lundi 16 mars 2015

La culture geek est-elle soluble dans la cyberdéfense ?

Si pour les États-Unis les conséquences internationales de l'affaire Snowden [1] sont diverses mais unanimement négatives, les impacts futurs notamment en matière de géopolitique de l'Internet [2] demeurent difficiles à anticiper. En revanche, au fil des diverses révélations, les relations entre l'administration U.S. et les entreprises de la Silicon Valley se sont singulièrement compliquées. Avec pour corollaire une conséquence majeure, directe et inquiétante : une franche défiance voire de l'hostilité de la part de la plupart des entrepreneurs et des salariés de la zone la plus high-tech au monde [3]. Dans ces conditions, les difficultés actuelles de recrutement que connait l'administration américaine portent-elles à conséquence sur ses capacités cyber ? Sinon quelles solutions sont envisageables ?

Les besoins en recrutement de spécialistes cyber par l'Oncle Sam sont très importants. Pour la période 2013/2018, le chiffre de 5000 personnes uniquement pour le Cyber Command a été avancé, 3000 ayant été financièrement confirmés jusqu'en 2016 [4]. Sur la même période et pour l'ensemble des agences fédérales (DHS, FBI, ministères, ...) c'est environ 10000 personnes [5]. Soit une fourchette variant de 8000 à 15000 personnes ce qui est proprement impressionnant même à l'échelle des USA. Mais peut-être cette fourchette est-elle encore en dessous de la réalité, certaines informations (non confirmées) estimant même un déficit sur la seule capitale fédérale, Washington, d'environ 30000 postes [6] !

Anticipant une explosion de leurs besoins dans la cyberdéfense et la cybersécurité, les autorités fédérales et notamment le ministère de la Défense ont mis en place depuis plusieurs années des programmes de partenariat mais aussi de détection et de recrutement tant au lycée qu'à l'université [7]. Une initiative bienvenue qui a, jusqu'ici, sans doute permis de dissimuler les difficultés d'un marché qui d'une niche il y a encore peu est devenu booming. De fait, dire que le marché de la cybersécurité en termes de recrutement est tendu relève de la litote. Car à cette croissance soudaine viennent s'agréger à grande vitesse des besoins autrement importants concernant la révolution numérique dans son ensemble : robotique, intelligence artificielle, nanotechnologies, biotechnologies, objets intelligents, etc. Les tensions qui en résultent, et même si elles participent à des besoins a priori différents, touchent donc le même réservoir d'emplois : celui des technologies de l'information et de la communication.

Dans ce contexte, si les acteurs de la mythique Silicon Valley n'étaient pas des recrues potentielles de valeur, du fait de leurs grandes compétences techniques et de leur puissance d'innovations, la question serait probablement accessoire. Mais elle ne l'est absolument pas, la cyberpuissance [8] devant désormais mener de front sa R&D, son développement industriel, son analyse et sa compréhension issues des différents capteurs (RIC et ROC [9]) ainsi que la cyberdéfense de ses systèmes d'information. Si les budgets permettant de réaliser de telles ambitions existent, les muscles et surtout les cerveaux ne se trouvent pas forcément au coin du premier Starbuck venu ! 

En dépit d'un niveau général d'incertitude(s) international, il est bien sûr trop tôt pour anticiper les conséquences possibles des tensions internes (aux USA) et surtout de parler de pénurie. Il est pourtant concevable d'imaginer qu'une difficulté croissante de recrutement de spécialistes cyber pour les forces de défense et de sécurité d'un pays pourrait, à terme, influer sur ses capacités. D'une part par une moindre qualité des recrues puisque la tentation facile de recruter "large" deviendrait une solution acceptable. D'autre part en matière de résilience puisque le processus idéal de recrutement devrait intégrer une sélection telle que les actifs seraient incapables de tenir dans la durée une succession d'opérations réelles.

Finalement, les futurs recrutés des  forces cyber américaines seront-ils des bêtes étranges aux cheveux gras, planquées dans la cave de leurs géniteurs, obèses à force de se "nourrir" de pizzas et de sodas et paranoïaques car fumeurs invétérés de marijuana [10] ? Si tel était le cas, qu'ils n'aient cependant aucune crainte : le FBI a beau rester intransigeant sur ses critères de sélection, l'armée, elle, saura toujours les accueillir moyennant quelques adaptations à ses propres critères de recrutement [11]. Une évolution de la doctrine qui devrait nous conduire, ici en France, à réfléchir à nos propres besoins, à nos ambitions et aux limites actuelles d'un réservoir de spécialistes et d'experts lui aussi soumis à de fortes tensions. Loin de la caricature, il est sans doute temps de se demander si geeks et cyber natifs peuvent et doivent être intégrés dans la cyberdéfense. Les deux cultures, différentes sans être opposées pourraient produire le meilleur de la synthèse : souplesse et vitesse d'un côté, moyens et légalité de l'autre.


[1] le site "Snowden surveillance archive" recense l'ensemble des informations parues depuis le début de l'affaire. A conserver précieusement !

lundi 23 février 2015

Affirmation de la cyberpuissance USA et ruptures stratégiques

Si depuis juillet 2013 le tsunami de l'affaire Snowden (1) nous a habitué à des révélations régulières et parfois spectaculaires, la semaine qui vient de s'écouler marque un tournant ainsi qu'une rupture. Tournant parce que de "l'affaire délicate" Gemalto (2) à Equation Group (3), l'ampleur des moyens déployés pour espionner toutes les communications électroniques de la planète permet, à ceux qui en avaient encore, de ne plus se faire aucune illusion sur l'absolue nécessité de bien protéger les informations qui le méritent. Rupture technologique mais aussi stratégique et bien-sûr politique. Comme le relève avec acuité Eric Le Boucher dans les Échos (4), les États-Unis d'Amérique "hyperpuissance" sont devenus "cyberpuissance". Y affirmant leur hégémonie dans le cyberespace tandis que leur repli des affaires du monde "réel", annoncé depuis des années par Obama et en cours de réalisation, les place dans une position de plus en plus isolationniste.

Cette volonté politique annoncée, assumée voire revendiquée interroge sans doute mais elle pourrait en réalité correspondre à un choix de riposte envers les "scoops" de Kaspersky. Une riposte qui serait de ne pas protester mais bien, au contraire, d'afficher la toute puissance cyber sans véritables concurrents. Un choix où les avantages prennent le pas sur les risques supposés.  Prenons, par exemple, le dernier piratage en date de Sony, pour lequel les États-Unis ont très rapidement désigné la Corée du Nord (ou RPDC (5)) sans fournir le moindre début de preuve formelle (6). Le président Obama dans sa toute récente interview au webzine re/code (7) vient de déclarer que les cyberattaquants de la RPDC n'étaient en réalité "pas très bons" alors qu'ils auraient pourtant réussi l'intrusion des systèmes d'information de Sony. Cette déclaration n'est pas contradictoire en regard de l'expertise technique modérée qui a permis l'intrusion. 

Dans ce cadre, que l'on me permette d'échafauder quelques hypothèses. Cette déclaration goguenarde d'Obama pourrait, par exemple, relever d'une sorte de début de rétro-pédalage, d'une (fine) manœuvre politique et/ou d'une provocation ! Les raisons demeurent évidemment ouvertes et ne seront peut-être concluantes qu'en regard des prochaines escarmouches à l'encontre de Pyongyang. Selon leurs tonalités, elles valideraient ou invalideraient le scénario choisi à Washington. Néanmoins, et c'est un changement d'attitude en réalité assez étonnant, l'affirmation décomplexée d'Obama relève d'une forme de mépris envers la RPDC mais aussi,  d'une certaine manière, de la Chine et de la Russie. Les deux pays étant qualifiés, dans la même interview de "très bons" avec la lecture en creux qu'ils ne sont cependant pas aussi bons que les États-Unis. Après le mépris, la condescendance. Par effet de bande, le message pourrait aussi s'adresser aux pays qui réfléchissent à nouer des alliances cyber avec eux : l'Inde mais aussi le Japon pour qui cette alliance serait comparable à une sorte de parapluie de protection cyber. Enfin,  et par extension, l'Union européenne et le reste du monde sont aussi dûment informés de qui est dorénavant la cyberpuissance.

Par construction, ce possible sentiment de supériorité serait relatif à une réelle supériorité opérative et technique dans le cyberespace. Les USA possèderaient une telle avance qu'ils pourraient dorénavant se permettre de le dire sans prendre de gants (8). Après tout, l'interview d'Obama et l'absence de protestations internationales ces jours-ci à l'issue des rapports successifs de Kaspersky, société d'origine russe, est une forme de réponse en soi. Qui dit en substance : "nous avons profondément déstabilisé le monde figé issu de 50 années de guerre froide. Cela a commencé au lendemain des attentats du 11 décembre 2001. Rappelez-vous de l'Afghanistan en 2001 puis de l'Irak en 2003. Ce n'était pas votre problème, ça l'est maintenant devenu. Pendant que vous en prenez conscience, ou commencez à en prendre conscience, nous avons retiré l'essentiel de nos soldats, avons renforcé notre surveillance (9) et sommes devenus plus résilients. Nous construisons le monde et l'économie de demain, nous nous en sommes assurés la domination (10), nous sommes la cyberpuissance".

Si tel était le cas, ce serait une profonde évolution ou plus exactement une révolution. Les USA seraient en train d'accélérer pour achever, potentiellement au tournant de la prochaine décennie, le processus de dématérialisation de tout ou partie de leur économie. Tant au travers des GAFA (11) et de la myriade de la Silicon Valley que du contrôle effectif des points-clés du même cyberespace : maîtrise des infrastructures de transport des données (12), contrôle des nœuds (DNS racines, routeurs, ...), analyse "big-datesque" des flux. Dès lors, considérer qu'un "projet Manhattan des cyberattaques" (13) existe depuis plusieurs années devient une sorte de fait ordinaire. Ce qui pourrait moins l'être sera le niveau d'appréhension et de compréhension d'un scénario où Orwell fait dorénavant figure de doux rêveur et les réponses que l'on compte y apporter. 

Alliance, neutralité, affrontement, outils asymétriques, diplomatie, etc. Une infinité de réponses peuvent s'envisager, sans doute davantage au niveau communautaire en ce qui concerne l'Europe. Que la France et l'Allemagne déclarent vouloir se rapprocher dans le numérique (14) pour bâtir des champions industriels, basculer plus fortement leurs sociétés et les autres États-membres n'est ni avisé ou louable. Il s'agit en réalité d'une nécessité presque vitale, celle qui peut permettre d'assurer la survie à moyen et long terme d'un projet politique et, in fine, de la paix et de la sécurité de la première puissance économique mondiale. La volonté de nos actuels gouvernants est déterminante pour l'avenir, probablement bien plus que ne l'ont connu leurs récents prédécesseurs. Rester sourd aux bruits stratégiques actuels, aveugle à la manœuvre d'ensemble et immobile aux dynamiques en cours serait non seulement faillir mais également trahir. Souhaitons dès lors le courage, la force et la vision habiter la classe politique nationale, allemande et européenne.


(5) Lire l'excellent article d'Arthur V. Guri sur EchoRadar concernant les "12 caractéristiques d'un modèle cyberstratégique très particulier"
(6) http://si-vis.blogspot.fr/2015/01/le-sony-hack-2014-ou-comment-des.html
(7) http://recode.net/2015/02/15/white-house-red-chair-obama-meets-swisher/
(8) http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html et http://si-vis.blogspot.fr/2013/04/programme-olympic-games-et-cyber.html
(9) Au sens large, celle-ci n'étant pas qu'électromagnétique. Les budgets consacrés au moyens humains, optiques, d'influence, etc. ont fortement augmenté depuis le 11/09/2001
(10) où comment le concept d'"information dominance" est devenu réalité...
(11) Google, Apple, Facebook, Amazon
(12) fibres optiques océaniques et transocéaniques, réseaux sol 2G/3G, satellites de communication, ...

lundi 16 février 2015

Singapour crée son agence nationale de la cybersécurité

Le 27 janvier 2015, le cabinet du Premier ministre de Singapour a annoncé la création prochaine d'une agence gouvernementale dédiée à la "surveillance centralisée des fonctions nationales de cybersécurité" (1). Active à compter du 1er avril 2015, la "Cyber Security Agency (CSA) of Singapore" devrait comprendre une soixantaine de personnes.

lundi 2 février 2015

Tester son niveau de cybersécurité ? L'exemple d'Hawaii et ses vertus pour le domaine maritime

Ces derniers mois ont vu en France l'émergence d'une prise de conscience concernant la vulnérabilité aux cyberattaques notamment du secteur maritime. L'influence des travaux (1) de la loi de programmation militaire (LPM) n'y sont évidemment étrangers ainsi que certaines actions isolées mais essentielles qu'il faut saluer (2). Cependant, prudence et modestie sont de rigueur étant donné l'ampleur des chantiers qui attendent l'ensemble des acteurs quel que soit le secteur d'activités concerné. Outre-Atlantique et même plus précisément dans le Pacifique, l'île d'Hawaii vient de connaître deux jours d'intenses exercices cyber (3). Leur objectif ? Simuler des cyberattaques permanentes et d'intensité variable contre les infrastructures maritimes de l'île.

lundi 12 janvier 2015

Le Sony hack 2014 ou comment des "Gardiens de la paix" ont failli déclarer la (cyber) guerre mondiale

Environ quinze secondes. C'est la durée de l'hésitation qui s'est emparée de moi avant de débuter cet article. Allais-je commencer l'année en ânonnant fièrement une liste de prévisions (1) ressemblant à un cyber-horoscope insipide ? Ou partir d'un fait récent, aussi vite disparu des Unes qu'il s'en était emparé ? Car, tout observateur attentif a sans doute pu remarquer qu'une presque énième guerre mondiale (2) avait failli éclater juste avant Noël. Et tout cela pour une énième cyberattaque. Retour mi-sérieux mi-ironique sur le piratage de Sony.

mercredi 31 décembre 2014

Chiffres et articles 2014 avant le cap sur 2015

Après le traditionnel chapon de Noël et avant le champagne de la nouvelle année, je vous propose un rapide récapitulatif de l'activité 2014 de ce blog qui va entamer sa neuvième année d'existence. Même s'il m'arrive parfois de douter de son intérêt, l'offre "cyber" (1) étant devenue pléthorique, un lectorat fidèle et une fréquentation en hausse m'encouragent à continuer. Avec sincérité et humilité, permettez-moi de remercier chacun d'entre vous !

42
Non, ce n'est pas seulement le nom d'une école originale (2) dont l'ambition est de former les futurs développeurs logiciels de France et de Navarre mais, plus simplement, le nombre d'articles écrits cette année. Une baisse importante si on la compare à l'année précédente (64) et à 2012 (103) et surtout 2011 (105). Cette baisse est pourtant relative car je me suis attaché cette année à améliorer la qualité des articles (3) mais, surtout, j'ai cofondé EchoRadar avec mes autres camarades du collectif. Le développement de ce webzine n'est pas une mince affaire car elle réclame du temps et de l'investissement.

10
Les dix articles les plus lus cette année dans l'ordre antéchronologique.

jeudi 25 décembre 2014

Cybersécurité maritime 2014

Contacté en début d'année pour participer à un dossier "cybersécurité maritime" pour Le Marin, mon interview n'est jamais parue pour des raisons diverses. Trois ans après un article, qui fut sans doute l'un des tous premiers sur le sujet en France, il semblerait qu'une certaine attention (1) soit enfin portée sur ce domaine d'intérêt stratégique. Il m'est paru important de publier aujourd'hui cet entretien qui serait sinon resté dans les limbes de ma messagerie.

dimanche 21 décembre 2014

Armes de rupture, armes miraculeuses ? Wunderwaffen : le miracle n’est pas venu du ciel

Si le régime nazi incarne sans conteste le « mal absolu », l’histoire des sciences et des technologies pourrait cependant retenir de cette sombre période des avancées réelles et, parfois, des ruptures technologiques directement issues du conflit de la Deuxième guerre mondiale. Quelques projets emblématiques, parmi les innombrables à avoir été développés, auront durablement marqué les esprits durant la guerre et l’après-guerre. Si, presque immédiatement, les fusées V1 et V2 viennent à l’esprit, il existe pourtant une pléthore d’armes à être restées, pour la plupart, cantonnées dans quelques brillants cerveaux et aux tables à dessin.

Horten Ho IX (Source)
Pour d’autres, notamment dans le domaine aéronautique, les essais en vol voire une utilisation opérationnelle ont pu souligner la supériorité que ces armes, qualifiées de miraculeuses (“Wunderwaffen”), auraient apportées au IIIème Reich s’il ne s’était heureusement écroulé en 1945. Cet article cherche, à travers quelques exemples emblématiques, à illustrer la rupture que ces armes auraient pu entraîner dans le domaine aérien.

samedi 20 décembre 2014

Armes de rupture, armes miraculeuses ? Un dossier EchoRadar

Enfin ! La trêve des confiseurs qui débute fournit l'occasion rêvée à la plupart d'entre nous pour se poser et, mieux, se reposer, en famille et avec ses amis. Période privilégiée s'il en est, c'est aussi l'occasion de prendre un peu de temps pour changer d'horizons intellectuels et se laisser porter par une curiosité de bon aloi.

Les membres d'EchoRadar, plus que jamais actifs, ont donc décidé de mettre à profit cette période pour vous proposer un dossier thématique autour des armes de rupture aussi qualifiées "d'armes miraculeuses". Nous espérons que ce dossier vous séduira et donnera aussi l'envie à certains d'entre vous de nous proposer pensées, idées et textes ou, plus simplement, de se livrer au jeu des commentaires voire des encouragements. 

Dans l'attente du premier texte que j'aurais l'honneur de publier demain matin, je vous invite à retrouver l'article introductif du dossier, coécrit avec le Marquis de Seignelay, et l'ensemble des articles qui paraitront au rythme infernal d'un toutes les 48 heures jusqu'aux environs du 10 janvier 2015.

lundi 15 décembre 2014

Avant Stuxnet 2010 et Aramco 2012, BTC 2008 ?

La semaine qui vient de s'écouler aura particulièrement été riche en événements cyber. Pourtant, ce n'est ni la téléconférence d'Edward Snowden (1) ni la remarquable "surprise" (2) linuxienne Turla (3) qui retiennent mon attention. C'est davantage un incident qui s'est produit en août 2008 sur un oléoduc en Turquie et qui pourrait avoir été délibérément provoqué (4). En effet, des pirates informatiques utilisant une vulnérabilité logicielle des caméras de vidéosurveillance auraient réussir à s'introduire dans le système d'information, désactivé les alarmes, les communications et surtout modifié le débit du pétrole acheminé conduisant à la rupture explosive de l'une des 101 stations de vannes d'arrêt.

lundi 1 décembre 2014

LPM, cyber et OIV : nécessité des solutions et manoeuvre en terrain miné

(Source)
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements. 

mercredi 12 novembre 2014

L'actuelle bataille des câbles préfigure-t-elle le cyberespace de 2030 ?

S'il est sans doute encore un peu tôt pour vérifier que la Russie et la Chine pourraient venir concurrencer et pourquoi pas, à termes, dominer les USA dans le cyberespace, force est cependant d'observer deux faits différents mais complémentaires : la Russie dispose, dans ce domaine, de ressources techniques et humaines plus que respectables. La Chine, elle, se dote en plus de capacités technologiques et d'innovations qu'il conviendrait d'évaluer avec le plus grand respect. 

Pour cette dernière, la mise en exploitation en 2016 de la plus grande boucle de réseau de communication quantique (1) entre Pékin et Shanghai, soit tout de même plus de 2 000 kilomètres, vient illustrer une prouesse technologique indéniable. Qui illustre parfaitement les efforts scientifiques et financiers mais aussi alternatifs déployés par Pékin en matière de recherche et de développement tout azimuts depuis le milieu de la précédente décennie. Dans une volonté à peine dissimulée, ces efforts pourraient également provoquer de possibles bouleversements concernant la géopolitique de l'Internet. Soit un scénario crédible du visage que pourraient prendre certaines infrastructures de transport et de traitement des données à moyen terme.

mercredi 29 octobre 2014

L'air-gap ou (l'état de) l'art des cyberattaques

La cybersécurité n'est peut-être pas une science mais c'est sans doute un art, en particulier si l'on se place du côté de l'attaquant. Attaquant pour qui tout objet informatique, simple ou complexe, sur la route (1), dans le ciel (2), en orbite (3) voire sous les océans (4) est une cible potentielle par goût du jeu, du défi technique ou de la malveillance tactique. L'affaire Stuxnet (5) qui a souligné combien l'air-gap, c'est à dire l'utilisation d'une architecture informatique non-connectée (à Internet et/ou un autre réseau interne) et protégée à ses frontières, n'était que le symbole complexe et évolué d'un vrai-faux sentiment de sécurité. Et qu'un adversaire sérieux, c'est à dire dont le commanditaire disposait de ressources financières et techniques très importantes, pouvait se donner le temps d'atteindre une cible extrêmement protégée. A la mesure des moyens mis en œuvre pour protéger un bien dont la haute valeur est proportionnelle aux mesures de défense passives et actives mises en œuvre.

mercredi 22 octobre 2014

Entretien EchoRadar avec Gwendal Rouillard (député du Morbihan et modérateur aux 2èmes rencontres parlementaires de la cybersécurité)

Partenaire média de Défense & Stratégie dans le cadre des "2èmes Rencontres Parlementaires de la cybersécurité" qui auront lieu demain, jeudi 23 octobre 2014, EchoRadar a l'honneur de vous proposer un entretien avec Gwendal Rouillard, député de la 5ème circonscription du Morbihan et conseiller municipal de Lorient. Sensible aux questions de Défense et notamment aux enjeux liés à la cyberdéfense et à la cyberdéfense, Gwendal Rouillard animera la troisième table ronde qui s'intéresse à la déclinaison du plan Défense Cyber annoncé en janvier 2014 par le ministre de la Défense. L'occasion était donc toute trouvée de poser nos questions. Un entretien à retrouver sur le site d'EchoRadar.

lundi 13 octobre 2014

Terre, Air, Mer, Cyber ? La 4ème armée entre coup de com et réalités

Le ministre de la Défense, Jean-Yves Le Drian, a récemment fait part de son sentiment quant à la création, dans un proche avenir (“demain”) d’une quatrième armée cyber. Au même titre que l’Armée de terre, la Marine nationale et l’Armée de l’air, l’Armée de cyberdéfense serait donc pourvue de structures organiques et fonctionnelles, d’un état-major et de prérogatives particulières. Une possibilité pour le moins étonnante du fait d’une distribution et d’une intégration des différents acteurs de la cyberdéfense au sein des structures militaires actuelles. Cet article cherche à comprendre la réalité d’une telle évolution ou si les propos du ministre ne sont pas, pour l’essentiel, qu’un habile “coup de com”.

La suite de cet article, rédigé avec l'auteur du blog Le Fauteuil de Colbert, est à lire sur le site d'EchoRadar.