vendredi 30 décembre 2011

Cap sur 2012

2011 aura été une année productive du point de vue publication puisque, soyons précis, 105 billets (en comptant celui-ci) ont été publiés sur ce blog.

L'Alliance Géostratégique, dont je salue les membres, aura publié plusieurs de mes articles :

Encore sur AGS mais en collaboration avec CIDRIS - Cyberwarfare :

Je regrette qu'il n'y ait pas plus de commentaires alors que la fréquentation du blog me parait correcte (presque 45 000 pages vues). Je m'interroge donc de savoir si c'est dû à un manque d'adhésion, d'esprit critique, de positionnement ou de simple désintérêt ? Je formule donc le vœu que 2012 apporte davantage de débats, constructifs si possibles ou "virils mais corrects" comme dirait SD !

Pour conclure l'année en beauté, je tiens à saluer : 
- Charles Bwele, mélange détonnant de geek, de consultant-stratégiste (ça se dit ? :) et de pédagogue dont j'apprécie la personnalité ainsi que son solide sens de l'humour;
- CIDRIS avec qui la qualité des échanges et la construction d'un "destin d'écriture commun" est extrêmement stimulant. 
- Une pensée également pour le Twittos frénétique, Nicolas Caproni, dont je renvoie à son bilan CyberSec 2011, ainsi qu'à l'impétrant :) Félix Aimé qui se révèle passionné et pertinent dans son approche de la chose cyber ("piratage" du drone RQ-170).
- Clarisse pour ses carnets, Olivier Kempf pour EGEA, F-B Huyghe, Sid, Paolo Passeri, Daniel Ventre, Michel Goya ou le marquis de Seignelay pour les échanges, ce qu'ils m'apportent intellectuellement et, plus largement, pour leur contribution à la communauté.

A ces personnes, celles que j'oublie et aux lecteurs / lectrices qui me lisent et que je ne connais pas, je vous donne rendez-vous en 2012 pour une année sans nul doute riche, intéressante et surprenante. Avec, peut-être à la clé, une véritable surprise stratégique si jamais le monde est encore debout au lendemain du 21 décembre 2012 !

mercredi 28 décembre 2011

Pénurie, mythe et déclassement

Sid a écrit au début du mois de décembre un article à propos de la pénurie de compétences de pentesters en particulier et, plus généralement, de "bons" praticiens en sécurité. Réellement pertinent et de niveau prospectif, cet article a fait réagir de nombreuses personnes dans un débat de bon niveau avec beaucoup de points justes soulevés.

De manière plus générale, j'avais également relevé début novembre un bon article sur la fin d'un mythe à propos du niveau informatique des digital natives. L'article en question met en lumière une disparité au sein de la génération Y : tous n'ont pas un niveau informatique de geek, et si un tiers est familier et maîtrise l'usage culturel et dispose des connaissances suffisantes pour inventer ou faire évoluer ces outils, la majorité ne sait simplement que se servir des outils courants comme les réseaux sociaux mais sans forcément en appréhender les rouages, la complexité, les enjeux ou plus prosaïquement les principes de fonctionnement techniques et les technologies employées. 

On pourra cependant rétorquer qu'il n'est pas utile de savoir démonter un moteur thermique pour conduire un véhicule, ce qui sera vrai. En revanche, la compétition économique et l'adaptation / inadaptation de notre société aux évolutions inédites et ultra-rapides d'un monde en pleine mutation ne doivent pas échapper aux décideurs et c'est en cela que ces deux articles sont éclairants : l'informatique (usage, production, innovation), qui a bouleversé les échanges économiques, les usages culturels et a modifié la géographie des territoires ces 30 dernières années, continue de redistribuer les cartes et les centres de pouvoir en profondeur ! Donc les acteurs d'aujourd'hui mais surtout de demain.

Mal préparer la génération qui commencera à prendre le relais dans les 10 ou 15 prochaines années nous coûtera encore des points de PIB, des destructions d'emploi et in fine, la prophétie auto-réalisatrice d'un déclassement de la France (et des autres partenaires majeurs européens) se produira. Mieux vaut tard que jamais reste néanmoins encore d'actualité (pour combien de temps encore ?) et la formation continue (aux outils informatiques) et l'acquisition de nouvelles compétences pour accompagner l'innovation permettront, si l'on demeure un minimum optimiste, d'amortir le choc sociétal et les évolutions induites que la crise en cours ne fait qu'accélérer.

dimanche 25 décembre 2011

Cybersécurité maritime en Europe : de faible à inexistante

On ne le sait peut-être pas assez mais l'Union européenne possède la 2ème façade maritime au monde. Rotterdam, premier port européen, est également l'un des tous premiers ports mondiaux et constitue la première interface maritime de l'Europe et le principal port commercial de la Triade.

Globalement, le trafic de marchandises par voies maritimes pour l'U.E. représente plus de la moitié du trafic total et, sans surprise, dépend de plus en plus de systèmes d'information complexes et interconnectés. Ils n'en sont donc pas moins soumis aux mêmes types de risques et de menaces que n'importe quel S.I.

L'ENISA, pour une fois, fait montre d'originalité (si j'osais j'ose même parler d'avant-gardisme !) en publiant un rapport qui souligne les carences du domaine en la matière où la sensibilité à la problématique cybersécurité varie de "faible à inexistante" ! Pour l'avoir lu attentivement, j'irai donc un peu plus loin que certains* car je trouve ce rapport clair, synthétique et allant à l'essentiel : un constat alarmant mais juste assorti d'une dizaine de recommandations à court, moyen et long terme. 

Je ne les listerai pas en détail puisque l'on retrouve des mesures somme toute assez classiques mais de bon sens : initiation d'un dialogue entre les différents acteurs clé du secteur et connexes (autorités, gouvernement, etc.), faire prendre conscience à tous de la criticité du secteur, sensibiliser et développer les formations, définir les rôles et responsabilités au niveau national et européen, développer des standards et des politiques, etc.

Ce rapport met cruellement en exergue deux faiblesses ayant cours jusqu'à présent et que je trouve assez incroyables : les standards, méthodologies et outils dédiés à la sécurité maritime sont "monolithiques et se focalisent uniquement sur la sécurité physique". De plus, "les ports commerciaux ne sont pas considérés comme des éléments d'infrastructures critiques et la sécurité des systèmes d'information et de communication n'est pas organisée" ! Le rapport insiste pour que le domaine maritime soit traité en problématique "infrastructures critiques" à part entière.

Parmi les recommandations, l'une d'entre elles a attiré mon attention puisqu'elle souligne que les risques ne sont pas suffisamment traités jusqu'à présent du point de vue méthodologique (analyses de risques) : seules l'interruption des moyens critiques de communication ou la divulgation d'informations sensibles sur les navires (parcours, position, équipage, etc.) étaient évalués et traités. Le rapport de l'ENISA recommande donc une approche holistique de la gestion des risques, en évaluant la criticité des services, l'identification et la classification des assets, l'exposition aux risques, etc. 

Même tardive, l'initiative de l'ENISA est à saluer. On peut cependant rester circonspect quant à l'émergence d'une volonté commune. La prise en compte de ses recommandations et leur déclinaison opérationnelle dans les mois qui viennent serviront donc d'anémomètre. 

* même si le jeu de mot est parfait ! ;)

vendredi 23 décembre 2011

De l'usage d'une imprimante laser comme...cyberarme ?!

Si le titre de cet article est volontairement provocateur et utilise sans vergogne le sensationnalisme apparent de certains, le cas récent de l'affaire des imprimantes HP Laserjet n'est peut-être pas si caricatural et soulève de bonnes questions.

On ne le répètera peut-être jamais assez mais la sécurité commence déjà par de l'information : savoir qu'il existe des enjeux voire surtout des risques, même avec une imprimante, est la base d'une protection sérieuse si ce n'est bonne. De ce point de vue, les gens de HP semblent traiter la problématique avec sérieux, depuis plusieurs années.

Du Scud au calendrier Maya !
Le Scud journalistique tiré le 29 novembre 2011 sur le site "Redtape chronicles" a probablement pris par surprise la direction de HP. Comme le reste du monde, ils y apprennent qu'une équipe de chercheurs en sécurité de l'Université de Columbia aurait découvert une vulnérabilité pouvant compromettre des millions d'imprimantes par des piratages dévastateurs ! A se demander si le calendrier Maya ne se serait pas trompé de 387 jours ! 

Plus sérieusement, le problème soulevé est le suivant : la majorité des imprimantes  collectives en entreprise sont reliées au réseau informatique et, si le droit leur est donné ou laissé (attention aux paramètres par défaut !), peuvent se connecter via Internet pour effectuer les mises à jour de leur firmware. Les chercheurs ont donc forcé la mise à jour à distance du firmware sachant qu'aucun certificat n'est demandé pour l'authentification (le cas semble uniquement valable pour les Laserjet antérieures à 2009). Une fois introduits, ils disent avoir pu modifier certaines instructions afin d'augmenter continuellement la température du four. D'après eux et même s'ils ne sont pas allés jusqu'au bout, leur attaque peut conduire à la surchauffe de l'imprimante qui finirait par s'enflammer !

HP a été réactif en publiant un démenti le jour même, expliquant que le four dispose d'une sécurité ("thermal breaker") qui empêche, justement, un début d'incendie. Il reconnaît cependant qu'une vulnérabilité existe bien mais qu'elle ne peut être exploitée qu'en cas d'absence d'un firewall entre l'imprimante et Internet (encore faut-il que le firewall soit bien configuré, autre problème) ou que sur un réseau privé, un acte malveillant soit mis en œuvre pour tenter de modifier le firmware. Enfin, les modèles post 2009 utilisent un certificat afin de garantir l'authenticité du site d'où est effectuée la mise à jour.

Que retenir de cette affaire ?
1) En premier lieu, l'équipe du professeur Stolfo a bien découvert une faille logicielle exploitable, donnant corps à l'idée que, depuis des années, les imprimantes sont à considérer comme des équipements à risque et doivent être protégés comme tels. L'imprimante comme avant-poste d'une attaque (avec un sniffer réseau, pas exemple) ou encore pour transférer "à l'extérieur" l'ensemble des impressions est une menace discrète mais néanmoins efficace. Dans les deux cas, c'est le jackpot assuré pour l'attaquant !
2) HP n'a pas attendu cette découverte pour se pencher sur la question et la traiter du mieux possible. Quels que soient les efforts déployés, des vulnérabilités exploitables seront  toujours découvertes. Simple question de temps, de compétences et de moyens.
3) Même si aucune imprimante ne semble avoir été détruite par "combustion spontanée", une plainte en class-action a immédiatement (!) été enregistrée en Californie, celle-ci se basant sur le fait qu'un rapport publié en 2010 mettait en garde contre les risques de modification d'un firmware à des fins malveillantes. Et donc que HP n'avait pas fait le nécessaire pour informer ses clients.

Il va sans dire que cette partie juridique de l'affaire sera à suivre attentivement, même s'il semble difficile pour les plaignants de remporter ce match facilement. Sauf évidemment, si l'on se place uniquement dans l'objectif de toucher quelques dizaines de milliers de dollars afin d'éteindre la procédure. A choisir, je penche pour cette solution, les enjeux financiers et industriels pour HP et consorts étant bien trop importants !

mercredi 21 décembre 2011

Exercice OTAN Cyber Coalition 2011 : quels enseignements ?

L'OTAN semble prendre l'habitude depuis 2008 d'organiser un exercice majeur dit de cyber-défense. Appelée Cyber Coalition, la version 2011 s'est tenue la semaine dernière (13-15 décembre) et hormis le communiqué officiel, rien n'a vraiment filtré. Face à un scénario d'attaques multiples sur des infrastructures critiques, l'exercice semble n'avoir été que procédural et organisationnel et avait pour objectif principal d'améliorer la gestion de crise et de tester les procédures de prises de décision.

Malgré le nombre important de pays participants (23) et de nations partenaires (6), l'on pourra s'étonner par le faible nombre des effectifs mobilisés au  QG du Shape à Mons et au QG de Bruxelles (une petite centaine de personnes) ainsi que dans les pays associés à l'exercice (une centaine de personnes également). On notera la présence d'un représentant de l'Union européenne en tant qu'observateur, "symbolique", probablement. Cette faible mobilisation du point de vue des effectifs est somme tout "logique" si l'on s'en réfère aux décisions prises depuis le sommet de Lisbonne en ce qui concerne l'approche Otanienne du cyberespace. C'est peut-être ainsi qu'il faut interpréter les décisions de juin 2011, consécutives à Lisbonne, et ayant permis d'élaborer une "politique claire" ? 

De manière plus discrète, et comme je l'envisage déjà depuis plusieurs mois, c'est bien le NCIRC qui devient le bouclier et aussi,  malgré les dénégations, le glaive actif de l'Alliance dans le cyberespace, d'autant plus qu'il sera sérieusement renforcé d'ici la fin 2012. Doté de nouvelles capacités, il deviendra alors le NCIRC-FOC (Full Operational Capability).

lundi 19 décembre 2011

Cybersécurité et développement au menu de l'ECOSOC (ONU)

Le 29 novembre 2011 s'est tenu à l'École militaire un colloque ayant pour thème le cyberespace comme "nouveau domaine de la pensée stratégique". Organisé par le Centre de Recherche des écoles de Saint-Cyr Coëtquidan (CREC) et l'Alliance Géostratégique (AGS), cette journée a pu souligner combien ce domaine est complexe et en devenir et combien il ne peut / ne doit être résumé à ses aspects les plus médiatiques (Anonymous, Stuxnet, ...) ou réduits aux seuls paramètres techniques.

Au niveau international, il est possible de distinguer d'autres facteurs tout aussi importants car ils touchent aux règles du jeu (régulation, compétences juridictionnelles) afin de tenter de mettre un peu d'ordre dans une conflictualité permanente, protéiforme et d'intensité variable. L'aspect normatif et légal est donc essentiel à ceci près qu'il n'en n'existe pas de spécifique (une variété d'accords et de textes s'appliquent ou peuvent s'appliquer) ou, du moins, qu'existent des tentatives plus ou moins avancées dans différentes organisations. Certains États n'ont pas attendu d'hypothétiques accords pour faire part de leurs propres règles d'opérations et d'engagement. Notons alors combien il sera difficile de converger, d'autant plus qu'une des principales dynamiques est le fait de l'OTAN qui, sans être illégitime sur les aspects de "Global Commons" ("Biens Publics mondiaux") devrait in fine apporter sa contribution, de mon point de vue, à l'organisation mondiale la plus légitime : l'ONU.
  
La semaine dernière d'ailleurs, le Conseil Économique et Social des Nations Unies (ECOSOC) a organisé un Special Event d'une demi-journée autour de la cybersécurité et du développement. Cet événement abordait une triple thématique :
- Sensibiliser les membres d'ECOSOC en dressant un panorama des enjeux et des défis soulevés par la cybersécurité dans le cadre du développement;
- Identifier l'ensemble des bonnes pratiques en termes de politiques et d'initiatives au niveau mondial pour construire une culture cybersécurité;
- Explorer les options de réponse globale vis à vis de la cybercriminalité.

Au final, l'objectif était "d'avancer des idées sur les éléments clé requis en termes de réponse globale et de canevas en réponse à la problématique cybersécurité / cybercriminalité". J'avoue ne pas avoir encore eu le temps de regarder les presque 3h du podcast disponible. S'il y a un(e) volontaire, la communauté lui en saura gré ! ;) 

J'aimerai enfin signaler l'un des documents disponibles (dans le cadre de cet événement) qui, méritera une analyse approfondie, puisqu'il permet d'en savoir un peu plus sur les rapports de force, les propositions et les loupés autour du cyberespace au sein de l'enceinte des Nations Unies. J'ai, par exemple, appris que "la Russie avait proposé un traité dès 1998 qui proposait de bannir du cyberespace tout usage à des fins militaires" ! Cette proposition, clairvoyante et par ailleurs déjà évoquée en 2010 par CIDRIS, était simplement en avance d'une bonne décennie sur les...Global Commons et anticipait la montée en puissance des risques dans et par le cyberespace.

jeudi 15 décembre 2011

Cybersécurité do Brasil : phase 2

Il y a 6 mois, le Brésil annonçait la création du CDCiber (Centro de Defesa Cibernética), unité en charge de la problématique cybersécurité et opérée par l'Armée de Terre (Exército) pour le compte du ministère de la Défense brésilien.

Cette unité devrait être opérationnelle d'ici quelques jours mais d'ores et déjà, trois points méritent d'être soulignés :
- Organisateur de la coupe du monde de football en 2014 et des jeux Olympiques d'été de 2016, il va sans dire que des attaques cybernétiques visant les infrastructures de transport d'information, de production d'énergie ou simplement paralysant les moyens de communication spécifiquement mis en place pour les média auraient un impact extrêmement négatif en terme d'image.
- On ne le sait peut-être pas suffisamment mais le Brésil est l'un des pays du "top 10" mondial en matière de cybercriminalité (spamming, phishing, élaboration de virus). Comme dans certaines favelas depuis des mois, le gouvernement a décidé un "grand coup de balai".
- Enfin, première puissance d'Amérique du Sud, économie émergente mais qui va davantage peser dans les années qui viennent ("or vert", "or noir" - lire mon article de juin - et même terres rares), une puissance régionale de cette envergure ne peut tout simplement pas "louper" le train de la lutte dans le cyberespace qui, si cela est encore nécessaire, souligne l'importance de plus en plus stratégique de ce domaine aux frontières du physique et du virtuel.

Source : ici + traduction

mercredi 14 décembre 2011

Cybersécurité en Europe : c'est maintenant ou jamais !

"Peu de hasard, beaucoup de nécessité"

J'ai toujours aimé cette phrase, tirée d'un essai de Jean d'Ormesson "Presque tout sur presque rien", livre foutraque traversé de fulgurances et de profondeurs métaphysiques qui soulignent l'esprit agile, passionné  et toujours jeune de cet Académicien presque "quadragénaire" !

Peu de hasard donc et assurément beaucoup de nécessité puisque d'un week-end studieux où j'ai pu préparer plusieurs articles, une idée tenace n'a cessé de m'accompagner, celle d'approfondir une question que je soulève par moments : quid de la cybersécurité sur le "Vieux Continent" ? Car à force d'observer, d'analyser et de communiquer régulièrement sur les avancées massives dans le domaine CyberSec aux États-Unis, ne se dessine plus un fossé mais bien un gouffre ! 

La crise ? Des enjeux mais surtout des opportunités !

En cette période de crise majeure  et protéiforme (financière, économique, politique , sociale, sociétale, etc.), la discipline budgétaire donc de gouvernance économique de la zone euro (les 17 + 9 ou les 27 - 1, au choix), associée à une convergence fiscale à moyen terme entre, au moins l'Allemagne et la France, peuvent être qualifiés d'un début de dynamique vers un fédéralisme, abhorré ou souhaité

Mon propos ici n'est pas de traiter cet aspect complexe et souvent passionnel pour lequel, d'ailleurs, je n'ai qu'un avis de citoyen trivial voire manichéen (pour ou contre). Je souhaite simplement souligner une opportunité parmi de multiples autres, peut-être unique, car une crise, quelles que soient ses dimensions et son ampleur, est aussi un moment unique d'entreprendre, d'innover et de créer pour s'adapter (voire inventer) aux nouvelles règles en gestation  d'un environnement décomposé qui se recompose

Tâchons donc de relever si parmi la multiplicité des enjeux la problématique cybersécurité apparaît aux yeux des politiques comme un enjeu stratégique (à l'instar des USA) pour lequel se joue aussi une partie du destin commun et d'une certaine idée de l'Europe ? Si ces initiatives en cybersécurité existent, quelles sont-elles ? A l'inverse, une véritable volonté politique ne pourrait-elle (devrait ?) pas servir de levier pour de nombreux autres domaines (l'industrie la recherche, etc.) ? S'interroger c'est déjà y répondre mais si une certitude existe c'est que l'Europe doit dès à présent investir et développer sa puissance en unissant ses multiples ressources afin de protéger efficacement les citoyens d'aujourd'hui et les générations à venir.

De la vitrine crétoise au No Man's Land : la cybersécurité en Europe
Reconnaissons tout d'abord que des structures, adossées à un mandat (ou une stratégie),  existent mais qu'elles sont essentiellement nationales, avec une apparente  volonté politique plutôt faible de converger à un niveau supérieur (européen au sens large, communautaire, autre). 
Au niveau communautaire existe l'ENISA depuis 2004, une belle vitrine le plus souvent silencieuse dont 99,95% des Euro-citoyens ne connaissent même pas l'existence. Cet organisme n'a qu'un mandat limité, et ne produit le plus souvent que des analyses techniques, des avis sur les vulnérabilités (il dispose d'un CERT connecté aux CERTs de ses membres) et des recommandations que ses membres sont chargés de décliner ou d'appliquer au niveau national...ou pas.
Passons rapidement sur le processus de Tallinn, censé organiser et développer la thématique "Infrastructures critiques" au sein de l'Union, et qui semble mort-né. Enfin, il y a la création annoncée à la fin de cet été d'une  super Agence IT européenne pour la "Justice, les libertés et la sécurité" localisée à...Tallinn, près du centre cybersécurité de...l'OTAN. 

Malheureusement, en l'absence de volonté au plus haut niveau, que ce soit à la Commission européenne, au Conseil de l'Union européenne (gouvernements) ou au Conseil européen (les Premiers ministres et Président(s)), il est à craindre qu'il faudra un incident, un accident ou une crise majeure pour faire bouger les choses.

Arrêtons les postures et les créations mort-nées : fédérons l'existant !

Pourtant nul besoin d'inventer ou de créer quelque chose ex nihilo car existent déjà l'essentiel des structures, des acteurs et des moyens. Seule manque une volonté traduite en initiatives suffisantes pour amorcer une véritable dynamique. On pourrait, par exemple, créer des pôles transverses à l'image de l'initiative CASED en Allemagne, dans le Länder de Hesse. Réunis autour de trois pôles technologiques universitaires, étudiants, chercheurs, ingénieurs, criminologues et experts sont réunis dans ce pôle d'excellence "à l'allemande". Le modèle de pôle d'ailleurs, va plus loin que les pôles de compétitivité " à la française" qui malgré d'indéniables réussites possèdent, à mon sens, deux handicaps sérieux : la collaboration hors des frontières est timide et peu encouragée et le ministère de l'Éducation n'est pas directement associé aux travaux  (essaimage, création de filières ad hoc dès le lycée, etc.). A l'inverse, CASED s'appuie sur un réseau d'expertise international extrêmement sérieux et développé.

Sans présager des annonces, de leurs effets, de la réalité et des postures, que l'on ne se méprenne pas sur ma critique : elle n'a pour seul objet que d'encourager une initiative  à l'échelle européenne forte, viable et réelle sans s'interdire des coopérations internationales. Il est encore temps d'agir sans attendre de devoir réagir et, surtout, sans laisser une structure militaire (OTAN) conduire les débats qui doivent rester cantonnés au niveau civil et citoyen. Malgré de telles tentatives aux USA (j'y reviendrai très bientôt), le politique a tranché en séparant explicitement périmètres opérationnels et juridictions : les réseaux militaires au Pentagone, les réseaux fédéraux et gouvernementaux au DHS

Prenons garde que le gouffre auquel je faisais allusion en introduction ne devienne pas la fosse des Mariannes au-dessus de laquelle nous n'aurons d'autres choix que de faire appel à des moyens et des ressources extracommunautaires.

Note : vous pouvez également retrouver cet article sur le site de l'Alliance Géostratégique.

vendredi 9 décembre 2011

Les "cyber-cadets" du Pentagone

Alors que la fin de l'année 2011 se profile et que les inévitables bilans vont commencer à fleurir, arrêtons-nous une fois encore sur les États-Unis. Qui, soit dit en passant, s'ils ont en déclin d'après certains, conservent cependant un pouvoir d'attraction (économique, médiatique, scientifique, etc.) sans équivalent, devant même celui de la Grande muraille (de Chine) !

Nos cousins d'Outre-Atlantique donc, depuis que leur administration a décidé de traiter le cyberespace au même rang que les autres dimensions (terrestre, maritime, aérienne et spatiale), font feu de tout bois et dans toutes les directions. De surcroît, ils communiquent et plus que bien. On pourra toujours leur reprocher l'utilisation de la communication comme un vecteur d'influence avec ce que cela recouvre de techniques manipulatoires, dilatoires, etc. et l'on aura en partie raison. Pour autant, l'une des fascinations que l'on peut éprouver à l'égard des USA, est ce mélange de transparence parfois exagérée et de culture du secret. Une ambivalence parfaitement assumée depuis des décennies et qui leur permet de garder un vrai leadership. Dans de nombreux domaines y compris dans...le cyberespace.

Prenons, par exemple, l'Air Force, en pointe pour le Cyber par rapport aux autres armes : elle dispose d'un programme de formations spécifiques mais prépare aussi les recrutements de demain. A travers l'Air Force Association, le programme CyberPatriot a pour objet de faire s'affronter des dizaines d'équipes d'étudiants lors de plusieurs sessions  cybersécurité dont l'objet est de  renforcer et sécuriser un système (puis deux systèmes pour les 36 équipes sélectionnées) qui subit ensuite, une batterie d'attaques en règle afin d'en mesurer la robustesse. D'autres épreuves comprennent également des problèmes de sécurité plus ou moins complexes que les équipes doivent résoudre.

Au final, l'Air Force enverra les 12 meilleures équipes se mesurer aux finalistes des autres armes lors de la finale nationale organisée à Washington en mars 2012.  Cette finale sera placée sous le spectre des analyses post criminelles et forensiques. L'intérêt d'un tel programme, unique au monde, est multiple : 
- Donner l'envie et le goût aux étudiants de poursuivre leurs études supérieures dans les filières techniques réunies sous le vocable STIM (Sciences, Technologies, Ingénierie, Mathématiques - STEM en anglais). Comme en France et en Europe plus généralement, il existe une véritable désaffection pour ces filières;
- Disposer d'un réservoir de "potentiels"  et repérer les talents que le Pentagone ou ses sous-traitants (partenaires du programme CyberPatriot) ne manqueront pas de contacter d'ici 3 à 5 ans (quand ce n'est pas déjà fait);
- Générer un afflux de candidats en affichant les ambitions (et les moyens) technologiques de la Défense U.S. (génération "techno-enthousiaste);
- Enfin, tester mine de rien des concepts via des prototypes industriels fournis par les partenaires industriels du programme, ce qui représente un gain de moyens, de temps donc d'argent manifestement significatif.

En résumé, on a là une autre facette de la volonté des USA d'essayer de prendre l'ascendant dans le cyberespace au travers de la détection des chercheurs et  des opérateurs de demain (3 à 10 ans), l'opportunité de tester de nouvelles solutions techniques et dynamiser l'engouement que peut générer un tel programme auprès de la jeunesse technophile américaine. Une fois encore, et toutes proportions gardées par ailleurs, un programme de type "Cyber-Erasmus" en Europe aurait une véritable incidence et serait une façon de préparer un avenir, dans le cyberespace et au-delà, par ailleurs incertain.

mercredi 7 décembre 2011

Du virtuel à la réalité : le Cyber arsenal (2/2)

J'avais subrepticement évoqué, début novembre, le 1er colloque Cybersécurité organisé par la DARPA. L'agence américaine chargée de la R&D du Pentagone est le lieu privilégié pour assurer la cohérence entre le cyber, les armes cinétiques, les armes non-cinétiques et la combinaison de ces éléments.  Pour qui serait attentif à ce blog, je m'étais attelé à ce sujet complexe et sensible (donc avec peu d'informations disponibles) en janvier 2011 (la suite de cet article viendra, soyez en assuré ! :)

Lapalissade s'il en est, la directrice de la DARPA reconnaissait qu'il était temps d'envisager de nouvelles réponses techniques puisque rien ne changeait vraiment dans le cadre des développements logiciels tandis que les menaces, elles, s'adaptent, évoluent et ont pris une certaine avance en terme de sophistication. L'émergence et la dangerosité de Stuxnet, dont la finalité est bien de s'attaquer à un équipement physique, ont fait prendre conscience à de nombreux acteurs et observateurs que des ruptures technologiques sont devenues nécessaires afin de reprendre l'avantage. Ou du moins d'essayer.

Sans présager de la qualité des cyber-armes offensives déjà disponibles (Stuxnet-like ? Pire ?), il n'est pas besoin d'être grand clerc pour réunir des informations publiques mais disparates pour les croiser avec un certain embarras de responsables politiques (et militaires) des États-Unis lorsque l'on vient sur le terrain d'armes cybernétiques. Les USA sont probablement en train de se constituer un cyber-arsenal dont certains projets sont sûrement à un niveau de TRL plutôt avancé. 

L'accroissement du budget cyber de la DARPA pour l'année fiscale 2012 (+73%) et pour les 5 prochaines années est un gage du sérieux avec lequel cette enjeu est traité. Parions enfin que, d'ici quelques mois et années, des retombées industrielles et civiles  interviendront sûrement dans le domaine des TIC et qu'elles le devront aux programmes en cours au sein de la DARPA. Qui, l'Histoire repassant quand même parfois les plats, est à l'origine de la création du réseau des réseaux (ARPANet --> Internet).

Ce billet est la suite de celui-là.

lundi 5 décembre 2011

Cyber Flag, 1er cyber-exercice majeur de l'U.S. CyberCom

Passionnés et professionnels de l'aéronautique militaire connaissent bien les "Red Flag" organisés tous les 4 ou 6 ans sur la base aérienne américaine de Nellis AFB, dans l'État du Nevada, qui possède l'un des plus grands polygones d'exercice au monde (la moitié de la Suisse environ !). Voyant s'affronter deux forces d'opposition, les "bleus" et les "rouges", nombreuses sont les forces aériennes à venir s'y entraîner et l'Armée de l'air française s'y est souvent distinguée.

C'est sur cette même base de Nellis et le même principe de forces "Agresseurs / Agressés" que le commandement Cyber de la Défense américaine, l'U.S. CyberCom, a organisé son premier cyber-exercice majeur. 300 spécialistes interarmées (en activité, de la Garde Nationale, de la réserve mais aussi civils et sous-traitants) répartis dans 2 équipes avec un objectif diamétralement opposé : l'une devait détecter et protéger les tentatives d'attaque sur les réseaux du CyberCommand, tandis que l'autre équipe devait tenter de pénétrer ces mêmes réseaux à coup de codes malveillants et d'intrusions réseaux sophistiquées.

Les résultats sont évidemment classifiés et ne seront pas portés à l'attention du public. L'on sait simplement que "les attaques n'ont pas pu être empêchées à 100%" mais que "la majorité des menaces a pu être identifiée et les réponses appropriées rapidement mises en œuvre". Le Général Alexander, patron de l'USCC a exprimé sa satisfaction car cet exercice aurait démontré les capacités opérationnelles de son unité, celles-ci ayant même "dépassé les attentes"

Sans faire la fine-bouche, on soulignera cependant que des attaques majeures potentielles dans "la vraie vie" ne chercheraient pas uniquement à s'en prendre à une seule cible comme les réseaux de l'U.S. CC. Infrastructures de transport d'électricité, de communication, de passagers, de données, etc. pourraient être attaquées simultanément, donnant ainsi une autre dimension, donc une plus forte crédibilité, à ce genre d'exercice forcément utile et riche de nombreux enseignements.

Source : http://informationweek.com/news/government/security/232200508

mercredi 30 novembre 2011

Du virtuel à la réalité : le Cyber arsenal (1/2)

Cet article débutera par un clin d'œil appuyé au Marquis de Seignelay à qui j'avais promis, il y a quelques semaines, que ce qu'il m'avait appris méritait un article. Parole respectée puisque c'est celui-là même que vous avez, pertinemment, décidé de lire !

Amateur éclairé du jeu d'infiltration Metal Gear Solid, il me fit référence à l'Arsenal Gear pour lequel je dus aussitôt avouer une absence totale de connaissance quant à l'existence d'un tel système.  Il faut dire qu'au rayon des jeux sur consoles, je suis plutôt monomaniaque avec la série Call of Duty (qui a de quoi satisfaire parmi les plus vils instincts, typiquement masculins ! Honte à nous :).

Trêve d'auto-dérision (mais cependant reflet d'une certaine réalité), l'Arsenal Gear a permis au Marquis d'écrire un article que je trouve passionnant, dans une perspective stratégique et avec une vision prospective aptes à échauffer les neurones.

Pour résumer ce qu'est cette plateforme, c'est une sorte d'immense forteresse sous-marine dont la capacité principale est de pouvoir surveiller, bloquer et falsifier les informations transitant via Internet ! Pour certains (geeks, probablement ! :), il s'agit d'une métaphore qui illustre un changement de paradigme géostratégique où l'on est passé de l'épée de Damoclès nucléaire de la seconde moitié du 20ème siècle au cyberespace du 21ème siècle et à ses "cyber-conflits*", ceux de de l'espionnage informationnel et économique...

* je reconnais avoir toujours des réserves avec le terme "cyberguerre".
(To be continued)

vendredi 25 novembre 2011

Cloud 2012 : pluie d'attaques ou renforcement de la protection ?

Alors que la Directive Européenne 95/46/CE est en cours de refonte depuis des mois, seul le versant privacy (vie privée et données personnelles) a eu le droit récemment aux feux de la rampe à travers la polémique Facebook. Même si elle est d'une grande importance, l'essentiel de cette directive porte peut-être ailleurs. 

C'est l'objet d'un récent article du blog ami et transalpin de Paolo Passeri. Cet article souligne que si 2011 confirme l'émergence des problématiques de Sécurité liées au Cloud, 2012 devrait voir s'amplifier le phénomène en terme d'attaques mais pas seulement.

On peut, de manière schématique, rappeler le trio d'acteurs dont l'intérêt et parfois les objectifs peuvent être contradictoires (business donc $/€)  :
- les opérateurs de services dont l'intérêt principal est d'attirer le plus d'entreprises désireuses d'externaliser une partie de leur DSI (serveurs, applications bureautiques et métier mais aussi voire surtout services afférents : Haute-disponibilité, support technique et supervision H24 - 7/7);
- "l'entreprise" (car reflétant des aspects bien divers en terme de taille, de CA, d'implantation, etc.) pour laquelle de vraies économies (coûts de possession, gestion de l'obsolescence, etc.) sur l'outil de production informatique sont attendues;
- le législateur qui se doit de déterminer qui du fournisseur de service ou du client est responsable en cas d'intrusion informatique avérée via les moyens de l'un pour passer vers l'autre (et vice et versa) ! De l'oeuf ou de la poule, l'Union européenne semble s'être rangée à une certaine sagesse en ne retenant qu'un responsable : le fournisseur de service. Qui, en conséquence, doit s'engager à fournir un service entièrement sûr et sécurisé. Vaste sujet qui devrait amener une multiplication des affaires et autres incidents dans les mois qui viennent.

Pour cette dernière assertion recensons l'intérêt majeur d'utiliser le Cloud pour une cyber-attaque :
- Une allocation dynamique des ressources compliquant au possible la détection préventive ou, si l'attaque a réussi, le forensique;
- Des faiblesses d'infrastructures et/ou organisationnelles parfois incroyables comme dans l'incident EC2 (Cloud d'Amazon) au 1er semestre 2011;
- Des vulnérabilités logicielles et/ou de conception bien réelles et donc, pour le moment, exploitables (même si peu exploitées - Lire quand même la fin de l'article de Paolo);
- Enfin, une réglementation encore disparate dont la Directive européenne 95/46/CE devrait permettre d'apporter le niveau de confiance suffisant que les (futurs) clients sont en droit d'attendre (et que Verizon, acteur majeur du Cloud poussait fortement depuis des mois).

L'année 2012 sera donc l'année du plein succès ou du relatif échec de la migration de nombre d'entreprises vers le cloud. La problématique Sécurité tant du point de vue technique qu'organisationnel et, évidemment, juridique devra être le fil conducteur au même niveau que la rentabilité attendue ou de l'avantage concurrentiel souhaité. Sous peine de contribuer à de graves désillusions et à l'adoption bien trop tardive d'un service générateur de croissance du PIB dans une période aussi cruciale où celui-ci en a bien besoin.

mercredi 23 novembre 2011

Internet, syndrome Minority Report, Google et CIA !

Contempteurs ou passionnés de science-fiction mais aussi (et surtout) communauté du renseignement, voici une information qui devrait mettre tout le monde d'accord ! Recorded Future, une entreprise américaine, propose un service d'abonnement qui permet d'anticiper certaines tendances donc, d'une certaine manière, de prévoir le futur !

Sans atteindre le syndrome Minority Report, son postulat de départ est de dire qu'Internet a atteint une maturité suffisante qui reflète le monde. De fait, ses outils analysent plus de 50 000 sources ouvertes et plus de 100 000 pages par heure ! Les sources sont aussi diverses que le système de recherche des évènements  financiers collectés par la SEC (le "régulateur" de Wall Street pour faire court) ou les commentaires sur Twitter.

Le résultat est de pouvoir, semble-t-il, anticiper la sortie officielle de produits, prévoir le contenu d'Assemblées Générales (des résultats d'entreprises) et même de tendances économiques et financières ! Notons, et cela n'est pas anodin, que l'entreprise a pour investisseurs Google et In-Q-Tel. Cette dernière n'étant rien de moins que le fonds d'investissement de...la CIA !

vendredi 18 novembre 2011

Infobésité + réseaux ultra-rapides = risques ? (2/2)


D. Cheriton est professeur à l’illustre université de Stanford, A. Bechtolsheim est quant à lui l’un des fondateurs de Sun Microsystems. Ils ont créé Granite Networks en 1994, rachetée 2 ans plus tard par Cisco, qui proposait alors l’un des tout premiers switch Gigabit Ethernet.

Aussi passionnés de technique et d’entreprendre l’un que l’autre, ils ont créé Arista, une autre société, en apportant chacun 100 millions de dollars en capitaux propres. Leur approche est de se focaliser entièrement sur un développement logiciel novateur de leurs équipements de routage réseaux qui soit novateur. L’idée générale est de constater que l’Internet a atteint une incroyable complexité et qu’il comporte de nombreuses failles (logicielles) sans compter les innombrables bugs qui ont eux aussi explosé avec la croissance du « réseau des réseaux ».

L’ennemi est donc cette complexité, qui peut se mesurer en millions de lignes de code ou d’interactions, croit savoir un ancien associé de feue Granite Networks. Une phrase qui résonne étrangement à l’heure du développement du cloud qui concentre l’ensemble du meilleur de chacune des technologies disponibles actuellement (virtualisation, authentification forte, haute-disponibilité, protection des données, etc.). 

Cher lecteur : arrivé à ce point de la lecture, ne sens-tu pas un trouble t'envahir ? Celui d'attendre avidement que l'on parle enfin des risques et de s'éviter de penser qu'on est en train de lire une...publicité, avec l'affreuse impression de se faire...manipuler ?

L'article du New York Times à peine terminé, le doute n'est plus permis : comment cette référence mondiale en terme de journalisme a pu se laisser embarquer dans une supercherie détestable ? Le titre, "l'accroche" comme l'on dit dans le milieu, nous promettait une lecture distrayante et de haut niveau ?! La limite est franchie lorsque D. Cheriton ose clamer "qu'il ne faudrait pas plus de 30 secondes aux militaires Chinois pour faire tomber notre civilisation connectée" ! A coup de missile, de laser ou de hacking ?

Navigant entre FUD et marketing, cet article aura tout de même reçu des réactions bien moins médiatisées mais sûrement plus intéressantes dans ce que l'on y apprend.  Hormis la suspicion d'un bras de fer entre Arista et Cisco ("pas la peine de réinventer Internet") et la complicité journalistique du NYT, on peut se demander si ce ne sont pas des centaines de millions de dollars qui sont en jeu ? Comme au moment du rachat de Granite Networks en 1996 par...Cisco ?!

mercredi 16 novembre 2011

Infobésité + réseaux ultra-rapides = risques ? (1/2)

La plateforme d'hébergement Blogspot qui héberge ce blog ainsi que des millions d'autres, propose un onglet "Statistiques" simple et utile. Au-delà du simple fait de vouloir simplement connaître la fréquentation ou la provenance géographique de l'équipement IP qui accède à l'un ou l'autre des articles proposés sur ce blog depuis bientôt 4 ans, les "sources du trafic" sont d'un réel intérêt.

C'est d'ailleurs grâce à cet indicateur que j'ai pu relire l'un de mes tout premiers articles écrit en mai 2008, oublié depuis, et qui traitait d'infobésité mais de façon moins érudite qu'ici. Cet article a servi, parmi d'autres articles de référence, pour élaborer récemment l'une des wikipages d'EduTech Wiki à propos de  "l'Appli-bésité". Ce qui est, évidemment, loin de me déplaire !

Trêve de caresse égotique, ce rappel étant fait, il me permet de faire le rapprochement avec un article paru dimanche dernier dans le New York Times. Deux pionniers de l'informatique et du Net, David Cheriton et Andreas Bechtolsheim, accessoirement entrepreneurs et multi-millionnaires, s'interrogent sur les risques qui pourraient peser sur les réseaux ultra-rapides (Ultrafast Networks). En tout cas c'est ce que le titre de l'article nous promet...

(la suite dans la seconde partie)

lundi 14 novembre 2011

(Cyber)Eldorado et (Cyber)Far-West

L'Alliance Géostratégique a publié vendredi dernier le 2ème article de la série écrite en collaboration avec le blog allié CIDRIS - Cyberwarfare. CIDRIS et moi-même essayons de distinguer la part de l'échec qui peut être imputée au marketing et à l'adoption d'équipements voire de stratégies de sécurité alors que l'existant n'est pas forcément inadapté ou obsolète et que des améliorations relativement simples pourraient amplement répondre à une partie des besoins immédiats !

Des mesures de bon sens couplées à des règles simples permettraient d'assurer un niveau de protection acceptable en attendant de s'atteler vraiment à ce chantier où la complexité le dispute à l'empilement de dispositifs et de dispositions parfois sans cohérence ou avec de multiples recouvrements.

Enfin, je note, que le site d'AGS publie de plus en plus d'articles traitant du cyberespace depuis la rentrée de septembre. Il faut sans doute y voir la marque d'un intérêt  pour un sujet majeur qui est appelé à se développer et à s'ancrer dans la durée. Qu'on le regrette ou non, le cyberspace est devenu un mélange de nouvel Eldorado pour certains et de Far-West pour d'autres.

mercredi 9 novembre 2011

Sur les sentiers de la cyberguerre

Stuxnet, DuQu, Areva, Sony, etc. L'actualité cybersécurité se fait bruyamment entendre depuis plusieurs mois et sitôt les disciples de Guy Fawkes un peu moins présents, c'est la Chine et ses hordes de hackers qui ressurgissent, à tort ou à raison. 

La Chine donc, dont on ne sait si son cyberarmement relève davantage de la posture et du subterfuge ou s'il faut plutôt y voir LA menace actuelle et des années à venir ? Les avis sont tranchés, les rideaux de fumée nombreux, les multiples bluffs possibles, et l'on passera "au résultat" lorsque l'état des forces en présence aura été révélé, s'il doit l'être du fait de confrontations possibles impliquant des actions offensives dans le cyberespace

Par ailleurs, il ne faudrait pas occulter que désigner la Chine pour des actes dont elle n'a rien à voir, revient à masquer les nombreux autres acteurs (Etats, organisations criminelles, exploits individuels). A l'inverse, il peut y avoir un intérêt de grignoter par la périphérie le soft power dans lequel la Chine investit depuis des années.

A faire fi de ces éléments, il est à craindre que l'on restera cantonné à du monologue débat d'experts qui n'intéresse qu'eux seuls (par opposition aux thèmes de société, accessibles au plus grand nombre). Pour autant, et si l'on doit parler de cyberguerre ou, du moins, de cyber-conflits et de cyberarmes, autant considérer qui est en réalité le possible metteur en scène de cette pièce digne du théâtre Nô : les États-Unis !

Intéressons-nous seulement quelques minutes au 1er colloque de la DARPA sur la cybersécurité qui s'est tenu avant-hier (j'y reviendrai) pour comprendre qui mène la danse. Ce qui, d'ailleurs, est à mettre en perspective avec la stratégie américaine dans le cyberespace : techniquement innovante, richement dotée (dans un contexte budgétaire pourtant contraint), opérée principalement par le Pentagone avec le DHS en appoint, il n'y a pas, à ma connaissance, d'autre nation au monde dont l'effort, les ressources et les moyens sont équivalents.  

En fin de compte, ne serait-ce donc pas une excellente raison pour s'inventer des menaces bien supérieures à ce qu'elles sont en réalité et ainsi justifier de respectables budgets ? Le débat mérite certainement d'être posé et les avis, d'où qu'ils viennent, à considérer. A vos plumes ! :)

vendredi 4 novembre 2011

"Chasseurs de failles" : l'initiative SVCRP de Secunia

Il y a maintenant plusieurs mois que ce blog n'avait plus parlé de disclosure, full ou partial, SCADA ou pas, cela ne revêt pas vraiment d'importance. Probablement parce que le sujet est traité depuis des années par d'autres confrères bien plus légitimes sur un sujet Ô combien délicat (je pense à Sid en particulier). Sûrement aussi parce que sœur Anne n'avait rien vu venir de vraiment croustillant depuis une certaine polémique au dernier TakeDown(Conference).

Pourtant, un pas peut-être historique a été franchi par Secunia, l'un des tous premiers acteurs (si ce n'est le premier) de gestion des incidents de sécurité. Qui est donc en pointe en matière de recherches de vulnérabilités (logicielles) et dont le service d'alerte (payant) intéresse de nombreuses sociétés dans des secteurs aussi divers que l'automobile, l'aéronautique, le spatial, etc. Bref, nombre d'entreprises développant des équipements pouvant embarquer du logiciel. 

Secunia propose un programme d'initiative un peu particulier, le SVCRP, puisqu'il récompense (mais ne rétribue pas, petite nuance) tout découvreur de faille(s) qui l'en informerait. On a là un système intelligent, presque symbiotique, puisque le découvreur de la faille n'est plus un dangereux délinquant vautré dans l'illégalité (même et peut-être surtout si c'est un white hat !), qu'il est récompensé par des nuits d'hôtel ou des bons d'achat et peut même être cité publiquement s'il le désire. Ce qui contribue à une visibilité accrue du chercheur.

Cette initiative originale est particulièrement intéressante puisqu'elle "dépénalise" d'une certaine manière la découverte et l'annonce de vulnérabilités, que l'auteur en est récompensé même si la découverte n'a pas de valeur commerciale ensuite (cas du système qui était jusqu'à présent le seul existant) et qu'il y a une amélioration de l'efficacité puisque les découvertes sont laissées à la charge des chercheurs tandis que le processus aval de qualification (le "scoring") de la faille et sa mise à disposition (commerciale ou non) est du ressort de Secunia.

mercredi 2 novembre 2011

Chinois et satellites : aveugler, hacker ou détruire ?

Doit-on vraiment s'étonner des "révélations" effectuées la semaine dernière par la fameuse commission U.S.-China Economic and Security Review ? Après tout, quel degré de surprise devrait nous agiter puisque n'importe quelle interface devient potentiellement "piratable" à partir du moment où elle se trouve connectée directement ou indirectement au web ? 

Ce ne sont pas les dénégations d'un porte-parole du ministère des Affaires étrangères chinoises qui viendront modifier la perception puis l'idée martelées depuis plusieurs années que la Chine est devenue la principale menace dans le cyberespace ! Et ce, à tort ou à raison ! Autrement dit, pourquoi seules certaines nations "occidentales" auraient le droit et les capacités techniques à pénétrer, par exemple, des systèmes satellitaires (sol/bord) ou, soyons fous, de retarder efficacement un programme nucléaire en développement ? 

D'un côté la dotation en moyens cyber-offensifs serait légitime, de l'autre il s'agirait de capacités illégitimes confinant potentiellement à une escalade vers de futures cyber-guerres ?! Il faut raison garder en la matière et ce blog, comme d'autres (1, 2), continuera modestement à essayer de démêler l'écheveau et le brouillard qui noient trop souvent les problématiques de sécurité dans le cybersepace. 

En attendant, n'oublions pas que les chinois sont les seuls avec les USA à pouvoir détruire un satellite à partir des couches basses de l'atmosphère. C'est à dire à partir d'un système d'armes aéroporté autrement appelé avion de chasse. Ils peuvent aussi aveugler un satellite par laser. C'est dire s'ils peuvent aussi hacker !

dimanche 30 octobre 2011

Stuxnet 1 - Presse 0 : le retour !

Début 2011, l'affaire Stuxnet secouait le monde de la cybersécurité, la blogosphère ainsi que nombre de média plus traditionnels c'est à dire les "vrais" journalistes. Plutôt amusé, je m'étais fendu d'un billet soulignant certaines approximations ou, pire, des contre-vérités dont on pouvait s'interroger si l'objectif n'était pas de faire (uniquement) du buzz. 

L'automne et les marronniers
Cet automne, c'est Slate qui nous gratifie d'un article mi-figue mi-raisin mais surtout, là encore, sensationnaliste ou plutôt, qui tente de l'être. Prenant comme point de départ le piratage permanent qu' Areva aurait subi durant 2 ans, l'article dévie vers Stuxnet qui, je l'apprends épaté, était un "formidable" virus ("perfectionné" et/ou "complexe" auraient amplement suffit dans l'enthousiasme) qui a paralysé le programme nucléaire iranien durant "deux ans" (pas plus d'un trimestre en vérité) en mettant hors service les réacteurs nucléaires de la centrale de Bouchehr. En réalité, il s'agissait des centrifugeuses d’enrichissement du plutonium qui étaient la cible finale et plusieurs centaines d'entre elles n'y ont pas résisté (les caméras de l'AIEA placées sur le site en ont rapporté la preuve). 

Encore une victime de Stuxnet ?
Quoiqu'il en soit l'article collectionne les lieux communs et défonce des portes ouvertes sans apporter de nouveauté ou d'élément supplémentaire alors que le sujet est pourtant passionnant. La caution apportée à travers les citations ou les interviews de Bluetouff, Eric Filliol, Nicolas Arpagian ou Daniel Ventre ne suffit malheureusement pas à apporter l'éclairage factuel et juste que le lecteur est en droit d'attendre.