mardi 4 décembre 2012

La DARPA souhaite de la confiance !

Un des problèmes récurrents en sécurité est la confiance que l'on peut avoir dans les produits que l'on achète à des tiers. Un récent billet remettait cet enjeu en perspective. Ne pas disposer d'un code source ou ne pas connaître les rouages du fonctionnement d'un produit, c'est également assumer la possibilité que ce dernier puisse exécuter des actions non-souhaitées ou, plus simplement, ne pas faire ce qui est attendu dans des conditions de sécurité optimales.

Cette question est évidemment ardue car le temps nécessaire pour établir la confiance est justement long : c'est un exercice complexe requérant des capacités relativement peu répandues. C'est pourtant la question que se pose la DARPA, une des agences de recherche américaines notamment en matière de défense.

Particulièrement en pointe ces derniers temps, l'entité a donc lancé un nouveau programme dénommé Vetting Commodity IT Software and Firmware (VET) dont l'objectif est notamment de retrouver un niveau d'assurance suffisant pour les très nombreux objets à composante technologique utilisés au sein du gouvernement américain.

Car, en effet, le défi comporte une notion d'échelle : il est impossible d'analyser en détails l'ensemble des programmes, codes et fonctionnalités de cette quantité très importante de composants achetés par le ministère de la Défense américain et utilisés chaque jour.

La volonté de la DARPA est donc de pouvoir résoudre cette complexe équation qui est de retrouver la confiance technologique dans un contexte de ressources nécessairement limitées par rapport à l'ampleur de la tâche.

Pour cela, le programme VET se fixe trois objectifs prioritaires :

- Permettre à un analyse de définir relativement rapidement quelles seront les fonctionnalités à problèmes ou les potentielles menaces ;
- Démontrer que ces menaces potentielles ne sont pas matérialisées dans l'objet analysé ;
- Passer à l'échelle...

Ces fonctions nécessitent tout à la fois des outils adaptés et des organisations ou des processus capables de répondre de manière efficace et c'est tout l'enjeu.

Dans une perspective plus large, la démarche de la DARPA constitue une avancée qui, si elle est concrétisée, pourra être qualifiée de majeure. En effet, cette problématique de la confiance est centrale pour toutes les entités souhaitant atteindre un niveau de sécurité cohérent et les processus ad hoc ne sont pas nécessairement efficaces car ils prennent du temps.

Si le programme tient ses promesses et qu'il arrive à résoudre ce qui semble être un quadrature du cercle, il sera bon de s'en inspirer afin de pouvoir élever globalement le niveau de sécurité et retrouver une confiance perdue depuis bien longtemps !

Source :

http://www.informationweek.com/security/vulnerabilities/darpa-looks-for-backdoors-malware-in-tec/240143043

http://www.darpa.mil/NewsEvents/Releases/2012/11/30.aspx

dimanche 2 décembre 2012

jeudi 29 novembre 2012

Un camp de manoeuvre pour la LID

Une information très intéressante a été publiée très récemment relative aux pratiques d'entraînements des professionnels de la lutte informatique aux Etats-Unis. Il semblerait ainsi qu'un camp d'entraînement spécifique aient été créés sous la forme d'une petite ville disposant d'une connectique accrue et de systèmes d'informations nombreux notamment en ce qui concerne les SI dits "vitaux".

NetWars CyberCity située prés de la ville de Turnpike dans le New-Jersey a été développée  en collaboration avec le SANS Institute, une entité spécialisée dans la formation en sécurité informatique. Un de ses objectifs est notamment de former les futurs spécialistes des forces armées américaines dans le domaine de la lutte informatique. Une des composantes de la formation apparaît à ce titre très défensive quand l'autre semble bien plus offensive.

Bien évidemment, la taille des infrastructures est réduite et les bâtiments miniatures. Les composants, en particuliers les systèmes informations supportant des services comme la fourniture d'électricité ou la gestion de l'eau, proviennent de systèmes réels utilisés au quotidien.

Afin d'élargir le débat, force est de constater que cette initiative renforce le pivot effectuée par la lutte informatique actuelle. Auparavant, l'action offensive sur les réseaux s'apparentait essentiellement à des actions qui n'étaient qu'indirectement liées à une pratique de "guerre" : les nombreux cas rapportés rappellent bien plus, pour ce que l'on en sait, des cas d'espionnage, de subversion ou encore de perturbation. Une action qui semble plus clandestine.

Toutefois, cette orientation qui vise à donner un contenu plus "guerrier" dans le sens plus conventionnel , à priori, de mener de la guerre et les affrontements est plus récente. Elle s'avère parfaitement cohérente avec les choix stratégiques que l'on peut connaître des Etats-Unis, en particulier le fait qu'une attaque informatique puisse recevoir une représailles par des moyens dits "conventionnels" justement. 

La réflexion pourra objecter plusieurs remarques dont par exemple que les temps nécessaires aux attaques informatiques ne sont pas compatibles avec la réactivité nécessaire aux conflits armés.  A cet égard, on rappellera que les conflits font justement l'objet de planification et d'entraînement, à l'aide de structures dédiées et de scénarios jugés pertinents. Il faut également se souvenir des récentes orientations données à la recherche, en particulier par l'intermédiaire du programme "Fast-track" de la DARPA qui semble pleinement répondre à ces besoins.

Note : sur les problématiques d'entraînement ou d'adaptation aux conflits, dont je ne suis pas spécialiste, je conseille vivement la lecture de ce blog : http://lavoiedelepee.blogspot.fr

Source :



vendredi 16 novembre 2012

Cyber-perles !

Suite à un récent article sur les méfaits de la consommation abusive de "cyber", il m'a paru nécessaire de vous proposer un petit recueil des quelques "perles" qu'il m'avait été donné de lire. Attention : humour caustique ci-dessous...vous aurez été prévenus.

Disclaimer : dénonçant l'usage abusif du terme et les biais intellectuels qui en dérivent, stigmatiser tel ou tel blogueur me parait tout à fait déplacé. Pour une fois, aucune source ne sera donnée. Un exemple pour illustrer cela : un excellent blogueur en défense, aéronautique ou autre peut ainsi utiliser un néologisme "cyber" de son cru afin d'illustrer un aspect précis à destination de son public de spécialistes sans qu'il soit nécessaire d'être plus précis. Rire oui...se moquer seulement s'ils le méritent vraiment ! Vous n'êtes pas obligés de croire que je n'ai les ai pas inventés mais c'est comme ça :D

- Cyber payload -

Une "charge utile" constitue la partie la plus intéressantes des données. En sécurité, elle est souvent associée à une d'autres données permettant d'exploiter une vulnérabilité, la charge utile étant souvent utilisée ensuite pour s'assurer un accès au système par exemple ou provoquer des comportements spécifiques.

Dans d'autres cas, lorsqu'on parle d'encapsulation, il s'agira de la partie purement constitué d'information non exploitées mais uniquement transportées. A l'opposé, des données positionnées dans des en-têtes (headers) seront des données utilisées par le ou les systèmes gérant des paquets sur un réseau par exemple.

La notion de "payload", bien qu'évidemment non spécifique à l'informatique, n'est pas nouvelle et se trouve même utilisée depuis bien longtemps tant en sécurité qu'ailleurs. Il est donc inutile de la "cyberiser".

- Cyber-information systems -

Pffff...alors que la notion de systèmes d'informations fait enrager bon nombre d'informaticiens, il faudrait en plus qu'il devienne "cyber".

Car, soyons en sûr, le cyber-information-system de Mme Michu est attaqué de toute part. Alors, entreprises, soyez vieux jeu, vous serez sécurisés, votre système d'information ne craindra rien et je subodore que votre système informatique doit prendre la poussière quelque part....

Bref...avant de devenir totalement psychédélique, celui-ci ne mérite guère plus.

- Cyber-rock - 

Le sens de celui-ci m'est inconnu : s'agit-il d'une forme de déni de service que l'on pourrait utiliser dans le cyber-moyen-orient pour cyber-lapider des cyber-épouses infidèles (cyber-infidèle ou pas) ? Ainsi, Jésus-Christ pourrait-il s'exclamer "qui n'a jamais cyber-pêché me jette la première cyber-pierre" !
Ou bien, c'est un nouveau style de musique qui, on peut rêver, est dépourvu de DRM et inconnu des acteurs de l'audiovisuel.

- Cyber-espionnage -

Celui-ci est pour James Bond : et oui, les producteurs de Skyfall se sont inspirés de l'aventure Stuxnet et le nouveau "Q" a tout du brillant geek. Bien trop "propre sur lui" pour aller démonter les rouages d'un Aston-Martin afin de lui coller des armes automatiques, il ne fait plus tant rêver. Et puis James Bond fait vieux maintenant : il a raté tous ses test...Qu'à cela ne tienne, si sa petite forme ne lui suffisait plus, qu'il s'en tienne au cyber-espionnage.

 - Cyber-power - 

Quant à celui-ci, j'ai toujours la vision, lorsque je le lis, de Gandalf lors de la célèbre scène du "Vous ne passerez pas". Chers lecteurs, vous jugerez.

- Cyber-investigation -

Celui-ci est une hérésie car il existe des disciplines à part entière dont les objectifs sont justement l'investigation sur des données informatiques ou au sein d'Internet :

Forensic informatic ou analyse informatique post-mortem par exemple. Un des objectifs est de retrouver un chemin suivi lors d'une attaque informatique sur une machine donnée ou dans un réseaux. L'utilisation est fréquente dans les cas où une procédure judiciaire nécessite un examen approfondi, conduit par un expert, d'un ou des systèmes informatiques, machines et disques durs.

OSINT ou recherche/renseignement en sources ouvertes qui spécifient un cas bien particulier de recherche et d’agrégation d'informations en libre disposition, le plus souvent sur le web (ouvert ou caché).

- Cyber-guerriers -

Chers lecteurs, il me faut vous l'avouer : lorsque j'ai trouvé celui-ci, mon coeur a manqué un battement. Fan des aventures de Dragon Ball, j'ai toujours rêvé de changer de coiffure aussi vite et d'avoir cette pulsation plasmatique autour de moi. Et cyber-guerrier me fait irrésistiblement penser à "super-guerrier".

Et quelque part, nous qui faisons parfois de la SSI, ne sommes-nous pas des cyber-guerriers, des super-guerriers du cyber-espace..volant sur les électrons ?

De fait, voici dorénavant ce qu'il en sera :

- un déni de service distribué deviendra un "cyber-kaméhaméha"
- les hackers russes sont les "cyber-gorilles de la pleine lune"
- la fibre optique, c'est le "cyber-nuage supersonique"...

- Cyber-super-héros -

Pour ce dernier, il me faut avouer avoir cru déceler une certaine dose d'humour dans le titre et la formulation de l'article. Et puis, il n'est pas très loin du précédent alors on s'arrêtera là.

- Cyber Skirmishes - 

On pourra le traduire par "cyber-escarmouches"...Une embuscade avec des câbles RJ-45 tendus entre deux unité centrales ? Des commandos de hackers positionnés dans les réseaux du web "underground" attendant d'attaquer, et, en guise de camouflage...Tor...Il faut bien se cyber-camoufler !

Pour finir, voici une idée originale : et si l'on remplaçait "cyber" par "schtroumpf"...De toute manière, on en fait le même usage et ça n'apporte pas grand chose.

Chers lecteurs, j'espère que ce post vous aura fait un peu rire. J'ose espérer également qu'il aura contribué à vous convaincre de la nocivité de l'emploi systématique d'un terme qui paralyse la recherche et la réflexion alors qu'il est semble nécessaire de trouver tout à la fois les concepts adéquats ou le moyen d'adapter l'existant.

jeudi 15 novembre 2012

Le Président OBAMA formalise les opérations informatiques offensives

Premier à l'avoir révélé, le Washington Post a ainsi publié un article annonçant la signature par le Président OBAMA, sans doute à la mi-octobre d'un document organisant les opérations militaires de nature informatiques et à vocation offensive.

La directive politique présidentielle n°20 (Presidential Policy Directive 20) établit ainsi un ensemble de critères et de guides ayant pour objectif d'encadrer l'action des agences officielles dans ce domaines. Ce document étant classifiée, nous en sommes donc réduits à croire l'organe de presse sur parole.


Un contexte bien particulier...

Une précision s'impose : ce document s'inscrit dans la suite d'une longue bataille au sein du Congrès américain qui n'a jamais permis d'aboutir à la rédaction d'un document faisant consensus sur l'organisation de ces fonctions et opérations.

De même, j'imagine déjà plusieurs lecteurs se demander l'utilité d'un tel document alors que la NSA existe depuis longtemps, le Cyber Command également, et qu'ils ne sont certainement pas restés inactifs depuis leur création. De plus, l'observation des unités impliquées est trompeur car comme le rappelait Daniel Ventre, les Etats-Unis intègrent des unités de guerre électronique dans leurs listes d'unités à vocation "cyber"...(sic)

Rappelons donc qu'il existe plusieurs types d'acteurs, officiels et officieux, menant différents types d'opérations. Certaines peuvent être tout à fait officielles et entrer dans le cadre d'une action militaire connue et publique. D'autres peuvent être discrètes mais demeurer officiels. Les dernières, enfin, seront clandestines et relèveront notamment des agences de renseignement, par exemple.

Pour étayer cette distinction, on pourra reprendre l'action des armées françaises en Afghanistan : publique, connue et officielle bien que certains éléments demeurent dissimulés afin de protéger les soldats. Les actions des dites "forces spéciales" sont très discrètes mais ne sont pas clandestines et les intervenants sont des "soldats" en uniformes et identifiables. Enfin, les action des services de renseignements (DGSE par exemple) sont souvent dits clandestins.

Le document du Président ne concerne donc, dans ma compréhension, que la première voire la seconde catégorie. La dernière quant à elle n'a sans doute pas attendu ce document pour agir.

Une différenciation des opérations

Toujours selon l'article, une distinction importante est faite :

- la "network defense" regroupe les actions de sécurité et de protection ou encore de défense des réseaux américains : l'article n'est pas plus précis.

- les "cyber operations" sont des actions offensives conduites par des entités militaires ou ayant cette vocation et dans le domaine de l'informatique et des réseaux.

Contrairement à ce qu'une partie des articles pourrait faire croire, il ne s'agit pas d'autoriser des contre-attaques ou de donner carte blanche à des geeks travestis en militaires. Ce document et les directives qu'il contient vise au contraire à formaliser les rôles des agences et leurs relations et à donner un cadre strict à des opérations offensives ou de contre-offensives.

A cet égard, le cas Stuxnet dont aucun des acteurs invoqués n'a reconnu la paternité (sauf erreur de ma part) n'entre pas dans ce type d'opérations mais bien plutôt dans une approche clandestine qui aurait ici, connu une forme d'échec justement.

Autre point, ces opérations auront notamment comme obligations de respecter l'ensemble des dispositions du droit des conflits armés.

Cette information est particulièrement intéressante car elle contribue à renforcer l'impression que les Etats-Unis souhaitent donner un contour et un aspect officiel à une pratique du conflit qui s'est jusqu'ici distingué par ses aspects dissimulés et se rapprochant beaucoup du renseignement. Passer d'une pratique de renseignement, même agressive, à un volet militaire plus classique, officiel n'est pas aisé et il n'est même pas acquis sur le succès sera au rendez-vous.

Source :




lundi 5 novembre 2012

mardi 30 octobre 2012

Pourquoi j'aime la LID...

La LID pour Lutte Informatique Défensive et son corollaire plus sulfureux, la LIO (offensive) n'est ni sexy ni glamour ni...anglo-saxon. Tout le contraire du "cyber"...

J'ai fait le test : http://willusingtheprefixcybermakemelooklikeanidiot.com/ ...et effectivement, vu que je ne suis pas un auteur de science-fiction ou autre, l'emploi systématique du préfixe n'est pas approprié. Pour une saine qualité des propos tenus sur vos blogs, j'encourage tous les auteurs s'étant approprié ce sujet à faire également le test.

Vous l'avez deviné, cet article sera un billet d'humeur comme ce blog en a déjà vu quelques uns. Notons par ailleurs que je ne suis pas le seul : dans un récent article, Stéphane Bortzmeyer relevait quelques incohérences sur le sujet. Ce n'est pas non plus le premier article que je commets sur le sujet.

J'aime la LID parce que c'est "vrai"...

C'est une notion assez claire et qui ne préjuge de rien. C'est informatique, certes, c'est défensif ou offensif (on tape en premier ou où se protège) et puis la lutte, ça nous connait nous autres gaulois. D'ailleurs, ça pourrait même parler d'information si l'on voulait vraiment.

Deux raisons essentielles ont contribué à la création de cet article : le premier est l'usage sans commune mesure du terme sans une certaine retenue que l'on observait encore parfois. Le second est, corrélativement à l'inflation du sujet dans les médias spécialisés ou non, la profusion de nouveaux experts qui traitent ce sujet comme il traiterait n'importe quoi. 

De vagues questions demeurent parfois : faut-il comprendre la technique pour se permettre une analyse cyber ? Non, savoir éplucher les pommes de terre est suffisant, c'est d'ailleurs évident.

Après tout, c'est vrai que nous n'avons pas travaillé pendant plusieurs années pour acquérir une connaissance et des compétences sur le sujet. Verrait-on un expert en sécurité se mêler de géopolitiques ? Verrait-on un informaticien donner des conseils à un expert en droit international ? Je ne le crois pas mais visiblement l'inverse est possible.

"Charité ordonnée commence par soi-même" dit le proverbe. En avant pour l'auto-critique : il suffit de lire le titre de ce blog ou encore certains de mes récents articles. Je ne suis pas le dernier à utiliser ce fameux préfixe ou encore à formuler d'obscures hypothèses sur la nature du "milieu" ou que sais-je encore. Pour ma défense, Votre Honneur (encore un anglicisme..), une meilleure compréhension du message pouvait être une nécessité et induire des simplifications.

J'aime la LID parce que c'est simple...

Par exemple, ça ne préjuge pas de l'identité ou de la nature d'un domaine, d'un milieu ou encore d'une somme de technologies. Car après tout, quels travaux géopolitiques ou encore sociologiques ont-ils démontré qu'Internet était un "espace", ou encore un "milieu"...

Comme le disait Einstein : "Les choses devraient être faites aussi simples que possible, mais pas plus simples". D'ailleurs, n'hésitez pas à lire cet article du New-York Times : un émérite professeur y rappelle les problématiques de confiance inhérentes aux modèles informatiques actuels et ses solutions...D'ailleurs, il ne parle pas beaucoup de "cyber" mais bien plus de sa rencontre avec le célèbre scientifique.

Alors oui, nous usons parfois de simplifications afin de ne pas brouiller le message. Mais lorsqu'on se permet de simplifier, c'est parce que l'on maîtrise suffisamment un sujet pour mesurer les écarts que l'on comprend la légitimité des travers qu'imposent les sujets.

Et puis, à force d'écouter ces prétendus experts, ce que l'on ne fait pas, c'est élever le niveau de sécurité, former des gens, renforcer des organisations, se rappeler qu'on a des compétences et qu'on avait des industries, sensibiliser, rappeler et parfois même punir.

Enfin, un autre test pour ceux qui doutent encore : si parler "cyber" ne fait pas un expert, comment les distinguer ? C'est assez simple : il suffit de demander à chaque "expert" de refaire son discours sans jamais utiliser cette simplification, de conserver le même niveau de détail et le même apport de savoir...Et vous verrez assez vite à qui vous avez affaire.

J'aime la LID parce qu'au fond, c'est assez pratique

Comme ce n'est pas vraiment connoté ou marqué, ça n'empêche pas de réfléchir "stratégique". Même si on préférera une bonne vision globale, ça ne coupe pas des fondamentaux.

Par exemple, on peut faire de la sécurité informatique dans la LID, on peut également faire de la sécurité des informations ou de la SSI si on le souhaite.

On peut également analyser les évènements dans le détail tout en essayant de discerner des tendances globales : l'usage d'une technologie, la marque d'un groupuscule, l'implication d'un ou de plusieurs Etats...

Alors, de grâce, cessons d'entretenir la Peur, le Doute et l'Incertitude (traduction libre du FUD) en accolant du "cyber" à chaque discours. Et si ce n'était pas la rigueur intellectuelle, ce serait pour la langue française pour qui ce n'est même pas un mot !


Source :

dans le texte

lundi 29 octobre 2012

Inflation de cyber incidents ?

Ou plutôt d'exercices visant à améliorer les capacités d'intervention et de coordination. 

La preuve en est apportée par l'Enisa qui publie un rapport dont les résultats sont issus d'une analyse de la plupart des exercices nationaux ou internationaux conduit entre 2002 et 2012.


Quelques fait intéressants que révèlent l'analyse :

- 64% des exercices sont volontiers internationaux en impliquant plus de 10 pays différents
- 57% des exercices font intervenir tant des acteurs publics que privés
- 74% des exercices conduits ont également une stratégie de communication, favorisant la sensibilisation du public (ou le FUD selon les opinions)

Le rapport en profite pour établir plusieurs recommandations parmi lesquelles la nécessité d'impliquer l'ensemble des acteurs, la conduite d'exercices à la complexité croissante et la nécessité de mettre en oeuvre des mécanismes d'apprentissage par retour d'expérience.

L'Enisa est ainsi "dans le vent" puisque plusieurs acteurs importants dans les différentes crises de sécurité informatique ont également été présents ces derniers jours. 

En particulier, les Etats-Unis et le Canada ont lancé un Joint Cybersecurity Plan soutenu conjointement par le Department of Homeland Security et le Public Safety Canada. Ce plan doit, selon les dirigeants, mettre en oeuvre un meilleur partage de l'information ainsi que des pratiques renforcées de coopération ainsi que des échanges de bonnes pratiques.

Enfin, l'Iran s'est également illustré récemment avec l'annonce d'un document dédiée à la "cyber-sécurité" dont la publication intervient pendant une semaine d’exercices dédiées à la défense passive. L'information que nous devons au blog E-conflict, est également importante par son contenue. La stratégie retenue se voudrait essentiellement défensive voire dissuasive.

Des exercices de nature "cyber" seront d'ailleurs menés pour la première fois par ce pays durant cette semaine spécifique. On se souviendra évidemment du cas Stuxnet qui avait mis l'Iran et son programme nucléaire au cœur de l'attention.

La conduite de ce type d'exercices est intéressant car comme on peut le voir, elle fait essentiellement intervenir des acteurs et des concepts associés au monde de la "sécurité" ou de la "sureté". L'approche stratégique récente (Livre Blanc 2008) marquait une fusion du monde sécurité et du monde défense en insistant sur les complémentarités : le cas iranien tend à illustrer ce fait. Pour autant, il semblerait que le monde anglo-saxon s'en éloigne puisque ce sont bien des acteurs de sécurité intérieure qui agissent aux Etats-Unis et au Canada. On rappellera d'ailleurs que malgré des appels pressants, les Etats-Unis semblent persister à diviser les domaines de responsabilités et à contenir NSA et Cyber-Command aux strictes nécessités de la conduite d'opérations militaires.

Source :

http://www.enisa.europa.eu/media/press-releases/the-anatomy-of-national-and-international-cyber-security-exercises-new-report-by-the-eu-cyber-security-agency-enisa

http://www.securityweek.com/us-canada-launch-joint-cybersecurity-plan

http://presstv.com/detail/2012/10/24/268414/iran-will-hold-firstever-cyber-drills/

http://french.irib.ir/info/iran-actualite/item/220878-le-nouveau-document-strat%C3%A9gique-de-la-cyber-d%C3%A9fense-iranien-sera-d%C3%A9voil%C3%A9

mardi 16 octobre 2012

Le cyberespace est-il "espace" ?

Observateur depuis quelques temps de l'évolution des moeurs et des modes d'affrontements sur Internet ou dans le cyberespace, il semble se produire récemment des évolutions notables. Ce que l'on appelle parfois des "signaux faibles" semblent apparaître ça et là.

Le discours de Léon Panetta prononcé récemment est ainsi instructif : celui-ci évoque de manière directe à la fois le besoins de maîtriser les aspects offensifs pour mieux les comprendre mais également le fait de disposer d'une capacité déjà fortement structurée. Comme si tout cela concourrait à la mise en place d'une forme de "dissuasion", le patron de la NSA et du Cyber-Command, le Général Keith Alexander évoquait tout aussi récemment le développement de ces capacités.

On retiendra ainsi 3 points qui me paraissent essentiels :

- le discours désormais dénué de "langue de bois" qui décrit l'existence de capacités offensives. Rappelons le contexte législatif problématique du moment où les acteurs sont en attente d'arbitrages au sein des institutions parlementaires avant la nouvelle loi relative à la "cyber-sécurité ;

- bien que généralement l'on repousse la "dissuasion" comme une forme de stratégie applicable au cyberespace, il est bon de se souvenir que dissuader un acteur de commettre une action ne passe pas forcément par un missile nucléaire. Avertir ou montrer ses muscles est également une partie du processus : chaque enfant dans une cour d'école pourra vous le démontrer. La concomitance de ces discours n'est pas sans lien avec l'affirmation d'une forme de "puissance" dans ce domaine ;

- enfin, un aspect interpelle dans le discours de M. Panetta : sa confiance dans la capacité des Etats-Unis à localiser les acteurs d'attaques informatiques et de leur appliquer les traitements et punitions liés à leurs actions. Ceci a de quoi interpeller car jusqu'ici, la notion d'invisibilité sur Internet et l'impossibilité d'imputer formellement constituait une donnée structurante.

Bien évidemment, l'on sait depuis longtemps qu'il est possible de retrouver des responsables d'actes délictueux ou des attaquants informatiques, surtout lorsque les flux sont surveillés. Il demeurait toutefois relativement acquis qu'un attaquant motivé, intelligent et disposant de quelques moyens pouvait assez facilement demeurer dans l'ombre.

Info ou intox ?...Une affaire à suivre !

Mais l'évolution ne s'arrête pas là. Après avoir insisté sur la nature "géographique" et spatiale du..cyberespace, il semble que cela ne suffise plus. On ne compte plus aujourd'hui les articles, mémoires et autres opinions faisant d'Internet un nouvel espace de bataille, à l'égal des autres (sans doute aussi sur ce blog).

On prédisait même une évolution du domaine comme on a pu le voir sur mer puis dans les airs. C'était oublier une donnée fondamentale : air, mer ou terre sont des données fortement exogènes à l'homme. Les propriétés physique des espaces aériens et maritimes sont des données constantes et stables , pré-existantes à l'humain.

A contrario, Internet ou le "cyberespace" est un espace construit, non seulement physiquement et techniquement par l'homme. Il est également construit car on a souhaité lui donner du sens et des particularisme, le qualifier et identifier des caractéristiques. Il demeure pourtant un "espace" instable, mouvant et très évolutif sous la pression des technologies et des usages.

Ainsi, le très célèbre M. Libicki produit-il un récent article dont le titre suffit : "Cyberspace Is Not a Warfighting Domain" !...et l'on trouve dans la citation d'introduction des réflexions parallèles à celles évoquées plus haut.

Autre élément : une publication évoquait dernièrement les difficultés rencontrées par l'Air Force dans l'usage de la définition du cyberespace. Pour les non-familiers, il est bon de rappeler que cette composante de l'armée américaine avait rajouté le cyberespace dans sa devise qui incluait l'air, l'espace et bientôt le cyber ! C'est dire si la confusion jouait déjà à plein.

Aujourd'hui, cette approche, matérialisée dans une doctrine semble poser de nombreux problèmes notamment au niveau des moyens à mettre en oeuvre obligeant ainsi les responsables à faire évoluer leur vision.

C'est ainsi : le cyberespace qui était autrefois Internet se modifie. Il n'est pas constant, il n'est pas "fini" et peut évoluer de mille manières. Sa compréhension technique est un atout indispensable à l'analyste qui devra aussi saisir la notion d'usage et l'inter-pénétration avec la société. En matière stratégique, il doit visiblement être redéfini : c'est un besoin qui semble impératif à plusieurs acteurs et qui devra être attentivement suivi.

Source :

dans le texte

vendredi 5 octobre 2012

Cyber Europe 2012...quelle profondeur ?

L'ENISA, l'agence européenne chargée des questions de sécurité des systèmes d'informations a réuni hier prés de 300 personnes dans la conduite d'un exercice de lutte informatique. Un précédent opus de cet exercice avait réuni en 2010 plusieurs participants.

Au-delà du chiffre des 300 professionnels de la sécurité, quelques éléments sont intéressants :

- 4 pays étaient invités en tant qu'observateurs et 25 pays ont directement participé, ce qui est relativement intéressant pour l'Europe actuelle.

- plus de 1000 incidents impliquant un volet "cyber" ont été joués et traités par les participants.

- le secteur public européen n'était pas le seul contrairement à 2010 semble-t-il. Des acteurs de la finance, des fournisseurs d'accès ou de services sur Internet ou encore des acteurs du eGovernement étaient également impliqués.

Trois objectifs ont été retenus pour cet exercice qui s'inscrivait dans un cadre général impliquant un important déni de service sur des infrastructures et des services importants. Selon le scénario, le DDOS retenu aurait pour capacité d'ennuyer sérieusement des millions de citoyens. Une forme étendue de ce qui a pu se passer en Estonie donc.

Les 3 objectifs de l'exercice :

- Mesurer l'efficacité et la capacité des mécanismes et procédures d'échanges et de réactions actuelles notamment en matière de flux d'information en cas de crise

- Analyser les capacités de coopération entre le privé et le public

- Identifier les marges de progression dans la gestion européenne des crises "cyber"

Ce type d'exercice demeure largement fictif car "sur-table" mais toujours intéressant. La participation d'acteurs privés est un facteur de réalisme et de crédibilité. L'aspect déni de service pose question car on peut se demander si les attaques actuelles sont bien représentées par cette méthode. Toutefois, peu de détails sont livrés et on reste un peu sur notre faim.

Une remarque finale : après tout, ce type d'attaque n'est-il pas un des rares, voire le seul, à faire intervenir officiellement des représentants de gestion de crise par pays ? En effet, une attaque plus intrusive de type "APT" dont l'objectif pourrait être l'espionnage ferait-elle l'objet d'une communication entre états ?

Source :




mercredi 3 octobre 2012

SHA-2 est mort ? Vive SHA-3...

Pas tout à fait ! Toutefois, le NIST, l'organisme américain vient de révéler que l'algorithme Keccak venait de remporter le concours menant à la décision de lui octroyer la grande responsabilité de devenir le SHA-3 et donc, de fait, un standard. 

C'est l'occasion de revenir sur les impacts stratégiques potentiels de ces décisions...

Quelques précisions préalables pour les lecteurs non-techniciens. La famille des SHA est une famille de procédés cryptographiques permettant d'assurer des fonctions de hachage (c'est le terme retenu en français). Le terme SHA signifie d'ailleurs "Secure Hash Algorithm".

De tels outils sont utilisés pour calculer l'empreinte unique de données et sont souvent utilisées en cryptographie et en informatique pour s'assurer de l'intégrité d'une donnée envoyée : l'expéditeur expédie l'information et son empreinte et le destinataire calcule, avec la même méthode, l'empreinte de la donnée. Si elle est identique, cela permet de s'assurer qu'elle n'a pas été modifiée : la signature électronique est un bon d'exemple d'usage sécurisé de cette propriété.

Ce type d'outils est également utilisé pour la conservation des mots de passe sur nos ordinateurs. Une fois le mot de passe entré, l'ordinateur applique la méthode et conserve l'empreinte. Celle-ci sera comparée à celle qui sera issue du même calcul appliqué au mot de passe fourni lors d'une connexion ultérieure. Si les deux sont identiques pour un identifiant d'accès commun, alors l'authentification est un succès.

Ces outils sont donc des méthodes si l'on peut dire qui illustrent déjà des aspects intéressants :

- ces méthodes s'appuient sur des propriétés indispensables : pas de collision (deux données différentes ne doivent pas avoir la même empreinte) et souvent l'absence de capacité à "remonter" à la donnée initiale à partir de l'empreinte. Ces propriétés sont trouvées dans les mathématiques, par exemples en utilisant des fonctions mathématiques : l'injection par exemple (rappelez-vous vos cours de maths !)

Les vulnérabilités identifiées dans les précédentes fonctions de hachage sont parfois dûes à des problématiques de méthodes. C'est bien souvent une méthode trop "faible" qui est en cause.

-  ces algorithmes doivent ensuite être implémentés dans des logiciels qui seront effectivement utilisées par nos ordinateurs. C'est également un facteur de vulnérabilité car le logiciel utilisant la méthode peut faire l'objet de ses vulnérabilités propres. C'est le cas le plus fréquent.

Le NIST est donc un organisme de standardisation américain dont un équivalent français est l'AFNOR. Son objectif est donc la sélection et la production de standard au travers d'une procédure, ici une "compétition". SHA-3 est donc le nom du standard utilisant l'algorithme Keccak (qui n'est pas une danse balinaise).

La compétition fait donc intervenir de nombreuses équipes (dont une française au moins) dont les produits seront examinés. J'avoue ne pas bien connaître les détails sur la compétition et les critères désignant les vainqueurs et perdants.

Pour autant, doit-on en conclure que l'adoption d'un nouveau standard est imputable à des faiblesses identifiées dans le précédent ?

Et bien, non, absolument pas...Le précédent SHA-2, qui est en fait une famille de protocoles, a été proposé par la NSA et n'a pas fait l'objet de vulnérabilités inhérentes à sa méthode. Des implémentations se sont cependant montrées vulnérables. SHA-1 a également été proposé par la NSA mais il a depuis été possible de produire des collisions et ce avec une difficulté décroissante depuis plusieurs années.

SHA-3 est annoncé comme très intéressant par les auteurs en ce qui utilise une approche rapidement différente de son prédécesseur. Une attaque réussie sur SHA-2 n'aurait donc pas d'effet car la version 3 n'est pas une "simple" amélioration.

Quelques remarques maintenant :

- ces algorithmes ne sont pas les seuls mais une fois adoptés par le NIST, possède une "force" de par leur statut de standard qui leur donne une visibilité importante. De fait, l'adoption et l'usage en masse leur confère une importance que l'on ne peut écarter ;

- le développement, jusqu'ici par la NSA, est un sujet délicat. Le fait que SHA-1 se soit montré vulnérable ne doit pas forcément être compris comme le fait que la vulnérabilité était voulue. De nombreux chercheurs et acteurs observent à la loupe ce type d'outils et communiquent sur les résultats. Il demeure cependant vrai que le temps nécessaire et la complexité inhérente à la découverte de ces failles est sans commune mesure avec celui qui la connaîtrait déjà ;

On peut également songer à la question suivante : vaut-il mieux posséder un standard relativement robuste que l'on protège presque autant que lui-même sert à protéger les données (une forme de sécurité par l'obscurité) ou un standard régulièrement éprouvé ? 

- c'est également l'occasion de donner à des entités, publiques ou privées, américaines une position renforcée associée à des avantages économiques certains ;

- il est enfin possible d'analyser le fait que le NIST la promulgation d'un nouveau standard alors que l'ancien demeure fiable comme un souhait de conserver une maîtrise technologique. Si l'on considère la première remarque, celui qui demeure l'autorité officielle de désignation des standards continue à posséder une autorité incontestable ;

Cette information, anodine en apparence, est l'occasion de revenir sur la puissance de la norme et son influence. Le cas des standards de cryptographie est encore plus intéressant car il appelle la notion du secret et de la sécurité. En guise de conclusion, on pourra réfléchir à la question suivante : dans l'avenir, devrions-nous préférer une norme française ou une norme chinoise, ou encore russe ?

Source :




mardi 2 octobre 2012

La cyber-défense se fait étriller...

Une fois n'est pas coutume, un article analytique très intéressant développe une thèse selon laquelle les systèmes actuels de cyber-défense américains et européens ne sont absolument pas adaptés aux menaces du moment. Ce billet aura pour but d'en exposer les principaux arguments :

Ainsi, Chris C. Demchak reproche-t-elle aux entités comme le Cyber Command de perpétrer une vision trop militaro-centrée qui répondrait par exemple à des pratiques agressives que l'on pourrait observer dans une guerre déclarée. Cette situation ne serait ainsi pas propre à développer une capacité de résilience face aux attaques informatiques modernes.


Si le fait de confier le poste de chef du cyber-command et directeur de la NSA à un seul individu semble apporter un gain de compétences et de ressources, l'auteur trouve que les restrictions légales empêchant par exemple la NSA d'apporter son aide ou ses compétences aux domaines civils n'est pas souhaitable. Selon elle, c'est priver l'ensemble des secteurs critiques d'une aide précieuse que le DHS ne peut prétendre aujourd'hui apporter.

La séparation des rôles étant pour elle une forme de relique de la guerre froide, il prétend au contraire que dans un monde interconnecté au sein duquel la porosité des frontières est patente, cela ne peut suffire. De plus, l'action de la criminalité organisée tend à poser autant de problèmes que les menaces étatiques et profiter de telles organisations.

Du côté européen, l'auteur analyse nos dispositifs  comme une suite d'actions nationales  à vocation économiques essentiellement : il s'agit de protéger nos intérêts économiques en s'appuyant sur l'acteur majeur du secteur, le FAI. Selon elle, une telle approche qui sous-estime également la transnationalité de cette forme de criminalité est un facteur d'échec.

Elle retient enfin 9 attitudes ou critères permettant d'éclairer ces manquements :

- une analyse trop tournée vers le conflit inter-étatique qui empêche de prendre en comptes les attaques actuelles et ses effets dramatiques sur notre système "socio-technical-economic";

- nous séparons trop la résilience des perturbations notamment dans l'analyse et l'affectation des ressources ;

- trop d'importance est donnée aux systèmes militaires, gouvernementaux ou critiques (du secteur privé) au détriment des secteurs et systèmes ayant un rôle prépondérant dans le bon fonctionnement de nos économies ;

- nous sous-estimons la "puissance" de la criminalité ;

- trop d'investissements sont faits afin de renforcer un système qui est par sa conception non propice à la sécurité (j'en parlais ici) au lien de renforcer les bases, notamment de l'internet ;

- l'approche de la sécurité est encore trop technique, ignorant les interactions entre humain et technologique, en particulier les comportements qui tendent à rechercher les failles d'un système ;

- le coût de la résilience ou des perturbations ne sont envisagés qu'à court terme et ignore les impacts de long-terme, créant des vulnérabilités exploitables par un adversaire déterminé ;

- il y a trop peu d'investissement dans la formation, la connaissance et le capital humain de la cybersécurité. En particulier, les intérêts décidant des priorités de formation sont trop liés à des priorités économiques de court-terme ;

- l'usage de l'approche par les risques ou par l'assurance contre les effets de la réalisation de ces risques au lieu d'une approche intégrée multinationale encourage les attaquants à cibler de multiples états ;

Cette analyse très tranchée de l'organisation de la cyberdéfense présente de nombreux aspects intéressants, en particulier sur la séparation des acteurs et des périmètres de responsabilité ou encore les démarches logiques utilisées dans l'analyses des menaces ou enfin sur le manque de maîtrise du système dans son état actuel.

Au contraire, certains aspects sont tout à fait ignorés comme par exemple le fait que les restrictions imposées à la NSA peuvent provenir d'un souhait de protéger les libertés individuelles. Quant à certains aspects, ils demeurent parfois nébuleux. Enfin, on s'interroge sur les indicateurs utilisés pour affirmer que la criminalité est moins prise en compte que l'action sur les système dits "stratégiques" par d'autres états.

Ce texte demeure toutefois très éclairant et pourra utilement nourrir toute réflexion ultérieure sur la construction de capacités de "cyber-défense".


Source :



jeudi 20 septembre 2012

Billet d'humeur : la SSI n'est pas "l'informatique"

Une information parue aujourd'hui dans la presse est la cause première de ce billet d'humeur. Pour ceux que cela intéresse, elle est encore disponible.

Vraisemblablement, un homme aurait réussi à s'introduire dans les systèmes informatiques de la Banque de France - la précision du journal laisse à désirer car on ne comprend pas le lien entre un appel skype et le système informatique - en utilisant un mot de passe trivial qui, par chance, lui laissa l'accès. 

Pour illustrer l'absence de sécurité, la justice a décidé de relaxer cet homme concluant ainsi un procès conduit après un dépôt de plainte de l'entité. Il était tellement facile de pénétrer dans ledit système que la justice en a conclu que l'homme était de bonne foi et que le système ne présentait aucune garantie dissuasive.

Il faut avouer que le désarroi est grand ! Comment peut-on en arriver, malgré toutes les attaques, toutes les informations données ? A quel point un degré de maîtrise de ses systèmes et informations peut-il arriver si bas ?

D'aucuns répondront qu'il s'agit d'une question de coût, de compétences ou encore de formations ? D'autres plaideront pour la faute personnelle, ce qui est également une hérésie car après tout l'organisation peut contrôler le résultat des demandes effectuées.

Alors quoi ? La réponse est sans doute multiple mais un élément me semble intéressant à approfondir : la SSI n'est pas de l'informatique et la confusion savamment entretenue entre les deux est facteur de dysfonctionnements...

Trop souvent encore, on trouve des RSSI placés au sein des Directions des systèmes d'information : c'est le plus sûr moyen de leur dénier toute capacité à obtenir une bonne vision du niveau de sécurité. Corriger une faille, dévoiler une vulnérabilité est difficile car évoquer cela, c'est également critiquer les travaux de son supérieur hiérarchique.

Combien de fois, en discutant d'un problème de sécurité, un responsable informatique en a dénié la portée, la réalité ou encore la probabilité qu'un risque se produise...Fort de son expertise informatique, cette personne pensait en connaître autant en sécurité : nous constatons assez aujourd'hui les résultats de ces comportements.

L'informatique moderne ne peut que fonctionner qu'avec un niveau de maîtrise et de confiance des systèmes et informations très limité. Nous ne fabriquons pas les matériels ni ne connaissons les codes des logiciels que nous utilisons. 

Au contraire, la SSI a pour objectif de restaurer un certain niveau de confiance en recherchant notamment une connaissance approfondie et une maîtrise plus complète de nos systèmes.  D'une certaine manière, SSI et "informatique" ne pourront que continuer à s'opposer.

Ce mode de fonctionnement, acceptant une bonne part d'obscurantisme, est cependant devenue une "règle" de conduite et la remettre en cause serait une révolution des moeurs. La confiance et la maîtrise sont pourtant une forme de dogme dans d'autres milieux : aéronautiques et nucléaires par exemple où le taux d'erreur acceptable semble différent. 

Aujourd'hui, alors que ces systèmes innervent nos sociétés et prennent en charge de plus en plus de fonctions critiques, ne devrait-on pas se diriger vers ce type d'approche ? Changer un système qui corrige chaque semaine les failles de la précédente vers un système pour qui la confiance est un principe de conception (les deux existent...) ?

Alors non, la sécurité des informations et des systèmes n'est pas l'informatique et il faut sans cesse le redire et le rappeler. Au sein d'une organisation, la SSI trouve sa place dans une approche globale des risques, dans une direction sécurité ou encore dans une démarche de qualité ou de fiabilité...

Ainsi, la prochaine fois que vous aurez une décision de sécurité à prendre ou un responsable sécurité à nommer, soyez conscients que l'une comme l'autre auront des conséquences importantes et non mesurables immédiatement. Il vous faudra être informé régulièrement, mesurer les signaux faibles et connaître les risques pris...en bref, contrôler, superviser, corriger et améliorer...

Source : dans le texte


mardi 18 septembre 2012

IPv4 : quelques informations...

Edit : Quelques éléments de réponse de l'entité britannique détenant le pool d'adresses en questions. http://news.slashdot.org/story/12/09/19/1219216/uks-unallocated-ipv4-block-actually-in-use-not-for-sale

Malgré la fin annoncée des ressources en IPv4, les aléas des premiers choix de répartition continuent à produire des conséquences parfois amusantes.

Ainsi, le RIPE-NCC, l'entité responsable de la gestion pour l'Europe de l'attribution des adresses (parmi d'autres responsabilités), a annoncé qu'il distribuait actuellement les derniers blocs d'IPv4 disponibles


Pendant ce temps, un particulier découvrait en Grande-Bretagne que le "Department of Work and Pensions" disposait d'un bloc "/8" entier soit 16,9 millions d'adresses qui n'était pas utilisé

Comme nous avons déjà pu l'évoquer, l'attribution d'un bloc d'IP ne dit rien quant à son utilisation effective. Les entités comme le RIPE assure, au niveau d'un continent, une gestion plutôt administrative, permettant de s'assurer que plusieurs entités ne s'attribuent pas les mêmes adresses.

Toutefois, cela ne signifie pas que les entités qui se sont vus attribuées les blocs les utilisent effectivement. Par ailleurs, l'histoire de l'IPv4 a connu un premier mouvement de distribution qui n'avait pas prévu un tel développement de l'internet : autrement dit, certains blocs ont été attribués parfois sans considération particulière. Et reconstituer des blocs cohérents d'une taille respectable est une tâche complexe ! 

En attendant, si l'IPv6 ne cesse de progresser (et la France est en bonne place !), le taux d'adoption n'est pas encore extraordinaire...Une question qui continuera longtemps à susciter des problèmes.

Source : dans le texte

lundi 17 septembre 2012

Le CERTA fait la part-belle aux SCADA

Conjoncture ou tendance de long-terme, nombre des dernières annonces du CERTA ces dernières semaines révèlent des vulnérabilités décelables au sein de systèmes et logiciels informatique participant à des processus industriels.

Ainsi, et l'on doit à ce billet à cette alerte, une publication du 10 septembre révèle de multiples vulnérabilités au sein d'un système dénommé WinCC et développé par l'industriel Siemens. Tout analyste des questions "cyber" aura déjà reconnu un des logiciels ciblés par le malware Stuxnet. Pour mémoire, quelques bonnes informations figurent sur wikipédia.

En bref, Indusoft ISSymbol, Wago System ou encore Honeywell HMIWeb sont des systèmes de type SCADA qui présentent des vulnérabilités révélées par l'ANSSI (et d'autres) ces dernières semaines.

La société Wago semble proposer des produits pour le monde des énergéticiens. Le produit de la société Honeywell serait à priori utilisé pour la gestion de certains composants au sein d'immeubles. Et comme une image vaut mieux qu'un long discours, voici dans quel environnement s'insère le produit Indusoft.


La publication des vulnérabilités SCADA dans les informations du CERTA est très certainement révélateur d'une tendance. Les problématiques spécifiques de ces produits bien particuliers sont depuis longtemps connus et évoqués mais si beaucoup de discours ont été fait, le traitement réservé au sein du "monde" SSI est longtemps resté différent. 

Le cas "Stuxnet" a pourtant changé tout cela en démontrant par un certain succès que l'exploitation était non seulement possible mais réellement efficace et que la protection par l'isolation et la déconnexion ne suffisait plus. Une forme accrue de défense en profondeur devait être absolument mise en place.

Pour mémoire, la spécificité de ces produits repose sur deux critères principaux : le lien avec des processus opérationnels souvent très sensibles et une informatique complexe, ancienne et notoirement différente des systèmes informatiques de "gestion". Ajoutant à cela que ces systèmes étaient la plupart du temps déconnectés, les craintes des spécialistes de sécurité ont souvent été écartées. 

Mais deux facteurs ont échappé à ceux qui accusaient la SSI de crier au loup : d'une part une convergence entre systèmes bureautique et systèmes industriels. L'usage des systèmes Windows et des technologies modernes de communication ou encore des standards Web en sont la preuve : les systèmes SCADA sont parfois connectés à Internet. D'autre part, en matière d'attaques informatiques, si le jeu en vaut la chandelle, les moyens investis seront massifs et l'absence de connexion n'est pas un frein réel : la preuve en a été donnée.

Si les publications de l'ANSSI sont révélateur d'une propension croissante à intégrer cette informatique dans la SSI "courante", il demeure toutefois un acteur à impliquer : les constructeurs. Comme nous l'évoquions, un système SCADA possède un lien fort avec un processus souvent sensible (pas toujours !) : il est donc parfois difficile de l'arrêter, de le re-démarrer...bref, de le maintenir dans des conditions de sécurité acceptables. Pour cela, c'est une architecture ou "design" des produits qu'il faut revoir et cela implique plusieurs acteurs.

Cette question reste donc sensible et difficile et nécessite, au-delà des aspects techniques, une coordination entre plusieurs secteurs et une forme plus globale de gouvernance ou de politique. Peut-être est-ce à l'ANSSI d'y répondre également...

Source :

vendredi 14 septembre 2012

Esprit de cyberdéfense...

Non, ce n'est pas le nom d'un parfum mais une nouvelle initiative lancée par le Ministère de la Défense. Annoncée par l'officier responsable des questions "cyber" au sein de l'état major des armées, il s'agit de donner une dimension particulière à la réserve citoyenne. 

A l'occasion des Universités d'été de la Défense, l'Amiral Coustillère a donc annoncé la création d'un réseau de spécialistes, au sein de la réserve citoyenne, qui aura pour tâche "la promotion d’un esprit de cyberdéfense et de contribuer à la réflexion nationale".

Cette initiative présente des aspects intéressants mais suscite un grand nombre de questions. Tout d'abord, sur les modalités d'échange et de rencontres nécessaires pour créer un tel réseau, si celui-ci doit avoir comme objectif de rayonner et diffuser l'information.

Ensuite, tout réserviste ayant passé quelques temps dans l'institution en connait les problématiques. Ainsi, la réserve opérationnelle diffère de la citoyenne en ce que ses membres effectuent des périodes sous l'uniforme et à des postes déjà définis, remplaçants des militaires d'actives ou apportant une compétence particulière sur un poste qui ne serait pas à temps plein.

Toutefois, les restrictions budgétaires ont eu un impact fort sur le nombre de postes et de jours de réserve attribués aux armées. Par ailleurs, l'organisation de la réserve est encore très liée à l'arme d'origine et les modes d'intervention des réservistes sont parfois loin d'être évidents tant pour les armées que pour les réservistes et leurs entreprises. 

Les interrogations sont aujourd'hui fortes sur l'utilisation des réserves dans les armées, les budgets et leur insertion dans le quotidien des militaires alors même que les armées reconnaissent volontiers tant le besoin que l'utilité de ce vivier. 

A contrario, le réserviste citoyen, en dehors d'une formation initiale, n'a pas de contact toujours immédiat avec les unités. Il contribue beaucoup au rayonnement et à la diffusion de l'esprit de défense mais son action est parfois loin du quotidien de la défense et de ses acteurs. 

Comment créer ce réseau ? Comment le faire vivre et le rendre efficace ? Il faut également se demander où trouver ces réservistes  et comment les former ? En effet, si différentes entités de l'Etat recrutent aujourd'hui de manière importante, nombreux sont les acteurs à alerter sur l'assèchement du vivier...Où donc trouver ces ressources ?

Ensuite, l'acquisition d'une culture militaire nécessite au moins une sensibilisation et sans doute une formation que les différentes "écoles de la réserve" peuvent fournir mais dans un format réduit, déjà amputé par les problématiques de budget.

Concluons ici en rappelant que cette initiative poursuit un objectif louable si l'on se rappelle les problématiques de sécurité de l'année 2012. Il semble cependant nécessaire d'en préciser les détails.

Source :

lundi 10 septembre 2012

News : Japon et Executive Order

Quelques informations intéressantes : 

- Daniel Ventre nous apprend la création d'une unité de cyber-défense au Japon au début du mois de Septembre 2012. Organisme militaire, il comptera une centaine de personnes et au contraire des Etats-Unis disposera d'une capacité d'intervention sur l'ensemble des armées : Terre, Air et Mer. 

- Les atermoiements des assemblées parlementaires américaines au sujet du Cybersecurity Act de 2012 semble s'éterniser. La solution alternative, que nombre d'acteurs appellent de leurs voeux, serait fondée sur une prise de décision unilatérale du Président Obama. Cet "Executive Order", forme de l'acte juridique, avait déjà été utilisé par le Président Obama pour des sujets relatifs à la cyber-sécurité. 

Toutefois, si un équilibre parlementaire avait été trouvé, le texte final aurait eu une tonalité particulière imputable à des négociations et des échanges nombreux. L'appel au Président recèle une note d'urgence  mais semble aussi alerter quelques analystes sur les conséquences d'une telle décision.

Source :

dans le texte


jeudi 6 septembre 2012

Droit international et cyberwarfare : Le Manuel de Tallin

Comme une rentrée n'est jamais calme, la rentrée stratégico-littéraire dans le domaine qui nous intéresse s'annonce percutante. 

Les assidus des questions de lutte informatique auront sans doute déjà vu, voire lu, l'ouvrage publié à l'invitation du CCD COE (le Centre de l'Otan consacré aux questions doctrinales et stratégiques du monde "cyber".

Quelques articles ont déjà proposé leurs analyses, en particulier Security Vibes attirant l'attention sur ce document qui présente cependant quelques particularismes notables.

Comme le signale la publication officielle, ce document n'est pas une production appartenant à l'OTAN. On peut donc en comprendre que les conclusions et les logiques suivis par les rédacteurs ne s'imposent pas complètement à l'organisation ou ses membres. Le sujet restant tout à la fois jeune et complexe, immature pour tout dire, cette réserve n'est pas réellement surprenante. Ce point est d'ailleurs précisé au tout premier paragraphe de l'introduction.

Ce document est donc le fruit d'une réflexion de plusieurs experts internationaux (la liste est donnée au début du document) ayant travaillé à l'invitation du centre de réflexion. Ce détail, qui prend toutefois une certaine importance, n'enlève rien à la force des conclusions de ce rapport ou encore à l'impressionnant travail fourni.

On relèvera également une composition relativement peu hétérogène des experts avec de nombreux anglo-saxons et quelques européens sans que cela ne puisse permettre encore de déterminer un degré d'influence quelconque sur le contenu.

Quelques points complémentaires également : le document examine une portion du droit international relatif à ce que l'on appelle le droit des conflits armés ou encore droit de la guerre. Composé traditionnellement de deux grands domaines, le jus ad bellum  codifiant le recours par les Etats à la force et le jus in bello ayant trait à leur comportement et leurs actions durant les conflits. 

Autrement dit, nombreux sont les domaines du droit, à porté international, qui ne sont pas concernés par ce document. Tout d'abord, cela exclut tout ce qui n'est pas étatique car ce sont les états qui sont essentiellement concernés par ces corpus juridique. De fait, le cas des organisations criminelles, les problématiques de droits des télécommunications et bien d'autres questions ne sont pas abordées. On se situe ici, et c'est tout l'intérêt, dans le cadre de conflits inter-étatiques uniquement.

Bien que n'ayant pas tout lu, il semble bien que le document suive une logique globale dont on retrouve déjà trace dans de nombreux documents, en particuliers "International Strategy for Cyberspace" publié par les Etats-Unis. Ce document tend à privilégier l'idée selon laquelle le corpus juridique internationale fournit globalement une assise adaptée au cas des cyberconflits inter-étatiques. 

Certaines évolutions sont toutefois nécessaires et peuvent prendre parfois la forme de précisions ou d'adaptation au contexte mais ce positionnement est un choix important. Il tranche en effet un débat entre deux tendances, celle voulant voir une révolution dans le "cyber warfare" et celle voulant la connecter à des tendances pré-existantes.

N'oublions pas cependant la restriction volontaire du spectre qui n'intègre pas l'ensemble des actes et des acteurs agressifs existant sur Internet. Ce document est le produit d'une réflexion globale sur un sujet clairement limité et défini et pourrait bien faire autorité en la matière.

A suivre d'autres articles pour approfondir l'analyse...

Sources :





mardi 31 juillet 2012

Quelle sécurité pour les ERP ?

Un peu comme les systèmes industriels pilotés par une informatique mal maîtrisée, le cas des applications d'importance comme le sont les ERP semble plus complexe. Deux problèmes apparaissent : d'une part, il semble que la communauté sécurité n'en fasse pas forcément un sujet prioritaire et d'autre part, le côté "boite noire" est sans doute rebutant.

De plus, considérant les consommations considérables de "consultants" que réclament la mise en place d'un ERP de type SAP par exemple, l'aspect sécurité semble parfois être écarté au profit de l'intégration dans les processus de l'entreprise et son lot de difficultés inhérentes.

Ainsi, ayant eu à affronter quelques formations sur SAP lors de mes études et alors que j'évoquais l'aspect Sécurité, le présentateur parut un peu surpris par ma question et évoqua une architecture de comptes et de protections des comptes, notamment par la gestion des droits.

Associé à cela, la tendance des entreprises a été pendant longtemps de se reposer sur une protection qualifiée de périmétrique autour des pare-feux. La croyance en leur capacité à bloquer efficacement tout type de trafic, en particulier malveillant a encore la vie dure et la présence d'un tel outil semble parfois suffire à tempérer les ardeurs de la sécurité.

Les ERP sont des systèmes complexes multipliant l'usage de composants externes et bénéficiant une inter-opérabilité forte afin de constituer une forme de "couche" informatique sous-jacente obligatoire à tous les niveaux de l'entreprise. En termes de sécurité, cela implique également une surface d'attaque agrandie contre un système alors devenu critique.

Or, comme nous l'évoquions, la maturité en matière de sécurité n'est pas toujours au rendez-vous (et c'est un constat qui va au-delà des ERP bien évidemment). C'est ainsi que la Black Hat cru 2012 a été l'occasion d'une démonstration d'attaque sur de tels systèmes mettant en exergue les risques existants.

Quelques détails techniques sont disponibles dans le lien ci-dessous. On retiendra notamment que :

- la vulnérabilité utilisée est relative à un standard connu (xml)
- la méthodologie utilisée profite d'un canal d'attaque matérialisé par un service de test activé et accessible sur Internet et donnant des droits de type administrateur.

Ite missa est ! Il devient donc primordiale d'accorder un regard plus attentif en matière de sécurité à ces systèmes dont la complexité et la criticité sont élevés.

A voir également concernant le "cru" 2012 de la Black Hat : les backdoors basée sur l'usage du BIOS : http://www.silicon.fr/rakshasa-backdoors-bios-76979.html

Source  :

lundi 30 juillet 2012

Attaquer l'attaquant...ou appeler son avocat ?

Après une absence qui devient assez longue imputable à une activité professionnelle prenante, j'ai eu la surprise de constater une adhésion "en masse" (selon mes critères) sur Twitter. Que ces nouveaux suiveurs soient remerciés pour m'avoir quelque peu remotivé !

La Black Hat, conférence de sécurité bien connue, est un évènement où l'en penserait rencontrer plus de conférences techniques que..légales. Et ce ne serait pourtant que partiellement vrai. Une conférence, rapportée dans la presse (et citée dans les sources) est à l'origine de ce billet.

Le conférencier est un représentant de l'US Army Cyber Command et a pour tâche, visiblement, de conseiller les décideurs de son organisation sur les difficultés légales des opérations qui y sont menées. Ce qui, au passage, laisse penser qu'il n'y pas qu'une fonction "SSI" au sein de ces entités.

Son premier conseil, s'adressant à des entités privées faisant face à une attaque, est tout d'abord de s'assurer de la présence d'un juriste compétent susceptible de conseiller utilement les décideurs. Ce faisant, c'est également un conseil pour une meilleure préparation à ce type d'évènements qui est donné ici.

Bien évidemment, une conférence de ce type n'est pas donnée sans qu'un contexte y soit propice. L'actualité est en effet riche d'attaques, en particulier ces fameuses "APT" dont la particularité est de s'introduire dans un système d'informations par le biais d'échanges avec des éléments externes (messagerie, navigation, médias amovibles) et de s'y propager.

A ces attaques, de plus en plus d'entreprises possédant tout à la fois des compétences accrues en matière technique et une certaine assise financière (que l'on associe facilement une capacité de lobbying) répondent par des attaques informatiques visant les infrastructures utilisées par les pirates et que l'entreprise est capable d'identifier dans les sources des attaques menées contre elle. Nous en parlions quelques mois auparavant.

Plusieurs problèmes peuvent se poser. Le premier, en lien avec ce billet, est d'ordre légal : l'état est dépositaire d'un monopole de violence légitime pour paraphraser une célèbre citation. Autrement dit, les aspects offensifs sont du ressorts d'une autorité publique. Ne l'étant pas, on tombe alors sous le coup des lois réprimant les comportements informatiques "agressifs" : la loi Godfrain en France par exemple (parmi d'autres).

Un autre problème est le suivant : un expert en informatique, même confirmé, n'est pas un enquêteur. Autrement dit, son analyse ne suit pas forcément une méthode rigoureuse ou ne bénéficie pas toujours d'une expérience nourrie. Enfin, l'usage des infrastructures dans les attaques répond également à une logique de protection et donc à un "brouillage" des pistes.

Dans ces conditions, il est donc probable que des erreurs soient commises entraînant l'entreprise attaquée à répondre en mettant hors un service un serveur de Command & Control par exemple. Triple erreur !

Non content d'être en délicatesse avec la loi, c'est également un excellent moyen d'avertir l'attaquant et de le faire fuir ou encore de le rendre plus discret et donc moins détectable si par hasard vous n'aviez pas tout découvert de sa méthodologie d'intrusion. Enfin, c'est également avoir un impact possible sur une machine ou  un service légitime avec toutes les problématiques afférentes...

De plus, qui vous dit qu'on ne vous y a pas poussé ?

Une grande prudence s'impose donc dans ces pratiques : le plus sûr étant d'en appeler aux services concernés et spécialisés tout en se protégeant de la manière la plus efficiente. A cela, une solution : la préparation !

Source :