mardi 27 septembre 2011

Au DHS, un jeu de chaises (très peu) musical

Début juillet, une petite bombe avait secoué la communauté du renseignement et de la cybersécurité aux Etats-Unis : le patron de l'US-CERT, Randy Vickers, avait été brutalement "démissionné" ! Ce changement, assurément politique, visait avant tout à faire tomber une tête après que des réseaux fédéraux (FBI) et militaires (Navy, CIA) avaient été mis à rude épreuve par les Anonymous et les Lulzsec.

L'été s'achevant à peine, le mercato d'automne continue au DHS et il fait suite au départ de Phil Reintinger, ancien ponte du DHS NPPD, qui s'est fait débaucher début septembre par Sony pour en devenir le monsieur Sécurité. Le sous-secrétaire d'Etat au DHS, Randi Beers, a semble-t-il annoncé en interne que le poste laissé vacant était scindé en deux : un poste uniquement dédié à la  Cybersécurité et dirigé par Greg Schaffer (en intérim) est créé, tandis qu'un autre, dirigé par Suzanne Spaulding, sera chargé spécifiquement de la protection des Infrastructures Critiques, de la sécurité des bâtiments fédéraux ainsi que  de la gestion du système biométrique d'identité et de suivi des visiteurs étrangers (programme US-VISIT). La liste des mouvements ne s'arrête pas là puisque vendredi dernier (23/09) , c'est Sean McGurk, le patron du DHS NCCIC, qui a quitté le navire ! Enfin, Nicole Dean devient la nouvelle directrice de la DHS NCSD.

Que faut-il retenir de tout cela ? Tout d'abord, que l'administration américaine demeure très pragmatique puisque, après s'être fait trouer nombre de leurs réseaux durant le 1er semestre, le tout en place publique (à double sens puisque les annonces médiatiques successives d'attaques servaient aussi leurs intérêts !), une reprise en main vient de s'effectuer. De fait, les personnes remplacées le sont par des professionnels des arcanes de la politique washingtonienne (plusieurs responsables sont d'anciens conseillers auprès de sénateurs voire du gouvernement) mais sont aussi très (mais vraiment très !)  proches des services de renseignement comme la CIA. Enfin, la partie stratégique et programmatique étant achevées (ou presque), la mise en cohérence avec une organisation efficace et pérenne est sans doute venue.

En ces temps incertains, la démarche démontre l'agilité mais aussi la volonté qui commande aux destinées des USA dans le cyberespace. Sans qu'il faille les prendre systématiquement en exemple, on ne peut écarter l'écart existant entre ici et là-bas. A l'heure où de gros boulets rouges volent dans le Landerneau cyber-frenchie, s'en inspirer ne serait pas une trahison intellectuelle !

lundi 26 septembre 2011

Cybersécurité européenne : oui mais non !

Sans annonce excessive et dans une relative discrétion, l'Alliance atlantique est en train de franchir une étape supplémentaire dans la mission qui lui a été confiée dans le cyberespace. C'est sous l'impulsion du NC3A, l'une des agences les plus importantes de l'OTAN, que la MN Cyber Defence
Capability Development Initative
(Initiative de Développement d'une Capacité Multinationale de Cyberdéfense) vient d'être lancée.

Une présentation détaillée est disponible ici mais, avant de revenir une prochaine fois sur le contenu de ce document, c'est un tout autre rapprochement que cette information provoque. Il s'agit d'une interrogation, dont ce blog se fait l'écho depuis le sommet de Lisbonne en novembre 2010, quant aux initiatives concernant la cybersécurité en Europe.

Une information, relayée par Cidris, concerne la création d'une nouvelle agence européenne, en complément de l'ENISA. Cette nouvelle agence, qui sera chargée de la gestion opérationnelle des Systèmes d'Information, devrait traiter en particulier du volet stratégique lié aux infrastructures critiques.

Il me semble que la tendance que j'anticipe depuis un moment soit en train de se confirmer puisque le siège de cette nouvelle agence se trouve à Tallinn. C'est aussi dans la capitale  de l'Estonie que se trouve, entre autre, le NCIRC qui n'est autre que le CERT de l'OTAN. Ou plutôt une sorte de CERT++ puisque doté de capacités offensives renforcées.

Faut-il y voir une incroyable coïncidence ? Évidemment non. Il va sans dire que la responsabilité de chacun des pays de l'Union européenne en matière de cybersécurité est en train de devenir discrètement consubstantielle à l'OTAN. Ce n'est pas forcément ni tout noir ni tout blanc puisque chaque gouvernement est parfaitement informé des enjeux et des implications d'un tel mouvement.

On peut cependant se poser trois questions simples :
1) Est-ce que chaque citoyen européen est (au moins) informé de ces évolutions avant  d'être entièrement mis devant le fait accompli ?
2) La nouvelle agence européenne disposera-t-elle de réels pouvoirs (voire contre-pouvoirs) ou sera-t-elle une simple chambre d'enregistrement ?
2) Est-il normal que les États-Unis disposent quasi-directement des leviers de défense et peut-être d'attaque concernant la cybersécurité européenne ? Autrement dit, n'y-a-t-il  pas un risque majeur d'une certaine perte de souveraineté ?

Si le non est majoritaire à ces trois questions, c'est qu'il y a comme un problème...

lundi 19 septembre 2011

Cybersécurité : un accord signé entre les USA et l'Australie

En début d'été, l'Alliance Géostratégique publiait une réflexion intitulée "Australie, cybersécurité et enjeux mondiaux". J'y expliquais les liens forts et particuliers qui unissent le pays des kangourous aux États-Unis, insistant particulièrement sur le prolongement de certaines activités de la NSA via le DSD (chiffre [crypto] et "grandes oreilles" pour les deux).

De mon point de vue, la structuration de l'activité Cybersécurité, tant pour le volet défensif que le volet offensif, reflétait à l'instar du Royaume-Uni, la déclinaison de la stratégie US à travers une grande partie du monde (Europe, Pacifique). J'estimais d'ailleurs l'Australie comme un bon candidat en tant que "bras armé américain" dans le cyberespace.

L'accord signé la semaine dernière vient illustrer ces réflexions. Le cyberespace fait désormais partie du traité de défense mutuel entre les deux nations. De quoi, probablement, bien préparer la visite officielle de Barack Obama, prévue à la mi-novembre.

Manœuvres dans le cyberespace : la stratégie Cybersécurité des USA

Une fois de plus, l'Alliance Géostratégique me fait l'honneur d'accueillir une réflexion sur un sujet traité à différentes reprises sur ce blog ainsi que par ailleurs (chez CIDRIS et Lignes Stratégiques) : quelles intentions, réalités et manœuvres possiblement dilatoires la "nouvelle" stratégie de cybersécurité, initiée par l'administation Obama, recouvre?

L'article en question peut être lu et directement commenté sur le site d'AGS. Bonne lecture !

mardi 13 septembre 2011

Entreprises : les conseils d'un (ex) hacker (2/2)

Ces dérives, postulées depuis plusieurs années et avérées au fil des derniers mois, concernent en particulier le sentiment de sécurité perçu par la direction (d'une entreprise) de son S.I. parce qu'existe une Politique de Sécurité, éventuellement une certification ISO 27001 (rare en France) et, la plupart du temps, une "bonne vieille infrastructure à la papa" avec DMZ "reverse-proxyfiée/firewallée", sondes (bon point) et passerelles anti-spam/anti-virus. 

Cette description caricaturale voire anachronique pourra peut-être faire sourire mais, pourtant, un certain conformisme angélisme régente encore trop souvent certaines DSI et/ou Directions. Et encore, je me garderai bien d'aborder  les délicates problématiques de l'outsourcing, le blog ami CIDRIS s'en chargeant parfaitement par ailleurs !

Mais puisque jusqu'ici tout allait bien, quelle pouvait être la raison  impérieuse de faire évoluer la vision, parfois éculée, de la sécurité : un centre de coût en lieu et place d'un investissement pour le présent et l'avenir ? Mais le temps technologique file également à toute allure et nous sommes en 2011. Les menaces ont profondément évolué ces derniers mois, elles sont devenues permanentes et protéiformes, avec de moins en moins en filigrane cette guerre économique globale anticipée puis vérifiée et enfin accélérée. 

Tous ces éléments se vérifient quotidiennement et ne sortent pas d'un énième rapport ou de fumeuses recherches universitaires où des têtes bien faites (et certains services étatiques, louons les tous !) entretiendraient des discussions de salon ou pousseraient des cris d'orfraies, bien loin d'une réalité que seuls certains  vaniteux décideurs maîtriseraient ?

Je me veux mordant et (légèrement ?) provocateur mais le monde, ces derniers mois, n'a pas évolué qu'à la télévision ou seulement du Maghreb à la côte est du Japon ! Changements brusques et accélération de l'histoire (catastrophes naturelles, évolutions politiques majeures, aléas économiques) portent en eux des effets qui se prolongent dans le cyberespace qui, lui aussi, possède la particularité de disposer de caractéristiques bivalentes : outils et armes sans distinction de protocole, seul l'usage tend à en indiquer la nature.

Plus clairement, le monde de l'entreprise a la fâcheuse (coupable ?) tendance d'utiliser des schémas et des recettes techniques (et parfois organisationnelles) qui sont de moins en moins adaptés aux menaces actuelles et émergentes. Les conseils délivrés par SparkyBlaze, issus de son expérience avérée et "(very) up to date" (à jour), impliquent sans aucun doute une profonde remise en cause de la stratégie* appliquée et des moyens mis en œuvre pour l'atteindre. Avec un investissement associé, plus ou moins important selon que l'on parle d'une TPE/PME ou d'une multinationale. Selon le secteurs d'activité et l'exposition aux risques, cet investissement se révélera probablement générateur d'économies à long terme. Pour les plus frileux, une bonne assurance peut aussi être le début d'une certaine sagesse...

Les conseils proposés par SparkyBlaze :
- Déployer une défense en profondeur
- Appliquer une politique stricte en matière de sécurité de l'information
- Faire des audits de sécurité réguliers par une expertise extérieure
- Utiliser des sondes IDS/IPS
- Sensibiliser vos dirigeants sur la sécurité de l'information
- Sensibiliser vos dirigeants sur l'ingénierie sociale
- Effectuer les mises à jour en temps et en heure (soft + hard)
- Disposer d'une veille sécurité quotidienne
- Laisser vos spécialistes se rendre à des conférences spécialisées en sécurité
- Embaucher des spécialistes qui connaissent réellement la sécurité
- Généraliser l'utilisation du chiffrement des données (avec de l'AES-256, par exemple)
- Utiliser efficacement des filtres/outils anti-spam
- Garder un œil sur les informations laissées dans le domaine public (nota : à mon sens, le tri est à effectuer en amont)
- S'assurer que la sécurité physique (des sites et des locaux) est au niveau requis (sur le principe du "pourquoi blinder la porte d'entrée tandis que la fenêtre du salon reste ouverte ? :)

* ce changement de paradigme doit nécessairement commencer par une douloureuse mais salutaire remise en cause de certains schémas (sclérosés) de pensée.  D'où la probable utopie de ce billet. Donc la moindre désillusion de son auteur !

vendredi 9 septembre 2011

Entreprises : les conseils d'un (ex) hacker (1/2)

2011 aura probablement marqué l'émergence des Anonymous sur la scène médiatique. J'ai beaucoup de mal à les qualifier de cyber-criminels ou, à l'opposé, de chevaliers blancs puisque leur objectif politique navigue entre utopie, hacktivisme, apolitisme (= hors partis traditionnels) et un petit côté Robin des bois numérique qui n'a pas pour but essentiel de renverser un système (economico-financier et politique) mais bien d'essayer de dénoncer certaines pratiques ou de les rendre plus transparentes. L'affaire HB Gary demeure d'ailleurs leur fait d'arme le plus intéressant, techniquement et de par les révélations produites.

Pour autant, des erreurs voire des errements ont aussi eu lieu et, après quelques mois d'observation, les autorités en charge de la lutte contre la cybercriminalité, particulièrement au Royaume-Uni et aux États-Unis ont décidé de combattre ce mouvement, plusieurs arrestations intervenant depuis le début d'année sans discontinuer depuis. Bien que ne comportant pas officiellement de leaders, les Anonymous ont su se reposer sur quelques figures charismatiques venant, pour l'essentiel, du hacking.

Ce milieu, underground par essence plus que par posture, reste extrêmement mystérieux pour le grand public mais aussi difficilement joignable par tout un chacun. Hormis quelques connectés dans le milieu de la recherche ou certains mouvements politiques (les libertaires/libertariens, par exemple), il n'y a que les forces de l'ordre (spécialisées) et la mise en œuvre de moyens (techniques et humains) conséquents pour les traquer et, souvent, les débusquer. Les journalistes, eux, ne semblent pas les bienvenus car partie intégrante du système décrit plus haut.

Aussi, est-il toujours intéressant et généralement utile d'écouter ou de lire ce qu'un ex-pilier de l'organisation comme SparkyBlaze recommande aux entreprises pour réduire les risques face à des tentatives de piratage. L'interview qui a inspiré ce billet comprend de nombreux autres éléments de valeur mais c'est ce point qui m'a semblé emblématique d'une certaine tendance. Tendance qui est à rapprocher avec l'analyse de Cédric "Sid" Blancher ,que je partage entièrement, quant à certaines dérives liées à la "mise en œuvre des certifications et autres audits de conformité".

mardi 6 septembre 2011

Contrôler un sous-marin via le Cloud ? La DARPA y pense !

On aurait tort de penser que les rêves les plus fous ou les utopies les plus farfelues sont inatteignables. Parfois, la recherche, l'innovation et un certain dépassement des frontières* habituelles y parviennent, au grand dam de l'Humanité ou, à l'inverse, en contribuant à son bien-être général.

Il n'est pas dit que la DARPA, l'agence de la recherche dépendant du ministère de la Défense américaine, ait ce dernier objectif en tête, même si certaines de ses contributions ont pu bouleverser voire améliorer le quotidien des êtres humains ! Pour autant, il sera difficile de taxer cette agence de conformisme ou de suivisme. Au contraire, puisque sa mission première est de donner la supériorité militaire et technologique aux forces armées américaines, dans tous les domaines et quels qu'en soient les chemins. D'ailleurs, les idées "subversives" et "révolutionnaires" sont mêmes encouragées !

Ayant également investi le cyberespace depuis des années, certaines évolutions récentes lui font franchir un nouveau palier.
De son point de vue, le cloud n'en est encore qu'à ses débuts pour les applications militaires embarquées et c'est dans ce cadre qu'elle travaille plus précisément sur les "military critical clouds". 

Des gains substantiels de temps et d'argent semblent pouvoir être faits entre le design, le développement, la production et la mise en service des systèmes. Pour revenir aux "idées révolutionnaires" évoquées plus haut, on passe de l'étonnement à la consternation lorsque l'on prend connaissance des applications visées par ce projet :
- Analyse de données ou d'applications;
- Traitement des données d'imagerie des drones;
- Contrôle d'un sous-marin...

Oui, vous avez bien lu, le contrôle d'un sous-marin ! Évidemment, c'est cette dernière application qui  a retenu mon attention jusqu'à en faire ce billet de rentrée. Souhaitons simplement que ledit sous-marin est de la catégorie des drones et aucunement un SNA ou, pire, un SNLE ! Connecter un tel engin via un réseau en nuage même "sécurisé" ne peut être qu'une hérésie où la bêtise le disputerait au mauvais goût. Une sorte de croisement entre le programme Skynet (Terminator) et la vision de Kubrik dans "Docteur Folamour" ! 

J'allais oublier : que celles et ceux qui seraient intéressé(e)s pour répondre aux sollicitations de la DARPA se dépêchent : ils ont jusqu'au 22 septembre ! :) 

* que ces frontières soient sociétales, psychologiques ou technologiques.

Ce billet s'inspire de cet article d'Information Week.