mercredi 26 janvier 2011

Tests GPS du DoD : prudence aérienne aux USA

La FAA, l'administration de l'aviation civile américaine, vient de publier une recommandation de prudence concernant une série de tests prévue sur le système GPS par le ministère de la Défense américain (DoD). Une première série de tests a débuté le 20 janvier et s'achèvera le 11 février puis une seconde série de tests aura lieu du 15 au 22 février. Les GPS susceptibles d'être perturbées pourraient l'être sur le quart sud-est américain,  la zone étant géographiquement étendue : Floride, Caroline du Nord et du Sud, Géorgie, Alabama ainsi qu'une partie de la Virginie et du Tennessee.

Certains forums n'ont pas manqué de s'interroger bruyamment sur de telles dispositions, associant forcément DoD et GPS donc théories du complot. Nul mystère cependant derrière tout cela : nul ne sait pas précisément quels sont ces tests mais il s'agit sans doute d'une mise à jour prudente, veillant à limiter des dysfonctionnements importants qui se sont déjà produits en janvier 2010, lors de la précédente mise à jour.

Comme le rappelle ce bon article, c'est le DoD qui a développé le concept du GPS au début des années 60 et est, depuis un ordre exécutif du président Reagan en 1983 autorisant une utilisation civile, aussi chargé des mises à jour logicielles et de la maintenance des satellites.

lundi 24 janvier 2011

Armes U.S. non-cinétiques 2010-2020 : (re)prendre l'avantage (1/2)

Un article extrêmement intéressant a failli passer sous ma couverture radar et c'est grâce à un article un peu plus « bling-bling » de Wired (21 janvier 2011) que j'ai pu lire celui d'Aviation Week (10 janvier 2011) beaucoup plus sobre mais tout aussi intrigant.

Les événements tragiques du 11 septembre 2001 ont modifié explicitement ou subtilement, selon le recul que l'on en a dix ans après, de nombreux secteurs, autant du point de vue militaire que « civil ». Les opérations de guerre menées en Irak puis en Afghanistan ont essentiellement mis l'accent sur des capacités opératives améliorées ou nouvelles (drones non-armés puis armés, équipement du fantassin, tourelles télé-opérées, opérations réseaux centrées, etc.) mais concernent majoritairement les capacités cinétiques. Ce qui semblait frappé au sceau du bon sens puisque ces conflits sont de basse intensité et asymétriques.

 L'effort occidental et particulièrement américain a donc porté durant la décennie écoulée (2000/2010) sur les capacités cinétiques au détriment des capacités non-cinétiques. Cette période semble terminée puisque les programmes majeurs de type F22 Raptor et surtout F35 Lightning II sont entrés ou vont entrer en service. Ces observations s'appliquent également à l'ensemble des autres programmes (en développement ou qui entrent en service) où les systèmes d'armes de la prochaine génération doivent permettre de maintenir (voire d'augmenter) une supériorité technologique et militaire.

Ce qui paraît rééquilibrer la balance, c'est la possibilité de conflits contre des États, que ceux-ci soient l'Iran, la Corée du Nord ou la...Chine. C'est d'ailleurs l'Empire du Milieu qui sert de mouche du coche aux USA : puissance économique majeure,l'effort financier en terme d'investissements R&D et d'acquisitions de moyens modernes alloué à l'appareil militaire en fait, depuis 2008, le 2ème pays au monde en dépenses militaires juste derrière les USA.

A travers des confirmations du vice Amiral Dorsett, adjoint « supériorité de l'Information » pour les Opérations Navales (et accessoirement patron des services de renseignement de la marine américaine), l'article d'Aviation Week nous apprend que l'U.S. Navy a décidé de porter ses efforts pour la décennie en cours (2010/2020) vers des programmes non-cinétiques. Programmes au premier rang desquels se trouve l'EA-18G « Growler », la version de guerre électronique du F-18 Super Hornet. Cet appareil spécialisé dans la suppression des dispositifs anti-aériens (des radars aux batteries sol-air en passant par les réseaux informatiques associés) disposerait de capacités offensives étendues, au même rang que son "cousin" de l'U.S. Air Force le F35. Ces capacités font l'objet de la deuxième partie de ce billet.

jeudi 20 janvier 2011

Attaques concertées sur le CO2 en Europe

Des attaques de grande ampleur sur le marché européen des échanges CO2 ("Bourses du carbone") vient d'obliger la Commission Européenne a une grande première : fermer les registres jusqu'au 26 janvier.
 
La Tribune explique que « Les attaques étaient concertées. Elles se sont déroulées sur plusieurs jours, dans le but de voler des crédits pour les revendre sur le marché spot », indique la Commission.
Les codes informatiques des registres, sortes de banques centrales de CO2, ont été forcés et les quotas, désignés par un numéro et donc totalement traçables, ont été expédiés sur d'autres comptes. Treize pays ont du suspendre toutes leurs opérations sur le CO2. En France le registre géré par la Caisse des dépôts est resté ouvert.
Au total, les montants disparus avoisineraient 3 millions de tonnes de CO2, pour une somme de plus de 200 millions d'euros. Toujours selon la Tribune, Barclays Capital, un des gros acteurs du marché, a, depuis le début de l'année, interrompu toute opération sur le marché au comptant (spot) du CO2, afin d'éviter de se retrouver avec des quotas volés.

Ce marché met en jeu des sommes d'argent très importantes et l'on comprend aisément qu'il soit une cible de choix pour la cyber criminalité, généralement le fait des mafias des pays de l'Est. A titre d'exemple, la tonne de CO2 s'échangeait au prix moyen de 13€ la tonne en 2010 sur des volumes allant de plusieurs centaines de milliers de tonnes à quelques millions de tonnes ! Je ne dispose pour le moment d'aucune information sur le(s) vecteur (s) et les chemins d'attaque utilisés mais je publierai toute information dans ce sens.

mercredi 19 janvier 2011

Moyens cyber-offensifs et approche systémique

L'OCDE vient de publier une analyse intéressante ayant pour sujet la réduction des risques systémiques dans le cyberespace (le rapport en anglais). Cette analyse se situe dans le champ de recherches "Chocs globaux du futur" et me parait donner la tendance observée en 2010 : les menaces dans le cyberespace sont dorénavant étudiées sérieusement au niveau des centres de décisions à l'échelle planétaire. Et cela au même titre que les atteintes majeures au système financier, les pandémies à large échelle, les pollutions majeures ou les incidents climatiques non limités à une zone géographique régionale.

N'ayant pas eu encore le temps de lire attentivement ce rapport, mais en me basant sur l'article d'ITe qui a attiré mon attention, je m'aperçois que les auteurs arrivent à des conclusions similaires à celles de mon billet du 22 octobre 2010 où j'expliquais que les moyens cyber-offensifs n'auraient que des effets systémiques limités et devaient être vus en complément de l'utilisation de moyens plus "traditionnels".

lundi 17 janvier 2011

Coup de gueule : Stuxnet 1 - "Presse" 0

Le titre de ce billet est trompeur, à juste titre : la saga Stuxnet qui tient en haleine des dizaines de milliers de personnes, au-delà du cercle des initiés et des professionnels de la Sécurité (au sens très général mais les généralités sont parfois utiles), vient peut-être d'acquérir ses lettres de noblesse populaires !
 
On pourra me rétorquer que cela était déjà le cas depuis la fin 2010 mais je contrerai immédiatement en arguant des développements de ces derniers jours : rien qu'en France, une vingtaine d'articles allant du Monde en passant par le Figaro ou l'Alsace nous annoncent que Stuxnet serait bien l'œuvre des USA et d'Israël, ces derniers ayant même testé leur œuvre démoniaque sur des centrifugeuses à la centrale nucléaire de Dimona !
 
Là où je commence à sentir un agacement certain se faire jour en moi c'est de tracer l'origine de l'information, le New York Times qu'une dépêche AFP reprend pour enfin finir dans un concert de copiés-collés ou seul l'ordonnancement de certains paragraphes et des modifications cosmétiques permettent de distinguer "l'original" (AFP) et ses palimpsestes ! Vous pouvez vérifier, cela saute aux yeux (et ça pique :) !
 
La seule démarche critique et relativement salutaire quant à la véracité des faits vient de D. Bourra via le site NanoJV. Une certaine prudence est de mise car D. Bourra ne peut pas non plus être considéré  avec certitude comme étant entièrement objectif et/ou sans partie pris (ce qu'il ne semble pas revendiquer d'ailleurs).
 
Moi qui croyais naïvement qu'un journaliste digne de ce nom se doit de vérifier ses sources et, en poussant le vice, d'écrire des articles prudents et argumentés sur les faits et seulement les faits, je reste étonné par ce niveau d'amateurisme. Alors Mesdames et Messieurs heureux détenteurs d'une carte de journaliste, prenez conseil auprès de vos correspondants appointés des services de l'État ainsi que des spécialistes du domaine ! A tout prendre, je préfère un article prudent cherchant à balayer l'ensemble des hypothèses, quitte à ne pas apporter de réponses satisfaisantes, qu'un article "perroquet" qui ne fait que recopier une dépêche d'agence de presse et exploite une vacuité en mal de sensationnalisme !

Edit : je conseille le billet de Sid sur le même sujet.

mercredi 12 janvier 2011

Cyber-guerriers : mythes ou réalités sécuritaires (conférence)

Je me permets de signaler une conférence qui aura lieu le 8 février sur le thème des Cyber-guerriers avec comme fil conducteur (à démêler si cela est possible !) et corollaire les mythes et réalités associés.
Animé et modéré par Isabelle Tisserand, l'une de mes anciennes consœurs y participeront Eric Walter (Hadopi), le Docteur Pierre Zanger (psychiatre)et Olivier Laurelli pour le Cercle Européen de la Sécurité et des Systèmes d'Information.

Présentation
Le paysage de la défense numérique se complexifie à outrance. Les cyber-guerriers s'organisent de manières privée et étatique ; le livre blanc de la sécurité -dès 2008- rappelait que nous devions désormais compter avec le développement d’une «capacité de lutte informatique offensive et défensive» ; la loi Hadopi fait son apparition en 2009, les médias ne cessent de rappeler aux internautes qu’ils sont tous potentiellement défenseurs de leurs patrimoines informatisés.Compte tenu de ces nouvelles donnes, qu'en est-il du développement formel de la Défense Digitale ? Est-elle privée, d'État, individuelle ou collective? Quels sont les changements culturels à l'origine de ces mutations ?

N'étant pas sur Paris à cette date, j'aurai plaisir d'en lire le compte-rendu et essaierai de le mettre en ligne à l'occasion.

mercredi 5 janvier 2011

Backdoors OpenBSD et FBI

Courant décembre, ZDNet publie un article annonçant que le FBI serait soupçonné d'avoir fait intégrer des backdoors dans OpenBSD. Il faut savoir qu'OpenBSD est un système d'exploitation libre de type Unix dont le triptyque est "son intransigeance sur la liberté du logiciel et du code source, la qualité de sa documentation, et l'importance accordée à la sécurité et la cryptographie intégrée".

L'histoire démarre lorsque Theo de Raadt, cofondateur et co-développeur de l'OS, explique le 14 décembre 2010 qu'il a reçu un mail de Gregory Perry lui indiquant la présence de backdoors introduites à la demande des autorités fédérales (FBI).  G. Perry aurait décidé de transmettre l'information apparemment pris par le remords mais surtout parce que son NDA (Non-Disclosure Agreement - Accord de confidentialité pour faire simple) venait d'expirer.

La communauté OpenBSD mais aussi BSD s'émeut alors de l'information et T. de Raadt recommande un audit de code tout en restant extrêmement prudent sur les motivations réelles de G. Perry. L'audit de code n'aurait, pour le moment, rien révélé de particulier ni mis en évidence la présence d'une quelconque backdoor.
J'ai donc contacté l'un de mes confrères, spécialiste du monde BSD (ultra geek voire obscur :) qui m'a donné son sentiment et que je reproduis ci-dessous, avec son consentement :
"L'info est avérée, il s'agit bien d'un mail de Theo de Raadt (patron du projet) qui, lorsqu'il a eu vent de l'affaire par le biais de "l'implémenteur", a initié un audit général.
Mais pour moi, il y a plusieurs hypothèses, soit il s'agit bien d'une corruption de l'un des développeurs avec très certainement une implémentation de backdoor, ou alors, il y eu tentative sur la dite période et Theo a gardé l'info sous le coude, pour s'en servir aujourd'hui, car le projet doit subir des pressions des autorités US pour implémenter ces backdoors, ce qui permet de les tenir à distance avec le buzz qu'a générer l'affaire.
Dans tous les cas, il y a bien eu des initiatives de la part des autorités US."

Simples initiatives ou portes dérobées avérées, peu de personnes de la sécurité (informatique / de l'information) seront surprises qu'une telle possibilité existe. A suivre...

mardi 4 janvier 2011

Voeux 2011 : Stuxnet chinois ?

Afin de sacrifier diligemment aux sacro-saints voeux de la nouvelle année, je vous souhaite une année pleine de réussites, emplie d'un bonheur total et accompagnée d'une santé de fer.

Toujours aussi rapide et plutôt bien informé, Dominique Bourra sur le site NanoJV, relevait le 31 décembre que la dernière information concernant Stuxnet semblait être passée totalement inaperçue, en France tout du moins (phénomène dû à des panses bien remplies et des cerveaux en mode off ? :)

Quoiqu'il en soit, un article de Jeffrey Carr publié le 14 décembre sur le site Forbe's établirait une première connexion avec la Finlande où la société Vacon fait fabriquer  à Suzhou (en...Chine) les convertisseurs de fréquence ciblés par Stuxnet ! De plus, l'un des deux certificats digitaux (pour l'authentification sécurisée d'une connexion) et qui a servi dans l'une des phases initiales de l'attaque est un certificat Realtek, constructeur mondialement connu et basé à Taïwan. Enfin, les centrifugeuses iraniennes seraient un modèle d'origine chinoise.

Tout cela commence à faire beaucoup mais le propos se tient. Je pressens que Stuxnet n'a pas fini de faire parler de lui en 2011 mais je rappelle également que la cyber lutte planétaire engagée maintenant depuis des années, et qui commence à devenir médiatique, est essentiellement le fruit d'entités étatiques dont les recherches et les capacités sont par essence d'une extrême discrétion. Une conséquence, semble-t-il de l'annulation la conférence S4 (SCADA Security Scientific Symposium) qui devait se tenir ce mois-ci à Miami.