mercredi 29 mai 2013

On attaque ? A vos ordres, mon général, c'est quand vous voulez !

Source : Wired.com
Il semblerait que tout soit prêt pour "y aller" pour jargonner un peu. Qu'est-ce qui est prêt me direz-vous ? Et bien, l'environnement technico-opérationnel nécessaire aux lancements d'attaques informatique en parallèle aux opérations "classiques" et ce de manière fortement automatisée.

Mais que raconte-t-il songez-vous ? Hier encore, il affirmait le contraire ! Certes mais j'ai tendance à penser que - si bien réelle est cette tendance - que la multiplication des attaques informatiques qui deviendraient alors un "simple" outil militaire pourrait conduire à des tendances dommageables.

Quelle est cette tendance ? Elle se matérialise par la concomitance de 3 projets qui permettent de construire un système permettant aux décideurs américains de lancer de manière efficace, dans un cadre opérationnel classique, des attaques informatiques.

Le premier, nous l'évoquions récemment consiste à contrôler et à limiter strictement l'usage de la force aux seuls états et aux seules entités disposant d'une compétence et d'une autorité pour le faire. C'est donc éviter de manière absolue qu'un "fou" perturbe le déroulement des opérations militaires de LIO en faisant par exemple déraper le conflit.

Le second consisterait à déterminer une chaîne de commandement cohérente où les différents niveaux de commandement dispose d'une liberté d'action et de décision et où la LIO ne représente plus l'exception qu'elle continue souvent à être...Cette exception conduit à confier alors ces actions à des entités "exceptionnelles" que sont les services d'actions clandestine et de renseignement (NSA...). Cette interprétation est une représentation personnelle que je me fais de l'organisation militaire, à la lecture des brillants auteurs "mili" d'AGS. Elle ne peut prétendre à l'exactitude.

Selon un récent article, il semblerait que ce soit fait. Ainsi, toujours selon cet article, chaque commandement géographique (les UCC géographiques) serait bientôt autorisé à utiliser des détachements "LIO" pour appliquer de manière autonome des décisions en matière offensive et informatique. Des limites existent comme par exemple les frappes préemptives qui restent de la responsabilité du Président. 

En toute logique, les SROE pour "Standing Rules of Engagement" ont été mises à jour, ce que suggère l'article. Le cadre ainsi créé répondrait de manière efficace à une normalisation de l'usage de la lutte informatique offensive et limiterait les cas "exceptionnels" à des situations bien particulières.

Le troisième projet fournit l'encadrement technique et la possibilité d'avoir un degré d'efficacité élevé et surtout susceptible de répondre aux missions et objectifs que pourrait avoir un commandement géographiques. Ex. : "Moi, chef du théâtre afghan, j'ai besoin que vous piratiez telle machine que le renseignement a identifié comme appartenant à un chef rebelle"...Fiction évidemment...

A en croire Wired, cet objectif serait atteint puisque le "Projet X" répondrait à ce besoins de rendre la conduite de la lutte informatique non plus du ressort de l'expert mais du "simple soldat". Toujours selon Wired, il s'agirait de rendre la "guerre informatique aussi facile qu'Angry Birds", le fameux jeu sur smartphone. Sans reprendre l'intégralité de l'article, le travail de Wired est comme souvent très documenté, les auteurs évoquent la création d'un langage spécifique qui serait aux attaques informatiques ce que le HTML est au Web.

Bien souvent évoqué, la mise en oeuvre d'un tel dispositif et de tels processus a longtemps paru impossible en raison de l'exception technique que pouvait constituer la LIO. Pour les Etats-Unis,  une volonté de normalisation et d'encadrement a certes permis d'atteindre un résultat qui parait, sur le papier, capable de produire des effets d'ampleur. Cependant, entre le "papier" et la réalité, la mesure exacte de ses capacités doit être appréhendée avec prudence...pour ne pas se faire piéger par une forme de dissuasion de bon aloi !

Source :





lundi 27 mai 2013

Et si on s'était tous trompés ? Réflexions sur l'avenir de la "cyberguerre"


Source :internetgovernance.org
Le site "Internet Governance Project" est un observatoire de la gouvernance et de ses tendances. Y participent plusieurs acteurs dont l'implication dans les instances internationales de la gestion d'Internet ne sont pas ridicules. 

Il est donc très souvent un lieu où l'on trouve des réflexions intéressantes et bien informées sur ces phénomènes. En témoigne un récent article relatant les réflexions d'un chercheur chinois, le Dr. He Baohong de l'académie de recherche en télécommunications. Celui-ci évoque ainsi la fragmentation de l'internet comme une "loi de l'histoire", un phénomène selon lui incontournable. A l'appui de son argumentation, il cite plusieurs références techniques bien sur mais également des questions de culture et de langage ou encore économiques.

Cette vision, sur laquelle je n'ai pas d'opinion ici, peut être rapprochée des analyses d'experts techniques, également blogueur  qui évoquent les "middleboxes stupides qui infestent l'Internet" que Stéphane Bortzmeyer nomme régulièrement. 

Prenons donc comme fait que l'Internet dés débuts ou "théorique" ne présente plus les mêmes caractéristiques. D'un réseau tout à fait décentralisé où les capacités de calculs étaient exportées aux extrémités et où le réseau était tout entier tourné vers le transport et la redondance , celui-ci a bien changé avec un retour à la centralisation (ex. cloud computing) et effectivement une forme de fragmentation croissante.

Or, les attaques informatiques et en particulier celles que l'on imagine liées à la "cyberguerre" ou que sais-je, se basent intrinsèquement sur la capacité à joindre la cible. Vrai ou faux ? 

Partiellement vrai en fait comme l'aura très bien montré un exemple comme "Stuxnet" même si celui-ci constitue un cas bien particulier comparé à l'ensemble des codes malveillants que l'on trouve sur Internet.

La fragmentation de l'Internet peut alors être analysé comme la réponse aux faiblesses des systèmes d'informations, comme la volonté de limiter de manière drastique l'exposition aux attaquants potentiels. En cela, et l'on trouve trace dans un ouvrage récent "Menace sur nos libertés", la "militarisation" du cyberespace (concept délicat - j'en suis conscient) apparaît comme une potentielle menace sur l'avenir d'Internet...

Or, sans Internet, la "cyberguerre" n'est plus du tout la même chose et perd même une partie de sa substance.

Et si, à force de "cyberguerre", nous perdions l'ouverture, l'innovation et le développement qui ont permis Internet et sont nés du cyberespace ? Et si, à force de segmentation ou de fragmentation, nous finissions par perdre "Internet" ? Alors, n'aurions-nous pas perdu également la "cyberguerre" ?

Source :

vendredi 24 mai 2013

Contrôler les miliciens : une difficulté à venir ?

Source : CSIS.ORG

A l'occasion d'une conférence organisée par le CSIS, l'intervention d'un des directeurs de la NSA donne un aperçu du problème des combattants électronique auto-proclamés.

Les propos tenus par Chris Inglis, directeur adjoint de la NSA évoque ainsi la crainte d'une multiplication d'une forme de représailles privées menées par des acteurs incontrôlés. Il est vrai que ce type d'acteur est facteur de chaos alors que les USA comme tant d'autres pays semble fournir beaucoup d'effort pour donner une cohérence forte à toutes les actions relevant de la LID ou LIO.

Le cas de "th3j35t3r" ou encore "the jester" pourrait entrer dans cette catégorie d'acteurs en raison de son important hacktivisme qu'il met au service de sa compréhension des causes américaines. Par exemple, en réalisant des dénis de service sur des sites "jihadistes" au sens large (organisation, propagandes, forums...) ou encore en "exposant" les identités réelles de certains pseudos.

Les raisons poussant la NSA à ne pas encourager le "vigilantism" (une pratique apparemment assez fréquente aux Etats-Unis consistant à assurer un service de sécurité public sans pourtant disposer de l'autorité ou de la légitimité adéquate pour le faire) tiennent notamment à un besoin de maîtrise.

M. Inglis ajoute d'ailleurs une phrase particulièrement percutante - que je traduis librement ici : "il est pratiquement impossible de s'assurer d'une position avantageuse continue dans le cyberespace dans un environnement en permanente évolution". 

Cette vision se comprend d'autant mieux que selon lui, la dangereuse solution que serait ces pratiques de "guerriers privés" ne peut être retenue alors même qu'un récent rapport le préconiserait en réponse aux atteintes constantes que subiraient les entreprises chinoises en provenance de la Chine.

Un article réalisé par M. James Lewis du CSISC (source ci-dessous) fait également état de la dangerosité de ces pratiques et du crainte d'escalade qui y est liée. Il dresse également une liste de cas  pratique où autoriser de type de démarche serait susceptible de causer du tort aux Etats-Unis. Ce faisant, par exemple, ils perdraient toute crédibilité dans leur insistance pour que la Russie et la Chine soient plus offensifs vis-à-vis des organisations qui profitent d'une certaine tolérance pour conduire des activités criminelles ou d'espionnage sur Internet.

Cette problématique de la gestion des actes offensifs privés sur Internet est intéressante pour 3 raisons. D'une part, elle n'est pas sans lien avec la privatisation de la guerre que la thématique "Société militaires privées" représente assez bien. Il semble pourtant que les autorités américaines ne s'y résolvent pas, ce qui indique assez la sensibilité et la complexité des problématiques de lutte informatique.

D'autre part, cette problématique ne semble pas encore être apparue chez nous. Bien sur, ne pas la connaître ne signifie pas que quelqu'un ne l'a pas traitée. Cela ne veut pas dire non plus qu'elle n'existe pas mais sans doute qu'elle occupe encore peu le débat. En effet, la nature même d'Internet rend ce type d'actions à la fois très probable mais aussi relativement aisé.

Enfin, les craintes exprimées aux Etats-Unis ne sont pas nécessairement les nôtres. La thématique du "super héros" solitaire aux choix moraux complexes est un thème fréquent dans les films et séries. La lecture du dernier article consacré au Jester et le peignant comme un héros le montre assez bien.

Ces quelques lectures éclairent donc un problème pour le moment perçu essentiellement outre-atlantique. Il n'est pas avéré qu'il doive faire l'objet d'une inquiétude au même titre en France mais se poser une question n'a jamais amené qu'à plus de connaissance...

Source :





jeudi 23 mai 2013

La sécurité de l'information est-elle un échec ? Suite de la série d'article...

Source AGS


Dans la continuité de notre série d'article relatif à la SSI, vous trouverez ci-dessous le lien vers la dernière publication :



Dans cet article, l'objectif est d'évaluer quelques propositions pour faire évoluer positivement le niveau SSI par le biais économique.

Le prochain article devrait constituer le dernier de la série et proposer une synthèse des différentes mesures proposées.



Source : dans le texte

jeudi 16 mai 2013

Sécurité et mode de développement : vers une évolution systémique ?

Source : hthemyndset.com
Dans plusieurs messages antérieurs, nous évoquions la sécurité sous l'aspect du développement et de la production de logiciels ou de systèmes d'exploitations moins vulnérables. Quelques signaux faibles permettaient alors d'entrevoir une évolution positive de cet écosystème sans que puisse être matérialisée une tendance.

Il serait pourtant possible que celle-ci se soit matérialisée comme en témoigne une récente étude auquel vous pardonnerez l'auteur de ce blog d'essayer d'en dégager une vision plus globale (on ne se "refait" pas). 

Cette étude a été conduite par Coverity, une société lancée en 2006 avec la bénédiction du DHS - Department of Homeland Security - américain et propose un service de vérification automatique (scan) des erreurs de développement. Le partenariat qui a permis de lancer le service se serait terminé en 2009.

Quelques précisions qui paraissent importantes : la vérification d'un code est un exercice complexe et dont l'automatisation n'est pas toujours possible. Ainsi, non seulement la société précise les limites de son action en indiquant se concentrer sur une analyse statique (et non dynamique) qui ne révèle pas nécessairement tous les aspects de l'exécution d'un code. Elle livre également une liste non-limitative des erreurs que son service est capable de déceler. 

Pour autant, un tel produit aurait-il pu déceler une faille à priori complexe comme celle relative au noyau Linux qui fait l'actualité ? Cela n'est pas si sur et si le processus était automatisable si facilement, le marché des 0-day présenterait sans doute moins d'intérêt. 

En se basant sur ces réflexions, j'ai tendance à croire que ce type d'outil fournit une bonne détection de premier niveau. En outre et surtout, elle constitue un excellent indicateur de la qualité générale d'un code. Le rapport publié par Coverity semble ainsi révéler une tendance de qualité croissante notamment dans le monde de l'open source. Celle-ci semblerait se manifester de manière plus perceptible depuis deux ans. 

Pour appuyer ses dires, l'article se concentre sur un indicateur : le nombre d'erreurs de code conduisant à des défauts pour 1000 lignes de codes. Il note globalement une amélioration que le code soit d'origine "open source" ou "professionnel" avec des tendances inférieurs à 1, ce qui constitue une évolution en soi.

Cependant, si le code "pro" ou "open" semble avoir un taux de défaut proche (0,68 et 0,69) dans l'ensemble, on distingue deux tendances. Si sur des "petits" programme inférieur à 1 millions de lignes de code, l'open source semble de meilleur qualité, la tendance semble s'inverser sur des programmes plus lourds. L'évolution est étrange cependant car sur la "gamme" de code compris entre 500 000 et 1 million de lignes, le taux d'erreur "open" est très bas (0,44), le code professionnel est plutôt mauvais (0,98).

A cela s'ajoute la spécificité de Linux dont la société a analysé plus de 7 millions de lignes de code sur la version 3.8 pour une densité de défaut de 0,59 soit inférieure à la moyenne observée. On aimerait connaître l'analyse pour Windows mais il faudrait disposer du code source. A noter qu'en ce qui concerne le Kernel Linux, le taux est plus élevé avec une augmentation drastique de la qualité sur simplement un an : 0.95 en 2011 et 0.76 en 2012 !

Il semble donc que la qualité du logiciel devienne finalement à la fois rentable mais également une caractéristique recherchée. Par ailleurs, et c'est une forme de preuve intéressante, l'open-source semble désormais une référence incontournable en la matière ! Cela pourrait donc inciter certains organisations à ré-orienter leurs modèles d'achat informatique en ne se contentant plus d'acheter des logiciels sur étagères mais plutôt en consacrant des ressources au développement et à la qualité - donc la sécurité - des logiciels qui les intéressent...

C'est aussi très certainement une information intéressante dans le monde de la sécurité qui déplore parfois une certaine stagnation...peut-être à lier à la médiatisation croissante des attaques. Signaux faibles et tendance vous disais-je !

Source :


jeudi 2 mai 2013

Chronique d'une attaque ordinaire...

Source : Wikipedia
Il faudrait parler de Livre Blanc...Il le faudrait vraiment mais l'humeur du moment est décidément technique, au moins en ce qui me concerne. C'est donc de cela que je vais vous parler puisque lors j'ai eu téléchargé le "pdf" du LBDSN, la première chose que j'ai faite, c'est de transformer le pdf en texte  (pdftotext) puis de "faire un grep" sur le motif "cyber" et de le compter...J'ai trouvé 37 occurrences du terme, souvent associés avec d'autres suffixes comme "défense", "attaque" ou encore "espace". A titre de comparaison, "nucléaire" est présent 69 fois et NRBC 6 fois...

Toutefois, l'humeur du jour me pousse plutôt à vous évoquer le quotidien des attaques "ordinaires" et les problèmes qui se posent aux administrateurs et responsables sécurité. Sans forfanterie j'espère, mon cas personnel me semble fournir matière à réflexion. En effet, je suis client et titulaire d'un serveur disponible sur Internet et suis régulièrement confronté à des questions de sécurité...

L'utilité de ce serveur est essentiellement de procurer des services réseaux, notamment des tunnels, que je peux facilement utiliser à partir d'une connexion non connue et donc potentiellement dangereuse. Entre autres...Pour compliquer l'affaire, il s'agit d'un serveur virtualisé qu'une petite société loue en louant elle-même des serveurs physiques à une seconde, et plus grande, entreprise.

Considérant mes intérêts, je me suis intéressé à la sécurité du serveur...Bien que j'ai oublié de le préciser, le serveur fonctionne sous Linux Debian et la lecture du manuel est très utile. Parmi plusieurs réglages, l'exposition du serveur a été limité par l'usage d'un firewall, les protocoles d'administration à distance ont été limités. J'ai également mis en oeuvre quelques outils afin d'obtenir une meilleure visibilité sur le danger qu'un serveur court sur Internet...et puis pour s'amuser avec les logs. 

Ainsi, un outil automatique d'exclusion a été installé ainsi qu'un système de détection d'intrusion ou encore un antivirus....Puis j'ai installé mes outils réseaux avant de laisser vivre un peu le serveur. Régulièrement, je m'y connecte pour le mettre à jour et surtout m'intéresser aux logs...

On en retire plusieurs leçons...

D'une part, sur un serveur lambda présentant des caractéristiques génériques - comme l'usage d'un port d'administration classique - le taux de scan est véritablement affolant. Je m'intéresse ainsi aux tentatives de connexions ratées puis réussies ou encore aux informations remontées par les outils de détection ou de prévention d'intrusion. Par exemple, sur 5 jours, il est possible de constater plus de 2000 tentatives échouées de connexion...

Les adresses IP ayant émises ces connexions sont d'ailleurs au final peu nombreuses et sont identifiées comme appartenant à des entités russes ou chinoises (sic...). Si l'on s'amuse un peu, on remarque ensuite que les tentatives de connexion se font par paquets d'environ une petite centaine de tentatives à chaque heure de la journée. Cela fait songer au comportement automatisé d'un outil quelconque.

Toutefois, la recherche de ces informations n'est pas nécessairement intéressantes mais elle permet parfois de se rendre compte de certaines limites : par exemple, le comportement d'une des adresses est tel que une ou deux minutes se passent entre plusieurs tentatives. Cela déjoue donc mon système et c'est pourquoi le système d'exclusion n'est pas efficace en l'état.

D'autre part, la lecture et l'analyse de ces logs n'est pas évidente. Pour être franc et puisque ce n'est pas une action que je réalise chaque jour - la plupart du temps, les vérifications sont moins poussées - il serait difficile de tout détecter. Rappelez-vous qu'un fichier log est une succession de lignes contenant des informations "techniques" : il faut donc l'analyser intelligemment pour en tirer quelque chose !

De plus, dans mon cas, la quantité de logs est raisonnable et ce que je recherche est relativement simple. Imaginez alors des équipements concernant une organisation de taille importante (et son trafic quotidien) et l'importance des journaux d'évènements ! Il est alors nécessaire de disposer d'outils efficaces et d'une équipe aguerrie et bien formée surtout si l'on cherche à comprendre les ressorts d'une attaque.

Cette chronique d'une attaque ordinaire permet donc de comprendre que non seulement l'Internet est un milieu agressif mais que le paisible internaute ne le voit guère. D'autre part, il est facile de ne pas détecter l'attaque et de passer à côté de l'élément intéressant ! 

Ceci nous amène à conclure qu'en matière de lutte informatique, la "matière grise" est aussi importante que les bons outils et que les problématiques sont complexes...Au final, nous ne sommes pas si loin du Livre Blanc...

Source : dans le texte