mardi 31 mai 2011

Protect IP Act et ses dérives...

Une loi américaine proposée par le Sénat américain et baptisée "Protect IP Act" est dénoncée par un groupe de chercheurs en sécurité et télécommunications pour ses contradictions et ses effets pervers.

Destinée à lutter contre le piratage des œuvres audiovisuelles sur Internet, cette loi se propose de donner au gouvernement américain la possibilité d'obtenir des décisions judiciaires imposant au fournisseur DNS de 3 domaines de têtes de cesser de fournir les réponses pour les domaines incriminés.

Prenons un exemple : si vous cherchez le site www.mechants-voleurs-de-musique.com, votre ordinateur déclenchera à un moment ou à un autre une requête vers le système DNS afin d'obtenir une réponse sous forme d'adresses IP vous permettant d’accéder à la ressource susdite sur le réseau. Ex. : 12.47.85.65 (faux exemple non contrôlé).

Ce que souhaite faire cette loi, c'est obliger les personnes gérant les domaines .com, .net et .org à ne plus vous fournir la réponse numérique identifiée ( 12.47.85.65). Wikileaks avait déjà subi ce genre de traitement au moment des révélations les plus conséquentes.

D'ores et déjà, on peut noter plusieurs points :

- les 3 domaines cités sont plus "américains" que d'autres car les deux premiers (.com et .net) sont gérés par un même opérateur qui gère également une partie de l'infrastructure racine du système. Le dernier est géré par un organisme en lien avec l'IETF qui produit les fameuses RFC. Cela veut donc dire que, pour la majorité, ou du moins, un très grand nombre de domaines de têtes, cette loi ne peut pas fonctionner aussi facilement sauf à porter atteinte au système central du DNS, ce qui serait grave, où à forcer les internautes à utiliser certains serveurs DNS "manipulés", ce qui n'est pas mieux.

- par ailleurs, le fait de cesser de répondre aux requêtes DNS ne signifie pas la disparition de la ressource en ligne. Bien au contraire, celle-ci est toujours accessible seulement on y accèdera par l'adresse IP directement via le navigateur ou encore si votre navigateur se souvient de cette adresse, cela pourra être transparent pour vous pendant un certain temps.

- enfin, le fait de cesser de répondre sur un ou plusieurs domaines n'empêche pas l'achat d'autres domaines ou encore la constitution de nombreux noms de domaine alternatifs comme cela avait été le cas pour Wikileaks. Bloquer, à partir Etats-Unis, des domaines ou sous-domaines appartenant au .fr ou .de ou d'autres reviendrait à obliger les internautes américaines à utiliser des DNS modifiés et dotés de liste "noire"...ce qui mettrait fin à la composante neutre du service sur lequel repose tout de même de nombreuses autres fonctionnalités du NEt.

Les auteurs qui s'expriment contre ce projet de loi dans un document complet sont notamment Steve Crocker, un "gourou" des réseaux, internet et sécurité à qui l'on doit notamment le tout premier des RFC et Dan Kaminsky qui avait mis à jour une aggravation d'une vulnérabilité développant ainsi une faille d'envergure dans le système DNS, ce qui avait contribué à l'accélération de l'adoption de DNSSEC.

Les auteurs dénoncent ainsi non seulement le manque d'efficacité de la décision mais aussi les contradictions avec d'autres documents et décisions du gouvernement des Etats-Unis insistant notamment sur la criticité du système. Plus encore, les auteurs avancent également que cette loi aurait un effet pervers sur le fonctionnement de DNSSEC, un ajout au protocole DNS permettant de renforcer certaines fonctions de sécurité (surtout l'intégrité des données en fait). DNSSEC est également identifié comme une composante majeure de l'élévation du niveau global de sécurité au sein du cyberespace par les acteurs publics et privés aux Etats-Unis.

Je n'irai pas plus loin dans les détails des problématiques de sécurité ou d'atteinte au service que peuvent causer une telle loi. Remarquons seulement que nos gouvernements semblent parfois ignorer ce que "l'autre main" peut faire. Au delà de la question politique qui ne m'intéresse que moyennement, il me parait nécessaire de considérer la dangerosité de ce type de loi qui non contente d'être absolument inefficace fait aussi peser de sérieuses craintes sur le fonctionnement et les services rendus par les infrastructures du Net.

Source :

http://www.wired.com/threatlevel/2011/05/dns-filtering/

http://infojustice.org/archives/3469


Colloque IRSEM - Droit et Cyberguerre - 16 JUIN

Votre serviteur ayant l'honneur et la très grande joie de participer à ce colloque, je vous en livre ici les informations pratiques...

A l'heure où les Etats-Unis ont déclaré que toute attaque informatique serait considérée comme n'importe quel type d'attaque, se pencher sur ces questions de droit parait intéressante et par certains côté essentiel...J'espère que cela en intéressera plus d'un !

Lien : http://www.irsem.defense.gouv.fr/spip.php?article366

Date : 16 Juin - Lieu : Paris, Ecole Militaire



vendredi 27 mai 2011

Cyber-Strat ; OTAN et France

Quelques nouvelles intéressantes en matière de stratégique de lutte informatique à deux niveaux : OTAN et France.

En ce qui concerne l'OTAN, un prochain sommet devrait se tenir à Cambridge du 6 au 7 Juin pour échanger sur ces questions entre experts. Fait intéressant, la Russie sera représenté, sans doute suite aux nombreux travaux et échanges dont ce blog s'est fait l'écho.

Bien que le plus récent concept stratégique de l'OTAN fasse une certaine place au cyber, il semble que celui-ci ne suffise pas forcément à appréhender l'ensemble des problématiques. Parmi la liste des sujets proposés, on retrouve ainsi d'anciennes questions :

- A history of internet security failure : le système DNS sera potentiellement abordé bien que l'arrivée de DNSSEC puisse apporter un nouveau de sécurité et que la disponibilité générale du système se soit largement améliorée depuis les débuts du DNS. On peut également songer à BGP ou plus généralement, aux problématiques de routage qui ont causé, plusieurs fois, des problèmes de sécurité (indisponibilité de certaines ressources, re-routage intempestif et illégitime...).

- Governing cyberspace – law, international cooperation and treaty : à cet égard, on peut également penser aux questions de gouvernance d'internet que le eG8 a abordé ou encore aux questions de l'applications de certains principes de droit international aux conflits dans le cyberespace.

Au-delà de l'OTAN, la France propose aussi quelques innovations de nature plus organisationnelles en matière de défense et de protection des SI Gouvernementaux.

Au travers d'une communication en Conseil des Ministres et d'une publication de l'ANSSI, on peut ainsi s'apercevoir que les autorités françaises ont proposé plusieurs mesures intéressantes.

Toutes les mesures sont intéressantes mais certaines appellent plus à la réflexion que d'autres. Ainsi, le groupe d'intervention rapide présente évidemment un aspect un peu "glamour" mais on n'en connait ni les responsabilités exactes ni les composants. Il est notoire que la France possède plusieurs entités travaillant à ces sujets : peut-on entrevoir ici une forme éventuelle de "task force" inter-directions ou inter-organisations ? Par ailleurs, on peut se demander comment ce groupe s'associera avec le COSSI ou encore le CERTA qui travaille également sur des questions nécessitant des réactions rapides.

Si la mise en place d'une politique SSI globale et interministérielle est certainement un gage de meilleure efficacité, on peut toutefois songer à l'exemple américain qui nous enseigne les faillites de l'approche "compliance" sous l'égide d'une loi unique (FISMA) ne prêtant pas forcément attention aux spécificités. De manière pragmatique, on note un projet global d'envergure autour de la carte "agent" permettant de renforcer les systèmes d'authentification.

On apprécie ensuite l'obligation de recours à des produits labellisés et qualifiés par les services de l'ANSSI. Ce point, relativement pragmatique également, parait potentiellement apporter quelques révolutions au sein des ministères peu enclins à adopter des bonnes pratiques de sécurité. Peut-être cela ouvrira-t-il la voie à une véritable "stratégie logicielle" française ?

Des dernières innovations, on retiendra notamment l'insertion de formations SSI dans les cursus, techniques ou non. Si ce point pourra satisfaire de nombreux avocats de la publicité de la SSI (et on peut difficilement être contre), on pourra toutefois se poser quelques questions :

=> dans la filière informatique (ingénieurs ou universitaires), nombreux sont ceux à avoir eu quelques cours ou leçons de sécurité ou "d'hygiène informatique" (cf. document). Que ceux-ci s'en souviennent une fois l'examen passé, qu'ils en prennent conscience est tout autre chose. Un passionné de nouvelles technologiques (web 2.0, mobile....) sera potentiellement un excellent technicien mais également un créateur de vulnérabilités atroces...

=> en matière de cursus non informatique, techniques ou non, il faut alors ré-inventer les cours car la sécurité informatique est souvent trop technique ou alors trop abstraite. La notion de "bonnes pratiques ou recettes" est certainement intéressante mais rien ne dit que les diplômés les suivront ensuite.

Je reste ainsi sur l'opinion que la sécurité est soit une passion, soit une contrainte...Et que l'intermédiaire est souvent très difficile.

Je conclurai en disant que ces mesures sont particulièrement riches d'actions à venir et sans doute promises à améliorer grandement notre niveau global de sécurité. Ce sont toutefois des chantiers complexes pour certains pour lesquels les autorités auront fort à faire.

Source : dans le texte

jeudi 26 mai 2011

Une Cyber "équipe bleue" pour la Chine

Une information intéressante relayée par AGS révèle que l'Armée chinoise (APL) a décidé, et communiqué, sur la création d'une cyber équipe dite "bleue" (versus les méchants "rouges" ou encore les fameuses Red Teams américaines).

Cette information est intéressante car elle connait une forme de publicité alors que les capacités de l'APL (quelles qu'elles soient) ne font pas l'objet d'une publicité à outrance.

Par ailleurs, elle reconnait un fait que l'on oublie souvent : la Chine est effectivement un pays dont de nombreuses infrastructures sont également faillibles.

Souvent perçu et dénoncé comme un acteur agressif, que ce soit en termes de criminalité ou d'actions offensives gouvernementales et de censure, la Chine ne dispose pourtant pas forcément des meilleures protections.

Comme nous le rappelle Electrosphère dans un récent article, la censure chinoise n'est ni classique ni imparable. Par ailleurs, disposer de capacités de veille et de surveillance n'implique pas pour autant une capacité de sécurité mature et répandue.

On retrouve ainsi sur Wikipédia une synthèse des études montrant que les pays hébergeant de très nombreux ordinateurs zombies sont notamment la Chine mais également la France, les Etats-Unis, la Grande-Bretagne, la Corée du Sud....

Par ailleurs, il est également notoire que la Chine est un des premiers pays en matière de contrefaçon. De nombreuses sources tendent à prouver que cette tendance s'étendrait aux logiciels. Or, en matière de sécurité, la contrefaçon présente de nombreux risques non seulement parce que les logiciels utilisés peuvent présenter des vulnérabilités de fait ou implantées mais également parce que les mises à jour ne sont pas forcément appliquées.

Bref, même s'il demeure difficile d'être exact dés que la Chine est concerné, cette information doit nous pousser à considérer la Chine non pas comme un "bloc" dirigé vers l'offensive mais bien comme un ensemble plus complexe. A cet égard, il parait ainsi tout à fait concevable que le pays soit en proie à de nombreuses problématiques de sécurité engendrant également un fort de besoin d'encadrer, de surveiller et de réagir.

Source

http://french.cri.cn/621/2011/05/25/301s244926.htm

jeudi 19 mai 2011

Cyber brèves - Cyber Com Indien...

Quelques informations intéressantes aujourd'hui :

- Faisant suite à des analyses montrant la sensibilité des organisations publiques et privées indiennes aux attaques informatiques, le gouvernement a souhaité établir un Cyber Command & Control Authority un peu à l'image de l'US CYBERCOM, une autorité centrale de gestion de la lutte informatique défensive. Les altercations fréquentes avec le Pakistan ou la Chine ne sont pas étrangères à ces décisions.


- la démission de Phil Reitinger, une figure du DHS, d'un poste élevé dans les question de cybersécurité pour ce Département. Celle-ci ne semble pas être liée à une mésentente avec les autorités ou la politique comme cela avait pu être le cas avec un de ses prédécesseurs, mais plutôt à des questions personnelles. Dans un contexte de recrutement à priori tendu, c'est un départ remarqué.

Source :

http://fcw.com/articles/2011/05/18/agg-top-cybersecurity-dhs-resigns.aspx

http://www.infowar-monitor.net/2011/05/as-cyber-attacks-rise-india-sets-up-central-command-to-fight-back/

mardi 17 mai 2011

International Strategy for Cyberspace

L'actualité américaine en matière de publications est chargée notamment en ce qui concerne la Maison Blanche.

Dans un premier document, celle-ci proposait un document législatif sur les thématiques de cybersécurité apportant ainsi une aide au Congrès selon les propres termes de Howard Schmidt. On sait effectivement que le Congrès a émis de nombreuses et complexes propositions de loi dont l'efficacité laissait parfois à désirer.

Je ne commenterais pas ici ce document car un très bon travail de synthèse a été fait par le blog ami Si-Vis dont je vous recommande la lecture. On en retiendra surtout : la confirmation des pouvoirs du DHS (dans un contexte où les compétences semblent se faire rare), et la mise à niveau des normes et règlement du milieu et notamment la FISMA.

Par ailleurs, la Maison Blanche a publié une nouvelle stratégie concernant le cyberespace dont le mérite est tout d'abord de dévoiler une approche résolument internationale et bien moins "guerrière" que les précédentes à l'instar de la "National Strategy to Secure Cyberspace".

Ainsi, le ton et l'objectif de cette stratégie sont bien de considérer la sécurité non pas comme une fin mais une obligation afin de permettre le développement de relations commerciales, intellectuelles...Le sous-titre est à cet égard évocateur puisqu'il évoque autant la sécurité que la prospérité mais également l'ouverture. On pourra également noter l'appel du Président Obama qui concluant la préface invite les acteurs internationaux à construire un cyberespace ouvert, interopérable, sécurisé et de confiance...

Au-delà de ça, les pessimistes pourront craindre une approche très politique du cyberespace couplée à une volonté de "balayer" celui-ci afin de le rendre "civilisé"....Notons tout de même que ce document s'inscrit dans la lignée des publications de l'EWI que ce blog a déjà évoqué.

Développée en 3 parties, cette stratégie établit tout d'abord les bases d'une politique avant de s'intéresser aux futurs challenges concernant le cyberespace pour conclure sur les priorités politiques parmi lesquelles l'approche militaire n'est pas oubliée, pas plus que la Gouvernance Internet dont l'importance a toujours été défendu par l'auteur de ses lignes.

Ce document met tout d'abord l'accent sur le caractère critique, incontournable du cyberespace. Citant tout autant les problématiques d'inter-dépendances avec les services vitaux, ou encore la protection au quotidien des usagers, les structures de gouvernance, l'économie et l'innovation, rarement un document aura reconnu sans aucune contrainte le caractère central de cet "espace" d'échange d'informations.

Plus encore, la sensation d'universalité surprend car si les conclusions ou observations sont généralement faites à propos des Etats-Unis, on peut également souvent surprendre un "et pour le monde aussi" qui ne peut étonner (la position US dans le domaine cyber est sans commune mesure) mais qui surprend dans sa formulation et sa tentative d'unification. En bref, on a la sensation que ces problématiques doivent dépasser le caractère national pour une approche plus global...

L'approche internationale est ainsi largement mise en avant et reconnue comme nécessaire au travers d'exemples parlant : ainsi les ruptures de câbles ou encore le blocage de sites par un pays engendrant des problématiques d'accès pour tous (ex. Pakistan/Youtube). Cette stratégie va plus loin encore en plaçant au coeur de son action les questions de liberté fondamentales, droit à la protection de ses données et protection d'une forme de neutralité.

On doit ainsi, je pense, beaucoup aux Etats-Unis d'oser écrire la phrase suivante : "Les états ne doivent pas avoir à choisir entre la libre circulation des flux d'informations et la sécurité de leur réseaux. [...] Au contraire, les solutions de type filtrage national ou encore firewall produisent seulement une impression de sécurité tout en perturbant profondément les capacités d'innovation et de croissance dues au cyberespace."

Pas d'angélisme car cela ne dit pas, par exemple, que des raisons de sécurité autres (menace terroriste forte ou encore militaire) ne prévalent pas sur les droits fondamentaux. C'est d'ailleurs quelques part assez logique et on trouve trace de cela dans le document au détour d'un autre paragraphe. Cela ne dit rien aussi de l'application réelle de ce qui est encore un voeu pieux. Cela demeure toutefois un beau pied de nez à nos prétendus experts nationaux ou européens parlant de firewall européen ou d'Internet civilisé...

Dans une seconde partie, le document s'intéresse au futur du cyberespace, tout d'abord au travers des qualités qu'il doit avoir : Ouvert/Interopérable et Sécurisé/de confiance.

En matière d'ouverture et d'interopérabilité, il est essentiellement question de porter Internet et les technologies afférentes à tout un chacun. La communauté open-source n'est ici pas oubliée et c'est une forme de reconnaissance politique officielle du mouvement. Mais le document va plus loin en rappelant les principes du Sommet Mondial sur la Société de l'Information de Tunis, selon lequel l'interopérabilité soutient la liberté des flux d'informations. A cet égard, les Etats-Unis se déclarent donc en faveur d'une approche "end-to-end", ce qui revient, au final à donner au principe de neutralité du Net une de ses reconnaissances les plus hautes (eu égard à la nature et l'origine du document traité ici).

Les deux qualités suivantes, considérés comme devant appartenir au futur cyberespace sont la sécurité et la confiance des usages. Plusieurs critères sont retenus ici pour assurer la permanence de ces services et ceux-ci sont très intéressants: collaboration inter-étatique, standards et normes robustes, gestion efficace des incidents, confiance technologique logicielle et matérielle. Cependant, ces services dépendent aussi d'une action de réduction des risques au niveau global reposant, elle, sur la production de normes de régulation des actions étatiques dans le cyberespace associées également à une forme de dissuasion.

Ces normes sont plus largement abordées dans la suite de ce document et peuvent être appréhendées un peu comme on aborde les sources du droit international public qui incluent notamment la coutume, la jurisprudence internationale (CIJ) et les traités...Les Etats-Unis livrent alors une conclusion qui parait déterminante : le droit international actuel, en particulier celui portant sur le droit de la paix, de la guerre ou encore humanitaire, n'est pas rendu obsolète par la technologie et ce droit s'applique dans le cyberespace. Il n'en demeure pas moins une nécessaire adaptation que l'on trouve dans les documents de l'EWI Institute et qui est ici également reconnue.

Selon les Etats-Unis, les normes actuelles s'appliquant dans le cyberespace sont notamment :

- respect des libertés fondamentales
- respect de la propriété
- promotion de la protection des données personnelles
- protection contre la criminalité
- droit de légitime défense (au sens de la convention de l'ONU, donc pour un état)

Par ailleurs, le droit international devra s'adapter pour "imposer" le respect des principes suivants entendus comme étant la translation naturelle des spécificités du cyber :

- Interopérabilité globale : les états devront s'assurer de permettre le respect des principes end-to-end y compris au sein de leurs espaces souverains
- Stabilité des réseaux : les états ne devront pas promouvoir des configurations ou spécificités techniques à une échelle nationale interférant avec les interconnexions globales
- Accès de confiance : les états ne devront pas, arbitrairement, priver l'accès des individus à des ressources en lignes
- Gouvernance multi-acteurs : la gouvernance devra intégrer l'ensemble des acteurs
- Cybersecurity Due Diligence : protection, au sein de chaque état, des composants des infrastructures de télécommunication ayant une part remarquable dans la stabilité globale du cyberespace.

On retiendra ici un effort d'adaptation intéressant. On y trouve ainsi, encore une fois, une initiative pour le respect des principes de neutralité (en particulier avec l'association des 3 premiers points). Les acteurs différents des états sont également largement promus en cohérence avec le premier rapport de l'EWI et notamment au sein de la Gouvernance Internet. On pourrait rétorquer toutefois aux USA de commencer par "balayer" chez eux car si un Etat est bien particulièrement "puissant" au sein de la Gouvernance, ce sont bien eux...

Ayant ainsi défini ce que devrait être le futur écosystème du cyberespace, les Etats-Unis développent alors les lignes d'actions principales au niveau : diplomatie, défense, développement.

Au niveau diplomatique, l'accent est mis sur les partenariats et la création d'un environnement au sein duquel sera acquis un consensus, ainsi que le développements de mesures incitatives, permettant d'orienter (de pousser) les Etats tiers vers le développement et l'implémentation des mesures susceptibles d'atteindre un état final : un cyberespace ouvert, interopérable..........

Dans un autre ordre d'idée, on peut également lire la volonté forte du pays de se doter de moyens de dissuasion (intimidation) ou deterrence (dissuasion au sens actuel) permettant inciter de contraindre les états belliqueux à ne pas commettre d'actions offensives sur ou contre les réseaux.

On note également que le pays se réserve le droit de défendre ses infrastructures vitales (ici, les réseaux, télécommunications...) par des moyens de plusieurs natures. La dissuasion est ici entendue au sens pris le sous-secrétaire d'Etat à la Défense William Lynn, qui dans un article, décrivait celle-ci comme le renforcement des capacités de défense informatique à un tel point que toute attaque en deviendrait trop couteuse, impossible.

La deterrence est ici réellement conçue comme un ensemble de méthodes permettant de rendre certain à l'attaquant que le coût de l'attaque informatique d'envergure excédera de loin ses éventuels bénéfices. D'une définition somme toute relativement classique, on retiendra une approche "non-étatique", c'est à dire une approche judiciaire de traitement de la criminalité, en cohérence avec la convention de Budapest (entrée en vigueur depuis 2007).

S'ensuit alors une information déterminante : les Etats-Unis, considérant l'importance du cyberespace, se réserve le droit d'utiliser tous les moyens (militaires, économiques, diplomatiques, informationnel...) pour riposter (cas de la légitime défense) à une attaque dans le cyberespace contre leurs intérêts. De manière générale, les attaques "cyber" contre les Etats-Unis sont désormais considérées comme toute autre menace ou attaque.

Précisant cela, le document ajoute que les options militaires ne seront pas les réponses prioritaires et que toute action se fera avec une juste mesure du ratio coût/bénéfice et en particulier en fonction des conséquences. Le document évacue cependant complétement toutes les problématiques techniques, en particulier celles qui rendent très délicate l'identification réelle de l'origine des attaques.

L'action suivante est la construction d'une capacité industrielle propre à assurer la sécurité et la stabilité. Elle se base notamment sur le leadership des USA en matière des technologies et matériels de l'information qui, par ailleurs, n'est pas sans susciter quelques inquiétudes stratégiques. Le caractère international de ces proposition n'est pas sans poser de questions sur la capacité des Etats-Unis de continuer à imposer solutions matérielles et logicielles au risques de l'uniformité et d'une perte de l'indépendance...donc une baisse de la sécurité globale.

Dans une dernière partie, est dressée la liste des Priorités politiques pour les mois/années à venir. On en retiendra quelques-unes :

Au niveau économique :

=> protection du secret des transactions, libre-échange, protection du droit de propriété

=> plus encore, développement de standards sécurisés et interopérables. On regrette ici que ne soit pas cités l'IETF ou l'ISOC dont les actions contribuent nettement à cela. On peut constater souvent que les implémentations sont faillibles mais pas toujours les standards.

Au niveau Sécurité et protection des réseaux:

=> développement d'un activisme diplomatique globale pour la création d'un environnement propre à limiter les actions étatiques offensives dans le cyberespace.

=> développer une capacité internationale de gestion des incidents et de réaction en s'appuyant notamment sur le réseaux des CERTs.

Au niveau militaire et diplomatique :

=> participer et développer les lois internationales de répression contre la cybercriminalité

=> empêcher les terroristes ou les criminels d'utiliser le cyberespace à des fins de planification, financement ou d'attaques. On constatera une approche plus "saine" que l'ex-mode "cyberterrorisme" qui oubliait justement les aspects planification et logistique.

=> Mieux protéger et développer les réseaux militaires. Développer une capacité commune de défense informatique.

Au niveau de la Gouvernance Internet qui fait l'objet d'un paragraphe dédié :

=> Donner une priorité à l'ouverture et à l'innovation. Assurer la sécurité globale du système et notamment celle du DNS et promouvoir le caractère multi-acteurs du système. On regrettera l'oubli de certaines problématiques de sécurité justement "orphelines"...

Comme un signe fort, le document conclut, sur ses objectifs politiques avec la préservation de la liberté sur Internet, notamment avec la protection de la neutralité, le déni d'accès non autorisé par la loi ou encore la protection des données personnelles.

Pour conclure sur cette stratégie, nous retiendrons un caractère unique : la surprise car ce document n'a cessé d'étonner l'auteur de ces lignes. On peut également s'attacher à 3 points essentiels. A mon sens, le premier est le caractère ultra-international qui tranche avec les autres stratégies très orientées "sécurité" et marqué par une forme de repli. A cela s'ajoute une défense profonde des intérêts de l'usage avec une très forte promotion des principes de libertés d'accès et de libre circulation des flux. Enfin et dans une perspective plus militaire, assez proche des questions traitées par ce blog, c'est bien le fait que les USA décident de considérer une menace informatique comme n'importe quelle autre qui marque une réelle nouveauté. Pour autant, ce document ne permet pas de résoudre les problèmes spécifiques à ce type de déclaration (en particulier, l'identification de la source). Cela n'empêche pas de considérer cette stratégie comme une initiative intéressante permettant de créer un chemin vers un écosystème de sécurité plus mature.

Source :

http://www.whitehouse.gov/blog/2011/05/16/launching-us-international-strategy-cyberspace


lundi 9 mai 2011

Terminologie et Vocabulaire...dans le cyber

La question du lexique et du vocabulaire utilisés pour analyser les actions informatiques offensives est délicate. Quelques temps plus tôt, ce blog publiait une tentative de lexique pour essayer de limiter l'usage mal informé de certaines termes.

S'il existe un domaine où les mots ont leur importance, c'est bien le droit. Les termes d'un contrat sont précisément choisis pour ne laisser aucune place à l'interprétation. Certains droit, comme le droit pénal, ne prêtent pas le flanc à une interprétation des textes et certains cas (comme la filouterie) en montre bien la nécessaire précision.

Plus encore que le droit interne, le droit international ou encore les traités internationaux sont un domaine au sein duquel les termes ont leur importance. Pire encore, il n'est pas rare que l'usage de plusieurs langues trahissent l'objectif. Parfois, un texte international rédigé en 3 langues ne fait foi que pour l'une d'entre elles. Bref...on le voit, la terminologie ne s'écarte pas à la légère.

Lecteurs avisés et attentifs de ce blog, vous vous souviendrez de la conduite de négociations essentiellement entre Russie et Etats-Unis sur les cyberconflits. Ces négociations ont ainsi conduit d'influents think-tank à proposer des approches nouvelles. En particulier, l'East West Institute que l'on avait déjà vu lors du Premier Sommet sur la Cyber Sécurité.

Lors de la 38ème conférence de Munich sur la Sécurité Internationale, l'organisation a dévoilé la publication d'un premier rapport co-dirigé par des chercheurs russes et américains tentant d'apporter le contenu des conventions du droit humanitaires (Conventions de Genève et de la Haye), en particulier le droit des conflits armés au domaine cyber et à ses conflits. Ce blog n'en dira pas plus sur ce rapport pour le moment mais vous proposera bientôt une analyse approfondie de ses conclusions (chut! surprise...).

Toutefois, c'est un second rapport intervenu peu après qui motive ce message et cette dernière publication se consacre bel et bien aux questions de vocabulaires. Ce document fournit également la première version officielle et internationale de définitions jusqu'ici inexistantes. Voici ce que ce blog en retient.

Tout d'abord, retenons que le document fonde sa légitimité sur celle des deux Etats, qualifiés ici de "cyber superpower" mais également leurs capacités de gestion de l'équilibre nucléaire. Les auteurs en concluent qu'ils sont fondés, en tant que représentants d'une forme de pensée et d'une histoire entre les deux états, à proposer des définitions de portée globale. Notons tout de même que la notion de "cyber puissance" n'a pas été définie...Je veux bien croire cependant que les deux pays sont les principales cyber-menaces au regard du dernier classement de Arbor Networks (mais dans ce cas, nous sommes aussi une super cyber menace...bref...).

De manière très ouverte, les auteurs partagent également les problèmes en particulier l'approche bien particulière qu'a la Russie de l'information : celle-ci est naturelle ou artificielle par exemple. Elle doit également ne pas se limiter au cyber mais le cyber doit entrer plus globalement comme les autres sources d'informations dans le "corpus" à protéger. Enfin, la notion de sécurité demeure différente et s'entend plus comme "protection" incluant l'ensemble des aspects : humain, social...

Ce blog s'était déjà fait l'écho de cette dissymétrie dans l'approche et la conception du cyber, de l'information ou de la sécurité.

Plus globalement, les définitions se regroupent en 3 catégories : Définition du théâtre, Définition des modes de conflits (je traduis librement) et les modes d'actions.

Sur la définition de cyberespace : "Media électronique au travers duquel l'information est créée, transmise, reçue, stockée, utilisée et détruite".

On pourra retenir une approche intéressante et consensuelle puisque la définition ne reconnait pas l'approche "domaine ou espace" mais bien un "media" ou l'information connait une forme de cycle de vie. Par ailleurs, la notion de "electronic"' et les commentaires laissent entrevoir une considération renforcée des aspects physiques et structurels que l'on retrouve dans la définition des cyber infrastructures. Peut-être la définition la plus simple mais également la plus intéressante.

On notera également que les cyber infrastructures ne sont pas seulement techniques : l'humain en fait partie. Elles peuvent également être critiques lorsqu'elles participent au bon fonctionnement des composants critiques du cyber-espace.

Logiquement les composant critiques du cyber-espace sont notamment les cyber-infrastructures et les cyber-services (échanges d'information au bénéfice de l'humain) qui sont vitaux pour la préservation de la sécurité (publique, nationale...), l'économie et la stabilité internationale.

Dans les modes de conflits, on retiendra :

La cybercriminalité consiste en l'usage du cyberespace à des fins prohibées par la loi nationale ou internationale (classique). A priori, cette définition serait en cohérence avec les définitions proposées par la Convention de Budapest, en particulier le Préambule qui statue que "les réseaux informatiques et l'information électronique utilisés également pour commettre des infractions pénales et que les preuves de ces infractions soient stockées et transmises par le biais de ces réseaux".

Décevante en revanche est la définition du cyber-terrorisme qui ne fait que recopier la définition précédente. Cette définition ne prend pas de risque et ne tient pas compte d'une forme de réalité des actions terroristes et des usages par ces groupes du cyberespace.

Un cyber-conflit, en revanche, est défini comme une situation tendue, entre États ou groupes organisés résultant en attaques informatiques (cyber attaques). On en comprend donc que ne sont pas inclus les attaques informatiques lors de conflits déclarés mais que les États ne sont pas les seuls à être victimes ou responsables d'attaques. A noter que le document précise que cette définition souhaite englober les attaques physiques contre les cyber infrastructures.

Cette définition prend clairement partie en limitant son champ d'application, ce qui peut paraitre logique car le problème se pose plus souvent lors de situations tendues que lors de situations de conflits déclarés ou on se pose, au final, moins de questions.

Vient alors la définition tant attendue de "cyber war". Celle-ci est définie comme un stade avancé ou aggravé du cyberconflit. Se limitant aux échanges entre États uniquement, les attaques visant notamment les cyber-infrastructures. Elle se déroule dans le cadre d'opérations militaires de fait mais pas forcément dans une guerre déclarée (au sens juridique).

Il me parait très important de noter que ces attaques se déroulent dans un état de guerre de fait ou déclarée existant préalablement à ces attaques (sinon, c'est du cyber conflit) et que ces attaques impliquent forcément deux acteurs politiques. Sans cela, il n'est pas question de "guerre". L'auteur de ces lignes ne voit pas vraiment de critiques à porter contre cette définition qui semble circonspecte autant que cohérente.

La cybersécurité présente aussi de nombreux aspects intéressants car elle est présentée comme une propriété du cyberespace à résister à des menaces volontaires ou non, y répondre et à s'en relever. On notera ici que cette définition semble s'appliquer au cyberespace dans son ensemble et non à des systèmes d'informations particuliers. Ce n'est donc pas un autre nom de la SSI...

Au niveau des modes d'actions, on retiendra :

Cyber Warfare : les actions utilisées contre des infrastructures du cyberespace (comprenant donc les systèmes d'informations particuliers) par des acteurs étatiques dans le cadre d'un conflit déjà en cours.

Parmi les autres définitions, on retiendra surtout la considération des contres-attaques, thématiques important pour les Etats-Unis mais également le fait que la Cyber-défense ne présente aucun lien fort avec la Défense (au sens Défense Nationale).

Le document présente également une notion intéressante de cyber-dissuasion basée non seulement sur le développement d'une capacité offensive mais également le fait d'avoir des politiques, une posture affichée, des alliances...Bref, il s'agit plus d'intimidation au sens classique que de dissuasion dans son sens "nucléaire". Je demeure sceptique sur la matérialisation de ce concept notamment considérant les opportunités de dissimulation des attaques et surtout celles permettant de faire porter la responsabilité à un tiers.

Cet effort de conceptualisation constitue donc une première notamment en ce qu'il est international et dispose d'une forte audience potentielle. Ses auteurs pouvant être considérés comme des représentants de certaines approches gouvernementales, on peut également sentir les effets du consensus sur certaines définitions. Si certaines laissent un peu perplexes dans leur contenu ou leur désignation, d'autres, au contraire, apportent une vraie valeur ajoutée et rompent avec un flou malséant. Une lecture très intéressante donc et une initiative à suivre...

Source :

http://www.infowar-monitor.net/2011/04/russia-u-s-bilateral-on-cybersecurity-critical-terminology-foundations/

jeudi 5 mai 2011

Interview d'un chef du Navy Cyber Command

Il y a quelque temps, ce blog publiait un article sur la réorganisation de l'US Navy dans le cadre de ses nouvelles activités liées à la cyberdéfense.

Je vous invite à écouter l'interview du Rear Admiral Bill Leigher, Deputy Commander, Navy Fleet Cyber Command s'exprimant sur ce sujet.

Le MP3

lundi 2 mai 2011

Un hacker à l'ICANN ?

Et chef de la Sécurité qui plus est !

Effectivement, Jeff Moss, fondateur des très fameuses conférences de sécurité informatique Black Hat et DEFCON, a été nommé Chief Security Officer de l'ICANN, l'entité-clé de la gouvernance Internet. Il est également titulaire d'un poste de vice-président de l'organisation.

Une information intéressante qui montre, s'il était besoin, de la prégnance des aspects sécurité au sein de la Gouvernance.

Source : http://www.darkreading.com/security/security-management/229402482/black-hat-defcon-founder-to-become-cso-of-icann.html

dimanche 1 mai 2011

Barrières Frontalières...Café Stratégique

Membre très fier d'Alliance Géostratégique, je relaie ici cette invitation pour les passionnés de la recherche stratégique en France. J'essaierais d'y aller pour poser quelques questions en lien avec mon précédent article comportant un focus sur les frontières du Net.