mercredi 30 novembre 2011

Du virtuel à la réalité : le Cyber arsenal (1/2)

Cet article débutera par un clin d'œil appuyé au Marquis de Seignelay à qui j'avais promis, il y a quelques semaines, que ce qu'il m'avait appris méritait un article. Parole respectée puisque c'est celui-là même que vous avez, pertinemment, décidé de lire !

Amateur éclairé du jeu d'infiltration Metal Gear Solid, il me fit référence à l'Arsenal Gear pour lequel je dus aussitôt avouer une absence totale de connaissance quant à l'existence d'un tel système.  Il faut dire qu'au rayon des jeux sur consoles, je suis plutôt monomaniaque avec la série Call of Duty (qui a de quoi satisfaire parmi les plus vils instincts, typiquement masculins ! Honte à nous :).

Trêve d'auto-dérision (mais cependant reflet d'une certaine réalité), l'Arsenal Gear a permis au Marquis d'écrire un article que je trouve passionnant, dans une perspective stratégique et avec une vision prospective aptes à échauffer les neurones.

Pour résumer ce qu'est cette plateforme, c'est une sorte d'immense forteresse sous-marine dont la capacité principale est de pouvoir surveiller, bloquer et falsifier les informations transitant via Internet ! Pour certains (geeks, probablement ! :), il s'agit d'une métaphore qui illustre un changement de paradigme géostratégique où l'on est passé de l'épée de Damoclès nucléaire de la seconde moitié du 20ème siècle au cyberespace du 21ème siècle et à ses "cyber-conflits*", ceux de de l'espionnage informationnel et économique...

* je reconnais avoir toujours des réserves avec le terme "cyberguerre".
(To be continued)

vendredi 25 novembre 2011

Cloud 2012 : pluie d'attaques ou renforcement de la protection ?

Alors que la Directive Européenne 95/46/CE est en cours de refonte depuis des mois, seul le versant privacy (vie privée et données personnelles) a eu le droit récemment aux feux de la rampe à travers la polémique Facebook. Même si elle est d'une grande importance, l'essentiel de cette directive porte peut-être ailleurs. 

C'est l'objet d'un récent article du blog ami et transalpin de Paolo Passeri. Cet article souligne que si 2011 confirme l'émergence des problématiques de Sécurité liées au Cloud, 2012 devrait voir s'amplifier le phénomène en terme d'attaques mais pas seulement.

On peut, de manière schématique, rappeler le trio d'acteurs dont l'intérêt et parfois les objectifs peuvent être contradictoires (business donc $/€)  :
- les opérateurs de services dont l'intérêt principal est d'attirer le plus d'entreprises désireuses d'externaliser une partie de leur DSI (serveurs, applications bureautiques et métier mais aussi voire surtout services afférents : Haute-disponibilité, support technique et supervision H24 - 7/7);
- "l'entreprise" (car reflétant des aspects bien divers en terme de taille, de CA, d'implantation, etc.) pour laquelle de vraies économies (coûts de possession, gestion de l'obsolescence, etc.) sur l'outil de production informatique sont attendues;
- le législateur qui se doit de déterminer qui du fournisseur de service ou du client est responsable en cas d'intrusion informatique avérée via les moyens de l'un pour passer vers l'autre (et vice et versa) ! De l'oeuf ou de la poule, l'Union européenne semble s'être rangée à une certaine sagesse en ne retenant qu'un responsable : le fournisseur de service. Qui, en conséquence, doit s'engager à fournir un service entièrement sûr et sécurisé. Vaste sujet qui devrait amener une multiplication des affaires et autres incidents dans les mois qui viennent.

Pour cette dernière assertion recensons l'intérêt majeur d'utiliser le Cloud pour une cyber-attaque :
- Une allocation dynamique des ressources compliquant au possible la détection préventive ou, si l'attaque a réussi, le forensique;
- Des faiblesses d'infrastructures et/ou organisationnelles parfois incroyables comme dans l'incident EC2 (Cloud d'Amazon) au 1er semestre 2011;
- Des vulnérabilités logicielles et/ou de conception bien réelles et donc, pour le moment, exploitables (même si peu exploitées - Lire quand même la fin de l'article de Paolo);
- Enfin, une réglementation encore disparate dont la Directive européenne 95/46/CE devrait permettre d'apporter le niveau de confiance suffisant que les (futurs) clients sont en droit d'attendre (et que Verizon, acteur majeur du Cloud poussait fortement depuis des mois).

L'année 2012 sera donc l'année du plein succès ou du relatif échec de la migration de nombre d'entreprises vers le cloud. La problématique Sécurité tant du point de vue technique qu'organisationnel et, évidemment, juridique devra être le fil conducteur au même niveau que la rentabilité attendue ou de l'avantage concurrentiel souhaité. Sous peine de contribuer à de graves désillusions et à l'adoption bien trop tardive d'un service générateur de croissance du PIB dans une période aussi cruciale où celui-ci en a bien besoin.

mercredi 23 novembre 2011

Internet, syndrome Minority Report, Google et CIA !

Contempteurs ou passionnés de science-fiction mais aussi (et surtout) communauté du renseignement, voici une information qui devrait mettre tout le monde d'accord ! Recorded Future, une entreprise américaine, propose un service d'abonnement qui permet d'anticiper certaines tendances donc, d'une certaine manière, de prévoir le futur !

Sans atteindre le syndrome Minority Report, son postulat de départ est de dire qu'Internet a atteint une maturité suffisante qui reflète le monde. De fait, ses outils analysent plus de 50 000 sources ouvertes et plus de 100 000 pages par heure ! Les sources sont aussi diverses que le système de recherche des évènements  financiers collectés par la SEC (le "régulateur" de Wall Street pour faire court) ou les commentaires sur Twitter.

Le résultat est de pouvoir, semble-t-il, anticiper la sortie officielle de produits, prévoir le contenu d'Assemblées Générales (des résultats d'entreprises) et même de tendances économiques et financières ! Notons, et cela n'est pas anodin, que l'entreprise a pour investisseurs Google et In-Q-Tel. Cette dernière n'étant rien de moins que le fonds d'investissement de...la CIA !

vendredi 18 novembre 2011

Infobésité + réseaux ultra-rapides = risques ? (2/2)


D. Cheriton est professeur à l’illustre université de Stanford, A. Bechtolsheim est quant à lui l’un des fondateurs de Sun Microsystems. Ils ont créé Granite Networks en 1994, rachetée 2 ans plus tard par Cisco, qui proposait alors l’un des tout premiers switch Gigabit Ethernet.

Aussi passionnés de technique et d’entreprendre l’un que l’autre, ils ont créé Arista, une autre société, en apportant chacun 100 millions de dollars en capitaux propres. Leur approche est de se focaliser entièrement sur un développement logiciel novateur de leurs équipements de routage réseaux qui soit novateur. L’idée générale est de constater que l’Internet a atteint une incroyable complexité et qu’il comporte de nombreuses failles (logicielles) sans compter les innombrables bugs qui ont eux aussi explosé avec la croissance du « réseau des réseaux ».

L’ennemi est donc cette complexité, qui peut se mesurer en millions de lignes de code ou d’interactions, croit savoir un ancien associé de feue Granite Networks. Une phrase qui résonne étrangement à l’heure du développement du cloud qui concentre l’ensemble du meilleur de chacune des technologies disponibles actuellement (virtualisation, authentification forte, haute-disponibilité, protection des données, etc.). 

Cher lecteur : arrivé à ce point de la lecture, ne sens-tu pas un trouble t'envahir ? Celui d'attendre avidement que l'on parle enfin des risques et de s'éviter de penser qu'on est en train de lire une...publicité, avec l'affreuse impression de se faire...manipuler ?

L'article du New York Times à peine terminé, le doute n'est plus permis : comment cette référence mondiale en terme de journalisme a pu se laisser embarquer dans une supercherie détestable ? Le titre, "l'accroche" comme l'on dit dans le milieu, nous promettait une lecture distrayante et de haut niveau ?! La limite est franchie lorsque D. Cheriton ose clamer "qu'il ne faudrait pas plus de 30 secondes aux militaires Chinois pour faire tomber notre civilisation connectée" ! A coup de missile, de laser ou de hacking ?

Navigant entre FUD et marketing, cet article aura tout de même reçu des réactions bien moins médiatisées mais sûrement plus intéressantes dans ce que l'on y apprend.  Hormis la suspicion d'un bras de fer entre Arista et Cisco ("pas la peine de réinventer Internet") et la complicité journalistique du NYT, on peut se demander si ce ne sont pas des centaines de millions de dollars qui sont en jeu ? Comme au moment du rachat de Granite Networks en 1996 par...Cisco ?!

mercredi 16 novembre 2011

Infobésité + réseaux ultra-rapides = risques ? (1/2)

La plateforme d'hébergement Blogspot qui héberge ce blog ainsi que des millions d'autres, propose un onglet "Statistiques" simple et utile. Au-delà du simple fait de vouloir simplement connaître la fréquentation ou la provenance géographique de l'équipement IP qui accède à l'un ou l'autre des articles proposés sur ce blog depuis bientôt 4 ans, les "sources du trafic" sont d'un réel intérêt.

C'est d'ailleurs grâce à cet indicateur que j'ai pu relire l'un de mes tout premiers articles écrit en mai 2008, oublié depuis, et qui traitait d'infobésité mais de façon moins érudite qu'ici. Cet article a servi, parmi d'autres articles de référence, pour élaborer récemment l'une des wikipages d'EduTech Wiki à propos de  "l'Appli-bésité". Ce qui est, évidemment, loin de me déplaire !

Trêve de caresse égotique, ce rappel étant fait, il me permet de faire le rapprochement avec un article paru dimanche dernier dans le New York Times. Deux pionniers de l'informatique et du Net, David Cheriton et Andreas Bechtolsheim, accessoirement entrepreneurs et multi-millionnaires, s'interrogent sur les risques qui pourraient peser sur les réseaux ultra-rapides (Ultrafast Networks). En tout cas c'est ce que le titre de l'article nous promet...

(la suite dans la seconde partie)

lundi 14 novembre 2011

(Cyber)Eldorado et (Cyber)Far-West

L'Alliance Géostratégique a publié vendredi dernier le 2ème article de la série écrite en collaboration avec le blog allié CIDRIS - Cyberwarfare. CIDRIS et moi-même essayons de distinguer la part de l'échec qui peut être imputée au marketing et à l'adoption d'équipements voire de stratégies de sécurité alors que l'existant n'est pas forcément inadapté ou obsolète et que des améliorations relativement simples pourraient amplement répondre à une partie des besoins immédiats !

Des mesures de bon sens couplées à des règles simples permettraient d'assurer un niveau de protection acceptable en attendant de s'atteler vraiment à ce chantier où la complexité le dispute à l'empilement de dispositifs et de dispositions parfois sans cohérence ou avec de multiples recouvrements.

Enfin, je note, que le site d'AGS publie de plus en plus d'articles traitant du cyberespace depuis la rentrée de septembre. Il faut sans doute y voir la marque d'un intérêt  pour un sujet majeur qui est appelé à se développer et à s'ancrer dans la durée. Qu'on le regrette ou non, le cyberspace est devenu un mélange de nouvel Eldorado pour certains et de Far-West pour d'autres.

mercredi 9 novembre 2011

Sur les sentiers de la cyberguerre

Stuxnet, DuQu, Areva, Sony, etc. L'actualité cybersécurité se fait bruyamment entendre depuis plusieurs mois et sitôt les disciples de Guy Fawkes un peu moins présents, c'est la Chine et ses hordes de hackers qui ressurgissent, à tort ou à raison. 

La Chine donc, dont on ne sait si son cyberarmement relève davantage de la posture et du subterfuge ou s'il faut plutôt y voir LA menace actuelle et des années à venir ? Les avis sont tranchés, les rideaux de fumée nombreux, les multiples bluffs possibles, et l'on passera "au résultat" lorsque l'état des forces en présence aura été révélé, s'il doit l'être du fait de confrontations possibles impliquant des actions offensives dans le cyberespace

Par ailleurs, il ne faudrait pas occulter que désigner la Chine pour des actes dont elle n'a rien à voir, revient à masquer les nombreux autres acteurs (Etats, organisations criminelles, exploits individuels). A l'inverse, il peut y avoir un intérêt de grignoter par la périphérie le soft power dans lequel la Chine investit depuis des années.

A faire fi de ces éléments, il est à craindre que l'on restera cantonné à du monologue débat d'experts qui n'intéresse qu'eux seuls (par opposition aux thèmes de société, accessibles au plus grand nombre). Pour autant, et si l'on doit parler de cyberguerre ou, du moins, de cyber-conflits et de cyberarmes, autant considérer qui est en réalité le possible metteur en scène de cette pièce digne du théâtre Nô : les États-Unis !

Intéressons-nous seulement quelques minutes au 1er colloque de la DARPA sur la cybersécurité qui s'est tenu avant-hier (j'y reviendrai) pour comprendre qui mène la danse. Ce qui, d'ailleurs, est à mettre en perspective avec la stratégie américaine dans le cyberespace : techniquement innovante, richement dotée (dans un contexte budgétaire pourtant contraint), opérée principalement par le Pentagone avec le DHS en appoint, il n'y a pas, à ma connaissance, d'autre nation au monde dont l'effort, les ressources et les moyens sont équivalents.  

En fin de compte, ne serait-ce donc pas une excellente raison pour s'inventer des menaces bien supérieures à ce qu'elles sont en réalité et ainsi justifier de respectables budgets ? Le débat mérite certainement d'être posé et les avis, d'où qu'ils viennent, à considérer. A vos plumes ! :)

vendredi 4 novembre 2011

"Chasseurs de failles" : l'initiative SVCRP de Secunia

Il y a maintenant plusieurs mois que ce blog n'avait plus parlé de disclosure, full ou partial, SCADA ou pas, cela ne revêt pas vraiment d'importance. Probablement parce que le sujet est traité depuis des années par d'autres confrères bien plus légitimes sur un sujet Ô combien délicat (je pense à Sid en particulier). Sûrement aussi parce que sœur Anne n'avait rien vu venir de vraiment croustillant depuis une certaine polémique au dernier TakeDown(Conference).

Pourtant, un pas peut-être historique a été franchi par Secunia, l'un des tous premiers acteurs (si ce n'est le premier) de gestion des incidents de sécurité. Qui est donc en pointe en matière de recherches de vulnérabilités (logicielles) et dont le service d'alerte (payant) intéresse de nombreuses sociétés dans des secteurs aussi divers que l'automobile, l'aéronautique, le spatial, etc. Bref, nombre d'entreprises développant des équipements pouvant embarquer du logiciel. 

Secunia propose un programme d'initiative un peu particulier, le SVCRP, puisqu'il récompense (mais ne rétribue pas, petite nuance) tout découvreur de faille(s) qui l'en informerait. On a là un système intelligent, presque symbiotique, puisque le découvreur de la faille n'est plus un dangereux délinquant vautré dans l'illégalité (même et peut-être surtout si c'est un white hat !), qu'il est récompensé par des nuits d'hôtel ou des bons d'achat et peut même être cité publiquement s'il le désire. Ce qui contribue à une visibilité accrue du chercheur.

Cette initiative originale est particulièrement intéressante puisqu'elle "dépénalise" d'une certaine manière la découverte et l'annonce de vulnérabilités, que l'auteur en est récompensé même si la découverte n'a pas de valeur commerciale ensuite (cas du système qui était jusqu'à présent le seul existant) et qu'il y a une amélioration de l'efficacité puisque les découvertes sont laissées à la charge des chercheurs tandis que le processus aval de qualification (le "scoring") de la faille et sa mise à disposition (commerciale ou non) est du ressort de Secunia.

mercredi 2 novembre 2011

Chinois et satellites : aveugler, hacker ou détruire ?

Doit-on vraiment s'étonner des "révélations" effectuées la semaine dernière par la fameuse commission U.S.-China Economic and Security Review ? Après tout, quel degré de surprise devrait nous agiter puisque n'importe quelle interface devient potentiellement "piratable" à partir du moment où elle se trouve connectée directement ou indirectement au web ? 

Ce ne sont pas les dénégations d'un porte-parole du ministère des Affaires étrangères chinoises qui viendront modifier la perception puis l'idée martelées depuis plusieurs années que la Chine est devenue la principale menace dans le cyberespace ! Et ce, à tort ou à raison ! Autrement dit, pourquoi seules certaines nations "occidentales" auraient le droit et les capacités techniques à pénétrer, par exemple, des systèmes satellitaires (sol/bord) ou, soyons fous, de retarder efficacement un programme nucléaire en développement ? 

D'un côté la dotation en moyens cyber-offensifs serait légitime, de l'autre il s'agirait de capacités illégitimes confinant potentiellement à une escalade vers de futures cyber-guerres ?! Il faut raison garder en la matière et ce blog, comme d'autres (1, 2), continuera modestement à essayer de démêler l'écheveau et le brouillard qui noient trop souvent les problématiques de sécurité dans le cybersepace. 

En attendant, n'oublions pas que les chinois sont les seuls avec les USA à pouvoir détruire un satellite à partir des couches basses de l'atmosphère. C'est à dire à partir d'un système d'armes aéroporté autrement appelé avion de chasse. Ils peuvent aussi aveugler un satellite par laser. C'est dire s'ils peuvent aussi hacker !