir relevé tout cela, je suis convaincu de la tentative mais ne sait pas forcément quoi en faire. La possession des adresses IP et l'association avec des noms de domaines permet également d'obtenir des coordonnées enregistrées dans les bases de données Whois...

Une bonne réaction pourrait alors de transmettre tout cela aux autorités compétences en France mais également, pourquoi pas, d'alerter, via les adresses "abuse" des domaines, les administrateurs des usages illégitimes de leurs machines (en supposant qu'ils soient honnêtes)...

A vos commentaires !

mercredi 6 avril 2011

L'AFNIC répond aux Etats-Unis pour IANA

Dans un précédent article, il était question de l'avenir de IANA dont le contrat avec le gouvernement américain arrive à terme en 2011. Une consultation du gouvernement américain, ouverte à tous, était publiée, encourageant les acteurs à exposer leurs avis et ce blog avait tenté d'y apporter un peu de clarté.

Pour ceux qui s'intéressent à cette question, il est possible de consulter la réponse de l'AFNIC à la consultation en question. Pour mes lecteurs les moins avertis, l'AFNIC est responsable de la régulation et de la gestion technique du ".fr" et des autres domaines relevant notamment de certains territoires ultra-marins. Vous pouvez également écouter l'interview de son directeur pour des informations complémentaires.

Les points suivants méritent d'être retenus :

=> L'AFNIC reconnait tout d'abord l'importance de cette fonction et son rôle crucial et exprime, de manière général, son attachement à une transparence accrue.

Ces deux axes constituent le cœur, d'après ma compréhension, de la position de l'association vis-à-vis de cette question.

Par ailleurs, l'AFNIC présente également quelques requêtes qui semblent relever d'un passif certain concernant certains obscurs processus de la gouvernance internet :

=> Clarifier la répartition des fonctions entre IANA, le DoC et VeriSign notamment en ce qui concerne la gestion de la racine (le fameux A-root).

=> Soumettre les processus de IANA à un contrôle et un examen plus rigoureux qui semble rappeler, dans la formulation, un peu l'existant de l'ICANN.

=> Déterminer un niveau de service pour IANA, un SLA avec les ccTLD. (et les gTLDs ?)

=> Créer un cadre plus clair d'attribution de la délégation de gestion des ccTLD aux autorités responsables.

Cette réponse offre donc des éléments concrets d'un acteur particulièrement impliqué dans ces questions et permet de mieux comprendre les enjeux afférents à cette évolution de la Gouvernance Internet.

Source : dans le texte.


mardi 5 avril 2011

Commission Européenne et CIIP

Bien que publié un 1er Avril, le rapport de la Commission Européenne qui s'intéresse à l'augmentation globale du niveau de sécurité des CIIP - Critical Information Infrastructure Protection - fournit quelques éléments intéressants.

Dans sa communication bien structurée, la Commission Européenne rappelle que plusieurs actions ont déjà été prises pour améliorer le niveau de sécurité ou, en bref, la cybersécurité. En particulier, une décision de la commission datant de Mars 2009 a lancé le développement et la mise en place de ce plan de protection des CIIP (dont Internet est une partie importante). En Septembre 2010, la Commission proposait également une rénovation de la structure et de l'agence chargée, pour l'Europe, de la sécurité des systèmes d'informations.

Bien que parfois critiquée pour son manque d'envergure, l'ENISA a publié récemment plusieurs rapports intéressants et pris part à l'exercice pan-européen de lutte informatique en 2010.

Ce nouveau rapport fait donc le point sur les actions prises par les différents états-membres et proposent de nouvelles voies que je vous propose de découvrir ici, assorties bien évidemment d'une analyse personnelle des choses.

Dressant tout d'abord un contexte d'action comme il est d'usage en pareil cas, le document met en exergue la "dimension géopolitique planétaire" des attaques informatiques. Cette assertion laisse un peu dubitatif et plus encore lorsque, quelques lignes plus loin, apparaissent les termes de "cyberguerre" et de "cyberterrorisme", termes mal définis s'il en est et qui ne contiennent aucune réalité tangible pour le moment...

S'ensuit une classification des types d'attaques, par finalité mais excluant toute référence à une notion de motivation, pourtant plus parlante dans une analyse de sécurité de haut-niveau, à vocation stratégique (c'est une opinion). On constate en fait à la fois le souhait d'établir une parenté avec l'approche SSI et les critères DIC tout en tentant de coller à la réalité des faits :

=> exploitation : les actions de type espionnage ou renseignement agressif, du vol d'identité ou de numéros de carte bleus à l'exploitation de renseignements d'origine gouvernementaux.

=> perturbation : Stuxnet, Mariposa...

=> destruction : scénario non concrétisé...sic

Je reproduis ici les "points saillants" de l'avancement des travaux :

- Préparation et Prévention : multiplication des échanges entre états membres notamment au niveau des CERTs et des autorités qualifiées en la matière. Plus intéressant sont les deux initiatives suivantes :

- EP3R : Partenariat public-privé européen pour la résilience. Conduit par l'ENISA, il a pour vocation de permettre aux acteurs privés et publics en Europe de se concerter pour assurer la résilience des CIIP.

- SEPIA / base minimale de capacités et de services : il s'agit d'assurer un réseau de coordination des CERT pour l'ensemble des acteurs avec une attention particulière portée aux PME. SEPIA, dans ce cadre, constitue un réseau d'alertes et de partage d'informations, une capacité intéressante qui parait tout à fait adaptée au caractère profondément transnational de nombreuses CIIP. Ce réseau devrait être opérationnel d'ici à 2012 et devrait également voir la création d'un CERT au niveau européen.

- A la suite de l'exercice Cyber Europe menée en 2010, la Commission a évalué à 12 le nombre d'Etats membres ayant procédé à la conduite d'exercices de crise informatique d'envergure nationale. L'ENISA a rédigé un guide pour la mise en place de ce genre d'exercices. Des exercices d'envergure européenne devraient être menés à nouveau et devrait s'accompagner de la rédaction d'un plan de secours européen en cas de crise informatique de niveau équivalent.

- 2012/2013 devrait également voir d'éventuels exercices de grande envergure en coopération avec les Etats-Unis.

- le dernier point serait peut-être celui que je critiquerai le plus. En effet, il développe la nécessité d'une coopération internationale pour préserver et développer la résilience de l'Internet. Mon principal point de désaccord porte sur la liste des organisations retenues comme pertinentes pour ce développement :

- EP3R : indispensable car sans les opérateurs, plus d'Internet

- G8, OCDE : cohérent et logique quoique le G8 me laisse un peu perplexe contrairement à l'OCDE dont le développement et la coopération sont les missions phrases.

- OTAN : j'avoue que je ne comprends pas trop. La résilience d'Internet est pour moi une question économique, de développement, technique et de gestion d'une myriade d'acteurs complexes. Ce n'est pas forcément une question de défense...

- UIT : obligatoire mais dans le cadre de ses obligations strictes et non le renforcement en matière de cybersécurité comme le document le mentionne

- ASEAN, OSCE : le premier est cohérent car sa mission n'est pas sans lien avec celles de l'OCDE mais l'OSCE me pose le même problème que l'OTAN.

Au-delà de ces organisations dont la participation de certaines provoquent des organisations, on s'étonnera du peu de référence aux organisations de la Gouvernance Internet. Si l'on suit le document, il apparait que ces organisations seraient intégrées dans le processus dans les étapes suivantes.

Le document ne mentionne même pas l'ICANN ou encore IANA et se borne à faire une référence au Forum sur la Gouvernance Internet qui, malgré ses mérites, ne possède aucune capacité de décision.

Il semble que la Commission, au-delà de l'exemple de l'EP3R se focalise sur une approche très stato-centrée de l'Internet et cela parait dommageable. Après tout et quoi qu'on en dise, les organisations capables d'imposer une régulation dans le domaines critiques d'Internet ne sont pas légions : les noms de domaines, les adresses IP, la normalisation des protocoles réseaux relèvent de la gouvernance Internet.

Apporter de la résilience à Internet sans impliquer ni connaître ces organisations parait donc peu opportun voire un peu étrange !

En conclusion, ce rapport apporte des éléments intéressants qui semblent confirmer un activisme de bon aloi au sein de l'Europe en matière de protection des infrastructures d'informations critiques. Préserver Internet dont nos sociétés paraissent dépendantes est très certainement une très bonne idée. Mais ne mélangeons pas tout !

Il parait logique de considérer qu'une bonne stratégie de défense et de sécurité en matière de risques informatiques à un niveau national prennent en compte la dimensions des infrastructures critiques. Il ne semble pas, en revanche, opportun de lui assimiler des réflexes, pensées et démarches militaires ou propres au domaine de la défense.

Ainsi, l'OTAN est une organisation militaire qui répond à des besoins et objectifs militaires (en tous cas pour moi) : elle doit défendre ses systèmes d'informations qui sont des cibles. Elle peut également développer un aspect offensif. Mais l'OTAN n'est pas une organisation de développement des capacités de résilience des réseaux qui est une question appelant des réponses économiques, politiques et techniques.

Pour faire un parallèle, vous paraitrait-il logique, en France que le Ministère de la Défense soit responsable d'Internet et des opérateurs d'importance vitale en matière de télécommunications ? Non, et d'ailleurs, ce n'est pas le cas puisque c'est notamment, l'ANSSI, le SGDSN etc...qui gèrent cette question. Et ce sont des organismes qui se préoccupent de défense et de sécurité à un niveau global et non strictement militaire...

Bref, ce document, malgré ses grandes qualités, montre un certain mélange des genres qui peut sembler préjudiciable à l'objectif visé. Enfin, parler de résilience d'Internet sans inclure plus spécifiquement les processus et organisations de la gouvernance ôte une part sensible à la crédibilité de ce document.

Source : (dans le texte). N'étant pas tendre avec ce document, j'espère provoquer un peu le débat.