lundi 12 janvier 2015

Le Sony hack 2014 ou comment des "Gardiens de la paix" ont failli déclarer la (cyber) guerre mondiale

Environ quinze secondes. C'est la durée de l'hésitation qui s'est emparée de moi avant de débuter cet article. Allais-je commencer l'année en ânonnant fièrement une liste de prévisions (1) ressemblant à un cyber-horoscope insipide ? Ou partir d'un fait récent, aussi vite disparu des Unes qu'il s'en était emparé ? Car, tout observateur attentif a sans doute pu remarquer qu'une presque énième guerre mondiale (2) avait failli éclater juste avant Noël. Et tout cela pour une énième cyberattaque. Retour mi-sérieux mi-ironique sur le piratage de Sony.

L'affaire débute (3) au matin du 24 novembre 2014 quand les salariés du studio de Sony Pictures Entertainment (SPE) de Culver City en Californie sont accueillis sur leurs écrans d'ordinateurs respectifs par un message qui se veut effrayant mais qui ressemble à une (mauvaise) blague de potache. Celui d'un squelette rougeâtre barré d'un titre aussi évocateur qui ne laisse aucun doute sur le délit commis : "Hacked by #GOP". Soit la réalisation d'une intrusion informatique par un mystérieux groupe aux mœurs bien différentes de ceux qui assurent l'ordre public en France (4). 

Les "gardiens de la paix" (Guardians of Peace - GOP), ne se contentant pas de laisser une trace bien visible de leur forfait, ont paralysé l'ensemble du réseau de SPE (soit en Californie et à New-York), les employés impuissants ne pouvant qu'observer l'image du forfait avant de voir leur écran devenir définitivement noir. L'attaque a consisté à récupérer des copies de films qui ne sont pas encore sortis au cinéma ainsi que des fichiers contenant des données nominatives et personnelles. Notamment une liste d'environ 47000 numéros de sécurité sociale concernant les salariés, les sous-traitants et les acteurs sous contrat Sony. Mais aussi des informations, pour certaines gênantes et qui ont fuité, concernant des acteurs et des actrices célèbres.

"Hacking d'Etat" ? Imprudence naïve vs enquête objective
Si nombre de commentateurs se sont vite laissés prendre à la thèse officielle des États-Unis, celle d'une cyberattaque fomentée par la République populaire démocratique de Corée (RPDC) plus communément connue sous le nom de Corée du Nord, d'autres sont tombés dans une imprudente course aux conclusions prématurées en évoquant même un "hacking d’État" (5). C'est évidemment aller très vite en besogne et faire fi de la prudence nécessaire dans ce type de cas ainsi que de la plus élémentaire logique procédurière : on enquête d'abord, on accuse ensuite. L'inverse, qui est le cas dans cette affaire, ne peut que nous faire redoubler de prudence. Les plus sceptiques, subodorant des alternatives que celles qui ont emballé la sphère média-techno-cyber, ont exploré d'autres voies. 

L'allié Electrosphère a, par exemple, eu une analyse éclairée et mâtinée d'intuition (6) en évoquant la piste, qui semble se confirmer depuis (7), d'un piratage par un groupe de hackers privés, peut-être Russes, avec l'aide d'un salarié de PSE licencié début 2014. Une (ou un) salariée baptisé(e), on ne sait trop comment, "Lena" et qui aurait travaillé une décennie pour PSE et, comme par hasard, sur les aspects cybersécurité (8).  Bruce Schneier, référence s'il en est, a aussi fait preuve de beaucoup de scepticisme (9) arguant que le piratage n'était pas d'une technicité extraordinaire et qu'aucun élément de preuve sérieux ne mettait en cause la Corée du Nord. En dépit de conséquences importantes, tant en termes d'image que financièrement, le piratage Sony 2014 (10) est avant tout une histoire de business (industrie du cinéma vs réseaux P2P gratuits) sur laquelle viennent se greffer des considérations géopolitiques pour certaines bien commodes.

Si cette affaire pourrait faire date pour certains comme pour l'allié Egéa (11), une lecture complémentaire est cependant possible. Tout d'abord, relevons le silence assourdissant du gouvernement Japonais alors que Sony, la maison-mère de SPE, demeure toujours une entreprise japonaise et que le gouvernement Abe a fait de la cybersécurité une priorité nationale. Toujours prompt à réagir en cas d'agression chinoise ou nord-coréenne, ce silence pourrait être interprété de deux manières : soit l'agresseur est bien la Corée du Nord et/ou la Chine mais la détente des derniers mois et des pourparlers discrets expliqueraient alors l'absence de réaction. Soit l'agresseur n'a pas d'origine étatique et est simplement ce qu'il semble être : un groupe de hackers d'opportunité mélangeant extorsion et goût du jeu. Il est en effet notable de s'apercevoir que ce sont les media qui ont fait le lien entre l'attaque du 24 novembre et le film "l'Interview" censé avoir provoqué l'ire nord-coréenne.

Attribution et manipulation sont sur une même plage (d'adresses IP)...

Ce qui retient ensuite l'attention, c'est d'une part l'accusation - grave - des USA envers la Corée du Nord. Hormis si la NSA dispose effectivement d'éléments de preuve matériels irréfutables (12), l'attribution de la cyberattaque par le FBI laisse songeur car ne reposant que sur une plage d'adresses IP. S'il dispose bien de moyens importants et d'un personnel qualifié, la seule hypothèse plausible d'attribution ne peut se faire que via une enquête technique approfondie sans garantie absolue d'une attribution définitive (13). En revanche, l'attribution peut avant tout être une décision politique (14), ce que la rapidité de l'accusation pourrait confirmer. D'autre part, quelle mouche aurait piqué la Corée du Nord à s'attaquer à une entreprise de droit américain sur le territoire des États-Unis ? En laissant des traces qui pourraient permettre de remonter à elle ? Alors que sa cible principale, y compris dans le cyber, a toujours été la Corée du Sud ? Il semblerait que disposant d'une force considérable (15) depuis presque deux décennies, le niveau de nos charmants hackers d’État serait devenu particulièrement déplorable ?



Bref, tout cela commence à sentir à plein nez la manipulation où l'on voudrait nous faire prendre des vessies pour des lanternes ! Imaginons, en effet, un instant que cette affaire tombe à point nommé pour déstabiliser un peu plus la Corée du Nord que certains analystes, en dépit des apparences, considèrent comme plus fragilisée qu'il n'y paraît depuis plusieurs mois. Mais qu'à travers elle, c'est la Chine mais aussi la Russie qui seraient visées. Deux pays qui, par exemple, militent depuis des années pour une régulation internationale du cyberespace, et qui s'affrontent plus ou moins ouvertement avec...les États-Unis. Qui, justement, pourraient être derrière cette supercherie ! Élucubrations, bouffée de paranoïa ? Il est vrai qu'entre l'An II post-Snowden et les douze années écoulées après une "légitime intervention" qui a consisté à présenter au reste du monde des fausses preuves pour s'autoriser une petite virée entre le Tigre et l'Euphrate dès le 21 mars 2003, c'est évidemment un complet délire complotiste. 

Mais alors pourquoi ne pas plutôt se retourner vers Vladimir Poutine puisque des éléments semblent accréditer l'implication de hackers Russes dans le "Sony hack 2014" ? Ou bien l'Iran (16), associée à la RPDC, ainsi que certaines spéculations le laissent entendre depuis quelques jours ? Voire un axe Iran-Russie ? Finalement, cette énième cyberattaque a pris des proportions colossales, multipliant les pistes, vraies ou fausses, mélangeant intérêts privés et nationaux ainsi que de sécurité nationale, du nationalisme et une possible vengeance personnelle ! Bien heureux qui apportera les preuves indubitables, objectives et intègres et ce ne sont pas des témoignages (17) dont l'opportunité et la construction (18), comme s'appuyer sur "des hauts responsables" que le gogo doit supposer dignes de foi, apparaissent bien à propos. Essayant de donner corps, sans vraiment convaincre, à l'hypothèse officielle qui accuse toujours, et sans réelle preuve, la Corée du Nord.

Non, décidément il y a un ensemble de pièces qui détonnent dans le puzzle que Washington voudrait nous faire croire. Et même dans l'hypothèse où nous serions nombreux à nous tromper, c'est à dire que la Corée du Nord aurait maladroitement attaqué Sony, l'administration américaine ferait bien de réfléchir à la lourde affirmation de Paul Rosenzweig (19), un ancien responsable du DHS (20) : "dans le monde post-Watergate et post-Snowden, le gouvernement américain ne peut plus simplement dire « faites-moi confiance »".


Note : cet article a commencé à être rédigé durant les fêtes de fin d'année et devait paraître la semaine dernière. Les dramatiques événements qui se sont produits à Paris en ont suspendu sa publication pour marquer le temps du recueillement nécessaire.


(1) Par exemple Sophos, Trend Micro ou McAfee
(2) s'agit-il de la 3ème, de la 4ème, de la ...?
(3) A lire la chronologie détaillée du 24/11 au 17/12 sur le L.A. Times
(10) Le précédent, de cette ampleur, avait visé le Playstation Network (PSN) en 2011 générant des coûts très importants (plusieurs centaines de millions de dollars US)
(11) http://www.egeablog.net/index.php?post/2014/12/24/Sony-soit-qui-mal-y-pense
(12) Le directeur de la NSA a reconnu, de manière très vague, être associé aux investigations. L'inverse eut été étonnant !
(13) http://www.tandfonline.com/doi/abs/10.1080/01402390.2014.977382
(14) In "Penser les réseaux - Une approche stratégique" (pages 153 et 154) - Éditions l'Harmattan, juillet 2014 
(15) http://abcnews.go.com/International/wireStory/south-korea-north-korea-cyber-army-6000-28022509
(16) http://canadafreepress.com/index.php/article/68760 
(17) http://www.npr.org/2015/01/07/375671935/fbi-offers-new-evidence-connecting-north-korea-to-sony-hack 
(18) http://reflets.info/piratage-de-sony-pourquoi-est-il-tres-peu-probable-que-la-coree-du-nord-soit-a-lorigine-de-lattaque/
(19) http://www.lemonde.fr/pixels/article/2014/12/30/piratage-de-sony-pictures-des-experts-soupconnent-d-autres-coupables-que-la-coree-du-nord_4547599_4408996.html#w2fFWidW3yzGzIPA.99
(20) Department of Homeland Security / Ministère de la sécurité intérieure 

mercredi 31 décembre 2014

Chiffres et articles 2014 avant le cap sur 2015

Après le traditionnel chapon de Noël et avant le champagne de la nouvelle année, je vous propose un rapide récapitulatif de l'activité 2014 de ce blog qui va entamer sa neuvième année d'existence. Même s'il m'arrive parfois de douter de son intérêt, l'offre "cyber" (1) étant devenue pléthorique, un lectorat fidèle et une fréquentation en hausse m'encouragent à continuer. Avec sincérité et humilité, permettez-moi de remercier chacun d'entre vous !

42
Non, ce n'est pas seulement le nom d'une école originale (2) dont l'ambition est de former les futurs développeurs logiciels de France et de Navarre mais, plus simplement, le nombre d'articles écrits cette année. Une baisse importante si on la compare à l'année précédente (64) et à 2012 (103) et surtout 2011 (105). Cette baisse est pourtant relative car je me suis attaché cette année à améliorer la qualité des articles (3) mais, surtout, j'ai cofondé EchoRadar avec mes autres camarades du collectif. Le développement de ce webzine n'est pas une mince affaire car elle réclame du temps et de l'investissement.

10
Les dix articles les plus lus cette année dans l'ordre antéchronologique.

jeudi 25 décembre 2014

Cybersécurité maritime 2014

Contacté en début d'année pour participer à un dossier "cybersécurité maritime" pour Le Marin, mon interview n'est jamais parue pour des raisons diverses. Trois ans après un article, qui fut sans doute l'un des tous premiers sur le sujet en France, il semblerait qu'une certaine attention (1) soit enfin portée sur ce domaine d'intérêt stratégique. Il m'est paru important de publier aujourd'hui cet entretien qui serait sinon resté dans les limbes de ma messagerie.

dimanche 21 décembre 2014

Armes de rupture, armes miraculeuses ? Wunderwaffen : le miracle n’est pas venu du ciel

Si le régime nazi incarne sans conteste le « mal absolu », l’histoire des sciences et des technologies pourrait cependant retenir de cette sombre période des avancées réelles et, parfois, des ruptures technologiques directement issues du conflit de la Deuxième guerre mondiale. Quelques projets emblématiques, parmi les innombrables à avoir été développés, auront durablement marqué les esprits durant la guerre et l’après-guerre. Si, presque immédiatement, les fusées V1 et V2 viennent à l’esprit, il existe pourtant une pléthore d’armes à être restées, pour la plupart, cantonnées dans quelques brillants cerveaux et aux tables à dessin.

Horten Ho IX (Source)
Pour d’autres, notamment dans le domaine aéronautique, les essais en vol voire une utilisation opérationnelle ont pu souligner la supériorité que ces armes, qualifiées de miraculeuses (“Wunderwaffen”), auraient apportées au IIIème Reich s’il ne s’était heureusement écroulé en 1945. Cet article cherche, à travers quelques exemples emblématiques, à illustrer la rupture que ces armes auraient pu entraîner dans le domaine aérien.

samedi 20 décembre 2014

Armes de rupture, armes miraculeuses ? Un dossier EchoRadar

Enfin ! La trêve des confiseurs qui débute fournit l'occasion rêvée à la plupart d'entre nous pour se poser et, mieux, se reposer, en famille et avec ses amis. Période privilégiée s'il en est, c'est aussi l'occasion de prendre un peu de temps pour changer d'horizons intellectuels et se laisser porter par une curiosité de bon aloi.

Les membres d'EchoRadar, plus que jamais actifs, ont donc décidé de mettre à profit cette période pour vous proposer un dossier thématique autour des armes de rupture aussi qualifiées "d'armes miraculeuses". Nous espérons que ce dossier vous séduira et donnera aussi l'envie à certains d'entre vous de nous proposer pensées, idées et textes ou, plus simplement, de se livrer au jeu des commentaires voire des encouragements. 

Dans l'attente du premier texte que j'aurais l'honneur de publier demain matin, je vous invite à retrouver l'article introductif du dossier, coécrit avec le Marquis de Seignelay, et l'ensemble des articles qui paraitront au rythme infernal d'un toutes les 48 heures jusqu'aux environs du 10 janvier 2015.

lundi 15 décembre 2014

Avant Stuxnet 2010 et Aramco 2012, BTC 2008 ?

La semaine qui vient de s'écouler aura particulièrement été riche en événements cyber. Pourtant, ce n'est ni la téléconférence d'Edward Snowden (1) ni la remarquable "surprise" (2) linuxienne Turla (3) qui retiennent mon attention. C'est davantage un incident qui s'est produit en août 2008 sur un oléoduc en Turquie et qui pourrait avoir été délibérément provoqué (4). En effet, des pirates informatiques utilisant une vulnérabilité logicielle des caméras de vidéosurveillance auraient réussir à s'introduire dans le système d'information, désactivé les alarmes, les communications et surtout modifié le débit du pétrole acheminé conduisant à la rupture explosive de l'une des 101 stations de vannes d'arrêt.

lundi 1 décembre 2014

LPM, cyber et OIV : nécessité des solutions et manoeuvre en terrain miné

(Source)
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements. 

mercredi 12 novembre 2014

L'actuelle bataille des câbles préfigure-t-elle le cyberespace de 2030 ?

S'il est sans doute encore un peu tôt pour vérifier que la Russie et la Chine pourraient venir concurrencer et pourquoi pas, à termes, dominer les USA dans le cyberespace, force est cependant d'observer deux faits différents mais complémentaires : la Russie dispose, dans ce domaine, de ressources techniques et humaines plus que respectables. La Chine, elle, se dote en plus de capacités technologiques et d'innovations qu'il conviendrait d'évaluer avec le plus grand respect. 

Pour cette dernière, la mise en exploitation en 2016 de la plus grande boucle de réseau de communication quantique (1) entre Pékin et Shanghai, soit tout de même plus de 2 000 kilomètres, vient illustrer une prouesse technologique indéniable. Qui illustre parfaitement les efforts scientifiques et financiers mais aussi alternatifs déployés par Pékin en matière de recherche et de développement tout azimuts depuis le milieu de la précédente décennie. Dans une volonté à peine dissimulée, ces efforts pourraient également provoquer de possibles bouleversements concernant la géopolitique de l'Internet. Soit un scénario crédible du visage que pourraient prendre certaines infrastructures de transport et de traitement des données à moyen terme.

mercredi 29 octobre 2014

L'air-gap ou (l'état de) l'art des cyberattaques

La cybersécurité n'est peut-être pas une science mais c'est sans doute un art, en particulier si l'on se place du côté de l'attaquant. Attaquant pour qui tout objet informatique, simple ou complexe, sur la route (1), dans le ciel (2), en orbite (3) voire sous les océans (4) est une cible potentielle par goût du jeu, du défi technique ou de la malveillance tactique. L'affaire Stuxnet (5) qui a souligné combien l'air-gap, c'est à dire l'utilisation d'une architecture informatique non-connectée (à Internet et/ou un autre réseau interne) et protégée à ses frontières, n'était que le symbole complexe et évolué d'un vrai-faux sentiment de sécurité. Et qu'un adversaire sérieux, c'est à dire dont le commanditaire disposait de ressources financières et techniques très importantes, pouvait se donner le temps d'atteindre une cible extrêmement protégée. A la mesure des moyens mis en œuvre pour protéger un bien dont la haute valeur est proportionnelle aux mesures de défense passives et actives mises en œuvre.

mercredi 22 octobre 2014

Entretien EchoRadar avec Gwendal Rouillard (député du Morbihan et modérateur aux 2èmes rencontres parlementaires de la cybersécurité)

Partenaire média de Défense & Stratégie dans le cadre des "2èmes Rencontres Parlementaires de la cybersécurité" qui auront lieu demain, jeudi 23 octobre 2014, EchoRadar a l'honneur de vous proposer un entretien avec Gwendal Rouillard, député de la 5ème circonscription du Morbihan et conseiller municipal de Lorient. Sensible aux questions de Défense et notamment aux enjeux liés à la cyberdéfense et à la cyberdéfense, Gwendal Rouillard animera la troisième table ronde qui s'intéresse à la déclinaison du plan Défense Cyber annoncé en janvier 2014 par le ministre de la Défense. L'occasion était donc toute trouvée de poser nos questions. Un entretien à retrouver sur le site d'EchoRadar.

lundi 13 octobre 2014

Terre, Air, Mer, Cyber ? La 4ème armée entre coup de com et réalités

Le ministre de la Défense, Jean-Yves Le Drian, a récemment fait part de son sentiment quant à la création, dans un proche avenir (“demain”) d’une quatrième armée cyber. Au même titre que l’Armée de terre, la Marine nationale et l’Armée de l’air, l’Armée de cyberdéfense serait donc pourvue de structures organiques et fonctionnelles, d’un état-major et de prérogatives particulières. Une possibilité pour le moins étonnante du fait d’une distribution et d’une intégration des différents acteurs de la cyberdéfense au sein des structures militaires actuelles. Cet article cherche à comprendre la réalité d’une telle évolution ou si les propos du ministre ne sont pas, pour l’essentiel, qu’un habile “coup de com”.

La suite de cet article, rédigé avec l'auteur du blog Le Fauteuil de Colbert, est à lire sur le site d'EchoRadar.

lundi 6 octobre 2014

mercredi 1 octobre 2014

Quatrième édition du mois européen de la cybersécurité

Comme les vendanges tardives, le mois européen de la cybersécurité (1) est de retour. Une quatrième édition enfin marquée par l'essor de cette manifestation qui débute dès aujourd'hui par une conférence à Bruxelles (2). Si seuls quelques pays avaient répondu à l'invitation de l'ENISA lors des éditions 2011 et 2012 (3), 2013 avait vu l'apparition timide des grandes nations du cyber européen à l'instar de la France (4). Il faut croire que la croissance des cyberattaques, la loi de programmation militaire (LPM) 2014/2019 ou le dernier sommet de l'OTAN (5) sont enfin venus pousser les grands "timides" à participer davantage. Mais au fait, c'est quoi le mois européen de la cybersécurité ?

mardi 16 septembre 2014

Entretien EchoRadar avec Isabelle Tisserand (Sécurité alternative)

Le collectif EchoRadar, dont je suis l'un des heureux membres cofondateurs,  continue sa phase de croissance au sein de la sphère "défense et sécurité" francophone.  Ce week-end, c'est l'ouverture du site web qui est venue bousculer les activités  de certains d'entre nous. Hier matin, sur la lancée de cette naissance désirée, nous avons pu inaugurer une toute nouvelle rubrique  que nous souhaitons pérenne : l’Écho du mois.

Son principe, simple et de facture classique,  est de s'entretenir avec une personnalité "dont l’action s’inscrit dans les thèmes relatifs à  la stratégie, à ses diverses variantes, à ses évolutions technologiques et à leur influence sur celle-ci". Isabelle Tisserand, dont ce blog a récemment fait la recension de l'ouvrage "Sécurité alternative" (1) et relaté l'intervention qui  y était consacrée lors du Cercle Stratégia (2) du mois de juin, nous a fait l'amitié d'étrenner la rubrique. Un entretien frais et percutant à lire en exclusivité sur EchoRadar.


(1) http://si-vis.blogspot.fr/2014/06/recension-du-livre-dentretiens-securite.html
(2) http://si-vis.blogspot.fr/2014/06/cercle-strategia-du-25-juin-2014.html

lundi 8 septembre 2014

Quel est le seuil pour invoquer l'article 5 de l'OTAN en cas de cyberattaque ?


Crise en Ukraine, "instabilité croissante au voisinage mériodional de l'Alliance, du Moyen-Orient à l'Afrique du Nord, menaces transnationales et multidimensionnnelles" (1). C'est manier la litote et enfoncer une porte grande ouverte d'affirmer que le dernier sommet de l'OTAN qui vient d'avoir lieu au Pays de Galles était attendu. Alors que l'édition révisée de "l'OTAN au 21ème siècle" rédigée par l'allié et ami Olivier Kempf (2) est une heureuse coïncidence, cet article se focalise sur la déclaration (3) du communiqué final qui autorise dorénavant l'invocation de l'article 5 à la suite d'une cyberattaque de l'un de ses membres.