mardi 30 novembre 2010

Lutter contre Stuxnet peut entraîner la mort

Malgré le titre légèrement ironique de ce billet, il semble très probable que l'ultra-sophistiqué malware Stuxnet a fait ses premières "vraies" victimes, hier (lundi 29 novembre 2010), en Iran. Les professeurs Majid Shahriari et Feredoun Abbassi-Davani, accompagnés de leurs épouses respectives, circulaient dans leurs véhicules lorsque qu'une ou deux équipes à moto ont attaqué les véhicules. La première équipe aurait apparemment réussi à glisser une bombe magnétiques contre le véhicule, déclenchée à distance de sécurité, tandis que l'autre véhicule aurait été mitraillé. 

La photo parue dans la presse laisse peu de doute sur le mitraillage dans lequel le professeur Shahriari a été tué, les autres personnes étant blessés sans que l'on sache l'état de ces blessures. En tout état de cause, ces attentats ne sont pas le fruit du hasard, les deux professeurs travaillant pour le programme nucléaire iranien. Mais le professeur tué n'est pas n'importe qui puisqu'il coordonnait la lutte contre Stuxnet au sein du programme nucléaire et des réseaux militaires. Je donnerai des informations supplémentaires prochainement sur l'efficacité de Stuxnet qui semble de plus en plus avérée : le site d'enrichissement de Natanz où tournent plusieurs centaines de centrifugeuses a dû être suspendu durant 6 jours du 16 au 22 novembre tandis qu'un important exercice de défense aérienne a dû être écourté le 17 novembre. Au-delà donc des installations nucléaires, il semble que cette fois-ci le ou les systèmes radar aient indiqué des pistes "fantômes".

Les deux attaques quasi-simultanées d'hier ont été réalisées de manière professionnelles dans l'une des zones normalement les plus surveillées de Téhéran. Je ne m'étendrai pas sur les commanditaires possibles mêmes si les regards se tourneront forcément vers Israël. Dans tous les cas, le décès de celui qui luttait contre Stuxnet est un coup dur pour le programme nucléaire iranien. A l'heure où Wikileaks fait parler de lui, l'Iran semble de plus en plus la cible de moyens divers et complémentaires d'ordre non conventionnels, sophistiqués et ciblés.

L'article traitant des attaques d'hier peut être lu ici (en anglais).

lundi 22 novembre 2010

OTAN : un plan d'actions décennal après Lisbonne et une cyber-feinte ?

Le sommet de l'OTAN à Lisbonne vient de fermer ses portes, et l'on peut donc tirer quelques enseignements d'importance. Le principal, même si le contraire eût été une surprise, est l'acceptation par l'ensemble des pays membres d'un plan d'action à dix ans. 

Celui-ci entérine la dissuasion nucléaire (ses trois contributeurs d'importance - USA, Royaume-Uni et France) - n'y sont pas pour rien) tout en voyant se renforcer la contribution (future) de la Russie au futur bouclier anti-missiles. Ce point était vraisemblable et je m'en étais fait l'écho dans un précédent billet.

Je passe rapidement sur la problématique afghane, d'autres s'en chargeront bien mieux que moi, et j'en viens aux nouveaux défis adressés par l'OTAN : le terrorisme, les États défaillants (s'agirait -il, entre autres, de la Corée du Nord ?) et la cybersécurité.

Ce dernier volet me laisse sceptique, comme je m'y attendais d'ailleurs : certes, l'Union Européenne a annoncé à l'issue du sommet la création d'un centre commun sur la cybercriminalité en 2013 auquel sera(it) adossé un système d'alerte et de partage ainsi que la mise en réseaux de l'ensemble des CERT existants (et la création de CERT dans les pays n'en disposant pas) prévue en 2012. Mais ces annonces ne concernent que le volet "citoyen" (échange et protection des données personnelles) et aucune annonce spécifique européenne n'a été faite sur la volet militaire, sûreté intérieure et actions offensives.

Je me demande dès lors s'il ne faut pas lire entre les lignes et en déduire qu'on laisse ce pan entier à la seule discrétion des États-Unis, fer de lance de l'initiative et acteur principal de l'OTAN ? Nous savons tous que la période économique n'est pas favorable (belle litote s'il en est !) aux budgets de défense mais il m'apparait préjudiciable de laisser ce champ ouvert aux seules informations, aux seuls outils et aux seuls moyens d'un seul membre, fut-il les États-Unis.

C'est comme avec les moyens d'observation : la France, et dans une moindre mesure l'Allemagne, l'Italie et l'Espagne, a eu le nez creux de se constituer une petite flotte satellitaire de renseignement optique et électro-magnétique. Sans elle, quelques couleuvres supplémentaires eussent été avalées...

vendredi 19 novembre 2010

Quelques précisions sur le détournement Chinois du 8 avril 2010

Après avoir discuté avec certains spécialistes et avoir effectué des recherches étayant les hypothèses abordées, il m'apparaît qu'au moins une chose semble certaine dans cette affaire de détournement de 15% du trafic internet mondial par les chinois, le 8 avril, et ce durant 18 minutes : identifiée le jour même, cette histoire n'a été discutée que dans le cercle restreint des ISPs et autres spécialistes BGP, OSPF, etc.

Commodément, cette affaire est ressortie quelques heures avant la présentation au Sénat américain du rapport mensuel, comme cité dans mon billet précédent. Ce n'est pas trop s'avancer que de penser (et de dire) que la probabilité qu'il s'agisse d'une coïncidence est extrêmement...faible.

Pour les lecteurs passionnés de techniques qui lisent mon blog, je vous encourage à aller lire les deux liens suivants : le premier article a été écrit quelques heures après l'incident et comporte d'intéressantes données, en particulier les pays ciblés par numéros de préfixes uniques (ce qui en donne la hiérarchie quantitative). Le second lien est vers un article de Stéphane Bortzmeyer (de l'AFNIC) qui traite (déjà) des précédents détournements DNS observés.

mercredi 17 novembre 2010

"Détournement" de 15% du trafic internet par la Chine ?

Un article en date du 12 novembre sur le site de National DefenSe Magazine n'est pas passé inaperçu : il nous annonce qu'en avril dernier, environ 15% du trafic global d'Internet aurait été détourné et récupéré par la Chine !
En premier lieu, cette information est évidemment à prendre avec des pincettes, Stuxnet étant passé par là, mais si l'information était confirmée, elle ne ferait que souligner l'importance des moyens mis en oeuvre par l'Empire du milieu depuis presque deux décennies (à ce propos l'article promis sur le sujet est à peine démarré).

En second lieu, quelques éléments retiennent l'attention :
1) L'article cite un "Top security expert" de McAfee qui explique que l'information n'a pas (ou peu ?) été reprise par les média car ces questions sont encore d'une extrême complexité et restent encore vagues pour le commun des mortels.
2) Les informations "détournées" et peut-être "stockées et analysées" auraient autant concerné des organisations civiles que militaires ainsi que certains alliés des USA (Japon, Australie).
3) Le rapport 2010 de l'U.S.-China Economic and Security Review Commission est présenté...aujourd'hui au Sénat américain ! Et ce rapport ne manie pas particulièrement la langue de bois : dans la partie spécifique aux questions de la Défense nationale, on parle "d'augmentation significative de la sophistication de l'activité malveillante informatique associée à la Chine" (The increasingly sophisticated nature of malicious computer activity associated with China).
4) Techniquement, le "détournement" se serait fait à la vue de tous : China Telecom aurait signalé à de nombreux ISP que ses infrastructures étaient ponctuellement les plus efficaces pour rediriger les paquets de données. L'opération en elle-même est classique car reposant sur du load-balancing et de l'optimisation en temps-réel, à l'échelle...mondiale, tout de même.
5) Ce qui marque la différence avec les précédents, c'est que le trafic aurait été redirigé sans peine donc sans interruption. Ce qui sous-entend une infrastructure conséquemment dimensionnée en terme d'absorption de charge.
6) Les services américains avertis ont officiellement réagi en ne montrant aucune inquiétude, insistant sur le fait que les donnés sensibles sont chiffrées.
7) Petit "souci" néanmoins puisqu'il est possible que l'un des acteurs de confiance fournissant des certificats de chiffrement ne soit autre que le China Internet Information Center, dépendant du ministère de l'Information et de l'Industrie chinois.

Là s'arrête les points saillants relevés dans l'article que vous trouverez ici. Néanmoins, je ne saurais trop recommander la prudence quant à ces informations, l'histoire étant un peu trop limpide et désignant de manière bien peu subtile le "méchant". A lire d'ailleurs le commentaire d'un certain "Will" tout en bas de l'article du National Defense Magazine.

Edit : toujours dans le registre de la prudence, je signale un billet intéressant  sur l'hypothèse Stuxnet ciblant l'Iran sur le blog de Ralph Langner. D'après ses dernières analyses, très techniques, le code offensif possèderait 2 charges ciblant les deux types de systèmes Siemens exploités par les iraniens. Pour résumer la finalité de l'attaque, celle-ci vise à déstabiliser les centrifugeuses pouvant même mener à une destruction (vitesse + vibrations). C'est à lire ici et .

lundi 15 novembre 2010

Nouvelles de la cyber sphère

Une fois n'est pas coutume, voici un petit panorama sans lien aucun de la cyber sphère internationale, toute pleine de vigueur. C'est d'abord une annonce du Vice-directeur du Centre d'Information d'Etat sur la Sécurité des Réseaux et de l'Information du Ministère chinois de la Sécurité Publique (!) affirmant que près de 200 sites internet du gouvernement chinois sont piratés chaque jour, et 80% de ces cyberattaques viennent de l'étranger. A lire ici.

De la Chine, nous passons en Algérie où la coopération entre l’Algérie et les Etats-Unis s’intensifie dans le domaine de la lutte contre la cybercriminalité. Ainsi, des responsables du Bureau fédéral d’investigations (FBI) et du United States Secret Service (USSS) ont piloté un atelier de formation de trois jours au profit de magistrats algériens. A lire .

Retour sur le sous-continent indien où le National Technical Research Organisation (NTRO) et le Defence Intelligence Agency (DIA) ont été chargés de mettre en place un bureau permettant de contrer les nombreuses attaques informatiques que le pays subit. On peut lire cette annonce ici.

Enfin, rien de mieux que de revenir au pays pour informer les parisiens que l'ANAJ-IHEDN organise une conférence cybercriminalité le jeudi 18 novembre à l'Ecole Militaire. Il n'est peut-être encore trop tard pour s'inscrire.

lundi 8 novembre 2010

Incident à la centrale nucléaire d'Heysham 1 (2/2)

L'incident s'est produit le jour ou EDF a cédé le marché de la distribution d'énergie (presque 8 millions de clients à Londres, dans l'est et le sud-est de l'Angleterre) au groupe Cheung Kong basé à Hong Kong. Si l'on se penche quelques instants sur cette entreprise (rapport annuel 2009 de CK - Holdings - Ltd) on a la composition page 142 des principaux actionnaires du conglomérat : 

- Bank of China  
- Hang Seng Bank (Chine)
- Industrial and Commercial Bank of China  
- China Merchants Bank
- Bank of Communications Co., Ltd (Chine)

On relativisera néanmoins avec la présence britannique (HSBC), canadienne (CIBC) et française (BNP).

En page 26 se trouvent les biographies des responsables clefs visibles :
- Ka-Shing LI est le président fondateur du Groupe, d'origine et de nationalité chinoise, détenteur des principaux avoirs de Hutchison Wampoa (entité du conglomérat dans laquelle on trouve en particulier la branche s'occupant de génération énergétique, distribution, infrastructures, etc.).
- Victor (Tzar-Kuoi) LI, fils de son père président, est le managing director. Origine chinoise, nationalisé canadien.
- Le staff est à 100% d'origine chinoise, je ne saurai en dire autant des nationalité en cours. 

Au passage, on remarquera les fonctions de :
- Davy (Sun Keung) CHUNG, executive director depuis 1993 (pas mal pour un simple architecte !), membre du PC chinois (la section exacte du Parti est indiquée).
- Siu Hon LEUNG, non executive Director, est représentant à la Haute Court de la région administrative spéciale de Hong Kong et officier officiel du Parti.
- Comme on fait ça en famille, on retrouve son cousin Roland (Kun Chee) CHOW, également représentant de l'administration chinoise de Hong Kong. 
- Katherine (Siu Lin) HUNG, Audit du Groupe, pointe au PC chinois (section précise encore une fois indiquée).
- pareil pour Rosanna (…) WONG.

Au sujet de la centrale de Heysham constituée de deux usines (0,76TWh et 8,32Twh) à deux blocs réacteurs (soit 4 réacteurs), on s'étonnera peu de savoir que le site doit être rénové prochainement (arrêt de Heysham 1 en 2013 ou 2014) pour accueillir une nouvelle infrastructure plus puissante et plus moderne (d'où les mouvements velociraptoresques Areva / Rosatom (russe) avec les chinois en embuscade… qui eux ont déjà remporté un gros point avec la reprise du site à EDF.

Les mouvements de ces derniers jours pour la gestion de la production et de la distribution de l'énergie au Royaume-Uni illustrent parfaitement la partie d'échec qui se déroule en Europe. Partie à plusieurs niveaux et entre plusieurs acteurs : Siemens et Areva frontalement pour prendre le leadership au niveau continental et se positionner en éventuel numéro 1 mondial, EDF et Rosatom en embuscade avec des entreprises chinoises disposant de capitaux très importants.

Que l'arrêt d'Heysham 1 se soit produit le jour de son rachat est une coïncidence intrigante qui ne doit pas faire oublier que, parfois ou souvent, les coïncidences ne sont que ce à quoi elles ressemblent. On peut néanmoins affirmer, sans jugement de valeur aucun, que l'approvisionnement énergétique de la zone urbaine londonienne n'est plus sous contrôle national ni même européen mais dorénavant chinois. Affaire à suivre.

vendredi 5 novembre 2010

Incident à la centrale nucléaire d'Heysham 1 (1/2)

Le dimanche 31 octobre 2010, la tranche 1 de la centrale nucléaire d'Heysham a été mise hors de service suite à une "interruption imprévue". Opérée par British Energy, détenue pour partie par EDF Energy PLC la filiale britannique d'EDF, il n'aura pas fallu longtemps pour que certains spéculateurs s'interrogent sur un rapport éventuel : systèmes de contrôles Siemens + Stuxnet = clash ? 

En tout cas le blog The Firewall de Jeffrey Carr sur le site de Forbes, expert qui a gagné en audience par ses interventions antérieures sur Stuxnet, n'aura pas mis longtemps à franchir le Rubicon. Dès le lendemain, on pouvait trouver son article spéculant sur un lien possible entre l'interruption d'Heysham 1 et le code sophistiqué et malveillant, tube de l'été et de l'automne.

Je n'apporterai aucun commentaire spéculant dans un sens ou dans l'autre, me bornant à livrer les faits, dont le démenti de l'un(e) des porte-paroles de la compagnie en date également du 1er novembre.

Au-delà d'une affaire qui, somme toute, n'a probablement pas d'origine malveillante, il faut noter ce que dit Jeffrey Carr. Et ce qu'il n'ose pas non plus dire. La suite est dans la partie 2 de ce billet...

mercredi 3 novembre 2010

Cyber...foisonnement

Doctrines, innovation, engagement politique ou absence de celui-ci, alliances et suspicions, les réflexions en cours sur le cyberespace illustrent fortement l'ébullition qui y règne. Le thème du mois d'octobre de l'Alliance Géostratégique me semble avoir atteint voire dépasser son objectif de départ car nombreux auront été les articles de qualité traitant de l'insécurité, des menaces et des bouleversements en cours et à venir ayant trait au cyberespace.


Il ne faut cependant pas être devin pour deviner que les semaines et les mois à venir continueront de voir publier articles pertinents et autres réflexions de haut niveau et j'aimerai humblement clore ce foisonnant mois d'octobre 2010 en prolongeant l'un des tous derniers billets sur le blog de JGP. Lui, moi et assurément de nombreux autres acteurs et lecteurs ont lu avec intérêt les éléments délivrés par le secrétaire adjoint à la défense américaine, William Lynn. Mon intérêt, même s'il demeure technique et technologique en tant que composante essentielle de ma profession, ne s'arrête cependant pas aux 5 piliers évoqués dans cette interview

L'un d'entre eux, cœur même de l'article de JGP, est de pouvoir anticiper les nouvelles menaces et je pense que des intentions à la réalité le chemin sera long à parcourir. D'ailleurs sans aucune garantie de résultat. Je repense d'ailleurs à l'un de mes billets, écrit en février 2010, qui évoquait déjà ces aspects sans proposer de solution tangible. Le sujet étant par ailleurs complexe, je reconnais n'avoir pas pris le temps de m'en emparer (prospectivement parlant). J'attends donc que l'inspiration soit présente et que ma veille quotidienne multi-domaines alimente l'embryon de réflexion. Je pense d'ailleurs qu'un expert, que dis-je, une sommité comme Sid (ce n'est pas ironique !), aurait quelques idées pertinentes à présenter sur le sujet.