lundi 21 novembre 2011

De "l'art opératif" en matière de cyber-opérations...

Dans un article précédent, il était fait allusion à un rapport soumis par le Département de la Défense américain au Congrès et précisant certains éléments relatifs aux publications stratégiques émises plus tôt dans l'année par le DoD.

Ce rapport est désormais disponible, et en voici les éléments marquants. Tout d'abord, le document rappelle sa référence, en la matière la fameuse "Department of Defense Strategy for Operating in Cyberspace" qui fait du cyber un espace d'affrontement au même titre que les autres tout en maintenant également la qualité de "démultiplicateur" de force". Ce point n'est pas forcément étonnant si l'on considère les espaces maritimes ou aériens qui, de par la liberté (haute-mer / haute atmosphère) sont autant des espaces de conflits que des espaces favorisant nombre d'actions des Etats.

Là où cependant le document apporte quelque chose, c'est sur le renouveau des concepts et doctrines nécessaires à l'intégration du "cyber" dans les opérations (peut-on parler d'art opératif ou autre ici ???) et à cet égard, le rapport qui nous est fourni ici nous apporte des précisions que nous déplorions dans le document de stratégie.

Ces éléments sont présentés sous la forme de 13 problématiques clés qui seront reprises ici. Notons toutefois que le document place, et c'est important tout action dans le cyber dans le cadre classique des opérations : une autorité, des missions claires et le respect des lois internes, internationales.

1- La posture déclarée de cyberdissuasion dans le cyberespace dans le contexte actuel.

Cette première problématique est à lire avec circonspection : en effet, il y est bien noté que la poste de dissuasion n'est pas si claire et évidente que cela car non seulement les USA sont très vulnérables selon leurs dires mais que les adversaires ont tout avantage à les attaquer tout en étant moins vulnérables eux-mêmes dans le cyberespace...C'est une petite révolution.

Ainsi, il est ré-affirmé que les modalités de réponses sont multiples et qu'elles interviendront dans le cadre de la dite "légitime défense", ce qui nécessite de caractériser l'attaque mais aussi de l'attribuer, ce qui demeure un point crucial dont le rapport fait état. Ainsi, il est noté que si les éléments de dissuasion faisaient défaut, la réponse pourrait être militaire et très…réelle.

Par ailleurs, et pour mémoire, notons une définition formelle de la dissuasion retenue ici :

- empêcher un adversaire d'attaquer une cible
- lui présenter les risques et coûts relatifs à une telle attaque entendus ici comme "représailles".

Précisons aussi que cette forme de dissuasion n'est entendue que dans un cadre légal et global, international qui doit conduire à adopter en commun, avec des alliés, des codes de conduites et autres normes.

Ce paragraphe sur la dissuasion est à prendre comme tel : un changement relativement important dans la considération des possibilités offertes par cette voie.

2- Préserver la capacité d'action du Président en cas de crise d'envergure.

Ce paragraphe constitue presque une forme d'adresse, ce qui tendrait à prouver que ce rapport constitue un avertissement à d'autres pays en précisant les termes des doctrines précédentes, plus théoriques.

Il est ainsi clairement écrit que tout état qui songerait à amoindrir la capacité d'information, décision et action du Président et des éléments décisionnels des USA prendrait un risque conséquent. A cela s'ajoute la possibilité de réponse, cyber ET/OU autres, à ce type d'attaque.

A cet égard, le rôle des entités de sécurité et de renseignement ainsi que celui du Cyber Command sont mis en avant et clairement établis.

3- Comment assurer une effectivité de la cyber-dissuasion

Un paragraphe en lien avec le premier mais qui mérite son propre développement. Le DoD considère bel et bien que la problématique de l’attribution demeure la question cruciale et se propose d’y répondre en 3 points relatifs au forensic, à la centralisation/partage des informations et aux « canaux auxiliaires »…

Il s’agit d’assurer une forme de corrélation des traces à l’échelle du Département de la Défense afin de faciliter le travail de ses éléments « forensiques ». Par ailleurs, des éléments de détection basés sur le comportement doivent être développés ainsi que des moyens de lier localisation physique et virtuelle. Bien que la tâche demeure particulièrement complexe et puisse paraître démentielle, n’oublions pas que, bien souvent, c’est le comportement des cybercriminels qui les fait attraper et que des éléments de lien physique-virtuels existent déjà (ex. les Google cars).

4- Ce paragraphe n’est intéressant qu’à un point mais d’importance : les USA ont la capacité de mener des opérations offensives dans le cyberespace pour se défendre ainsi que des alliés même si la preuve implique de déclassifier des documents sensibles.

5 – Ce point insiste sur la nécessité de maintenir une transparence dans le cadre de telles opérations notamment pour éviter des débordements en cas d’attaques. Ici semble être concerné le cas où un pays peut devenir un intermédiaire involontaire dans le cas d’attaques contre les USA : les réponses doivent être prévues, concertées et surtout il faut être transparent. Cette problématique est à mettre en corrélation avec le point 10 qui caractérise la « bonne attitude » du pays ainsi concerné.

6 – Ce point, encore une fois, se résume à une information de taille : il existerait des règles d’engagement, développées dans le cadre dit classique des opérations militaires mais concernant strictement la défense des réseaux.

7- Ici, il faut avouer que la question est presque stratosphérique : il est en effet annoncé que les Etats-Unis considèrent sérieusement la problématique de la considération de l’intrusion, à des fins de renseignement dans des réseaux étrangers et que cette intrusion soit considérée comme un acte hostile. Comme on le signifiait plus haut, ce rapport résonne comme une adresse aux alliés et adversaires potentiels et ce caractère semble ici à nouveau présent sans que l’on puisse clairement déterminer son destinataire.

8 et 9 sont relatifs aux échanges d’informations et coopérations non seulement avec le Congrès mais également avec les alliés proches et ceux de l’OTAN.

11 / 12 / 13 - Ces points concluent l’exposé des problématiques auxquelles sont confrontées les Etats-Unis en insistant sur les armes mais également sur la définition de l’acte de guerre. On en retiendra 3 points :

- De manière générale, le droit existant, que ce soit en matière d’armes ou de conflits, suffit et doit être appliqué

- - En matière d’acte de guerre, il semble qu’il y ait là un aveu d’impuissance mais également une forme de pragmatisme car le rapport déclare que la qualification d’acte de guerre relèvera en fin de compte de la décision et de la considération par le Commandant en Chef, donc le Président.

- - Bien qu’une cyber-arme soit encore quelque chose de non communément défini, le caractère dual est présent dans tous les esprits : cela ne constitue pas un obstacle à l’application du droit international…

En guise de conclusion, le rapport insiste sur la nécessité de maintenir de fortes capacités d’analyse et de modélisation. Passé relativement inaperçu, ce document est néanmoins particulièrement intéressant à plusieurs titres et apporte des informations relativement nouvelles ne serait-ce que par leur aspect déclaratif.

dimanche 20 novembre 2011

Comment former un "cyber warrior" ?

Un ton provocateur et humoristique pour annoncer une information intéressante relative aux programmes de formations des forces armées américaines concernant le domaine informatique et notamment "cyber".

On apprend ainsi que l'Air Force dispose de plusieurs modules de formation du "Undergraduate cyber training" au "Mission Qualification Training". Le premier concerne des formations relativement basiques tandis que le second apporte les formations et qualifications nécessaires à ceux qui seront affectés dans des unités dites de "network warfare".

L'Army (Armée de Terre) et l'USMC paraissent moins portés sur les questions de lutte informatique au contraire des questions plus orientées "sécurité" : réseaux, systèmes ou encore satellites et autres.

Enfin la Navy propose aussi des programmes délibérément orientés comme le "Center for Information Dominance" qui propose des cours de sécurité mais également des éléments plus avancés comme de la cryptographie et ou des compléments dans le domaine.

En résumé, on peut donc constater la richesse des formations proposées, qui doivent être associées, à des éléments moins connus comme il se doit. Notons aussi que, dans la lignée de ses actions précédentes, l'USAF est particulièrement avancée suivi par la Navy.

Source :

http://fcw.com/articles/2011/11/28/feat-military-cyber-training-side-overview.aspx?m=1

mercredi 16 novembre 2011

Infos en vrac : ICANN, OTAN & DoD

Quelques informations en vrac pour cette semaine, de source très différentes et sur des sujets variés :

=> Le gouvernement américain a lancé un appel d'offres pour la fonction IANA de l'ICANN. Pour les néophytes de la gouvernance internet, cette fonction, représentée par un ensemble de services, assure le coeur des services de gouvernance à vocation technique : prise de participation dans la gestion de la racine, interface avec les autres acteurs, maintien des référentiels...

Cela dit, et comme le montre les termes de l'accord, aucune rétribution n'est à attendre de cette fonction et les candidats doivent être américains. Autant de raisons qui font dire aux acteurs et observateurs que le marché est biaisé...De plus, et au-delà de la seule préservation des intérêts américains, l'ICANN semble être le destinataire essentiel de l'appel d'offre entendu que sans cette fonction, l'organisation est dépossédée d'un de ses deux coeurs de métiers...Le second, découlant du premier, étant d'assurer une coordination des processus et acteurs de la gouvernance internet

http://www.lemonde.fr/technologies/article/2011/11/14/la-racine-du-net-soumise-a-un-appel-d-offres_1603342_651865.html

=> Proposé par le blog de D. Ventre, econflicts.blogspot.com, une information dévoilée par un des dirigeants de l'Alliance Atlantique révèle que l'Agence semble être à la recherche d'une harmonisation et d'une stratégie de cyber-défense plus intégrée. Le Maj. Gen. Patrick Fermier, directeur des C3, aurait ainsi évoqué le renforcement des capacités de l'OTAN, éventuellement sous un commandement unifié...A suivre !

http://defensesystems.com/articles/2011/11/10/agg-nato-coordinated-cyber-defense.aspx?admgarea=TC_CYBER&m=1

=> Enfin, proposée par un lecteur de ce blog qui se reconnaîtra et que je remercie ici, une information selon laquelle le Pentagone aurait remis un nouveau rapport au Congrès précisant les éléments de stratégie dévoilée plus tôt dans l'année. Ce blog avait insisté sur les aspects flous et peu précis de ce texte et il semblerait que ce rapport soit justement là pour préciser certains aspects et notamment l'intégration de la composante cyber dans les opérations militaires américaines et dans la planification...Sur ce sujet, et sur le traitement par les forces armées américaines de ces sujets, je vous renvoie au Cahier N°2 de l'Alliance Géostratégique dans lequel ces éléments sont abordés. L'intégration de la capacité offensive, et sa reconnaissance, semble désormais appartenir à part entière aux outils des militaires américains bien que certaines règles d'actions semblent encore poser nombre de questions.

http://www.washingtonpost.com/national/national-security/pentagon-cyber-offense-part-of-us-strategy/2011/11/15/gIQArEAlPN_story.html


Source : dans le texte

dimanche 13 novembre 2011

Nouveau blog dédié aux cyberconflits

A suivre le nouveau blog Econflits, animé par Daniel Ventre sur les sujets habituellement traités par cet auteur...

Présenté en anglais, il proposera également des textes d'auteurs moins connus de la blogosphère franco-française dédiée à ces sujets..

A ajouter dans vos reader, blogrolls et autres !

http://econflicts.blogspot.com/

lundi 7 novembre 2011

Exercice Cyber Atlantic 2011

Pour ceux qui auraient été complétement dépourvus de connexion Internet ces derniers jours, il est à signaler la tenue d'un exercice de lutte informatique commun entre les Etats-Unis et plusieurs pays d'Europe : Cyber Atlantic 2011.

Premier du genre amenant les Etats-Unis à participer à un exercice pan-européen, cet exercice se fait également sous l'égide de l'ENISA (l'agence européenne de SSI) et se situe dans la droite lignée des exercices précédents Cyber Europe (notamment en 2010).

Selon les quelques éléments sur le sujet, l'attaque aurait mis en jeu une suite d'éléments souvent dénommés sous le vocable APT. Pour mémoire, ce type d'attaque, très commune à l'heure actuelle, utilise de manière intelligente une suite d'exploits dont la technicité n'est pas forcément très élevée. Les failles organisationnelles et vulnérabilités intrinsèques font le reste...Une attaque à l'heure du temps donc...

Source : http://www.zdnet.fr/actualites/l-europe-et-les-etats-unis-s-entra-nent-a-contrer-les-cyberattaques-39765379.htm#xtor=EPR-100

jeudi 3 novembre 2011

Des avis contradictoire sur la Chine

Des récents éléments d'un rapport sur la Chine, paru aux Etats-Unis, impute des attaques survenus sur des satellites américains aux techno-guerriers de l'Empire du Milieu.

Les éléments en question semblent issus d'un rapport préparatoire rédigé pour une commission as hoc du Sénat américain dont le pouvoir n'est plus à démontrer. Cette commission, dénommée "UU.S.-China Economic and Security Review Commission.S.-China Economic and Security Review; Commission" se concentre comme son nom l'indique sur des questions de sécurité

Ces éléments affirment donc que deux satellites, à vocation géologique et d'observation, auraient subi des problématiques de transmission et de parasites à plusieurs reprises en 2007 et 2008. L'affaire fut suffisamment importante pour susciter des enquêtes.

S'il semble que les problèmes rencontrés par les satellites aient été confirmés par plusieurs sources, leur attribution à la Chine est encore une fois le réflexe premier. A nouveau, en l'absence de preuves concrètes, l'on est amené à douter de ces assertions et à se demander si une forme, avouée ou non, de théorie du complot ne permet pas aux Etats-Unis de diaboliser un adversaire afin notamment de se persuader d'un danger, sur lequel ce blog ne se prononce pas, afin de démontrer l'utilité de certaines branches de l'administration. Rappelons aussi que les négociations budgétaires sont tendues outre- atlantique et les coupes franches dans le budget du Pentagone font l'objet de tractations intenses.

Pas d'angélisme non plus pour autant, la Chine est très certainement un acteur dont l'importance est croissante ces dernières années et qui prend une place prépondérante. Un ami disait ainsi, il se reconnaîtra, que le 21ème siècle débuta réellement lorsque l'Europe fit appel aux pays émergents dont la Chine (sic) pour sauver sa structure monétaire. Doté d'un appétit féroce qui s'explique aussi par un retard technologique et des pressions démographiques fortes, il n'est pas étonnant de constater une réelle forme d'agressivité du pays...

Pour autant, il est important de relativiser, ce que fait, semble-t-il, intelligemment, un rapport publié par un auteur australien qui apporte un œil neuf sur la Chine.

Ainsi, ce document relève plusieurs points dont la portée dans la réflexion semble notable.Selon lui, la Chine peut avoir mener des opérations informatiques offensives : cela n'en fait pas pourtant un adversaire extraordinairement talentueux. Au contraire, c'est plus une position défavorable, c'est-à-dire des connaissances et compétences encore inférieures à celles de l'occident qui semble pousser à une stratégique préventive d'attaques dissimulées dans le but de s'évaluer, d'évaluer les capacités des autres et de s'améliorer. Une application du principe voulant que la meilleure défense soit l'attaque...mais que celle-ci n'est pas forcément frontale ! Après tout, le but est de survivre, pas de briller.

De plus ajoute le rapport, les systèmes chinois ne sont pas moins vulnérables et les dirigeants semblent en avoir conscience. L'auteur semble ici indiquer la véracité des allégations de ces dirigeants sur les attaques et vulnérabilités dont sont victimes les chinois : elles constituent une des raisons majeurs pour lesquelles ceux-ci sont si proactifs en matière d'offensive.

On me répondra pourtant que les attaques sont monnaie courantes et que certaines semble avoir été profondes ou complexes ou encore très réussies. A cela, on pourrait répondre, comme le fait le rapport, que les attaquants exploitent tout d'abord une vraie dépendance des pays avancés à ces technologies.

Pour aussi avancés qu'ils soient, nos pays maîtrisent pourtant mal la sécurisation de leurs systèmes comme le montre nos récents articles ainsi que toutes les récentes attaques. Ainsi, la plupart des experts demeurent consternés par la médiocrité des attaques qui utilisent des "trucs" connus depuis longtemps et des vulnérabilité dont la persistance pourrait valoir nombre de licenciements à ces responsables...

Pour résumer, selon le rapport, les chinois sont encore en retard pour plusieurs années dans le domaine de l'information warfare. Pour autant, ils ne sont pas dénués de toute capacité mais celles-ci, relatives, fonctionnent mieux dans un mode préventif que réactif ou de grande ampleur (cas d'un conflit à composante informatique forte). C'est surtout nos défaillances et nos faiblesses, associées à notre très forte dépendance, qui leur permet de faire fonctionner leurs outils et de leur donner un tel retentissement/efficacité.

Cette opinion discordante dans le bruit ambiant fournit matière à une réflexion intéressante. Elle a le mérite de fournir un point de vue équilibré et une vision particulière que cet article a tenté d'expliquer. Enfin, elle a le mérite d'être global et d'intégrer l'ensemble des composantes et questions : elle nous invite à mieux réfléchir et à repenser nos modèles d'actions et d'informations.

Sources :

http://www.nextgov.com/nextgov/ng_20111031_9543.php

http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/?fp=16&fpid=1

Le rapport en question : http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf