jeudi 31 mai 2012

CERTs européens

Dans le cadre de ses travaux relatif à l'approche global des questions de cyber-sécurité, l'ENISA nous propose une liste des CERTs existant en Europe.



Source :


Un tzar nous quitte et un tzar est appelé à régner

C'est assez récemment que l'on apprenait le départ de M. Howard Schmitd de son poste de "cyberczar" auprès du Président OBAMA.

Après deux ans et demi environ de bons et loyaux services, il laisse une situation qui a considérablement évoluée avec de nombreuses problématiques en cours. Ainsi, l'activisme diplomatique américain ne s'est pas éteint mais l'évolution des préoccupations sur la gestion d'Internet montre une activité croissante de l'UIT (qui missionne désormais Kaspersky pour des études de malware) et de divers pays en vue de retrouver un contrôle sur Internet.

Les systèmes malveillants que peuvent être Stuxnet, Duqu ou encore le petit "dernier", Flame, ont également fait profondément évoluer la notion de lutte informatique et augmenter la prégnance du vocable cyberguerre. 

En interne, le partage des pouvoirs entre les deux "hydres" que peuvent sembler être le Département de la sécurité intérieure et le Cyber-command adossé à la NSA n'est pas complètement résolu et créé de nombreuses interrogations.

Enfin, on continue à se demander si le niveau moyen de sécurité augmente aux Etats-Unis, ce qui constitue tout de même un point important, avec la quantité de lois et autres textes juridiques qui se chevauchent parfois mais ne semblent que rarement contribuer à une lecture globale saine.

Son remplaçant devrait être M.Michael DANIEL, un "jeune" homme de 41 ans contre 62 pour son prédécesseur et qui possède une vaste expérience des questions de sécurité après deux décennies d'expérience au sein d'organismes traitant de ces questions, en particulier le National Security Division. Toujours selon les articles, il se serait impliqué dans les questions "cyber" depuis une dizaine d'années, toujours dans un contexte marquée par les problématiques de renseignement.

Il s'agit donc d'une évolution profonde de la personnalité du czar à qui certains reproches ont été faits quant à son efficacité ou encore sa capacité à privilégier à avoir une action de réforme de fond. D'autres critiques évoquaient des questions de communications que la politique interne à l'administration aurait contribué à rendre moins importante.

Il n'est pas certain qu'un homme du renseignement aura une approche de la communication plus extensible. Toutefois, en homme du "sérail" de la sécurité, du renseignement et de la défense, il semble posséder une expérience précieuse et devrait pouvoir obtenir des évolutions et des changements importants. On ne peut que lui souhaiter bon courage !

Source :

mercredi 16 mai 2012

Rétrospectives sur les stratégies de cyber-défense !

L'ENISA nous propose un document intéressant qui fait un état des lieux des documents assimilables à des stratégies relatives à la cyber-défense ou des acceptions proches.

L'institution en profite pour inventer un concept, le "NCSS" pour National Cyber Security Strategy et expose les travaux de ses rédacteurs selon deux axes : les pays européens et non-européens ayant publié une NCSS. A terme, l'ENISA devrait publier un guide de recommandations et de bonnes pratiques afin d'aider les pays à produire ce genre de document et à établir une démarche idoine.

Parmi les pays européens à avoir produit ce type de document : Estonie, Finlande, Slovaquie, République Tchèque, France, Allemagne, Lituanie, Luxembourg, Hollande, Grande-Bretagne. En gras, les pays ayant publié en 2008 et en italique, ceux l'ayant fait en 2011.

Pour les autres pays : Etats-Unis, Canada, Japon,India, Australia, New Zealand and Colombia...Le document n'est cependant pas exhaustif et s'intéresse à l'approche des 3 premiers.

Les travaux de l'ENISA sont à comprendre comme les résultats préliminaires d'un projet plus global visant justement à produire ce guide de bonnes pratiques. Ils apportent cependant une analyse intéressante et transversale des caractéristiques principales des stratégies des pays analysés.

Voici un petit résumé de la manière dont l'ENISA a perçu les composants essentiels des stratégies nationales étudiées :



A noter que les critères choisis par votre serviteur sont notamment : 

- Global : pour déterminer une vision globale, une approche générale du cyberespace en dehors des intérêts stricts du pays
- Militaire : lorsque la stratégique évoque défense ou intègre un aspect militaire
- Economie : Intégration de l'approche et des questions économiques
- SSI et Systèmes infos : sécurité des SI et approche "techniques" diverses
- Civil : par opposition à une approche militaire
- Education : si la stratégie détermine le besoin de former
- Echanges : si la stratégie évoque le besoin d'alliances ou d'approches internationales
- CIIP : Critical Information Infrastructure Protection

On peut émettre quelques réflexions à la lecture de ce document. L'approche militaire et/ou "défense" des choses semblent être marginales (ou l'ENISA l'a compris comme telle) et peu de pays, sauf ceux ayant une vocation militaire encore forte et "déterminée" semblent en avoir pris le parti. A contrario, l'aspect "civil" est bien plus présent : les documents se fondent souvent sur une approche de protections des organisations, institutions et populations au travers des systèmes informatiques. 

De même, on trouve généralement des aspects "techniques" : la protection de l'information intègre une dimension informatique bien comprise et qui n'est jamais complètement écartée.

Enfin, le concept de CIIP ne semble pas non plus un franc succès même si l'analyse de l'ENISA n'est que partielle et qu'il faut ajouter ma vision biaisée à ceci. Notons que souvent, pour avoir lu d'autres stratégies, on trouve des aspects relevant de cette vision des systèmes d'information mais plus rarement le concept initial.

On conclura par un aspect intéressant : la nécessité des échanges internationaux ne semble pas être une mesure nécessaires pour toutes les stratégies. L'ENISA peut également ne pas l'avoir retenu car on en trouve trace dans le document français sans que l'étude en fasse mention. Pour ces auteurs, peut-être était-il nécessaire de trouver une approche plus volontariste en la matière.

Ce document apporte une vision transversale qui demeure toujours intéressante bien que partielle et sans doute un peu biaisée. C'est toutefois un travail intéressant qui pourrait être fait, sur des critères plus précis.

Source : dans le texte

vendredi 11 mai 2012

Réflexions sur le modèle SSL

Edit : Une analyse poussée de la sécurité DNSSEC et donc de DANE a été effectuée par les consultants de chez HSC. Afin de poursuivre le débat, je vous invite à la lire : http://www.hsc.fr/ressources/breves/dane-dnssec-replay.html.fr

SSL, ce fameux protocole de sécurité, fait depuis plusieurs mois régulièrement l'actualité. Malheureusement, c'est plus souvent pour ses failles et les problématiques inhérentes à son modèle de sécurité que pour ses innovations.

Toutefois, il existe des réflexions pour proposer de nouveaux modèles permettant de pallier aux faiblesses de l'actuel. Le système Convergence en est un, que nous avons d'ailleurs déjà évoqué. Google a également proposé un système de son cru, appelé "Certificate Pinning".

Aussi intéressant soient-ils, ces systèmes ne sont pas entièrement satisfaisants car ils donnent trop de pouvoir à une entité ou ne résolvent que partiellement la question de la chaîne de confiance. Car, au final, c'est bien la question centrale qui préoccupe vraiment la communauté, au-delà des failles intrinsèques qui existent mais sont plus rares et paradoxalement, semblent plus facile à corriger.

Un récent entretien avec Taher Elgamal est particulièrement éclairant. Il est le concepteur d'un algorithme de partage de clés au coeur de ces solutions de cryptographie et a participé à la création du protocole SSL. Ainsi, les concepteurs étaient déjà bien conscient des problématiques de confiance et des dérivés du modèle.

Plus encore, le modèle de sécurité initial donnait à l'éditeur du navigateur (Mozilla, Internet explorer, Chrome, Opéra...) la qualité de signataire des certificats et de racine. Cette solution n'a toutefois pas été acceptée en raison des responsabilités prises et celles-ci ont été déléguées aux autorités de certification.

Reconnaissant également que la question principale est bien celle de l'infrastructure publique des clés et des certificats, il plaide cependant pour une approche pragmatique de la question et ne rejette pas les solutions évoquées ci-dessus. Le certificate-pinning de Google lui semble ainsi une approche plus efficace mais celle-ci devrait être gérée au niveau de l'IETF selon lui et non pas un acteur, aussi important soit-il.

Il existe d'ailleurs des projets au sein de l'IETF traitant de ces questions. L'amusante illustration de cet article s'en fait l'écho en se référant au "mantra" de l'IETF. Elle y ajoute le coeur de l'idée du projet visant à améliorer SSL : se servir du DNS.

DANE est ainsi le projet visant à ajouter dans les réponses DNS, dans des champs spécifiques, des composant cryptographiques permettant de transmettre les informations nécessaires à l'initiation d'une transaction SSL/TLS.

De plus, DANE (DNS-Based Authentication of Named Entities) repose sur une fonctionnalité de sécurité très intéressante que possède le DNS depuis l'ajout de l'extension DNSSEC qui permet d'obtenir la validation d'une réponse par une chaîne de confiance. 

Autrement dit, il s'agirait de déplacer la validation et la signature d'un certificat des autorités de certification (CA) vers le DNS et ses différents acteurs, ce qui n'est pas forcément loin de l'idée originale des concepteurs SSL.

Il est à noter que l'article évoque une tendance qui est de s'appuyer sur le DNS pour soutenir certains services de sécurité. La signature de la zone racine associée à la mise en place de DNSSEC ont en effet non seulement fourni la preuve qu'il était possible à l'Internet d'évoluer profondément mais aussi d'améliorer la sécurité. 

Cette tendance qui concerne diverses solutions dont notamment celles visant à sécuriser le routage (Ex. ROVER) doit pourtant être analysée avec circonspection. Tout d'abord, le DNS peut paraître une seule et même instance mais il n'en est rien. Il existe de nombreux acteurs, publics ou privés et de très nombreuses manières d'aborder la gestion des domaines. En conséquence, cela ne résout pas les problématiques juridiques qui pourrait émerger.

Enfin, le DNS n'a pas forcément été conçu pour absorber autant de services et il faut se demander si l'évolution croissante de son niveau de criticité ne doit pas remettre en cause son environnement de sécurité.

Pourtant, loin de se montrer strictement négatif, il faut reconnaître à ces solutions de vraies qualités. En particulier, l'IETF reste un acteur légitime et une évolution de sécurité prise à son niveau possède de vraies chances de réussir. De plus, l'idée de se servir du DNS présente à la fois un caractère efficace tout en restant global, ce qui semble correspondre aux idées de certains experts.

L'évolution de SSL qui reste au coeur de la navigation sécurisée est donc une problématique de sécurité globale. Associée au DNS, elle devient une vraie question de gouvernance et fournit matière à s'interroger et à continuer de s'intéresser à ces questions.

Source : dans le texte

mercredi 9 mai 2012

Changement de statut pour le Cyber Command ?

Connaissez-vous les Combattant Command des forces armées des Etats-Unis ?

Pour résumer, ce sont des organisations placées quasiment au plus haut niveau de la chaîne de commandement puisqu'ils obéissent aux ordres du Président transmis par le Secrétaire de la Défense. De manière plus pragmatique, on peut les assimiler à des unités d'emploi des forces armées sur des périmètres spécifiques.

En effet, un Unified Combattant Command (UCC) peut ordonner des opérations à des forces appartenant au moins à deux armes des forces armées. Ses responsabilités sont larges, étendues et se définissent justement par cette capacité élargie et continue. Enfin, on peut les distinguer en deux types :

- les UCC à responsabilité régionale. Ce sont des entités gérant l'action des forces armées sur des zones du globe bien particulières.



- les UCC à vocation fonctionnelle qui se distinguent par des occupations spécifiques.



En bref, toute action ou opération militaire menée par les forces armées américaines est, peu ou prou, programmée et ordonnée par ces entités. On comprend donc l'importance qu'ils peuvent revêtir dans l'action des Etats-unis en termes militaires.

Par exemple, l'UCC Special Operations Command est "l'empoyeur" des forces spéciales américaines. Ou  encore, le Strategic Command était particulièrement chargé des questions nucléaires....et de l'US Cyber Command.

Le Cyber Command est également un commandement de haut niveau et il dispose depuis, de commandements subornnés placés auprès de chacune des forces armées : Navy, Army ou encore Marine

Toutefois, considérant l'importance prise par les aspects informationnels dans les stratégies et discours des responsables américains, l'idée a été émise d'en faire un UCC à part entière.

Cette évolution devrait être proposé par l'actuel président du Joint Chieff of Staffs au Secrétaire à la Défense puis au Président américain. Il semble y avoir un consensus sur le sujet bien que l'agenda demeure inconnu, en particulier en période d'élection.

Bien évidemment, cette élection constituerait un signal très fort faisant ainsi du cyberespace un éventuel domaine d'action tout à fait autonome pour les forces armées américaines. Bien que parfois théoriquement assimilé à un autre espace de bataille, il ne semble pas pour le moment que la plupart des forces armées aient directement mis ce concept en application. Cela pourrait changer prochainement.

Toutefois, il n'est pas sans susciter des oppositions, la problématique de la responsabilité effective de cette unité n'ayant pas été complètement réglé : ses limites ne sont pas connues, ce qui laisse subsister un flou. Or, ce flou pourrait être exploité plus largement si l'autonomie décisionnelle du Cyber Command était élargie. Et cela pose de nombreuses questions dans un pays jaloux de ses libertés autant que de sa sécurité.

Source :


jeudi 3 mai 2012

Les caractères accentués possible en .fr

Une petite révolution dans le nommage Internet en France puisque l'Afnic permet depuis aujourd'hui l'enregistrement de noms de domaines intégrant des "é", "è" et autres "à". Auparavant, la liste était réduite à un alphabet plus simple.

Dénommés "IDN", ces noms de domaines internationalisés sont une évolution obligatoire afin d'intégrer les différentes formes d'écritures, de langages et de caractères existants de par le monde. Bien évidemment, certains se sont montrés précurseurs comme les entités appartenant à des pays utilisant langues chinoises ou encore arabes. En ce qui nous concerne, c'est surtout l'accès aux caractères accentués, mais pour d'autres, il s'agit de disposer d'Internet dans sa langue natale : ce qui n'est pas rien.

Par ailleurs, cela n'est sans profondément changer la vision que nous avons du DNS. Il existe en effet des IDN intégrant des caractères particuliers (n'appartenant pas au standard ASCII) uniquement dans la partie domaine du nom mais pas dans l'extension. (dans exemple.fr, exemple est le nom de domaine quand .fr est l'extension). 

D'autres entités, relevant de pays ou non, ont choisi de demander également à ce que les extensions fassent partie de ce processus, créant de ce fait de nouvelles extensions. Ainsi en est-il du .中国 pour la Chine, qui serait un équivalent, dans une langue chinoise, du .cn ou du .fr.

Un problème se pose toutefois : le système en tant que tel n'a pas été modifié, c'est à dire que le DNS continue à ne connaître que des noms dans l'alphabet occidental simplifié ou ASCII. Pour pallier à ce problème, il a été défini une norme transitoire ou intermédiaire permettant de "traduire" un nom internationalisé en un nom unique sous une forme déviée. Par exemple, l'extension chinoise ci-dessus est en réalité envoyée sous la forme suivante : ".xn--fiqs8s".

Cette norme, dénommée "Punycode" et standardisée par l'IETF au sein d'un RFC traitant des IDNA (IDN dans les Applications). Elle s'applique autant au nom de domaine qu'à l'extension. Cela a toutefois une conséquence non négligeable : un nom de domaine enregistré demeure unique. Ainsi, par exemple, les deux extensions chinoises sont-elles différentes puisque le DNS les comprend différemment. 

Mais cela peut aller plus loin : un "francois.fr" n,'est pas un "françois.fr". Pire encore, certains caractères peuvent apparaître identiques mais ne pas l'être car ils recevront une "traduction" punycode différente.

Cette problématique oblige donc les gestionnaires des noms de domaine institutionnels à faire évoluer leur dispositif de protection notamment en élargissant leur politique de protection. A cette fin, l'AFNIC permet une meilleure protection des détenteurs de ces droits en leur autorisant une période réservée d'achat.

N'oubliez donc pas de réserver les domaines accentués pouvant être utilisés comme le vôtre....Et pour les autres, ne cliquez pas n'importe où !

Source :

mercredi 2 mai 2012

Le marché IP évolue

L'adresse IP est décidément un sujet qui monopolise les lignes de ce blogs. Récemment, nous évoquions les difficultés de cette phase de transition tandis que, plus tôt, c'était les prémisses d'un marché de l'adresse IPv4 qui attirait notre attention.

Certaines évolutions de la physionomie de ce marché sont cependant remarquables. En témoigne la récente proposition de l'organisation chargé de la répartition des adresses au niveau européen (RIPE-NCC). Rappelons que cette gestion des adresses bénéficie d'un niveau centralisé au niveau de l'ICANN (ASO/NRO) mais aussi d'acteurs "locaux", des RIR, directement impliqués dans la redistribution et exerçant cette compétence à l'échelle d'un continent.

Une des problématiques identifiées est que les RIR ne sont pas tous nés en même temps. Ainsi, la dotation en adresses est-elle faible pour les derniers venus et très forte dans d'autres. Une des propositions seraient alors de permettre de réserver certaines adresses, relevant d'un RIR, même en appartenant à la zone géographique d'un autre RIR. Ainsi, pense-t-on, il deviendrait possible de rétablir un certain équilibre dans l'attribution de cette ressource (j'ai du mal à la voir autrement puisqu'elle est garante de la connectivité).

4 conditions sont prévues pour cela : les adresses "transférées" d'une zone de responsabilité à une autre le seront pour des besoins de "business" et ne seront pas vendues avant 15 mois. De plus, ces adresses auront pour objectif de couvrir des besoins opérationnels de connexion, actuels et futurs. Devant respecter les directives européennes antispam, les acheteurs d'une région différente du RIR d'origine se verront cependant appliquer les politiques de celui-ci.

Ce système ne semble pas convenir à tous les analystes en raison, selon eux, d'une incitation pour les exportateurs à restreindre les importations à et jouer sur la hausse des prix. Ils réclament au contraire une politique globale de l'échange qui ne privilégie pas le RIR d'origine des adresses en lui permettant de faire appliquer sa politique à une autre zone de responsabilité. D'autant que les adresses en surplus sont essentiellement "localisées" dans une unique zone de responsabilité (amérique du nord). C'est donc également octroyer des capacités de régulation renforcées au RIR de cette zone (ARIN).

Le marché de l'adresse IP, qui semble parfois une hérésie, se complique de jours en jour. Associé à cette très délicate phase de transition, fournir un système de marché pour fluidifier les échanges est une manière étrange de résoudre les problématiques de connectivité mondiale. Toutefois, considérant les difficultés d'entrée à l'IPv4,  l'attrait de l'IPv6 se trouve quant à lui renforcé.

Source : 




Café Stratégique 16 - Traques sur le Net avec Eric Freyssinet