lundi 18 janvier 2016

Cyberattaque SCADA Ukraine : attribution, piège à ... ?

L'actualité cyber depuis la période des fêtes de Noël 2015 est principalement marquée par une cyberattaque coordonnée qui se serait produite sur de multiples sites distribuant l'électricité en Ukraine. Avec pour conséquence de ne plus pouvoir fournir de l'électricité à quelques milliers de civils et durant plusieurs heures. En dépit de nombreux articles parus ces derniers jours, beaucoup qualifiant d'ailleurs la cyberattaque comme étant d'origine russe, il parait nécessaire, une fois encore, de raison garder et de faire preuve de la plus grande prudence quant à la réalité et, bien sûr, l'origine de cette possible cyberattaque.

Si l'incident s'est produit le 23 décembre, c'est d'abord le signalement dans la presse ukrainienne le 25 décembre [1] qui fait émerger publiquement l'information qu'une malveillance probablement d'origine informatique est à l'origine de l'arrêt d'alimentation électrique de huit districts et zones en Ukraine. En France et sur la twittosphère, j'ai probablement été l'un des premiers à relayer l'information dès le 26 décembre 2015 :

A ce stade, relevons simplement :
- qu'il faut moins de 72 heures pour que l'incident soit publiquement signalé puis diffusé via les relais spécialisés de l'infosphère ;
- que la cyberattaque a rendu inopérante la partie supervision ("SCADA") d'une partie du réseau de distribution électrique ;
- qu'il n'est pas encore question d'attribution.

Pour la partie cinématique proprement dite, les faits connus sont les suivants [1][2][3][4] :
- l'exploitant ne qualifie pas l'incident de cyberattaque dans les premières heures, ne disposant probablement ni de la culture (personnel formé et organisation dédiée) ni de dispositifs de détection adaptés ;
- un twittos ukrainien, dès le 24 décembre 2015, évoque une "intervention par des personnes non autorisées dans le package logiciel de contrôle de la supervision" ;
- enfin, le 28 décembre, la première évocation explicite qu'ont "été trouvés des logiciels malveillants dans les réseaux de compagnies régionales d'électricité" et, mieux, que "les services spéciaux russes essaient de frapper les réseaux d'ordinateur du complexe énergétique de l'Ukraine".

Le chaînon manquant, c'est à dire l'attribution, entre la cyberattaque avérée et ses auteurs, les services secrets russes, est donc réalisé par les services secrets ukrainiens. Le tout en cinq jours [5] et en plein contexte de cessez-le-feu depuis l'été 2015 tandis que des escarmouches plus ou moins importantes continuent de se produire quasi quotidiennement.

Maintenant, nul besoin de rappeler les inquiétudes, notamment des différents agences nationales responsable de la cybersécurité, en ce qui concerne les risques de malveillance informatique pesant sur les systèmes industriels, les DCS et les SCADA [6]. Est-ce cependant la réalité dans le cadre de la cyberattaque en Ukraine ? Difficile de le savoir tant que des éléments de preuve vérifiables et opposables ne sont disponibles. L'actuel conflit en Ukraine, entre d'un côté les "Occidentaux" c'est à dire principalement les USA avec l'appui très discret mais réel des Britanniques et, de l'autre, la Russie qui utilise les "séparatistes" de l'Est de l'Ukraine comme proxy n'est évidemment pas un gage de sérénité et d'absolue objectivité dans l'enquête probablement en cours. Et puis, à partir du moment où les services secrets/spéciaux sont nommément cités, difficile de ne pas voir le niveau de suspicion augmenter.  Il suffit, par exemple, de se rappeler de la récente affaire [7] de manipulation de l'information et de désinformation directement liée à l'explosion de l'oléoduc Bakou-Tbilissi-Ceyhan (BTC) de 2008.

En première analyse, les doutes pesant sur cette affaire existent sans minorer cependant la vraisemblance de l'enchaînement des faits qui pourrait faire de cette affaire la première cyberattaque connue et publique sur ce type d'infrastructure. Il est donc possible qu'une cyberattaque coordonnée couplant une variante du troyen BlackEnergy et une variante de la charge active KillDisk [2] ait causé l'interruption de la distribution d'électricité dans une partie limitée de l'Ukraine le 23 décembre 2015. Il est aussi tout à fait sensé que le problème ait pu être contourné par un redémarrage manuel [1] des actionneurs et des automates interfacés avec les différents systèmes de contrôle et de supervision touchés. Enfin, si l'acte est juridiquement délictueux, il n'est à ce stade pas démontré qu'il s'agisse d'une action russe, nord-coréenne ou étasunienne ! A suivre...


[5] "record" battu ? se remémorer l'affaire Sony de la fin 2014 et, plus récemment, celle ayant concerné TV5 Monde

lundi 4 janvier 2016

La (cyber)prévision est un art difficile, surtout lorsqu'elle concerne l'avenir

Comme chaque année, ou presque, depuis le Moyen-Âge cyber [1] l'année calendaire écoulée est propice aux bilans [2] mais aussi, et sans doute surtout, aux prévisions pour la nouvelle année. Cet exercice est même devenu une sorte d'incontournable pour un certain nombre d'entreprises de cybersécurité, sans doute en quête d'une certaine forme de respectabilité si ce n'est de crédibilité. Et pourtant, l'exercice est délicat quand il n'est pas casse-gueule ! En effet, nos vendeurs de solutions et autres (cyber)camelots cherchent à prescrire en filigrane un certain nombre "d'onguents miraculeux" à appliquer sur des systèmes d'information le plus souvent perclus de vulnérabilités exploitables donc exploitées. Si les plus grandes entreprises n'y échappent pas (IBM, Kaspersky, Trend Micro, etc.) [3], j'ai choisi cette année [4] de "céder la parole" à une société un peu moins connue et, dans son registre, pas moins lancée dans la course à l’échalote [5].

jeudi 31 décembre 2015

Bilan 2015 et cap sur 2016

Alors que mon premier article en 2016 traitera des (cyber)prévisions et de leurs cohortes d'analyses intéressées quand elles ne sont pas risibles, l'heure est au bilan de l'année écoulée. Pour résumer, une moindre production mais un lectorat toujours aussi fidèle et un peu plus nombreux, à nouveau l'envie durant l'été de cesser les activités de ce blog [1] et, enfin, une activité prenante en lien direct ou indirect avec EchoRadar [2].

22
Le jeu de mot serait facile aussi n'y céderais-je pas ! 22 comme le nombre d'articles écrits et publiés en 2015, soit presque deux fois moins qu'en 2014 qui avait déjà subi une baisse d'environ un tiers par rapport à l'année précédente. Bref, la ligne est claire : moins d'articles mais plus "sourcés" et, je l'espère, qualitativement plus intéressants et pertinents.

5
Les cinq articles les plus consultés de l'année, toujours par ordre antéchronologique [3] :

En vous souhaitant une année 2016 pleine de réussite et de (belles) surprises et, collectivement, une année féconde qui verra les couleurs de la France, meurtrie, portées haut dans un même élan de combativité et d'envie de réussir...ensemble !

[1] Soit pour en créer un nouveau, mais à quoi bon, soit pour me concentrer à d'autres horizons...ce qui sera de toute façon le cas avec un projet (débuté) d'écriture d'un livre en 2016
[2] Avis aux plumes et aux analyses même décalées, nous étudierons sérieusement tout article qui nous sera envoyé (echoradar.blog @ gmail.com) pour publication

vendredi 25 décembre 2015

Cybersécurité maritime 2015

Alors qu'était publié le 25 décembre 2011 mon premier article consacré à (l'absence de) la cybersécurité dans le secteur maritime, jamais je n'aurais imaginé y revenir avec une telle régularité chaque 25 décembre depuis [1]. De là à imaginer que ce jour pourrait devenir LE jour de l'année où l'on y penserait, il n'y a qu'un pas que j'ai eu envie de franchir ! J'appelle donc solennellement de mes vœux, et en toute simplicité, qu'une autorité nationale, européenne voire internationale décrète que chaque 25 décembre soit la journée de la cybersécurité du secteur maritime.

jeudi 26 novembre 2015

La cyber-résilience au coeur des rencontres C&ESAR 2015

Avant de débuter mon article, je formule une interrogation et deux hommages. L'interrogation est d'avoir grandement hésité à écrire cyberresilience tout attaché mais visuellement peu "digeste" et donc d'avoir opté pour un cyber-résilience plus prudent [1]. Les hommages, ensuite. Le premier concerne bien évidemment les attaques lâches et sanglantes sur nos concitoyens ce funeste 13 novembre 2015. Je tiens à témoigner, sans doute de manière bien dérisoire, toute ma compassion aux familles des victimes, morts et blessés [2], et mon soutien sans faille aux forces de défense et de sécurité. Ces événements ont masqué un autre événement, plus personnel, puisque trois jours avant, voilà deux années que le ciel rappelait à lui Cédric "Sid" Blancher. Je souhaite donc lui rendre hommage et vous invite, de temps à autre, à aller farfouiller sur sa "petite parcelle d'Internet" devenue une "petite parcelle" d'Eternité.

samedi 7 novembre 2015

Indicateurs de maturité cyber : l'étude australienne de référence

L'Australian Strategic Policy Institute (ASPI), un think tank australien, a publié en septembre 2015 un rapport complet et détaillé intitulé "Cyber maturité 2015 dans la région Asie-Pacifique" [1]. Plutôt que de rapport, il s'agit en réalité d'une étude comparative, la deuxième du genre puisqu'une pcédente édition datant de 2014 existe. L'intérêt de cette étude est de pouvoir évaluer puis comparer la maturité cyber de 20 pays au travers de critères pondérés et objectivés le plus possible.

dimanche 18 octobre 2015

Que penser de la "Stratégie nationale pour la sécurité du numérique" ?

Ainsi donc, la stratégie de la France pour sa "sécurité numérique" a été présentée par le Premier ministre, Manuel Valls, vendredi 16 octobre 2016 à la maison de la Chimie à Paris. Initialement prévue pour l'été, il est probable que d'ultimes arbitrages aient décalé d'environ trois mois son annonce qui devait suivre la présentation de la "stratégie numérique du Gouvernement" du 18 juin 2015 [1]. La #StratSecNum (ou SN2) est le fruit d'un long et, on l'imagine, complexe travail de concertation interministériel. Que contient cette nouvelle stratégie, quelles en sont les qualités mais aussi les faiblesses ?

dimanche 4 octobre 2015

Les Assises de la cybersécurité à Monaco s'offrent une 15ème édition réussie

Il y a deux ans, certains avaient pu être troublés sinon choqués en lisant mon article de bilan [1] des Assises de la sécurité à Monaco qui venaient à peine de se refermer. C'est ce que l'on m'avait alors rapporté mais je n'y avais pas attaché d'autre importance que de vouloir m'adresser à mes pairs ainsi qu'on le fait à un ami : en toute franchise et parce que l'on se respecte suffisamment pour pouvoir se dire autre chose que des mots bleus. L'édition 2014 avait heureusement vu la dérive constatée se modifier [2] et donc l'interrogation cette année portait sur la qualité de l'édition des 15 ans.

mercredi 30 septembre 2015

Oktober(cyber)fest

Alors que s'ouvre aujourd'hui la quinzième édition des Assises de la Sécurité à Monaco, il convient de rappeler que débute également la cinquième édition du mois européen de la cybersécurité (ECMS). La conjonction de ces deux événements cyber est l'occasion de (re)mettre le focus, pour le grand public, sur l'un des risques majeurs de notre époque.

Ayant la chance de participer aux Assises de la Sécurité, j'aurais probablement l'occasion d'y revenir plus en détail dans les prochaines semaines. Afin de patienter, vous pouvez lire ou relire l'article de l'édition 2014 [1]. Souhaitons simplement que l'édition 2015 soit pleine de (bonnes) surprises et supérieure sinon égale à l'édition précédente.

lundi 21 septembre 2015

Songdo : ville intelligente du futur ou cauchemar orwellien ?

Alors qu'EchoRadar entame sa deuxième année d'existence, nos dossiers thématiques ont trouvé leur rythme, semestriel. Après avoir commémoré le centenaire de la Première guerre mondiale [1], les armes de rupture et "miraculeuses" [2], c'est au tour des "artificialités futures" [3] d'être interrogées. Dans ce cadre, je me suis penché sur la ville de Songdo, en Corée du Sud. 

Créée de toute pièce, ultra-connectée et écologique, elle suscite cependant une cohorte d'interrogations puisque, par exemple, la surveillance optique et surtout électronique est omniprésente. Qu'il est également possible à ses habitants d'assumer leurs besoins personnels via le truchement des services à domicile et leur vie professionnelle sans quitter leur domicile. 

Le pari de Songdo, loin d'être gagné pour le moment, pourrait cependant préfigurer les villes du futur, à condition de tenir compte de facteurs essentiels comme le respect de la vie privée ou la nécessité de conserver des interactions sociales réelles. Je vous invite donc à lire cet article sur le site d'EchoRadar : http://echoradar.eu/2015/09/21/artificialites-futures-songdo-ville-intelligente-du-futur-ou-cauchemar-orwellien/


mardi 15 septembre 2015

Quelques réflexions inspirées par la cyberstratégie du Luxembourg

La publication en mars 2015 par le Luxembourg de la version actualisée de sa stratégie nationale en matière de cybersécurité est intéressante à plus d'un titre. Pour ceux qui aiment les chiffres, cette cyberstratégie pourrait se résumer à ses 5 axes, 7 objectifs et 41 actions. Pourtant, le cycle d'actualisation court entre les deux versions (2012, 2015) et le positionnement stratégique de ce document invitent à l'analyse et à certaines réflexions.

vendredi 4 septembre 2015

La méthode NSA de "blocage d'adversaire" pour la cybersécurité

Assurément soucieuse de redresser une image passablement écornée [1], la célèbre "agence de sécurité nationale" étasunienne, plus connue par son acronyme NSA, publie régulièrement des documents publics. Que ce soit des archives [2] ou des documents plus récents, la fascination ambivalente qu'exerce cette agence est indéniable d'autant plus lorsqu'elle distille des informations. Sous l'égide de l'une de ses directions, le Directoire de l'assurance de l'information [3], elle a récemment publié un guide méthodologique de 9 pages intitulé "NSA methodology for adversary obstruction". Soit, en français convenablement traduit, la "méthodologie de la NSA de blocage d'adversaire".

samedi 25 juillet 2015

Top 5 des articles du 1er semestre 2015

Comme depuis plusieurs années maintenant, ce blog vous propose une sélection des cinq articles ayant été les plus lus au cours du premier semestre de l'année en cours. Est-ce une habitude devenue tradition ? De la facilité ? L'envie de communiquer avec les retardataires ? Sans doute un peu de tout cela avec, de surcroît, le désir et la nécessité de partir sereinement en congé estival, de "pauser", loin du remugle assourdissant d'un monde de plus en plus incertain. Bonnes vacances à tous, sachez en profiter mais également déconnecter. Je vous donne rendez-vous à la rentrée tant ici que sur EchoRadar.






(1) pour mémoire, celui de l'année dernière

lundi 15 juin 2015

Fonctions de hachage et mots de passe complexes sur Duckduckgo

Même s'il est possible que nombre d'entre vous ne le sachiez déjà, j'avoue n'avoir découvert que récemment les fonctions cryptographiques intégrées à Duckduckgo. Pour les autres, Duckduckgo est l'un des moteurs de recherches sur Internet dont le slogan nous dit qu'il est "le moteur de recherche qui ne vous espionne pas". Sa philosophie générale est de préserver le plus possible la vie privée des internautes en ne stockant aucune information personnelle. Pour les plus affûtés paranos, il propose une enclave de sortie Tor [1] depuis 2010 soit des siècles [2] avant l'affaire Snowden. Des fonctions qui, bien qu'appréciables, ne garantissent cependant pas les requêtes des autorités fédérales américaines ou les intrusions discrètes mais néanmoins puissantes de la NSA. Mais revenons à l'une des originalités qui fait de ce moteur l'une des alternatives agréables à Google [3] : les fonctions de génération de mots de passe notamment forts, de hachage [4] et de récupération de mots de passe à partir des hashés !

mardi 26 mai 2015

Qui ose gagne ! Ou comment nos entreprises devraient apprendre à chasser la croissance en meute

Il y a quelques mois, votre serviteur participait à l'une de ces innombrables réunions où industriels, chercheurs et représentants de l’État se retrouvent pour faire un point d'avancement sur un projet. Sans doute assez justement à certains égards, certaines légendes urbaines [1] voudraient que l’État soit inefficace, impécunieux et parfaitement déconnecté des rouages industriels. En réalité, il n'en est rien puisque de plus en plus nombreux sont ses serviteurs à être passés par une structure privée [2]. Cela tombe à point car il arrive même que les représentants étatiques connaissent bien sinon parfaitement les rouages des financements des projets et, cerise sur le gâteau, maîtrisent même les tenants et les aboutissants techniques d'un projet ! Les industriels qui, normalement, devraient se réjouir d'avoir de tels interlocuteurs en vis-à-vis peuvent vite révéler, dans ce cas, certaines lacunes quand ce ne sont pas des limites.