vendredi 10 décembre 2010

2011, Stuxnet, Internet détourné : business...as usual !

Il n'est pas inutile de rappeler combien la cyber période qui s'ouvre est et sera également une source de profits (très) importants pour certains acteurs de la sécurité. C'est la réflexion que je me suis faite, sourire en coin, à la lecture de cet article d'Infosecurity Magazine.

En étant attentif, on pourrait presque confondre cet article avec un "bon vieux" publi-reportage qui utilise certains ressorts propres aux hoaxes : intervenant apparemment sérieux, crédibilité de ses assertions, légitimité par l'utilisation de figures respectables, bref, de la pub à moindre coût et à fort retour sur investissement avec en filigrane la peur, le sentiment généralement irrationnel le plus vendeur et quelques volailles éventrées pour y lire dans les entrailles !

Alors décryptons ensemble cet article : ça commence fort par l'évocation de Stuxnet et du détournement d'internet en avril 2010 par la Chine (lire mes billets précédents sur tous ces sujets) qui annonce la tendance 2011 : détournement du trafic internet et attaques sophistiquées. Jusque là, pourquoi pas, même si le propos est loin d'être révolutionnaire.

Ensuite, ces assertions ne viennent pas de n'importe qui puisque l'on nous dit que c'est Rodney Joffe, senior VP (Vice President) et technologiste (tiens, au passage, j'apprends qu'il existe ce nouveau métier ! :) de la société...mais j'y reviendrai à la fin de ce billet.

Saupoudrage de mots clés comme Wikileaks et évocation du cyber conflit de 2007 entre la Russie et l'Estonie (! - Pour info, je rappelle que les attaques ont eu lieu à partir du territoire estonien, ceci n'enlevant rien aux possibles imbrications du côté russe) et l'on rentre dans le vif du sujet : les cibles et les indices.

Les cibles seraient avant tout les systèmes financiers, en particulier les distributeurs d'argent. Au-delà des grandes entreprises, les entreprises de taille moyenne seraient aussi visées à travers leurs infrastructures physiques : climatisation, chauffage, ascenseur. Bref, un joyeux bordel qui ferait presque passer Die Hard 4 pour une bluette !

J'en arrête là dans l'ironie car je ne sais pas si ce monsieur Joffe est le fils caché de Madame Soleil et d'Elisabeth Teissier mais je sais au moins que sa société possède les compétences et les ressources pour répondre aux problématiques sus-citées. Et lui-même est connu comme un loup blanc de la communication et du marketing intrusif : CQFD ! :)

mardi 7 décembre 2010

Stuxnet, made in USA ?

C'est Dominique Bourra, à travers l'un de ses blogs, qui relaie une information d'envergure parue le 1er décembre aux États-Unis : d'après Sean Osbourn, un conservateur pur et dur, les États-Unis seraient en réalité les concepteurs de Stuxnet ! L'article sur son blog, relayé ensuite par le Northeast Intelligence Network, ne manque pas d'arguments et l'hypothèse est séduisante.

Cependant, j'ai jusqu'à présent fait montre de prudence dans cette affaire et je continue sur cette voie tant que des informations autrement plus consistantes et irréfutables ne seront pas présentées. J'avais déjà précédemment évoqué la liste (plus que réduite) des nations possédant les moyens techniques et les ressources nécessaires à l'élaboration de ce code extrêmement sophistiqué et les USA étaient au premier rang de celles-ci. 

L'on navigue de toute manière en territoire intrinsèquement embrumé et l'hypothèse d'une opération à plusieurs participants ne me parait pas non plus délirante. Une chose semble à peu près sûre dans cette histoire : la cible de Stuxnet semble bien le programme nucléaire et ce dernier pourrait bien être plus atteint que les iraniens ne le disent. La fin des pourparlers hier, après 14 mois de suspension, en sont d'ailleurs peut être l'illustration.

lundi 6 décembre 2010

Si tu veux la paix...ou les cyber illusions !

L’année 2010 touche à sa fin et sans vouloir concourir dans la catégorie des sacro-saints bilans de fin d’année, il y a une chose qui me semble sûre : cette année aura été l’année Stuxnet. La conséquence première veut qu’il y ait donc un  « avant » et qu’il y aura un « après ».

Au-delà du buzz mais aussi des excellentes analyses publiées de ci de là, on peut aussi penser que 2010 aura marqué l’électro- techno-sphère (hommage presque direct à Charles Bwele, tout auréolé de son récent prix) par l’apparition « grand public » du préfixe « cyber » auquel est accolée une cohorte de termes les plus effrayants les uns que les autres : insécurité, criminalité, attaque(s) et surtout guerre.

La cyberguerre ou l’émergence fascinante de concepts qui ne déplairaient pas aux colossaux auteurs prospectifs que sont Philip K. Dick, Asimov ou Franck Herbert. Pour ce dernier, j’ose même parfois penser que ces auteurs ont fait preuve de prescience ! Hormis le conflit Iran-Irak qui fut le dernier conflit conventionnel, long  et massif entre deux États, la guerre a changé de visage ces deux (ou trois) dernières décennies, dominée par des conflits dits asymétriques (la dernière guerre d’Irak et l’Afghanistan actuellement en sont un « bon » exemple) mais surtout de basse intensité.

Souhait tout personnel et ô combien utopique, j’ai beau m’intéresser à la chose militaire, à ses personnels et à ses matériels depuis ma tendre enfance, je souhaite davantage une humanité apaisée, bien plus adulte et qui saurait prendre son destin en main afin de partager les richesses équitablement afin de construire la grande œuvre qui fait cruellement défaut : tout mettre en œuvre pour assurer la sécurité des générations futures (et lointaines) en se dotant des moyens suffisants pour quitter notre berceau et pouvoir aller vivre ailleurs que sur la Terre.

Cependant et malheureusement, il est à craindre que les 20 prochaines années soient traversées de conflits qui eux ne seront pas de basses intensités. Brutaux et brefs, ils pourraient avoir pour cause des visées stratégiques d’accès ou de protection des ressources essentielles (énergies fossiles, métaux rares, eau, terres arables) et verraient l’emploi et la montée en puissance de vecteurs dématérialisés (cyber, virtuel, informationnels donc plus prosaïquement…informatiques) ayant des conséquences qui elles seront bien concrètes et physiques (systèmes de commandes pour les SCADA et les DCS, neutralisation des réseaux informatiques et de communication, désinformation massive et attaques distribuées mais entièrement décentralisées).

Ce monde fait peur et semble décrire ce que Tom Clancy illustre depuis des années à travers sa série Net Force ? Tout cela ne serait donc que de la littérature à bon compte afin que les paons-bloggeurs dont je fais partie (dans ce cas) et les journalistes spécialisés fassent la plus belle roue ? Non, cher lecteur, il est temps de se réveiller, il est temps de te réveiller : tout cela est pour demain, dans quelques heures. 

L’Apocalypse appartient encore à la Bible mais la révélation,elle, a déjà commencé !

Que ne reprochera-t-on aux états-majors (et à leurs chefs militaires et…politiques, surtout ces derniers d’ailleurs) d’avoir été imprévoyants, incompétents et de s’être crus à l’abri derrière on ne sait quelle ligne Maginot imaginaire ?! Ce ne sont pas quelques exercices cybernétiques ou de cyber stress (!) entre alliés qui vont changer la donne même si ceux-ci ont surtout vocation à rassurer la population. Qui sera encore surpris lorsque l’on apprendra l’écroulement d’un état, celui-ci fut-il « modeste » et en voie de développement (ou de déclassement !), tandis que son infanterie, ses blindés, ses hélicoptères ou ses chasseurs n’auront pas quitté leurs casernes et leurs hangars par faute d’une paralysie complète des systèmes d’information voire la neutralisation à distance de certains ou de la plupart des systèmes d’arme ? Que deviendra une nation disposant de jouets coûteux et de haute technologie si ceux-ci deviennent réellement aussi utiles que des…jouets ?

Si tu veux la paix…

mardi 30 novembre 2010

Lutter contre Stuxnet peut entraîner la mort

Malgré le titre légèrement ironique de ce billet, il semble très probable que l'ultra-sophistiqué malware Stuxnet a fait ses premières "vraies" victimes, hier (lundi 29 novembre 2010), en Iran. Les professeurs Majid Shahriari et Feredoun Abbassi-Davani, accompagnés de leurs épouses respectives, circulaient dans leurs véhicules lorsque qu'une ou deux équipes à moto ont attaqué les véhicules. La première équipe aurait apparemment réussi à glisser une bombe magnétiques contre le véhicule, déclenchée à distance de sécurité, tandis que l'autre véhicule aurait été mitraillé. 

La photo parue dans la presse laisse peu de doute sur le mitraillage dans lequel le professeur Shahriari a été tué, les autres personnes étant blessés sans que l'on sache l'état de ces blessures. En tout état de cause, ces attentats ne sont pas le fruit du hasard, les deux professeurs travaillant pour le programme nucléaire iranien. Mais le professeur tué n'est pas n'importe qui puisqu'il coordonnait la lutte contre Stuxnet au sein du programme nucléaire et des réseaux militaires. Je donnerai des informations supplémentaires prochainement sur l'efficacité de Stuxnet qui semble de plus en plus avérée : le site d'enrichissement de Natanz où tournent plusieurs centaines de centrifugeuses a dû être suspendu durant 6 jours du 16 au 22 novembre tandis qu'un important exercice de défense aérienne a dû être écourté le 17 novembre. Au-delà donc des installations nucléaires, il semble que cette fois-ci le ou les systèmes radar aient indiqué des pistes "fantômes".

Les deux attaques quasi-simultanées d'hier ont été réalisées de manière professionnelles dans l'une des zones normalement les plus surveillées de Téhéran. Je ne m'étendrai pas sur les commanditaires possibles mêmes si les regards se tourneront forcément vers Israël. Dans tous les cas, le décès de celui qui luttait contre Stuxnet est un coup dur pour le programme nucléaire iranien. A l'heure où Wikileaks fait parler de lui, l'Iran semble de plus en plus la cible de moyens divers et complémentaires d'ordre non conventionnels, sophistiqués et ciblés.

L'article traitant des attaques d'hier peut être lu ici (en anglais).

lundi 22 novembre 2010

OTAN : un plan d'actions décennal après Lisbonne et une cyber-feinte ?

Le sommet de l'OTAN à Lisbonne vient de fermer ses portes, et l'on peut donc tirer quelques enseignements d'importance. Le principal, même si le contraire eût été une surprise, est l'acceptation par l'ensemble des pays membres d'un plan d'action à dix ans. 

Celui-ci entérine la dissuasion nucléaire (ses trois contributeurs d'importance - USA, Royaume-Uni et France) - n'y sont pas pour rien) tout en voyant se renforcer la contribution (future) de la Russie au futur bouclier anti-missiles. Ce point était vraisemblable et je m'en étais fait l'écho dans un précédent billet.

Je passe rapidement sur la problématique afghane, d'autres s'en chargeront bien mieux que moi, et j'en viens aux nouveaux défis adressés par l'OTAN : le terrorisme, les États défaillants (s'agirait -il, entre autres, de la Corée du Nord ?) et la cybersécurité.

Ce dernier volet me laisse sceptique, comme je m'y attendais d'ailleurs : certes, l'Union Européenne a annoncé à l'issue du sommet la création d'un centre commun sur la cybercriminalité en 2013 auquel sera(it) adossé un système d'alerte et de partage ainsi que la mise en réseaux de l'ensemble des CERT existants (et la création de CERT dans les pays n'en disposant pas) prévue en 2012. Mais ces annonces ne concernent que le volet "citoyen" (échange et protection des données personnelles) et aucune annonce spécifique européenne n'a été faite sur la volet militaire, sûreté intérieure et actions offensives.

Je me demande dès lors s'il ne faut pas lire entre les lignes et en déduire qu'on laisse ce pan entier à la seule discrétion des États-Unis, fer de lance de l'initiative et acteur principal de l'OTAN ? Nous savons tous que la période économique n'est pas favorable (belle litote s'il en est !) aux budgets de défense mais il m'apparait préjudiciable de laisser ce champ ouvert aux seules informations, aux seuls outils et aux seuls moyens d'un seul membre, fut-il les États-Unis.

C'est comme avec les moyens d'observation : la France, et dans une moindre mesure l'Allemagne, l'Italie et l'Espagne, a eu le nez creux de se constituer une petite flotte satellitaire de renseignement optique et électro-magnétique. Sans elle, quelques couleuvres supplémentaires eussent été avalées...

vendredi 19 novembre 2010

Quelques précisions sur le détournement Chinois du 8 avril 2010

Après avoir discuté avec certains spécialistes et avoir effectué des recherches étayant les hypothèses abordées, il m'apparaît qu'au moins une chose semble certaine dans cette affaire de détournement de 15% du trafic internet mondial par les chinois, le 8 avril, et ce durant 18 minutes : identifiée le jour même, cette histoire n'a été discutée que dans le cercle restreint des ISPs et autres spécialistes BGP, OSPF, etc.

Commodément, cette affaire est ressortie quelques heures avant la présentation au Sénat américain du rapport mensuel, comme cité dans mon billet précédent. Ce n'est pas trop s'avancer que de penser (et de dire) que la probabilité qu'il s'agisse d'une coïncidence est extrêmement...faible.

Pour les lecteurs passionnés de techniques qui lisent mon blog, je vous encourage à aller lire les deux liens suivants : le premier article a été écrit quelques heures après l'incident et comporte d'intéressantes données, en particulier les pays ciblés par numéros de préfixes uniques (ce qui en donne la hiérarchie quantitative). Le second lien est vers un article de Stéphane Bortzmeyer (de l'AFNIC) qui traite (déjà) des précédents détournements DNS observés.

mercredi 17 novembre 2010

"Détournement" de 15% du trafic internet par la Chine ?

Un article en date du 12 novembre sur le site de National DefenSe Magazine n'est pas passé inaperçu : il nous annonce qu'en avril dernier, environ 15% du trafic global d'Internet aurait été détourné et récupéré par la Chine !
En premier lieu, cette information est évidemment à prendre avec des pincettes, Stuxnet étant passé par là, mais si l'information était confirmée, elle ne ferait que souligner l'importance des moyens mis en oeuvre par l'Empire du milieu depuis presque deux décennies (à ce propos l'article promis sur le sujet est à peine démarré).

En second lieu, quelques éléments retiennent l'attention :
1) L'article cite un "Top security expert" de McAfee qui explique que l'information n'a pas (ou peu ?) été reprise par les média car ces questions sont encore d'une extrême complexité et restent encore vagues pour le commun des mortels.
2) Les informations "détournées" et peut-être "stockées et analysées" auraient autant concerné des organisations civiles que militaires ainsi que certains alliés des USA (Japon, Australie).
3) Le rapport 2010 de l'U.S.-China Economic and Security Review Commission est présenté...aujourd'hui au Sénat américain ! Et ce rapport ne manie pas particulièrement la langue de bois : dans la partie spécifique aux questions de la Défense nationale, on parle "d'augmentation significative de la sophistication de l'activité malveillante informatique associée à la Chine" (The increasingly sophisticated nature of malicious computer activity associated with China).
4) Techniquement, le "détournement" se serait fait à la vue de tous : China Telecom aurait signalé à de nombreux ISP que ses infrastructures étaient ponctuellement les plus efficaces pour rediriger les paquets de données. L'opération en elle-même est classique car reposant sur du load-balancing et de l'optimisation en temps-réel, à l'échelle...mondiale, tout de même.
5) Ce qui marque la différence avec les précédents, c'est que le trafic aurait été redirigé sans peine donc sans interruption. Ce qui sous-entend une infrastructure conséquemment dimensionnée en terme d'absorption de charge.
6) Les services américains avertis ont officiellement réagi en ne montrant aucune inquiétude, insistant sur le fait que les donnés sensibles sont chiffrées.
7) Petit "souci" néanmoins puisqu'il est possible que l'un des acteurs de confiance fournissant des certificats de chiffrement ne soit autre que le China Internet Information Center, dépendant du ministère de l'Information et de l'Industrie chinois.

Là s'arrête les points saillants relevés dans l'article que vous trouverez ici. Néanmoins, je ne saurais trop recommander la prudence quant à ces informations, l'histoire étant un peu trop limpide et désignant de manière bien peu subtile le "méchant". A lire d'ailleurs le commentaire d'un certain "Will" tout en bas de l'article du National Defense Magazine.

Edit : toujours dans le registre de la prudence, je signale un billet intéressant  sur l'hypothèse Stuxnet ciblant l'Iran sur le blog de Ralph Langner. D'après ses dernières analyses, très techniques, le code offensif possèderait 2 charges ciblant les deux types de systèmes Siemens exploités par les iraniens. Pour résumer la finalité de l'attaque, celle-ci vise à déstabiliser les centrifugeuses pouvant même mener à une destruction (vitesse + vibrations). C'est à lire ici et .

lundi 15 novembre 2010

Nouvelles de la cyber sphère

Une fois n'est pas coutume, voici un petit panorama sans lien aucun de la cyber sphère internationale, toute pleine de vigueur. C'est d'abord une annonce du Vice-directeur du Centre d'Information d'Etat sur la Sécurité des Réseaux et de l'Information du Ministère chinois de la Sécurité Publique (!) affirmant que près de 200 sites internet du gouvernement chinois sont piratés chaque jour, et 80% de ces cyberattaques viennent de l'étranger. A lire ici.

De la Chine, nous passons en Algérie où la coopération entre l’Algérie et les Etats-Unis s’intensifie dans le domaine de la lutte contre la cybercriminalité. Ainsi, des responsables du Bureau fédéral d’investigations (FBI) et du United States Secret Service (USSS) ont piloté un atelier de formation de trois jours au profit de magistrats algériens. A lire .

Retour sur le sous-continent indien où le National Technical Research Organisation (NTRO) et le Defence Intelligence Agency (DIA) ont été chargés de mettre en place un bureau permettant de contrer les nombreuses attaques informatiques que le pays subit. On peut lire cette annonce ici.

Enfin, rien de mieux que de revenir au pays pour informer les parisiens que l'ANAJ-IHEDN organise une conférence cybercriminalité le jeudi 18 novembre à l'Ecole Militaire. Il n'est peut-être encore trop tard pour s'inscrire.

lundi 8 novembre 2010

Incident à la centrale nucléaire d'Heysham 1 (2/2)

L'incident s'est produit le jour ou EDF a cédé le marché de la distribution d'énergie (presque 8 millions de clients à Londres, dans l'est et le sud-est de l'Angleterre) au groupe Cheung Kong basé à Hong Kong. Si l'on se penche quelques instants sur cette entreprise (rapport annuel 2009 de CK - Holdings - Ltd) on a la composition page 142 des principaux actionnaires du conglomérat : 

- Bank of China  
- Hang Seng Bank (Chine)
- Industrial and Commercial Bank of China  
- China Merchants Bank
- Bank of Communications Co., Ltd (Chine)

On relativisera néanmoins avec la présence britannique (HSBC), canadienne (CIBC) et française (BNP).

En page 26 se trouvent les biographies des responsables clefs visibles :
- Ka-Shing LI est le président fondateur du Groupe, d'origine et de nationalité chinoise, détenteur des principaux avoirs de Hutchison Wampoa (entité du conglomérat dans laquelle on trouve en particulier la branche s'occupant de génération énergétique, distribution, infrastructures, etc.).
- Victor (Tzar-Kuoi) LI, fils de son père président, est le managing director. Origine chinoise, nationalisé canadien.
- Le staff est à 100% d'origine chinoise, je ne saurai en dire autant des nationalité en cours. 

Au passage, on remarquera les fonctions de :
- Davy (Sun Keung) CHUNG, executive director depuis 1993 (pas mal pour un simple architecte !), membre du PC chinois (la section exacte du Parti est indiquée).
- Siu Hon LEUNG, non executive Director, est représentant à la Haute Court de la région administrative spéciale de Hong Kong et officier officiel du Parti.
- Comme on fait ça en famille, on retrouve son cousin Roland (Kun Chee) CHOW, également représentant de l'administration chinoise de Hong Kong. 
- Katherine (Siu Lin) HUNG, Audit du Groupe, pointe au PC chinois (section précise encore une fois indiquée).
- pareil pour Rosanna (…) WONG.

Au sujet de la centrale de Heysham constituée de deux usines (0,76TWh et 8,32Twh) à deux blocs réacteurs (soit 4 réacteurs), on s'étonnera peu de savoir que le site doit être rénové prochainement (arrêt de Heysham 1 en 2013 ou 2014) pour accueillir une nouvelle infrastructure plus puissante et plus moderne (d'où les mouvements velociraptoresques Areva / Rosatom (russe) avec les chinois en embuscade… qui eux ont déjà remporté un gros point avec la reprise du site à EDF.

Les mouvements de ces derniers jours pour la gestion de la production et de la distribution de l'énergie au Royaume-Uni illustrent parfaitement la partie d'échec qui se déroule en Europe. Partie à plusieurs niveaux et entre plusieurs acteurs : Siemens et Areva frontalement pour prendre le leadership au niveau continental et se positionner en éventuel numéro 1 mondial, EDF et Rosatom en embuscade avec des entreprises chinoises disposant de capitaux très importants.

Que l'arrêt d'Heysham 1 se soit produit le jour de son rachat est une coïncidence intrigante qui ne doit pas faire oublier que, parfois ou souvent, les coïncidences ne sont que ce à quoi elles ressemblent. On peut néanmoins affirmer, sans jugement de valeur aucun, que l'approvisionnement énergétique de la zone urbaine londonienne n'est plus sous contrôle national ni même européen mais dorénavant chinois. Affaire à suivre.

vendredi 5 novembre 2010

Incident à la centrale nucléaire d'Heysham 1 (1/2)

Le dimanche 31 octobre 2010, la tranche 1 de la centrale nucléaire d'Heysham a été mise hors de service suite à une "interruption imprévue". Opérée par British Energy, détenue pour partie par EDF Energy PLC la filiale britannique d'EDF, il n'aura pas fallu longtemps pour que certains spéculateurs s'interrogent sur un rapport éventuel : systèmes de contrôles Siemens + Stuxnet = clash ? 

En tout cas le blog The Firewall de Jeffrey Carr sur le site de Forbes, expert qui a gagné en audience par ses interventions antérieures sur Stuxnet, n'aura pas mis longtemps à franchir le Rubicon. Dès le lendemain, on pouvait trouver son article spéculant sur un lien possible entre l'interruption d'Heysham 1 et le code sophistiqué et malveillant, tube de l'été et de l'automne.

Je n'apporterai aucun commentaire spéculant dans un sens ou dans l'autre, me bornant à livrer les faits, dont le démenti de l'un(e) des porte-paroles de la compagnie en date également du 1er novembre.

Au-delà d'une affaire qui, somme toute, n'a probablement pas d'origine malveillante, il faut noter ce que dit Jeffrey Carr. Et ce qu'il n'ose pas non plus dire. La suite est dans la partie 2 de ce billet...

mercredi 3 novembre 2010

Cyber...foisonnement

Doctrines, innovation, engagement politique ou absence de celui-ci, alliances et suspicions, les réflexions en cours sur le cyberespace illustrent fortement l'ébullition qui y règne. Le thème du mois d'octobre de l'Alliance Géostratégique me semble avoir atteint voire dépasser son objectif de départ car nombreux auront été les articles de qualité traitant de l'insécurité, des menaces et des bouleversements en cours et à venir ayant trait au cyberespace.


Il ne faut cependant pas être devin pour deviner que les semaines et les mois à venir continueront de voir publier articles pertinents et autres réflexions de haut niveau et j'aimerai humblement clore ce foisonnant mois d'octobre 2010 en prolongeant l'un des tous derniers billets sur le blog de JGP. Lui, moi et assurément de nombreux autres acteurs et lecteurs ont lu avec intérêt les éléments délivrés par le secrétaire adjoint à la défense américaine, William Lynn. Mon intérêt, même s'il demeure technique et technologique en tant que composante essentielle de ma profession, ne s'arrête cependant pas aux 5 piliers évoqués dans cette interview

L'un d'entre eux, cœur même de l'article de JGP, est de pouvoir anticiper les nouvelles menaces et je pense que des intentions à la réalité le chemin sera long à parcourir. D'ailleurs sans aucune garantie de résultat. Je repense d'ailleurs à l'un de mes billets, écrit en février 2010, qui évoquait déjà ces aspects sans proposer de solution tangible. Le sujet étant par ailleurs complexe, je reconnais n'avoir pas pris le temps de m'en emparer (prospectivement parlant). J'attends donc que l'inspiration soit présente et que ma veille quotidienne multi-domaines alimente l'embryon de réflexion. Je pense d'ailleurs qu'un expert, que dis-je, une sommité comme Sid (ce n'est pas ironique !), aurait quelques idées pertinentes à présenter sur le sujet.

vendredi 29 octobre 2010

Cyber intentions au sommet de l'OTAN à Lisbonne

Le prochain sommet de l’OTAN aura lieu à Lisbonne les 19 et 20 novembre et accueillera un invité de marque : la Russie. Certains spécialistes se font l’écho depuis des années des avantages voire de l’expression naturelle qu’il y aurait d’intégrer la Russie à l’OTAN. Géographiquement et historiquement cette hypothèse est pleine de bon sens tandis que du point de vue politique et culturel, des réserves se font jour.

Mon propos du jour est cependant tout autre puisque ce sommet essaiera, parmi les autres thèmes, d’unifier à travers un accord le besoin de coordonner la lutte dans le cyberespace. 
C'est en tout cas ce que laisse entrevoir William Lynn dans l'interview plus qu'intéressante donnée à Foreign Affairs.

Là où le bât blesse gravement, c’est que bien peu de choses empêcheraient qu'un tel accord soit conclu mais qu’en serait-t-il des moyens traduisant ces bonnes intentions ? On peut maintenant parfaitement mesurer le chemin parcouru ces dernières années par le sponsor principal de l’Alliance, les Etats-Unis : celui-ci s’est doté d’un commandement militaire unifié, s'appuie déjà depuis des années sur le DHS pour la collaboration inter-agences, a élaboré une doctrine d'emploi (si ce n’est plusieurs) et abonde un budget qui, s’il n’est pas encore monstrueux, est tout à fait respectable. 

De deux choses l’une : soit l’on risque d'assister à une dépendance complète de l’Europe vis-à-vis des moyens technologiques et financiers, sans compter la possible (dés)information quant aux cybermenaces et à leurs propriétaires avérés, désignés ou supposés. Autre hypothèse, il est encore possible de construire une force autonome, adossée à une hypothétique défense européenne, force qui travaillerait en coopération avec les américains (et pourquoi pas les russes ?) tout en conservant le regard critique et en développant ses moyens techniques et surtout en conservant une autonomie de décision ?

Il va sans dire que les restrictions budgétaires actuelles, particulièrement les budgets de la défense au niveau de l'UE, et le silence assourdissant de l'hôtel de Brienne ou du Quai d'Orsay ne semblent pas plaider pas pour une telle hypothèse !

Edit : Wired évoque ce jour-même l'existence d'un rapport fédéral (draft = avant-projet, brouillon) qui annoncerait une diminution importante des cyber attaques contre le département de la Défense U.S. Il s'agirait de la première année de la décennie où les "incidents liés à la de la cyber-activité malveillante" seraient en baisse. Paradoxe apparent à l'heure où la mobilisation se déchaîne depuis plusieurs mois. Je retiens l'hypothèse  évoquée en conclusion de l'article d'attaques moins nombreuses mais potentiellement plus sophistiquées et ciblées.

jeudi 28 octobre 2010

Agent.BTZ, proto Stuxnet ?

Raccourci éditorial s'il en est, qui se souvient encore de l'année 2008 et du Pentagone qui avait subi une longue épidémie de l'Agent.BTZ (une analyse technique intéressante peut être lue ici) liée à du code malveillant s'étant indifféremment propagée sur des réseaux classifiés et non-classifiés ? Les américains, assurément, s'en souviennent puisque la création récente de l'U.S. Cyber Command dont l'un de mes précédents billets traitait en serait la conséquence la plus visible.

Cette affaire fait en tout cas l'objet d'un article a priori intéressant dans la vénérable revue "Foreign Affairs", volume 89, numéro 5. L'auteur,  William J. Lynn III, qui est aussi l'adjoint du secrétaire américain à la défense, rappelle longuement cet épisode et pose ses réflexions quant au nouveau paradigme que conduit l'insertion d'actes malveillants et ciblés dans le cyberespace. A priori intéressant puisque seul un aperçu est disponible, le reste l'étant par paiement.

Quel lien alors avec les récentes attaques de Stuxnet ? Indirect me semble-t-il et touchant principalement la partie désinformation : il est dit que les américains suspectèrent alors les Russes puisque la souche .BTZ avait déjà utilisée par des hackers russes. Coupable facile voire idéal, c'est là où la prudence commande de faire attention et c'est bien ainsi que Wired s'interrogeait à haute-voix : "Pourquoi une agence de renseignement lancerait une attaque molle *" ?

* Le côté mou relevant d'avantage de la faiblesse d'emploi voire de l'absence de mécanismes compliquant la tâche d'analyses forensiques. Qui ont eu lieu, d'ailleurs.

Edit : le blog Mars Attaque a lui aussi rapidement réagi sur le sujet donc j'en fais part, courtoisie oblige !

mercredi 27 octobre 2010

Barack ? We've got a (big) problem !

Pardon par avance pour ce trait d'humour et cinéphile (Apollo 13) mais comment ne pas traiter différemment un incident qui, même s'il pourrait prêter à sourire, est tout simplement grave ?!
C'est le magazine culturel américain The Atlantic, à travers son site internet, qui a déterré le lièvre : samedi dernier (23 octobre), les officiers missile de quart dans leur bunker n'avaient plus aucun contrôle sur 50 missiles de type Minuteman III (donc un escadron soit 1/3 des vecteurs de l'Air Force Base Warren, Wyoming) ou, ramené à l'ensemble des missiles continentaux américains, 1/9ème de la force de frappe nucléaire ! L'affaire a depuis été reprise par les média dont une bonne synthèse se trouve sur ce blog.

 Là où l'histoire devient moins rigolote mais m'intéresse davantage, c'est que l'incident semble identifié mais sans que l'origine n'en soit connu : le "LF status" (Launch Facility Status = état des installations de lancement) est passé à "down", signifiant l'impossibilité d'être assuré de l'état de réponse (au lancement) des missiles. Ce type de code d'erreur peut même signifier une impossibilité de lancement (plus de détails ici) même si les procédures de secours permettent un tir des missiles depuis un tout autre endroit (E4-B NAOC).

L'erreur serait donc localisée sur l'un des LCC (Lauch Control Center computer - Terminal de lancement) qui s'est mis à ne plus "pinger" correctement les missiles sous sa coupe (10 missiles par LCC). Les officiers de tir ont décidé d'éteindre puis de rallumer les 5 consoles et seule la console posant problème est demeurée hors-ligne. Ce qui signifie que 50 missiles ont été "hors de contrôle" durant plusieurs minutes ! Dans ce cadre, on ne peut  dire ce qu'a dit un porte-parole de l'administration : "les choses ont fonctionné comme prévu" !

Non, les choses n'ont pas fonctionné comme prévu, d'autant moins que le problème n'a toujours pas été identifié. S'agit-il d'un problème hardware lié au vieillissement des installations, d'une erreur humaine ou, cas plus grave, d'un acte malveillant ? Affaire à suivre...

Edit : rendons à César qui, dans ce cas précis s'appelle John Noonan, ce qui lui appartient car c'est par un tweet que l'information est sortie. Notons que le monsieur est un ancien officier missiles. Ceci expliquant cela alors que, normalement, ce genre d'information aurait dû être couverte par une classification de défense.

vendredi 22 octobre 2010

Cyber...quoi ?

C'est en lisant le dernier billet en date sur le blog de JGP (Alliance Géostratégique), billet intitulé "Cyberguerre : il faut définir les règles d'engagement" que je fais le lien avec l'un des billets dont j'ai commencé le brouillon et que j'espère bientôt finir. A vrai dire, je suis un peu agacé par un certain sensationnalisme journalistique actuel (je parle là des média mainstream, pas des modestes artisans dont je pense faire partie, ni d'ailleurs aucunement du billet de JGP).

L'état de ma réflexion présente porte sur l'emploi du terme "cyberguerre". Au terme cyber, souvent (mal) utilisé à toutes les sauces, est accolé le terme guerre. J'y vois une certaine gourmandise des média, toujours aptes à parler de faucons lorsqu'il s'agit de perdreaux. Mais je m'égare ! En réalité, je pense que son emploi actuel est abusif puisque nous ne sommes pas techniquement en guerre mais bien dans une sorte de guérilla (si l'on porte la réflexion au niveau terroriste) ou d'attaques illégales qu'elles soient le fait d'individus doués et isolés (rares), de groupes mafieux (souvent) ou...d'États (?).

Je regrette par avance de rafraichir l'atmosphère hype et branchouille du sensationnalisme à tout prix  mais je pense que nous sommes davantage entrés dans une période de cyber-insécurité et que nous ne parlerons de cyberguerre le jour où un conflit armé, entre  États, vecteur d'opérations militaires de moyenne ou de haute intensité verra l'utilisation de moyens informationnels (informatiques) offensifs afin de dégrader, paralyser voire détruire des éléments servant soit  à la conduite (moyens C4isr) soit à l'utilisation de systèmes d'armes (réseaux centrés, évidemment).

Edit
En revanche, rien n'interdit de considérer des moyens cyber-offensifs  utilisés en préparation ou en complément d'une offensive militaire plus "traditionnelle". Un bel exemple fût le cas de l'opération Orchard, conduite par des forces israéliennes en plein territoire syrien en 2007.

jeudi 14 octobre 2010

Stuxnet change de rive ?

Kali
Chaque semaine, Stuxnet nous apporte son lot de surprises, d'informations et de...désinformation. Il est certain qu'à force de patience, d'erreurs et de tâtonnements, la vérité poindra, jamais complètement mais en tout cas suffisamment pour bâtir deux ou trois scenarii probables.

J'évoquais l'Inde dans mon dernier billet, un peu à contre-courant, et il semble effectivement que le sous-continent soit la première victime du ver. Dès le 29 septembre 2010, c'est Jeffrey Carr qui évoquait une relation possible entre le code ciblant et agressif et les étranges difficultés du satellite indien de recherche INSAT-4B. Son article, assez remarquable, se trouve ici sur le site Forbes. Pour résumer l'intuition de J. Carr, l'ISRO (Organisme spatial indien) utilise des machines Siemens de type S7-400 PLC et SIMATIC WinCC. Il compte d'ailleurs donner davantage d'éléments sur les cibles potentiellement compromises à travers un modèle analytique qui sera présenté lors du Black Hat à Abu Dhabi.
La direction de l'ISRO a depuis démenti la possession de systèmes Siemens mais il semblerait que certains cadres aient contredit l'affirmation, sous couvert évidemment.


Stuxnet préfèrerait-il les rives du Gange à celles du Chatt-el-Arab ? Tant qu'a rajouter une hypothèse supplémentaire, pourquoi diable Siemens ne serait-il pas également la cible ? Mais c'est là s'embarquer sur des hypothèses de guerre économique délicates et non étayées. Surtout qu'il s'agit aussi de garder en tête la perspective (autrement dit pourquoi maintenant et de manière aussi coordonnée ?) l'offensive médiatique et généralisée qui a commencé avant l'été. Celle-ci insiste régulièrement sur les risques de cyber-attaques (US, OTAN, GB ces jours-ci). Dans ce cas, nous assistons à une partie à plusieurs étages et aux multiples acteurs.

Edit : ne faisant preuve d'aucune originalité et devant bien rendre à César ce qui lui appartient, Pierre Caron dans ZDNet pousse encore un peu plus loin ma dernière assertion.

vendredi 8 octobre 2010

Stuxnet : latin, grec ou martien ?

C'est après la lecture de la bonne synthèse sur la possible  probable intox et désinformation liée à Stuxnet ("dernière" version en date qui serait en fait la 4ème variante depuis son apparition en juin 2009) que j'achève sur LeMagIT, que j'ai rebondi sur le billet relatif au sujet de mon collègue N. Ruff (aka Newsoft), billet avec lequel je suis en désaccord partiel mais d'autres que moi se sont chargés d'alimenter la réflexion de Nico.

Mais ceci est un autre sujet car ce que je constate c'est que la communauté des experts codes et soft y perd quand même son latin : tout le monde salue l'intelligence des différents exploits utilisés, l'ingéniosité voire l'élégance des principes de fonctionnement, tout le monde subodore une entité étatique soit américaine, israélienne, voire chinoise (j'ai même lu un billet suspectant l'Inde, c'est dire) mais personne n'est capable de dire ce qu'il s'est réellement passé, quelle est ou quelles sont les cibles, si l'attaque a réussi ou pas.

Alors, je pose la question suivante : Stuxnet est-il simplement d'origine humaine ?
 
Vous l'aurez, je l'espère, compris cette dernière ligne vise à procurer un sourire supplémentaire au week-end qui commence ! Week-end durant lequel vous pourrez étudier l'excellent papier de N. Fallière sur les mécanismes de notre "cyber" ver préféré...


mercredi 6 octobre 2010

L'unité 8200 ou l'excellence dans les nouveaux conflits


Unité 8200, Mount Avital, Golan
Check Point, ICQ, Nice, AudioCodes  ou Gilat, autant d’entreprises israéliennes du secteur high-tech, plus ou moins connues du grand public. Ces entreprises possèdent pourtant le point commun que la plupart de ses dirigeants et de ses salariés sont tous passés à un moment donné de leur vie…militaire par l’unité 8200.
Cette unité, discrète par essence, est chargée de la collecte du renseignement d’origine électronique et électromagnétique mais possède également une unité spécialisée dans la cryptographie (chiffrement / déchiffrement). Sans oublier évidemment qu’elle possède des experts de haut-niveau dans l’exploitation des vulnérabilités, autrement appelés « hackers » dont certains l’ont réellement été avant d’être détectés par la Défense israélienne. C’est en quelque sorte l’équivalent de la NSA américaine, exception faite que cette unité est entièrement intégrée au ministère de la Défense.
De là à penser que cette unité pourrait être derrière le ver Stuxnet largement médiatisé depuis une dizaine de jours, il n’y a qu’un pas que le Figaro a franchi aujourd’hui. Ce pas, je ne le franchirai cependant pas, mais je recommande à mes lecteurs de s’enquérir de l’un des exploits quasi-officiels de cette unité : l’opération Orchard, septembre 2007 en Syrie.
Cette opération a valeur d’exemple quant à l’expertise détenue par l’unité 8200 et combien elle s’intègre parfaitement à la doctrine de l’armée israélienne qui est de considérer les capteurs (drones en particulier), les unités militaires et le cyberespace comme un ensemble d’éléments interconnectés participant en cohérence à des opérations militaires. Les guerres du 21ème siècle ont à peine commencé que Israël semble être le seul pays au monde (avec les États-Unis évidemment, la Chine a un niveau moindre - j'y consacrerai d'ailleurs un article prochainement) à s’être doté des forces et des moyens nécessaires pour y survivre voire les gagner.

lundi 4 octobre 2010

Thème du mois : les stratégies dans le cyberespace

Les hasards du calendrier sont parfois étonnants. Aux Etats-Unis, le président Obama a décidé que le mois d'octobre serait consacré à la sensibilisation à la cybersécurité. En France, où la blogosphère géostratégique est active, multiple et dynamique, Alliance GéoStratégique (AGS) consacre également ce mois-ci au même thème afin de "parcourir le cyberespace, sous l’angle de la stratégie, de la géopolitique, de la cybercriminalité, de la cyberguerre et bien d’autres."

Je vous encourage à aller y faire un tour, même si je ne suis pas intégré à l'Alliance car nombreux sont les articles de qualité et les auteurs pertinents.
J'apporte néanmoins ma modeste contribution en vous invitant à lire l'article intitulé "La sécurité immergée dans la complexité systémique" que j'avais rédigé en avril 2010. En somme, il s'agit bien d'unir l'ensemble des forces et des acteurs (aux moyens si différents) pour sensibiliser les citoyens aux risques et aux enjeux de l'information sous forme numérique. Bonnes lectures !

vendredi 1 octobre 2010

Secret Défense

Je voudrais saluer à travers ce billet l'un des spécialistes incontestables des questions de Défense et de sécurité en France et assurément au-delà, Jean-Dominique Merchet qui quitte Libération pour de nouvelles aventures à Marianne 2.

Le blog Secret Défense risque d'évoluer, peut-être sous la forme, sans doute sur la fréquence des publications et j'émets humblement le souhait qu'il continue d'apporter à la plèbe les informations pertinentes et surtout le regard critique que tous avons le devoir d'entretenir et conserver.

Alors bon vent au Pacha et à bientôt sur la fréquence.
:)

vendredi 24 septembre 2010

Analogies (mal)heureuses ?

Dans la série je crée un billet qui traite de deux informations semblant totalement disjointes alors que, finalement, potentiellement, perfidement, il se pourrait que...cette semaine la confirmation de la montée en puissance ou plutôt de l'approche de la vitesse de croisière par l'U.S. Cybercommand. C'est à lire ici mais ça peut aussi être approfondi . Devinette à 2 cents d'Euro : pourquoi le général commandant cette unité est aussi le patron de la...NSA ? Étonnant, non ?

Dans un "tout autre registre" (je vous ai prévenu dès le départ : fausse naïveté et vraie perfidie sont au programme de ce billet ! :), où l'on reparle de l'Iran, pas de l'épisode carnavalesque de son "président" hier à l'ONU mais plutôt de méchants problèmes infectieux sur de "gentils" équipements...SCADA. A lire, cette analyse plutôt intéressante accessible aux profanes.

jeudi 2 septembre 2010

Prendre le maquis du Web ?

Titre résolument provocateur en résonance avec un article du site Ecrans, partie multimédia du quotidien Libération. Cet article daté du 30 août traite d'une interview donnée par Jean-Michel Jarre au magazine musicale Uncut. Le génial compositeur d'Oxygène livre une réflexion à mon sens pertinente sur le devenir du web.

Même si ce billet de rentrée peut (vous) sembler en écart avec la "ligne éditoriale" de ce site, j'y décèle néanmoins une lien possible de fracture numérique majeure pour la prochaine décennie. Un excellent sujet de thèse au confluent de la prospective, de la stratégie et de la sociologie des internautes dans les années qui viennent. Avec en perspective des changements majeurs dans la façon d'appréhender et d'utiliser (ou non !) "l'ancien" web et voir émerger un web underground, possible réalité revival de la 1ère génération internet (avant 2000). Où se poseraient de nouvelles problématiques d'anonymat, de confidentialité donc de...sécurité !

Bonne rentrée à toutes et à tous.

jeudi 8 juillet 2010

L'air du temps : IBM et Boeing

Deux nouvelles extrêmement différentes mais néanmoins intéressantes. En premier lieu Bob Sutor, Vice President Open Source et Linux chez IBM recommande de généraliser l'utilisation de Firefox. Information à double détente puisqu'au respect des standards et à une optimisation de la sécurité du navigateur, via son mode de développement ouvert et communautaire, se dessine en filigrane l'orientation forte du Business Model de Big Blue vers le cloud (computing).

Dans un autre registre, Boeing serait sur le point de racheter Narus, une société spécialisée dans l'analyse en temps réel du trafic réseau pour la protection et la gestion des réseaux IP étendus. L'avionneur américain considérerait la cybersécurité comme l'un des champs de croissance actuels. Au passage, on peut noter qu'il est aussi décidé d'intégrer en interne ce "nouveau champ de croissance" au sein des infrastructures sol, réseaux mais aussi des produits avions et spatiaux.

lundi 10 mai 2010

Nikola Tesla : début de réhabilitation ?

Il y a déjà plusieurs semaines que je découvre toute la portée des travaux de Nikola Tesla, injustement oublié par la communauté scientifique et l'humanité ou, tout du moins, sous-estimé.

Il serait temps que ce visionnaire prenne enfin la place qui lui revient, au niveau d'un Einstein, avis tout personnel ! En premier lieu parce que l'un de ses travaux majeurs porte sur l'énergie libre et qu'il en parle dès le 20 mai...1891 ! Au risque de faire hurler les physiciens, plus particulièrement les astrophysiciens, je considère que son approche déductive est en relation directe avec la théorie de la relativité restreinte mais va probablement plus loin car elle aborde implicitement le principe d'unification des forces appelée aussi théorie de la 5ème force.

Pour revenir aux travaux de Tesla, un rapide inventaire qui n'est pas exhaustif aide à se rendre compte de la richesse, de l'inventivité et de leur application dans la vie courante : créateur de la radio (attribué à tort à Marconi), invention du moteur électrique asynchrone, de l'alternateur polyphasé, principal promoteur du transport de l'énergie électrique en courant alternatif, lampe « haute fréquence » à pastille de carbone dont le concept préfigure celui de l'accélérateur à particules ou celui du microscope électronique, expériences de télécommande, théorie sur les armes à énergie dirigée autrement appelée "rayon de la mort". Notons au passage que le projet HAARP serait l'héritier directe de la théorie de Tesla.

Inventeur et ayant déposé plus de 700 brevets, Tesla fait encore parler de lui ces derniers jours à propos d'un article datant du 24 décembre 1909 dans la revue britannique The Electrical Engineer : il y décrit ses travaux de transmission sans fil et n'hésite pas à anticiper le futur (lointain) en expliquant l'apparition du téléphone portable associé aux contenus multimédia et, cerise sur le gâteau, j'y lis aussi une anticipation de l'internet des objets !

Finalement, parce qu'il y a encore beaucoup de matière, j'en suis venu à éprouver une véritable fascination pour cet inventeur génial et visionnaire en regardant l'excellent film de Christopher Nolan : le Prestige. Que je vous conseille vivement, cela va sans dire. Gageons que les années qui viennent verront une réhabilitation complète mais tardive des travaux de Tesla et, pourquoi pas, son apport essentiel à l'astrophysique et à son Graal.

lundi 26 avril 2010

La sécurité immergée dans la complexité systémique

La sécurité de l'information ne vit pas en vase clos et de ce fait, doit être mise dans un contexte de perspective plus globale. D'autant plus qu'essayer de garantir un niveau de risques acceptable dans un environnement interdépendant où les menaces, les enjeux et les technologies évoluent rapidement, nécessite une approche bien plus souple et ouverte qu'une simple analyse de risques à laquelle vient se greffer un système de management de la S.I.

Des termes comme systémique, prospective et géostratégie ne sont pas de simples figures de style que l'on entendrait dans les salons feutrés de certaines discussions où la rhétorique l'emporterait sur la réalité. Ces disciplines participent à la réflexion d'ensemble qu'un responsable de la sécurité se doit d'avoir constamment, au risque de ne faire qu'un simple travail de technicien, oubliant dans quel cadre le système qu'il doit protéger s'insert et interagit et quels sont les enjeux politiques, économiques et stratégiques pouvant peser de manière indirecte mais parfois aussi directe.

C'est dans cet esprit que je porte au lecteur attentif et francophone (les autres aussi are welcome :) quelques liens qui servent à ma veille quotidienne et qui, parfois, m'aident à anticiper ou mieux comprendre certaines tendances.

Le blog Secret Défense de J-D Merchet qui est probablement le blog français des affaires militaires le plus consulté.
Celui de son homologue Jean Guisnel, Défense Ouverte.
Mon blog défense, mis à jour régulièrement avec des sujets d'actualité.
Le dessous des cartes qui, je le pense, n'a aucun rapport avec l'excellente émission de vulgarisation sur Arte.
Alliance géostratégique, assurément intéressant, avec des articles pertinents et d'une certaine profondeur.
Enfin Rapport de conflits, créé et animé par un citoyen belge, petit pays dont nous sommes beaucoup à espérer que les tensions actuelles déboucheront sur une solution politique viable et non sécessionniste.

Cette liste n'est bien-sûr pas exhaustive mais elle participe, je l'espère, comme base fiable à la prise en compte de la complexité que la sécurité de l'information doit prendre en compte. Bonne(s) lecture(s).