vendredi 29 octobre 2010

Cyber intentions au sommet de l'OTAN à Lisbonne

Le prochain sommet de l’OTAN aura lieu à Lisbonne les 19 et 20 novembre et accueillera un invité de marque : la Russie. Certains spécialistes se font l’écho depuis des années des avantages voire de l’expression naturelle qu’il y aurait d’intégrer la Russie à l’OTAN. Géographiquement et historiquement cette hypothèse est pleine de bon sens tandis que du point de vue politique et culturel, des réserves se font jour.

Mon propos du jour est cependant tout autre puisque ce sommet essaiera, parmi les autres thèmes, d’unifier à travers un accord le besoin de coordonner la lutte dans le cyberespace. 
C'est en tout cas ce que laisse entrevoir William Lynn dans l'interview plus qu'intéressante donnée à Foreign Affairs.

Là où le bât blesse gravement, c’est que bien peu de choses empêcheraient qu'un tel accord soit conclu mais qu’en serait-t-il des moyens traduisant ces bonnes intentions ? On peut maintenant parfaitement mesurer le chemin parcouru ces dernières années par le sponsor principal de l’Alliance, les Etats-Unis : celui-ci s’est doté d’un commandement militaire unifié, s'appuie déjà depuis des années sur le DHS pour la collaboration inter-agences, a élaboré une doctrine d'emploi (si ce n’est plusieurs) et abonde un budget qui, s’il n’est pas encore monstrueux, est tout à fait respectable. 

De deux choses l’une : soit l’on risque d'assister à une dépendance complète de l’Europe vis-à-vis des moyens technologiques et financiers, sans compter la possible (dés)information quant aux cybermenaces et à leurs propriétaires avérés, désignés ou supposés. Autre hypothèse, il est encore possible de construire une force autonome, adossée à une hypothétique défense européenne, force qui travaillerait en coopération avec les américains (et pourquoi pas les russes ?) tout en conservant le regard critique et en développant ses moyens techniques et surtout en conservant une autonomie de décision ?

Il va sans dire que les restrictions budgétaires actuelles, particulièrement les budgets de la défense au niveau de l'UE, et le silence assourdissant de l'hôtel de Brienne ou du Quai d'Orsay ne semblent pas plaider pas pour une telle hypothèse !

Edit : Wired évoque ce jour-même l'existence d'un rapport fédéral (draft = avant-projet, brouillon) qui annoncerait une diminution importante des cyber attaques contre le département de la Défense U.S. Il s'agirait de la première année de la décennie où les "incidents liés à la de la cyber-activité malveillante" seraient en baisse. Paradoxe apparent à l'heure où la mobilisation se déchaîne depuis plusieurs mois. Je retiens l'hypothèse  évoquée en conclusion de l'article d'attaques moins nombreuses mais potentiellement plus sophistiquées et ciblées.

jeudi 28 octobre 2010

Agent.BTZ, proto Stuxnet ?

Raccourci éditorial s'il en est, qui se souvient encore de l'année 2008 et du Pentagone qui avait subi une longue épidémie de l'Agent.BTZ (une analyse technique intéressante peut être lue ici) liée à du code malveillant s'étant indifféremment propagée sur des réseaux classifiés et non-classifiés ? Les américains, assurément, s'en souviennent puisque la création récente de l'U.S. Cyber Command dont l'un de mes précédents billets traitait en serait la conséquence la plus visible.

Cette affaire fait en tout cas l'objet d'un article a priori intéressant dans la vénérable revue "Foreign Affairs", volume 89, numéro 5. L'auteur,  William J. Lynn III, qui est aussi l'adjoint du secrétaire américain à la défense, rappelle longuement cet épisode et pose ses réflexions quant au nouveau paradigme que conduit l'insertion d'actes malveillants et ciblés dans le cyberespace. A priori intéressant puisque seul un aperçu est disponible, le reste l'étant par paiement.

Quel lien alors avec les récentes attaques de Stuxnet ? Indirect me semble-t-il et touchant principalement la partie désinformation : il est dit que les américains suspectèrent alors les Russes puisque la souche .BTZ avait déjà utilisée par des hackers russes. Coupable facile voire idéal, c'est là où la prudence commande de faire attention et c'est bien ainsi que Wired s'interrogeait à haute-voix : "Pourquoi une agence de renseignement lancerait une attaque molle *" ?

* Le côté mou relevant d'avantage de la faiblesse d'emploi voire de l'absence de mécanismes compliquant la tâche d'analyses forensiques. Qui ont eu lieu, d'ailleurs.

Edit : le blog Mars Attaque a lui aussi rapidement réagi sur le sujet donc j'en fais part, courtoisie oblige !

mercredi 27 octobre 2010

Barack ? We've got a (big) problem !

Pardon par avance pour ce trait d'humour et cinéphile (Apollo 13) mais comment ne pas traiter différemment un incident qui, même s'il pourrait prêter à sourire, est tout simplement grave ?!
C'est le magazine culturel américain The Atlantic, à travers son site internet, qui a déterré le lièvre : samedi dernier (23 octobre), les officiers missile de quart dans leur bunker n'avaient plus aucun contrôle sur 50 missiles de type Minuteman III (donc un escadron soit 1/3 des vecteurs de l'Air Force Base Warren, Wyoming) ou, ramené à l'ensemble des missiles continentaux américains, 1/9ème de la force de frappe nucléaire ! L'affaire a depuis été reprise par les média dont une bonne synthèse se trouve sur ce blog.

 Là où l'histoire devient moins rigolote mais m'intéresse davantage, c'est que l'incident semble identifié mais sans que l'origine n'en soit connu : le "LF status" (Launch Facility Status = état des installations de lancement) est passé à "down", signifiant l'impossibilité d'être assuré de l'état de réponse (au lancement) des missiles. Ce type de code d'erreur peut même signifier une impossibilité de lancement (plus de détails ici) même si les procédures de secours permettent un tir des missiles depuis un tout autre endroit (E4-B NAOC).

L'erreur serait donc localisée sur l'un des LCC (Lauch Control Center computer - Terminal de lancement) qui s'est mis à ne plus "pinger" correctement les missiles sous sa coupe (10 missiles par LCC). Les officiers de tir ont décidé d'éteindre puis de rallumer les 5 consoles et seule la console posant problème est demeurée hors-ligne. Ce qui signifie que 50 missiles ont été "hors de contrôle" durant plusieurs minutes ! Dans ce cadre, on ne peut  dire ce qu'a dit un porte-parole de l'administration : "les choses ont fonctionné comme prévu" !

Non, les choses n'ont pas fonctionné comme prévu, d'autant moins que le problème n'a toujours pas été identifié. S'agit-il d'un problème hardware lié au vieillissement des installations, d'une erreur humaine ou, cas plus grave, d'un acte malveillant ? Affaire à suivre...

Edit : rendons à César qui, dans ce cas précis s'appelle John Noonan, ce qui lui appartient car c'est par un tweet que l'information est sortie. Notons que le monsieur est un ancien officier missiles. Ceci expliquant cela alors que, normalement, ce genre d'information aurait dû être couverte par une classification de défense.

vendredi 22 octobre 2010

Cyber...quoi ?

C'est en lisant le dernier billet en date sur le blog de JGP (Alliance Géostratégique), billet intitulé "Cyberguerre : il faut définir les règles d'engagement" que je fais le lien avec l'un des billets dont j'ai commencé le brouillon et que j'espère bientôt finir. A vrai dire, je suis un peu agacé par un certain sensationnalisme journalistique actuel (je parle là des média mainstream, pas des modestes artisans dont je pense faire partie, ni d'ailleurs aucunement du billet de JGP).

L'état de ma réflexion présente porte sur l'emploi du terme "cyberguerre". Au terme cyber, souvent (mal) utilisé à toutes les sauces, est accolé le terme guerre. J'y vois une certaine gourmandise des média, toujours aptes à parler de faucons lorsqu'il s'agit de perdreaux. Mais je m'égare ! En réalité, je pense que son emploi actuel est abusif puisque nous ne sommes pas techniquement en guerre mais bien dans une sorte de guérilla (si l'on porte la réflexion au niveau terroriste) ou d'attaques illégales qu'elles soient le fait d'individus doués et isolés (rares), de groupes mafieux (souvent) ou...d'États (?).

Je regrette par avance de rafraichir l'atmosphère hype et branchouille du sensationnalisme à tout prix  mais je pense que nous sommes davantage entrés dans une période de cyber-insécurité et que nous ne parlerons de cyberguerre le jour où un conflit armé, entre  États, vecteur d'opérations militaires de moyenne ou de haute intensité verra l'utilisation de moyens informationnels (informatiques) offensifs afin de dégrader, paralyser voire détruire des éléments servant soit  à la conduite (moyens C4isr) soit à l'utilisation de systèmes d'armes (réseaux centrés, évidemment).

Edit
En revanche, rien n'interdit de considérer des moyens cyber-offensifs  utilisés en préparation ou en complément d'une offensive militaire plus "traditionnelle". Un bel exemple fût le cas de l'opération Orchard, conduite par des forces israéliennes en plein territoire syrien en 2007.

jeudi 14 octobre 2010

Stuxnet change de rive ?

Kali
Chaque semaine, Stuxnet nous apporte son lot de surprises, d'informations et de...désinformation. Il est certain qu'à force de patience, d'erreurs et de tâtonnements, la vérité poindra, jamais complètement mais en tout cas suffisamment pour bâtir deux ou trois scenarii probables.

J'évoquais l'Inde dans mon dernier billet, un peu à contre-courant, et il semble effectivement que le sous-continent soit la première victime du ver. Dès le 29 septembre 2010, c'est Jeffrey Carr qui évoquait une relation possible entre le code ciblant et agressif et les étranges difficultés du satellite indien de recherche INSAT-4B. Son article, assez remarquable, se trouve ici sur le site Forbes. Pour résumer l'intuition de J. Carr, l'ISRO (Organisme spatial indien) utilise des machines Siemens de type S7-400 PLC et SIMATIC WinCC. Il compte d'ailleurs donner davantage d'éléments sur les cibles potentiellement compromises à travers un modèle analytique qui sera présenté lors du Black Hat à Abu Dhabi.
La direction de l'ISRO a depuis démenti la possession de systèmes Siemens mais il semblerait que certains cadres aient contredit l'affirmation, sous couvert évidemment.


Stuxnet préfèrerait-il les rives du Gange à celles du Chatt-el-Arab ? Tant qu'a rajouter une hypothèse supplémentaire, pourquoi diable Siemens ne serait-il pas également la cible ? Mais c'est là s'embarquer sur des hypothèses de guerre économique délicates et non étayées. Surtout qu'il s'agit aussi de garder en tête la perspective (autrement dit pourquoi maintenant et de manière aussi coordonnée ?) l'offensive médiatique et généralisée qui a commencé avant l'été. Celle-ci insiste régulièrement sur les risques de cyber-attaques (US, OTAN, GB ces jours-ci). Dans ce cas, nous assistons à une partie à plusieurs étages et aux multiples acteurs.

Edit : ne faisant preuve d'aucune originalité et devant bien rendre à César ce qui lui appartient, Pierre Caron dans ZDNet pousse encore un peu plus loin ma dernière assertion.

vendredi 8 octobre 2010

Stuxnet : latin, grec ou martien ?

C'est après la lecture de la bonne synthèse sur la possible  probable intox et désinformation liée à Stuxnet ("dernière" version en date qui serait en fait la 4ème variante depuis son apparition en juin 2009) que j'achève sur LeMagIT, que j'ai rebondi sur le billet relatif au sujet de mon collègue N. Ruff (aka Newsoft), billet avec lequel je suis en désaccord partiel mais d'autres que moi se sont chargés d'alimenter la réflexion de Nico.

Mais ceci est un autre sujet car ce que je constate c'est que la communauté des experts codes et soft y perd quand même son latin : tout le monde salue l'intelligence des différents exploits utilisés, l'ingéniosité voire l'élégance des principes de fonctionnement, tout le monde subodore une entité étatique soit américaine, israélienne, voire chinoise (j'ai même lu un billet suspectant l'Inde, c'est dire) mais personne n'est capable de dire ce qu'il s'est réellement passé, quelle est ou quelles sont les cibles, si l'attaque a réussi ou pas.

Alors, je pose la question suivante : Stuxnet est-il simplement d'origine humaine ?
 
Vous l'aurez, je l'espère, compris cette dernière ligne vise à procurer un sourire supplémentaire au week-end qui commence ! Week-end durant lequel vous pourrez étudier l'excellent papier de N. Fallière sur les mécanismes de notre "cyber" ver préféré...


mercredi 6 octobre 2010

L'unité 8200 ou l'excellence dans les nouveaux conflits


Unité 8200, Mount Avital, Golan
Check Point, ICQ, Nice, AudioCodes  ou Gilat, autant d’entreprises israéliennes du secteur high-tech, plus ou moins connues du grand public. Ces entreprises possèdent pourtant le point commun que la plupart de ses dirigeants et de ses salariés sont tous passés à un moment donné de leur vie…militaire par l’unité 8200.
Cette unité, discrète par essence, est chargée de la collecte du renseignement d’origine électronique et électromagnétique mais possède également une unité spécialisée dans la cryptographie (chiffrement / déchiffrement). Sans oublier évidemment qu’elle possède des experts de haut-niveau dans l’exploitation des vulnérabilités, autrement appelés « hackers » dont certains l’ont réellement été avant d’être détectés par la Défense israélienne. C’est en quelque sorte l’équivalent de la NSA américaine, exception faite que cette unité est entièrement intégrée au ministère de la Défense.
De là à penser que cette unité pourrait être derrière le ver Stuxnet largement médiatisé depuis une dizaine de jours, il n’y a qu’un pas que le Figaro a franchi aujourd’hui. Ce pas, je ne le franchirai cependant pas, mais je recommande à mes lecteurs de s’enquérir de l’un des exploits quasi-officiels de cette unité : l’opération Orchard, septembre 2007 en Syrie.
Cette opération a valeur d’exemple quant à l’expertise détenue par l’unité 8200 et combien elle s’intègre parfaitement à la doctrine de l’armée israélienne qui est de considérer les capteurs (drones en particulier), les unités militaires et le cyberespace comme un ensemble d’éléments interconnectés participant en cohérence à des opérations militaires. Les guerres du 21ème siècle ont à peine commencé que Israël semble être le seul pays au monde (avec les États-Unis évidemment, la Chine a un niveau moindre - j'y consacrerai d'ailleurs un article prochainement) à s’être doté des forces et des moyens nécessaires pour y survivre voire les gagner.

lundi 4 octobre 2010

Thème du mois : les stratégies dans le cyberespace

Les hasards du calendrier sont parfois étonnants. Aux Etats-Unis, le président Obama a décidé que le mois d'octobre serait consacré à la sensibilisation à la cybersécurité. En France, où la blogosphère géostratégique est active, multiple et dynamique, Alliance GéoStratégique (AGS) consacre également ce mois-ci au même thème afin de "parcourir le cyberespace, sous l’angle de la stratégie, de la géopolitique, de la cybercriminalité, de la cyberguerre et bien d’autres."

Je vous encourage à aller y faire un tour, même si je ne suis pas intégré à l'Alliance car nombreux sont les articles de qualité et les auteurs pertinents.
J'apporte néanmoins ma modeste contribution en vous invitant à lire l'article intitulé "La sécurité immergée dans la complexité systémique" que j'avais rédigé en avril 2010. En somme, il s'agit bien d'unir l'ensemble des forces et des acteurs (aux moyens si différents) pour sensibiliser les citoyens aux risques et aux enjeux de l'information sous forme numérique. Bonnes lectures !

vendredi 1 octobre 2010

Secret Défense

Je voudrais saluer à travers ce billet l'un des spécialistes incontestables des questions de Défense et de sécurité en France et assurément au-delà, Jean-Dominique Merchet qui quitte Libération pour de nouvelles aventures à Marianne 2.

Le blog Secret Défense risque d'évoluer, peut-être sous la forme, sans doute sur la fréquence des publications et j'émets humblement le souhait qu'il continue d'apporter à la plèbe les informations pertinentes et surtout le regard critique que tous avons le devoir d'entretenir et conserver.

Alors bon vent au Pacha et à bientôt sur la fréquence.
:)