dimanche 30 octobre 2011

Stuxnet 1 - Presse 0 : le retour !

Début 2011, l'affaire Stuxnet secouait le monde de la cybersécurité, la blogosphère ainsi que nombre de média plus traditionnels c'est à dire les "vrais" journalistes. Plutôt amusé, je m'étais fendu d'un billet soulignant certaines approximations ou, pire, des contre-vérités dont on pouvait s'interroger si l'objectif n'était pas de faire (uniquement) du buzz. 

L'automne et les marronniers
Cet automne, c'est Slate qui nous gratifie d'un article mi-figue mi-raisin mais surtout, là encore, sensationnaliste ou plutôt, qui tente de l'être. Prenant comme point de départ le piratage permanent qu' Areva aurait subi durant 2 ans, l'article dévie vers Stuxnet qui, je l'apprends épaté, était un "formidable" virus ("perfectionné" et/ou "complexe" auraient amplement suffit dans l'enthousiasme) qui a paralysé le programme nucléaire iranien durant "deux ans" (pas plus d'un trimestre en vérité) en mettant hors service les réacteurs nucléaires de la centrale de Bouchehr. En réalité, il s'agissait des centrifugeuses d’enrichissement du plutonium qui étaient la cible finale et plusieurs centaines d'entre elles n'y ont pas résisté (les caméras de l'AIEA placées sur le site en ont rapporté la preuve). 

Encore une victime de Stuxnet ?
Quoiqu'il en soit l'article collectionne les lieux communs et défonce des portes ouvertes sans apporter de nouveauté ou d'élément supplémentaire alors que le sujet est pourtant passionnant. La caution apportée à travers les citations ou les interviews de Bluetouff, Eric Filliol, Nicolas Arpagian ou Daniel Ventre ne suffit malheureusement pas à apporter l'éclairage factuel et juste que le lecteur est en droit d'attendre.

vendredi 28 octobre 2011

Cybersécurité et données personnelles : une réflexion critique

En juin dernier puis en septembre, je m'interrogeais en essayant de relier certains fils visibles et invisibles en ce qui concerne le nouvel horizon de l'administration Obama et des agences gouvernementales qui sont chargées de porter les décisions présidentielles et stratégiques américaines en matière de cybersécurité.

L'un des écueils identifiés, au-delà de la technique, des technologies et des intentions réelles ou supposées concernait la privacy autrement dit l'approche en termes de collecte et de traitement des données personnelles circulant via le web, donc des garde-fous et des limitations en la matière. Zachary Katznelson, un avocat britannique connu pour son militantisme au sein de diverses associations de défense des droits de l'homme et des libertés civiles, vient de publier dans un quotidien américain une bien intéressante tribune qui invite à revenir sur cette délicate question.

Dans cet article, il considère que certaines des solutions législatives actuellement discutées au Sénat US résonnent d'un étrange écho qui rappelle le très controversé Patriot Act signé et entré en vigueur 3 semaines après les attaques du 11 septembre 2001. Il souligne que serait en discussion une proposition de loi visant à autoriser la collecte élargie à des données personnelles même si la personne n'a rien fait de répréhensible

On pourrait raisonnablement (me) répondre que ce serait alors une évolution positive puisque seraient ainsi légalement entérinées des pratiques suspectées depuis bien longtemps ! Cependant, et comme il le rappelle à juste titre, la mise en place de structures gouvernementales collectant, traitant et analysant des quantités astronomiques de données afin d'en extraire des éléments tendanciels à finalité terroriste, n'ont pas fait la preuve d'une indiscutable efficacité. Hormis peut-être sur la violation et le recul des droits du citoyen. 

D'autant plus que les volumes de données à traiter exploseraient avec une telle loi et que le stockage et le traitement associés seraient confiés à des entreprises privées ! On imagine aisément les conséquences possibles d'une telle sous-traitance  entre abus difficultés contractuelles de contrôler la conformité aux engagements contractuels sans même parler d'une possible inconstitutionnalité puisque touchant à l'un des domaines régaliens par essence : la protection de la Nation et des citoyens.

Le propos de cet avocat actif de l'ACLU est sans doute partisan mais il n'est pas dénué de vérités qui  devraient amener le législateur à mieux cerner les enjeux et la nature du préjudice qui pourrait découler avec de telles dispositions. Notons cependant la transparence qui existe de part et d'autre et l'établissement d'une communication critique depuis longtemps.  

C'est ce que fait timidement l'Union européenne depuis quelques années, ce que l'on doit saluer, mais les problématiques de sécurité nationale (hors transposition du droit européen) ayant une influence directe ou indirecte sur la vie privée et les données personnelles devraient systématiquement donner lieu à tel débat législateurs-associations ! 

Note : cet article a également été publié sur le site de l'Alliance Géostratégique que je remercie une fois encore.

mardi 25 octobre 2011

Le "Copiale Cipher" déchiffré !

En février 2010, j'avais publié un court billet à propos d'un article de Slate qui recensait une dizaine de codes célèbres, inviolés jusqu'à ce jour. Il faut croire que celui-ci en avait oublié quelques uns et que demeurent toujours des chercheurs et des passionnés qui consacrent une part importante de leur vie à la résolution de ces énigmes.

L'une de ces équipes vient de publier l'intégralité du Copiale Cipher qui est resté inviolé durant presque 350 années. Il faut dire que le système employé reposait sur un ensemble de 90 caractères (tout l'alphabet latin et grec ainsi que des diacritiques et des symboles abstraits) utilisés pour chiffrer de l'allemand !

Cet ouvrage de 105 pages et de 75 000 caractères, à la magnifique couverture ouvragée à l'or, renfermait les secrets d'une des nombreuses sociétés secrètes du 18ème siècle. Pour l'anecdote, celle-ci était fascinée par la chirurgie de l'œil et l'ophtalmologie. De quoi, probablement, redonner un peu de baume au cœur à celles et ceux qui tentent toujours de déchiffrer le Graal suprême en la matière : le manuscrit de Voynich

Autre source : l'article du New York Times (en anglais)

vendredi 21 octobre 2011

Stuxnet, DuQu : une même origine ?

C'est en tout cas ce que semble penser l'un des experts du laboratoire de virologie de Kaspersky. L'argumentation déployée et les éléments factuels énoncés sont de nature à rendre un peu plus compréhensible une menace potentielle dont le caractère malveillant n'a pas été (encore) prouvé.

La confusion, le buzz et même les divergences apparues ces derniers jours occultent un élément sans doute fondamental : DuQu est un "véhicule" à plusieurs variantes (au moins 4) qui est beaucoup plus proche du démonstrateur (aussi appelé Proof of Concept - PoC) que du "cyber-missile" dézingueur de centrifugeuses iraniennes (comme l'était Stuxnet).

L'article, plutôt passionnant (en anglais), éclaire également l'affaire Stuxnet : pour Kaspersky, Stuxnet comprend deux parties : une plateforme de transport (qui semble extrêmement similaire dans le cas de DuQu) et une ogive. L'analogie avec un missile est plutôt bien trouvée puisque dans le cas de DuQu, les variantes analysées ne semblent pas comporter d'ogive ou elle n'a pas encore été découverte ! Dans tous les cas, et même s'il faut évidemment rester prudent, la filiation avec Stuxnet semble à peu près avérée même s'il n'est pas dit que ce soit la même équipe de concepteurs qui en soit à l'origine. L'inverse, cependant, serait surprenant.

mercredi 19 octobre 2011

Au secours, Stuxnet est papa !

L'on pouvait croire qu'au pays des chimères, celles-ci ne meurent jamais vraiment puisque, à travers les mythes et les contes, l'être humain continue de faire vivre des monstres et autres fantasmagories. De nos jours, ce ne sont plus le croque-mitaine ou la dame blanche qui effraient petits et surtout grands mais bien plus les grains de sable qui pourraient enrayer l'énorme machinerie (et le business qui va avec) qui permet à des milliards d'humains et d'objets de communiquer de plus en plus les uns avec les autres.

L'un de ces grains de sable, de la taille d'une plage en fait, reste heureusement encore du domaine du (mauvais ?) fantasme : qu'on l'appelle cyberguerre, cyber conflit ou cyber-warfare, les possibles qu'il recouvre hantent les nuits de certains hauts responsables au Pentagone et ailleurs. Stuxnet, aka "le liquidateur de centrifugeuses nucléaires iraniennes" (mais c'était un peu long), apparu l'année dernière, peut être historiquement considéré comme le premier code informatique conçu pour s'attaquer à une partie d'infrastructure majeure qui est le socle d'intérêts considérés comme vitaux par un État, iranien en l'occurrence. Et qui relèverait donc d'une quasi déclaration de guerre s'il provenait d'un autre État. Fort heureusement, ce n'est évidemment pas le cas, et les coupables courent encore ! A propos de SCADA, justement, encore faudrait-il que le minimum soit fait en la matière. De fait, on se référera sans attendre au guide didactique que vient de publier le DoE (ministère US de l'Énergie) qui recense "21 points pour améliorer une infrastructure SCADA".

Pour revenir aux mystérieux coupables, ceux-ci courent d'ailleurs tellement vite et sont tellement satisfaits de leur première expérience réussie qu'il viennent probablement de remettre le couvert ! Symantec vient en effet d'annoncer ces dernières heures avoir analysé des échantillons d'un code malveillant trouvé en Europe et découvert par un laboratoire avec de fortes connections internationales (pas d'autres informations sur ces deux éléments). 

Quoiqu'il en soit je renvoie tout lecteur intéressé par les détails techniques vers le rapport complet de Symantec qui est un modèle du genre et, avant d'aller plus avant dans les supputations et les hypothèses invraisemblables, je ne cesse de m'interroger sur le fait relevé par le blog allié de Paolo Passeri : "only yesterday the DHS issued a Bulletin warning about Anonymous Threat to Industrial Control Systems (ICS), not even 24 hours after the statement a new (potential) threat for ICS appears in the wild… Only a coincidence?"

lundi 17 octobre 2011

Le Pakistan crée une école de lutte dans le cyberespace

Le Pakistan vient de décider la création d'une école qui sera chargée de former dès 2012 ses futurs spécialistes de la lutte dans le cyberespace. L'information pourrait presque prêter à sourire si celle-ci ne concernait pas l'acteur central de la zone d'instabilité la plus explosive d'Asie centrale et peut-être même d'Asie tout court : l'Afghanistan où les USA (directement) et  l'Inde (indirectement) tentent d'empêcher, ou du moins de contrebalancer, la tentative d'Islamabad de récupérer de la profondeur stratégique. Il y aussi l'Iran, la Chine voire la Russie en embuscade. Et tout en filigrane, probablement Israël.

Cette école sera colocalisée dans le MIT Pakistanais (toutes proportions gardées), la NUST School of Electrical Engineering and Computer Sciences (NUST - SEECS). Une première promotion d'une trentaine d'étudiants inaugurera le cursus de 4 années qui comprendra, entre autre, la lutte contre le code malveillant ou les moyens de se préparer à des cyber attaques. A l'obtention de leur diplôme, les étudiants obtiendront un contrat de 7 ans dans l'Armée de Terre qu'ils rejoindront en tant qu'officiers.

Les raisons officielles qui poussent Islamabad a créer une telle école s'appellent l'Inde et Israël. Notons tout de même qu'elle prend aussi corps dans une tendance plus globale où de nombreux États à travers le monde investissent le domaine ces derniers mois. A se demander si, tout compte fait, une nouvelle "course à l'armement" ne s'est pas sérieusement engagée dans le cyberespace ?

vendredi 14 octobre 2011

La Sécurité de l'Information est-elle un échec ? 1) Le constat

L'Alliance Géostratégique vient de publier un article, premier d'une série écrite en collaboration avec le blog allié CIDRIS - Cyberwarfare. A travers le constat partagé que la menace informationnelle a évolué ces dernières années, que les risques sans changer de nature se font bien plus réels mais aussi invisibles, nous pensons que les dispositifs (techniques, organisationnels mais aussi normatifs)  chargés de protéger le patrimoine informationnel mais surtout l'appréhension intellectuelle de la situation  sont - au mieux - mal adaptés quant ce n'est pas entièrement obsolètes !

Ce qui est relativement étrange c'est de constater que la gestation de cette série d'articles intervient après l'observation et une réflexion entamées depuis presque deux ans. Coïncidence s'il en est, on notera qu'une certaine actualité ces derniers jours (ANSSI, Thales, ...) s'est beaucoup penchée sur le sujet même si ,CIDRIS et moi, avons décidé de gravir le sommet "par la face Nord" puisque nous avons l'ambition de traiter la problématique dans sa globalité tout en essayant d'y apporter des réponses voire des solutions (la critique seule n'étant pas suffisante).

lundi 10 octobre 2011

Cybersécurité : un nouvel Executive Order d'Obama

La volonté seule ne suffisant malheureusement pas, un pragmatisme certain et le temps qui est nécessaire semblent conduire le président Obama et son administration à essayer de tirer le meilleur parti des leçons du passé. Mais aussi à préparer l'avenir, proche et un peu plus lointain, tout au moins dans le cyberspace.

C'est ainsi que l'on peut appréhender les nominations récentes au DHS et au Pentagone. C'est aussi sous cet angle que l'on peut analyser l'Executive Order du président Obama, publié et applicable dès vendredi dernier (7 octobre).

Avant de présenter ce qui me semble être les deux faits saillants de cet Ordre Exécutif Présidentiel, rappelons brièvement qu'il est la résultante directe de trois facteurs distincts mais complémentaires. Les deux premiers, extérieurs, sont d'abord les attaques surprises du 11 septembre 2001 (absence de coordination inter-agences alors que de nombreuses informations parcellaires existaient) et l'affaire du soldat Manning, plus récente (il y a presque 18 mois), avec les fuites consécutives via Wikileaks. Le troisième, intérieur cette fois-ci, est le résultat de 7 mois de revues et d'audits par l'administration US sur la façon dont sont partagées et gérées les informations confidentielles (ou tout du  moins sensibles).

Il s'agit donc en l'occurrence d'assurer une véritable cohérence entre l'ensemble des agences fédérales, nombreuses et dotées d'une culture sécurité (de l'information) et du secret extrêmement différentes les unes des autres. Un comité spécial sera créé afin de coordonner le partage d'informations inter-agences tout en s'assurant que les informations classifiées sont correctement protégées. Chacune des 24 agences majeures recensées se verra dotée d'un responsable dont la mission sera d'identifier, de classifier et de protéger les informations qui le nécessitent.

Comme il ne s'agit pas seulement d'ordonner, les objectifs doivent pouvoir être corrélés avec des résultats mesurables. C'est l'objet de la seconde mesure phare de cet Executive Order : sous le patronage du ministre de la Justice (pour les aspects légaux et la conformité) et du directeur du renseignement national (qui chapeaute les  nombreuses agences du renseignement américain) une "Insider Threat Task Force" sera chargée de veiller à l'application de l'ensemble des directives en matière de cybersécurité, tout en développant les contours d'une politique de dissuasion, de détection et de mitigation des risques. D'autres missions lui sont aussi confiées, ce blog y reviendra probablement un peu plus tard, mais l'écueil légal, entre autre, fait écho à mon analyse approfondie concernant la stratégie cybersécurité des États-Unis.

Pour conclure j'aimerai souligner deux choses : le comité spécial mis en place devra rendre compte de l'avancée de sa mission sous 90 jours puis une fois par an. En matière de mesure de la performance et d'évolutions possibles (lorsqu'elles sont nécessaires), les USA restent encore un bel exemple de pragmatisme et d'efficacité. Enfin, puisque l'information couverte par ce billet rejoint d'autres préoccupations, je vous encourage à aller consulter l'Alliance géostratégique cette semaine qui devrait publier le premier d'une série d'articles réalisée conjointement avec le blog allié Cidris.

Sources supplémentaires :

samedi 8 octobre 2011

Exclusif : quand les drones US s'enrhument

L'information livrée il y a quelques heures par Wired fait et continuera de faire des vagues : le système de surveillance et de détection des cyber-menaces HBSS, opéré par la DISA, a mis à jour la contamination des stations de contrôle des drones militaires Predator et Reaper par un keylogger !

La nouvelle est suffisamment importante pour qu'elle fasse le buzz dans les jours qui viennent et l'on peut déjà recenser les quelques éléments importants qui soulignent l'importance de l'affaire. En premier lieu, et malgré les efforts déployés, le malware n'a pu être éradiqué. Les spécialistes de la DISA ont constaté, stupéfaits, qu'à chaque fois qu'ils pensaient le malware définitivement supprimé, il "revenait" ! 

D'autre part, les mêmes experts émettent un certain nombre de doutes qui font penser que le niveau d'attaque est relativement important, non maîtrisé et avec des effets, pour le moment, entièrement inconnus ! Ils pensent, contradictoirement, que le programme est "bénin" mais sans certitude. Ils ne savent pas non plus si le keylogger est d'origine accidentelle ou bien intentionnelle. Enfin, ils semblent penser qu'il a pu infecter une partie ou l'ensemble des réseaux informatiques de la base aérienne de Creech (qui opère une grande partie des drones US) et que, possiblement, des informations confidentielles ont pu circuler vers Internet ! Vu le contexte, le ciblage et la difficulté à éradiquer le malware, on pourrait presque penser que ce dernier a été spécifiquement conçu et introduit !

Toutes proportions gardées et avec la réserve qui convient, cette affaire fait étrangement écho à Stuxnet mais surtout à l'opération Buckshot Yankee en 2008. Notons cependant la transparence (suspecte ?) des autorités américaines qui ont communiqué sur le sujet et que les vols des drones, qui ne sont pas directement concernés, se poursuivent toujours au-dessus de l'Afghanistan, du Pakistan ou du bassin somalien.

Edit (10 octobre) : peu d'informations ont circulé depuis l'article de Wired mais il existe une autre piste, intéressante, d'un chercheur en sécurité. Il existe 2 sociétés qui fournissent le Pentagone en solutions de monitoring, en particulier des rootkits qui, entre autre, font du keylogging. Même si l'explication est sensée et recouvre une réalité, j'ai un peu de mal à croire que la DISA, l'organisme militaire en charge des problématiques des réseaux et des infrastructures IT, ainsi que des problématiques de sécurité associées, n'ait pas toutes les informations nécessaires quant aux produits et solutions qu'elle peut être amené à déployer, opérer ou auditer ! 

Il est alors possible que l'explication soit bien plus simple et qu'elle n'ait pas besoin de contrefeu ou de silence embarrassé. Pourquoi, en fait, ne s'agirait-il pas d'une introduction accidentelle via un support amovible (clé USB selon toute vraisemblance) ? Cet article de Geekosystem semble le penser et je trouve les arguments avancés plutôt convaincants.


mercredi 5 octobre 2011

Cybersécurité USA : après le DHS, la Défense poursuit son staffing

J'ai consacré la semaine dernière un billet soulignant les changements importants de responsables au sein du DHS. C'était sûrement oublier un peu vite que le ministère de la Défense américain (alias le DoD) est aussi confronté à une montée en puissance de la cybersécurité et qu'il ne peut être exempté de tout reproches quant aux tentatives d'attaques (avortées mais surtout réussies) sur ses propres réseaux ainsi que chez certains de ses sous-traitants stratégiques.

C'est donc dans ce cadre que l'on a appris hier la nomination d'Eric Rosenbach au DoD en temps qu'adjoint Cybersécurité auprès de Leon Panetta (le ministre de la Défense). Lorsque l'on détaille attentivement son pedigree, on ne peut qu'être impressionné par sa formation multi-domaines, ses fonctions successives et complémentaires et, enfin, son expérience significative dans le renseignement

Ce dernier point semble d'ailleurs être devenu le génotype du bon candidat dans les 2 ministères. A tout le moins, une stratégie et les politiques associées peuvent  commencer à devenir efficaces avec les bons acteurs. C'est ainsi qu'il faut, à mon avis, déchiffrer les récents mouvements de personnel au DHS et au DoD.

mardi 4 octobre 2011

3ème paquet Télécom, vie privée et ordre public

Adoptée le 24 août dernier en Conseil des Ministres et entrée en vigueur 2 jours plus tard, l'ordonnance de transposition dite du "3ème paquet Télécom" se prête à l'analyse tant juridique, que technique voire éthique. D'emblée, remarquons que si 7 années s'étaient écoulées entre le 1er (2002) et le 2ème paquet Télécom (2009), il aura fallu moins de 2 années pour transposer des directives européennes qui, de globalement, portent sur certaines améliorations substantielles. 

Outre le renforcement de la coopération au niveau communautaire, les objectifs des directives sont, principalement, les suivants :
- Renforcer l’indépendance et les pouvoirs des « autorités règlementaires nationales » (ARN) ;
- Renforcer la protection et les garanties accordées à l’ensemble des utilisateurs finaux ;
- Mieux gérer le spectre (des fréquences).


Je laisse volontairement le champ juridique de côté, des spécialistes ayant déjà présentés leurs analyses, pertinentes voire percutantes. Notons cependant que le rôle et les pouvoirs de l'Arcep sont renforcés, ce qui à l'heure d'interrogations récentes sur une fusion avec le CSA et surtout l'Hadopi mérite probablement une attention citoyenne attentive. 

Des avancées certaines...
Pour revenir à ce 3ème paquet Télécom, il y a donc bien des avancées et certaines retiennent davantage mon attention : l'obligation de l'opérateur à plus de neutralité (réseaux de nouvelle génération), une meilleure protection des consommateurs et surtout de ses données personnelles avec une possible extension de l'usage de moyens massifs de chiffrement côté opérateur, le tout probablement pour aider à démocratiser le Cloud (mais aussi le développer économiquement :), l'obligation de notifier toute "faille de sécurité", (Il faut d'ailleurs lire attentivement ce qu'en dit pertinemment O. Iteanu).

...et une (grosse) interrogation
On peut cependant s'interroger sur les revirements successifs en matière d'autorisations de brouillage. Formellement interdits puis autorisés, les dispositifs de brouillage sont de nouveau interdits et les utilisateur actuels ont 5 ans pour se conformer à cette obligation. L'importation, la commercialisation et l'utilisation de ces dispositifs deviennent strictes et les sanctions pénales renforcées. La mise en œuvre devient réservée à l'ordre public (police, défense, prisons) et sacrifie sans doute une utilité avérée dans certains cas (salles de spectacles) sur l'autel de la lutte contre le terrorisme et les actions illicites, qu'elles qu'en soient leur nature.