vendredi 29 mars 2013

SpamHaus, UEFI, UIT....déceler la stratégie !

Source: kombini.com
La démarche stratégique tient une place importante dans le domaine de l'informatique et des réseaux. Il n'est pourtant pas toujours évident de la déceler. C'est pourquoi, par trois exemples du moments, nous aurons la possibilité de mettre en exergue une telle démarche. Démarche agressive, facette économique ou encore internationale, nos trois cas fournissent une illustration de ces domaines.



Commençons...

Qui n'a pas entendu parler de la conférence de l'Union International des Télécommunications à Dubaï qui a vu se réunir l'ensemble des membres autour d'une question brûlante d'une forme de contrôle de l'Internet ? 

D'une part, l'UIT s'est toujours montrée avide de reconquérir une capacité de décision ou d'influence dans les domaines aujourd'hui régulés par la "Gouvernance Internet". D'autre part, il est vrai qu'elle a pu servir de tremplin à des revendications propres à certains Etats souhaitant renforcer leurs capacités d'action, de surveillance ou de contrôle.

Plus récemment, et c'est un des 3 cas, Milton Mueller analysait une possible erreur stratégique commise par les acteurs américains. En effet, à l'occasion de la publication d'un rapport par l'UIT, celui-ci développait 6 propositions de résolutions relatives à l'Internet. Et, surprise, ce rapport tend à relayer des positions connues pour être défendues par plusieurs entités américaines.

En particulier, le Département du Commerce américain (co-signataire des accords avec l'ICANN) ainsi que l'entité ARIN (régulant la distribution des adresses IP sur le continent nord-américain) sont aujourd'hui préoccupés par les conditions et les modalités d'attribution des pools d'adresses IP qui représente aujourd'hui une ressource complexe à gérer.

Or, cette question fait encore débat en particulier sur la notion d'autorité et de responsabilités des dits ensembles d'adresse. Et M. Mueller analyse ainsi la publication de l'organisation onusienne comme un relais des souhaits et volontés américaines. Il en déduit que les deux organisations américaines, dans une forme de dernier recours pour faire adopter leur vision, tentent de la promouvoir par ce biais.

Mais, à malin, malin et demi, M. Mueller analyse qu'en acceptant de donner un caractère officiel et en soutenant la proposition, l'UIT réussit ainsi une incursion acceptable dans le "monde de l'IP". C'est donc lui donner une forme de légitimité pour ses prochaines interventions, potentiellement moins consensuelles, et que l'on ne pourra plus écarter au prétexte de l'incompétence - au sens de l'UIT n'ayant pas compétence sur le domaine de l'Internet

Bref, stratégies diplomatique et internationale sont ici évidentes. Les analystes les mieux informés auront déjà décelé un affrontement latent entre les puissances déclinantes et croissantes que sont les Etats-Unis et la Chine, par exemple, qui, au sujet d'Internet, ont un contentieux lourd.

Autre cas...

Peut-être avez-vous entendu parler d'UEFI ? 

Cette technologie est utilisé dans les premiers instants du démarrage de vos ordinateurs avant le chargement du système d'exploitation. Dotée de fonctionnalités avancées, elle succède petit à petit au fameux BIOS.

Dans la version 8 de son système d'exploitation, Windows, Microsoft a choisi une formule qui, de prime abord, augmente le niveau de sécurité. Mais comme l'usage de la technologie UEFI est très liée au matériel, cette méthode de sécurisation impose un partenariat avec les constructeurs sans quoi l'ordinateur sera bien en peine de démarrer !

Bien évidemment, la compatibilité avec les autres systèmes comme les dérivés de UNIX ou LINUX n'a pas été intégrés...ce à quoi il est répondu que la fonctionnalité peut se désactiver.

Or, comme vous le constatez sans doute, Microsoft semble peiner à conserver sa suprématie alors que les appareils récents comme les tablettes ou encore les smartphones ont massivement adopté des systèmes comme celui d'Apple ou Androïd...

La stratégie de nature économique ici, serait donc de "sanctuariser" un monopole sur certains types d'outils numériques ou du moins, de se prévaloir d'une position favorable. De plus, l'argument de la sécurité est formidable car il est ici biaisé : effectivement l'usage d'un démarrage sécurisé élève la sécurisé...mais rien n'interdisait de concevoir le système en garantissant le même niveau de sécurité tout en laissant l'utilisateur libre de son choix. 

Et qui, alors que les attaques DDoS sont désormais sur BFM-TV, oserait jeter la sécurité aux orties ? Malin vous disais-je...

Dernier cas...

Bien entendu, vous avez entendu parler de la brouille entre l'hébergeur "CyberBunker" et l'initiative SpamHaus...

De manière tout à fait intéressante, SpamHaus s'est donné une mission délicate mais probablement nécessaire. Cela ne l'empêche pas d'avoir des méthodes parfois un peu musclées et la lecture de quelques infos juridiques vous en convaincra. Vous noterez également que les références juridiques sont américaines et anglaises...Enfin, et cela uniquement pour donner le "ton" des pratiques parfois rudes de l'entité, plusieurs hébergeurs ou fournisseurs de service ont d'ores et déjà porté plainte dans certains pays se retrouvant "coupés" du monde ou contraint à se défaire de clients par les listes dressées par Spamhaus...

De l'autre côté, l'hébergeur n'a pas la posture morale la plus facile à tenir...C'est même le contraire puisqu'il accepterait tout contenu sauf la pédopornographie et les éléments liés au terrorisme. Il héberge par exemple le fameux Pirate Bay

Quant à "Operation Stophaus", elle impliquerait des éléments russes et autres cybercriminels de l'est car il existe un site web en Russie dédié à ces actions...Il est vrai que deux adresses IP sur 3 pour "stophaus.com" sont enregistrées auprès de sociétés avec des adresses russes.

Soyons simplistes et bêtes : d'un côté, une initiative à la posture morale rigide et qui se réclame du droit anglo-saxon. De l'autre, un hébergeur à la morale plus laxiste défendue par quelques délinquants vaguement est-européens...Mais oui...c'est du Tom Clancy !

Soyons un peu plus analytiques et concluons sur l'aspect suivant : une telle affaire est du pain béni pour mettre en jeu à nouveau ces dissensions entre des approches opposées. Il est vrai que chacune de ces visions sont adoptées par des Etats qui sont aujourd'hui plus des adversaires que des partenaires sur la scène internationale. Il n'est donc pas nécessaire de crier au complot mais peut-être seulement de considérer une manifestation, en termes d'influence, de cette opposition.

Concluons...

Cet article a donc saisi 3 exemples très récents pour vous apporter la preuve que la stratégie est partout présente sur Internet. Au passage, vous remarquerez que nos exemples continuent à s'appuyer sur une analyse d'abord technique des phénomènes qui nous permet d'écarter certains critères pour conserver les aspects utiles à la mise ne perspective stratégique...en vulgarisant bien évidemment ! C'est selon l'auteur, la seule méthode pour s'assurer de la complétude de l'analyse..

Stratégies à suivre !

Source :





dimanche 17 mars 2013

Mes astuces...pour sauvegarder et chiffrer

Afin de changer un peu, voici un message purement "geek"....

Une des grandes problématiques de l'utilisateur est aujourd'hui de protéger ses données...Cela dit, la "protection" des données est souvent perçue comme suit :

- " les photos de la dernière soirée ? Surtout, faut pas que je les perde ! " ...Il est vrai qu'on vous y voit peut-être dans une posture que la morale réprouverait comme tout cela finira sur Facebook...c'est un autre sujet.

- "mes relevés bancaires ?...Hop hop hop, personne ne doit savoir"...Oui mais vous utilisez n'importe quel wifi non sécurisé à commencer par le vôtre...Encore un sujet différent, je m'égare.

Il y a donc deux problèmes : avoir une redondances des données et les rendre confidentielles. Autrement dit, sauvegarder et chiffrer. Une fois dit cela, l'utilisateur a l'impression de devoir résoudre la quadrature du cercle.

En ce qui concerne la sauvegarde, mes recommandations sont de disposer de 3 exemplaires : deux chez vous ce qui permet de pallier à la perte immédiate d'un disque (qui peuvent être "à chaud") et une troisième délocalisée pour pallier aux vols, incendies...

Deux astuces :

- organisez légèrement les données importantes, à sauvegarder et distinguer les de celles que vous pouvez perdre. Cela facilite la vie et les sauvegardes et vous permet d'estimer rapidement vos besoins.

- Concevez des systèmes très automatisés : vous pouvez être certains que le petit geste quotidien ou hebdomadaire aura disparu dans quelques temps...L'usage des logiciels de planification (cron ou "planification des tâches") est très pratique.

Quelques idées de solutions : un ordinateur disposant de 2 disques en RAID 1 où chaque disque est l'exacte réplication de l'autre associé à un disque dur externe qui, une fois branché, déclenche une sauvegarde. Ou encore un ordinateur et un NAS qui se synchronise à chaque démarrage de l'ordinateur et le même disque dur externe. En matière de logiciel, j'avoue éprouver une tendresse pour "SyncBack" qui ne m'a jamais mis en défaut et supporte de nombreuses situations particulières (sauvegarde sur réseau, choix des profils...). On me dit le plus grand bien d'Acronis que je n'ai cependant pas testé.

En ce qui concerne le chiffrement, une attention toute particulière doit être portée à la conservation des clés ou des mots de passe. L'usage d'un "KeePass" ou équivalent constitue une alternative pratique à la conservation des multiples mots de passe.

Le logiciel TrueCrypt est réputé pratique et à l'usage, il se révèle assez satisfaisant. Sa capacité à chiffrer le disque dur du système d'exploitation est bien connu mais il est également possible de chiffrer un disque ou une partition différente. Ses qualités sont également reconnues par l'ANSSI comme KeePass. Il est également possible de monter automatiquement le volume chiffré à l'ouverture de la session : une fenêtre réclame le mot de passe. La synchronisation peut démarrer automatiquement quelques minutes plus tard de manière transparente.

Côté NAS, certains, comme le Synology disposent d'un logiciel de chiffrement et parfois même d'un composant dédié à cet usage. D'autres également mais pas nécessairement sur un produit "grand public". En matière de chiffrement intégré, pourquoi ne pas songer à "Bitlocker", la solution de Windows...Celle-ci s'avère toutefois plus complexe si vous ne disposez pas du composant matériel de chiffrement...ou de la bonne version de Windows.

Trois astuces :

- prenez garde à y aller progressivement en commençant par l'obtention de plusieurs copies fiables de sauvegarde. Quand quelques tests vous ont convaincu des aspects pratiques, passez à l'épate suivante.

-  Conservez de manière fiable les mots de passe utilisés pour le chiffrement

- Backup, backup, backup...répéter, c'est la clé !

Prévoyez enfin un peu de temps car suivant les matériels, le temps de chiffrement est long. Comptez plusieurs heures (ex. : 12h environ pour 1To pour ma part).

Pour ceux qui s’inquiéteraient des performances, je n'ai pas noté de ralentissement notable. Toutefois, les données chiffrées ont été soigneusement choisis pour ne pas nécessiter ce type de traitement...A vous de voir.

Source : dans le texte

mercredi 13 mars 2013

Perspectives et analyse - le Cas Mandiant

Source : NYMAG.com
Quelques mots aux lecteurs : vous avez sans doute remarqué une certaine désertion de ce blog ces derniers temps. Cela n'est qu'apparence car je consacre beaucoup de temps à des articles de fond comme la chronique SSI publié sur le site de l'Alliance Géostratégique.

Est-il possible d'ignorer le rapport de la société Mandiant ? Aucun observateur investi en matière "cyber" n'aura pu échapper à multiples analyses et discussions. Certaines ont le mérite de dresser tout à la fois une bonne synthèse ainsi qu'une mise en perspective éclairante.

D'autres, dans un sens plus critique, éclairent une thématique également poursuivie par ce blog. Vous connaissez ainsi l'insatiable appétit que nous avons à brocarder l'usage irréfléchi du "cyber" ou encore la poursuite des intérêts bien compris.

Qu'il me soit permis d'attirer votre attention sur deux publications récentes qui établissent ainsi de manière percutante certaines de ces dérives. On ne présente plus Errata Security dont le ton parfois corrosif n'a d'égale qu'une profonde culture du milieu. Chacun jugera. Notez aussi l'analyse de Cédric Pernet qui sur son blog livre des réflexions sur la démarche de la société, réflexions que le recul pris par l'auteur rend passionnante.

Ce domaine, SSI, LID, "cybersécurité-si-vous-y-tenez" est une promesse de profits importants. Ces profits sont autant en monnaie sonnante et trébuchante qu'en carrière ou promotion personnelle. Si cela n'a rien de problématique en soi - après tout, l'analyse de Mandiant semble fournie et minutieuse - les dérives sont multiples. La lecture des observateurs ne doit pas être écartée.

Pour continuer sur ces sujets, vous pouvez également consulter http://cidris-news.blogspot.fr/2013/02/comparer-pour-comprendreavec.html.


Source : dans le texte