vendredi 30 décembre 2011

Cap sur 2012

2011 aura été une année productive du point de vue publication puisque, soyons précis, 105 billets (en comptant celui-ci) ont été publiés sur ce blog.

L'Alliance Géostratégique, dont je salue les membres, aura publié plusieurs de mes articles :

Encore sur AGS mais en collaboration avec CIDRIS - Cyberwarfare :

Je regrette qu'il n'y ait pas plus de commentaires alors que la fréquentation du blog me parait correcte (presque 45 000 pages vues). Je m'interroge donc de savoir si c'est dû à un manque d'adhésion, d'esprit critique, de positionnement ou de simple désintérêt ? Je formule donc le vœu que 2012 apporte davantage de débats, constructifs si possibles ou "virils mais corrects" comme dirait SD !

Pour conclure l'année en beauté, je tiens à saluer : 
- Charles Bwele, mélange détonnant de geek, de consultant-stratégiste (ça se dit ? :) et de pédagogue dont j'apprécie la personnalité ainsi que son solide sens de l'humour;
- CIDRIS avec qui la qualité des échanges et la construction d'un "destin d'écriture commun" est extrêmement stimulant. 
- Une pensée également pour le Twittos frénétique, Nicolas Caproni, dont je renvoie à son bilan CyberSec 2011, ainsi qu'à l'impétrant :) Félix Aimé qui se révèle passionné et pertinent dans son approche de la chose cyber ("piratage" du drone RQ-170).
- Clarisse pour ses carnets, Olivier Kempf pour EGEA, F-B Huyghe, Sid, Paolo Passeri, Daniel Ventre, Michel Goya ou le marquis de Seignelay pour les échanges, ce qu'ils m'apportent intellectuellement et, plus largement, pour leur contribution à la communauté.

A ces personnes, celles que j'oublie et aux lecteurs / lectrices qui me lisent et que je ne connais pas, je vous donne rendez-vous en 2012 pour une année sans nul doute riche, intéressante et surprenante. Avec, peut-être à la clé, une véritable surprise stratégique si jamais le monde est encore debout au lendemain du 21 décembre 2012 !

mercredi 28 décembre 2011

Pénurie, mythe et déclassement

Sid a écrit au début du mois de décembre un article à propos de la pénurie de compétences de pentesters en particulier et, plus généralement, de "bons" praticiens en sécurité. Réellement pertinent et de niveau prospectif, cet article a fait réagir de nombreuses personnes dans un débat de bon niveau avec beaucoup de points justes soulevés.

De manière plus générale, j'avais également relevé début novembre un bon article sur la fin d'un mythe à propos du niveau informatique des digital natives. L'article en question met en lumière une disparité au sein de la génération Y : tous n'ont pas un niveau informatique de geek, et si un tiers est familier et maîtrise l'usage culturel et dispose des connaissances suffisantes pour inventer ou faire évoluer ces outils, la majorité ne sait simplement que se servir des outils courants comme les réseaux sociaux mais sans forcément en appréhender les rouages, la complexité, les enjeux ou plus prosaïquement les principes de fonctionnement techniques et les technologies employées. 

On pourra cependant rétorquer qu'il n'est pas utile de savoir démonter un moteur thermique pour conduire un véhicule, ce qui sera vrai. En revanche, la compétition économique et l'adaptation / inadaptation de notre société aux évolutions inédites et ultra-rapides d'un monde en pleine mutation ne doivent pas échapper aux décideurs et c'est en cela que ces deux articles sont éclairants : l'informatique (usage, production, innovation), qui a bouleversé les échanges économiques, les usages culturels et a modifié la géographie des territoires ces 30 dernières années, continue de redistribuer les cartes et les centres de pouvoir en profondeur ! Donc les acteurs d'aujourd'hui mais surtout de demain.

Mal préparer la génération qui commencera à prendre le relais dans les 10 ou 15 prochaines années nous coûtera encore des points de PIB, des destructions d'emploi et in fine, la prophétie auto-réalisatrice d'un déclassement de la France (et des autres partenaires majeurs européens) se produira. Mieux vaut tard que jamais reste néanmoins encore d'actualité (pour combien de temps encore ?) et la formation continue (aux outils informatiques) et l'acquisition de nouvelles compétences pour accompagner l'innovation permettront, si l'on demeure un minimum optimiste, d'amortir le choc sociétal et les évolutions induites que la crise en cours ne fait qu'accélérer.

dimanche 25 décembre 2011

Cybersécurité maritime en Europe : de faible à inexistante

On ne le sait peut-être pas assez mais l'Union européenne possède la 2ème façade maritime au monde. Rotterdam, premier port européen, est également l'un des tous premiers ports mondiaux et constitue la première interface maritime de l'Europe et le principal port commercial de la Triade.

Globalement, le trafic de marchandises par voies maritimes pour l'U.E. représente plus de la moitié du trafic total et, sans surprise, dépend de plus en plus de systèmes d'information complexes et interconnectés. Ils n'en sont donc pas moins soumis aux mêmes types de risques et de menaces que n'importe quel S.I.

L'ENISA, pour une fois, fait montre d'originalité (si j'osais j'ose même parler d'avant-gardisme !) en publiant un rapport qui souligne les carences du domaine en la matière où la sensibilité à la problématique cybersécurité varie de "faible à inexistante" ! Pour l'avoir lu attentivement, j'irai donc un peu plus loin que certains* car je trouve ce rapport clair, synthétique et allant à l'essentiel : un constat alarmant mais juste assorti d'une dizaine de recommandations à court, moyen et long terme. 

Je ne les listerai pas en détail puisque l'on retrouve des mesures somme toute assez classiques mais de bon sens : initiation d'un dialogue entre les différents acteurs clé du secteur et connexes (autorités, gouvernement, etc.), faire prendre conscience à tous de la criticité du secteur, sensibiliser et développer les formations, définir les rôles et responsabilités au niveau national et européen, développer des standards et des politiques, etc.

Ce rapport met cruellement en exergue deux faiblesses ayant cours jusqu'à présent et que je trouve assez incroyables : les standards, méthodologies et outils dédiés à la sécurité maritime sont "monolithiques et se focalisent uniquement sur la sécurité physique". De plus, "les ports commerciaux ne sont pas considérés comme des éléments d'infrastructures critiques et la sécurité des systèmes d'information et de communication n'est pas organisée" ! Le rapport insiste pour que le domaine maritime soit traité en problématique "infrastructures critiques" à part entière.

Parmi les recommandations, l'une d'entre elles a attiré mon attention puisqu'elle souligne que les risques ne sont pas suffisamment traités jusqu'à présent du point de vue méthodologique (analyses de risques) : seules l'interruption des moyens critiques de communication ou la divulgation d'informations sensibles sur les navires (parcours, position, équipage, etc.) étaient évalués et traités. Le rapport de l'ENISA recommande donc une approche holistique de la gestion des risques, en évaluant la criticité des services, l'identification et la classification des assets, l'exposition aux risques, etc. 

Même tardive, l'initiative de l'ENISA est à saluer. On peut cependant rester circonspect quant à l'émergence d'une volonté commune. La prise en compte de ses recommandations et leur déclinaison opérationnelle dans les mois qui viennent serviront donc d'anémomètre. 

* même si le jeu de mot est parfait ! ;)

vendredi 23 décembre 2011

De l'usage d'une imprimante laser comme...cyberarme ?!

Si le titre de cet article est volontairement provocateur et utilise sans vergogne le sensationnalisme apparent de certains, le cas récent de l'affaire des imprimantes HP Laserjet n'est peut-être pas si caricatural et soulève de bonnes questions.

On ne le répètera peut-être jamais assez mais la sécurité commence déjà par de l'information : savoir qu'il existe des enjeux voire surtout des risques, même avec une imprimante, est la base d'une protection sérieuse si ce n'est bonne. De ce point de vue, les gens de HP semblent traiter la problématique avec sérieux, depuis plusieurs années.

Du Scud au calendrier Maya !
Le Scud journalistique tiré le 29 novembre 2011 sur le site "Redtape chronicles" a probablement pris par surprise la direction de HP. Comme le reste du monde, ils y apprennent qu'une équipe de chercheurs en sécurité de l'Université de Columbia aurait découvert une vulnérabilité pouvant compromettre des millions d'imprimantes par des piratages dévastateurs ! A se demander si le calendrier Maya ne se serait pas trompé de 387 jours ! 

Plus sérieusement, le problème soulevé est le suivant : la majorité des imprimantes  collectives en entreprise sont reliées au réseau informatique et, si le droit leur est donné ou laissé (attention aux paramètres par défaut !), peuvent se connecter via Internet pour effectuer les mises à jour de leur firmware. Les chercheurs ont donc forcé la mise à jour à distance du firmware sachant qu'aucun certificat n'est demandé pour l'authentification (le cas semble uniquement valable pour les Laserjet antérieures à 2009). Une fois introduits, ils disent avoir pu modifier certaines instructions afin d'augmenter continuellement la température du four. D'après eux et même s'ils ne sont pas allés jusqu'au bout, leur attaque peut conduire à la surchauffe de l'imprimante qui finirait par s'enflammer !

HP a été réactif en publiant un démenti le jour même, expliquant que le four dispose d'une sécurité ("thermal breaker") qui empêche, justement, un début d'incendie. Il reconnaît cependant qu'une vulnérabilité existe bien mais qu'elle ne peut être exploitée qu'en cas d'absence d'un firewall entre l'imprimante et Internet (encore faut-il que le firewall soit bien configuré, autre problème) ou que sur un réseau privé, un acte malveillant soit mis en œuvre pour tenter de modifier le firmware. Enfin, les modèles post 2009 utilisent un certificat afin de garantir l'authenticité du site d'où est effectuée la mise à jour.

Que retenir de cette affaire ?
1) En premier lieu, l'équipe du professeur Stolfo a bien découvert une faille logicielle exploitable, donnant corps à l'idée que, depuis des années, les imprimantes sont à considérer comme des équipements à risque et doivent être protégés comme tels. L'imprimante comme avant-poste d'une attaque (avec un sniffer réseau, pas exemple) ou encore pour transférer "à l'extérieur" l'ensemble des impressions est une menace discrète mais néanmoins efficace. Dans les deux cas, c'est le jackpot assuré pour l'attaquant !
2) HP n'a pas attendu cette découverte pour se pencher sur la question et la traiter du mieux possible. Quels que soient les efforts déployés, des vulnérabilités exploitables seront  toujours découvertes. Simple question de temps, de compétences et de moyens.
3) Même si aucune imprimante ne semble avoir été détruite par "combustion spontanée", une plainte en class-action a immédiatement (!) été enregistrée en Californie, celle-ci se basant sur le fait qu'un rapport publié en 2010 mettait en garde contre les risques de modification d'un firmware à des fins malveillantes. Et donc que HP n'avait pas fait le nécessaire pour informer ses clients.

Il va sans dire que cette partie juridique de l'affaire sera à suivre attentivement, même s'il semble difficile pour les plaignants de remporter ce match facilement. Sauf évidemment, si l'on se place uniquement dans l'objectif de toucher quelques dizaines de milliers de dollars afin d'éteindre la procédure. A choisir, je penche pour cette solution, les enjeux financiers et industriels pour HP et consorts étant bien trop importants !

mercredi 21 décembre 2011

Exercice OTAN Cyber Coalition 2011 : quels enseignements ?

L'OTAN semble prendre l'habitude depuis 2008 d'organiser un exercice majeur dit de cyber-défense. Appelée Cyber Coalition, la version 2011 s'est tenue la semaine dernière (13-15 décembre) et hormis le communiqué officiel, rien n'a vraiment filtré. Face à un scénario d'attaques multiples sur des infrastructures critiques, l'exercice semble n'avoir été que procédural et organisationnel et avait pour objectif principal d'améliorer la gestion de crise et de tester les procédures de prises de décision.

Malgré le nombre important de pays participants (23) et de nations partenaires (6), l'on pourra s'étonner par le faible nombre des effectifs mobilisés au  QG du Shape à Mons et au QG de Bruxelles (une petite centaine de personnes) ainsi que dans les pays associés à l'exercice (une centaine de personnes également). On notera la présence d'un représentant de l'Union européenne en tant qu'observateur, "symbolique", probablement. Cette faible mobilisation du point de vue des effectifs est somme tout "logique" si l'on s'en réfère aux décisions prises depuis le sommet de Lisbonne en ce qui concerne l'approche Otanienne du cyberespace. C'est peut-être ainsi qu'il faut interpréter les décisions de juin 2011, consécutives à Lisbonne, et ayant permis d'élaborer une "politique claire" ? 

De manière plus discrète, et comme je l'envisage déjà depuis plusieurs mois, c'est bien le NCIRC qui devient le bouclier et aussi,  malgré les dénégations, le glaive actif de l'Alliance dans le cyberespace, d'autant plus qu'il sera sérieusement renforcé d'ici la fin 2012. Doté de nouvelles capacités, il deviendra alors le NCIRC-FOC (Full Operational Capability).

lundi 19 décembre 2011

Cybersécurité et développement au menu de l'ECOSOC (ONU)

Le 29 novembre 2011 s'est tenu à l'École militaire un colloque ayant pour thème le cyberespace comme "nouveau domaine de la pensée stratégique". Organisé par le Centre de Recherche des écoles de Saint-Cyr Coëtquidan (CREC) et l'Alliance Géostratégique (AGS), cette journée a pu souligner combien ce domaine est complexe et en devenir et combien il ne peut / ne doit être résumé à ses aspects les plus médiatiques (Anonymous, Stuxnet, ...) ou réduits aux seuls paramètres techniques.

Au niveau international, il est possible de distinguer d'autres facteurs tout aussi importants car ils touchent aux règles du jeu (régulation, compétences juridictionnelles) afin de tenter de mettre un peu d'ordre dans une conflictualité permanente, protéiforme et d'intensité variable. L'aspect normatif et légal est donc essentiel à ceci près qu'il n'en n'existe pas de spécifique (une variété d'accords et de textes s'appliquent ou peuvent s'appliquer) ou, du moins, qu'existent des tentatives plus ou moins avancées dans différentes organisations. Certains États n'ont pas attendu d'hypothétiques accords pour faire part de leurs propres règles d'opérations et d'engagement. Notons alors combien il sera difficile de converger, d'autant plus qu'une des principales dynamiques est le fait de l'OTAN qui, sans être illégitime sur les aspects de "Global Commons" ("Biens Publics mondiaux") devrait in fine apporter sa contribution, de mon point de vue, à l'organisation mondiale la plus légitime : l'ONU.
  
La semaine dernière d'ailleurs, le Conseil Économique et Social des Nations Unies (ECOSOC) a organisé un Special Event d'une demi-journée autour de la cybersécurité et du développement. Cet événement abordait une triple thématique :
- Sensibiliser les membres d'ECOSOC en dressant un panorama des enjeux et des défis soulevés par la cybersécurité dans le cadre du développement;
- Identifier l'ensemble des bonnes pratiques en termes de politiques et d'initiatives au niveau mondial pour construire une culture cybersécurité;
- Explorer les options de réponse globale vis à vis de la cybercriminalité.

Au final, l'objectif était "d'avancer des idées sur les éléments clé requis en termes de réponse globale et de canevas en réponse à la problématique cybersécurité / cybercriminalité". J'avoue ne pas avoir encore eu le temps de regarder les presque 3h du podcast disponible. S'il y a un(e) volontaire, la communauté lui en saura gré ! ;) 

J'aimerai enfin signaler l'un des documents disponibles (dans le cadre de cet événement) qui, méritera une analyse approfondie, puisqu'il permet d'en savoir un peu plus sur les rapports de force, les propositions et les loupés autour du cyberespace au sein de l'enceinte des Nations Unies. J'ai, par exemple, appris que "la Russie avait proposé un traité dès 1998 qui proposait de bannir du cyberespace tout usage à des fins militaires" ! Cette proposition, clairvoyante et par ailleurs déjà évoquée en 2010 par CIDRIS, était simplement en avance d'une bonne décennie sur les...Global Commons et anticipait la montée en puissance des risques dans et par le cyberespace.

jeudi 15 décembre 2011

Cybersécurité do Brasil : phase 2

Il y a 6 mois, le Brésil annonçait la création du CDCiber (Centro de Defesa Cibernética), unité en charge de la problématique cybersécurité et opérée par l'Armée de Terre (Exército) pour le compte du ministère de la Défense brésilien.

Cette unité devrait être opérationnelle d'ici quelques jours mais d'ores et déjà, trois points méritent d'être soulignés :
- Organisateur de la coupe du monde de football en 2014 et des jeux Olympiques d'été de 2016, il va sans dire que des attaques cybernétiques visant les infrastructures de transport d'information, de production d'énergie ou simplement paralysant les moyens de communication spécifiquement mis en place pour les média auraient un impact extrêmement négatif en terme d'image.
- On ne le sait peut-être pas suffisamment mais le Brésil est l'un des pays du "top 10" mondial en matière de cybercriminalité (spamming, phishing, élaboration de virus). Comme dans certaines favelas depuis des mois, le gouvernement a décidé un "grand coup de balai".
- Enfin, première puissance d'Amérique du Sud, économie émergente mais qui va davantage peser dans les années qui viennent ("or vert", "or noir" - lire mon article de juin - et même terres rares), une puissance régionale de cette envergure ne peut tout simplement pas "louper" le train de la lutte dans le cyberespace qui, si cela est encore nécessaire, souligne l'importance de plus en plus stratégique de ce domaine aux frontières du physique et du virtuel.

Source : ici + traduction

mercredi 14 décembre 2011

Cybersécurité en Europe : c'est maintenant ou jamais !

"Peu de hasard, beaucoup de nécessité"

J'ai toujours aimé cette phrase, tirée d'un essai de Jean d'Ormesson "Presque tout sur presque rien", livre foutraque traversé de fulgurances et de profondeurs métaphysiques qui soulignent l'esprit agile, passionné  et toujours jeune de cet Académicien presque "quadragénaire" !

Peu de hasard donc et assurément beaucoup de nécessité puisque d'un week-end studieux où j'ai pu préparer plusieurs articles, une idée tenace n'a cessé de m'accompagner, celle d'approfondir une question que je soulève par moments : quid de la cybersécurité sur le "Vieux Continent" ? Car à force d'observer, d'analyser et de communiquer régulièrement sur les avancées massives dans le domaine CyberSec aux États-Unis, ne se dessine plus un fossé mais bien un gouffre ! 

La crise ? Des enjeux mais surtout des opportunités !

En cette période de crise majeure  et protéiforme (financière, économique, politique , sociale, sociétale, etc.), la discipline budgétaire donc de gouvernance économique de la zone euro (les 17 + 9 ou les 27 - 1, au choix), associée à une convergence fiscale à moyen terme entre, au moins l'Allemagne et la France, peuvent être qualifiés d'un début de dynamique vers un fédéralisme, abhorré ou souhaité

Mon propos ici n'est pas de traiter cet aspect complexe et souvent passionnel pour lequel, d'ailleurs, je n'ai qu'un avis de citoyen trivial voire manichéen (pour ou contre). Je souhaite simplement souligner une opportunité parmi de multiples autres, peut-être unique, car une crise, quelles que soient ses dimensions et son ampleur, est aussi un moment unique d'entreprendre, d'innover et de créer pour s'adapter (voire inventer) aux nouvelles règles en gestation  d'un environnement décomposé qui se recompose

Tâchons donc de relever si parmi la multiplicité des enjeux la problématique cybersécurité apparaît aux yeux des politiques comme un enjeu stratégique (à l'instar des USA) pour lequel se joue aussi une partie du destin commun et d'une certaine idée de l'Europe ? Si ces initiatives en cybersécurité existent, quelles sont-elles ? A l'inverse, une véritable volonté politique ne pourrait-elle (devrait ?) pas servir de levier pour de nombreux autres domaines (l'industrie la recherche, etc.) ? S'interroger c'est déjà y répondre mais si une certitude existe c'est que l'Europe doit dès à présent investir et développer sa puissance en unissant ses multiples ressources afin de protéger efficacement les citoyens d'aujourd'hui et les générations à venir.

De la vitrine crétoise au No Man's Land : la cybersécurité en Europe
Reconnaissons tout d'abord que des structures, adossées à un mandat (ou une stratégie),  existent mais qu'elles sont essentiellement nationales, avec une apparente  volonté politique plutôt faible de converger à un niveau supérieur (européen au sens large, communautaire, autre). 
Au niveau communautaire existe l'ENISA depuis 2004, une belle vitrine le plus souvent silencieuse dont 99,95% des Euro-citoyens ne connaissent même pas l'existence. Cet organisme n'a qu'un mandat limité, et ne produit le plus souvent que des analyses techniques, des avis sur les vulnérabilités (il dispose d'un CERT connecté aux CERTs de ses membres) et des recommandations que ses membres sont chargés de décliner ou d'appliquer au niveau national...ou pas.
Passons rapidement sur le processus de Tallinn, censé organiser et développer la thématique "Infrastructures critiques" au sein de l'Union, et qui semble mort-né. Enfin, il y a la création annoncée à la fin de cet été d'une  super Agence IT européenne pour la "Justice, les libertés et la sécurité" localisée à...Tallinn, près du centre cybersécurité de...l'OTAN. 

Malheureusement, en l'absence de volonté au plus haut niveau, que ce soit à la Commission européenne, au Conseil de l'Union européenne (gouvernements) ou au Conseil européen (les Premiers ministres et Président(s)), il est à craindre qu'il faudra un incident, un accident ou une crise majeure pour faire bouger les choses.

Arrêtons les postures et les créations mort-nées : fédérons l'existant !

Pourtant nul besoin d'inventer ou de créer quelque chose ex nihilo car existent déjà l'essentiel des structures, des acteurs et des moyens. Seule manque une volonté traduite en initiatives suffisantes pour amorcer une véritable dynamique. On pourrait, par exemple, créer des pôles transverses à l'image de l'initiative CASED en Allemagne, dans le Länder de Hesse. Réunis autour de trois pôles technologiques universitaires, étudiants, chercheurs, ingénieurs, criminologues et experts sont réunis dans ce pôle d'excellence "à l'allemande". Le modèle de pôle d'ailleurs, va plus loin que les pôles de compétitivité " à la française" qui malgré d'indéniables réussites possèdent, à mon sens, deux handicaps sérieux : la collaboration hors des frontières est timide et peu encouragée et le ministère de l'Éducation n'est pas directement associé aux travaux  (essaimage, création de filières ad hoc dès le lycée, etc.). A l'inverse, CASED s'appuie sur un réseau d'expertise international extrêmement sérieux et développé.

Sans présager des annonces, de leurs effets, de la réalité et des postures, que l'on ne se méprenne pas sur ma critique : elle n'a pour seul objet que d'encourager une initiative  à l'échelle européenne forte, viable et réelle sans s'interdire des coopérations internationales. Il est encore temps d'agir sans attendre de devoir réagir et, surtout, sans laisser une structure militaire (OTAN) conduire les débats qui doivent rester cantonnés au niveau civil et citoyen. Malgré de telles tentatives aux USA (j'y reviendrai très bientôt), le politique a tranché en séparant explicitement périmètres opérationnels et juridictions : les réseaux militaires au Pentagone, les réseaux fédéraux et gouvernementaux au DHS

Prenons garde que le gouffre auquel je faisais allusion en introduction ne devienne pas la fosse des Mariannes au-dessus de laquelle nous n'aurons d'autres choix que de faire appel à des moyens et des ressources extracommunautaires.

Note : vous pouvez également retrouver cet article sur le site de l'Alliance Géostratégique.

vendredi 9 décembre 2011

Les "cyber-cadets" du Pentagone

Alors que la fin de l'année 2011 se profile et que les inévitables bilans vont commencer à fleurir, arrêtons-nous une fois encore sur les États-Unis. Qui, soit dit en passant, s'ils ont en déclin d'après certains, conservent cependant un pouvoir d'attraction (économique, médiatique, scientifique, etc.) sans équivalent, devant même celui de la Grande muraille (de Chine) !

Nos cousins d'Outre-Atlantique donc, depuis que leur administration a décidé de traiter le cyberespace au même rang que les autres dimensions (terrestre, maritime, aérienne et spatiale), font feu de tout bois et dans toutes les directions. De surcroît, ils communiquent et plus que bien. On pourra toujours leur reprocher l'utilisation de la communication comme un vecteur d'influence avec ce que cela recouvre de techniques manipulatoires, dilatoires, etc. et l'on aura en partie raison. Pour autant, l'une des fascinations que l'on peut éprouver à l'égard des USA, est ce mélange de transparence parfois exagérée et de culture du secret. Une ambivalence parfaitement assumée depuis des décennies et qui leur permet de garder un vrai leadership. Dans de nombreux domaines y compris dans...le cyberespace.

Prenons, par exemple, l'Air Force, en pointe pour le Cyber par rapport aux autres armes : elle dispose d'un programme de formations spécifiques mais prépare aussi les recrutements de demain. A travers l'Air Force Association, le programme CyberPatriot a pour objet de faire s'affronter des dizaines d'équipes d'étudiants lors de plusieurs sessions  cybersécurité dont l'objet est de  renforcer et sécuriser un système (puis deux systèmes pour les 36 équipes sélectionnées) qui subit ensuite, une batterie d'attaques en règle afin d'en mesurer la robustesse. D'autres épreuves comprennent également des problèmes de sécurité plus ou moins complexes que les équipes doivent résoudre.

Au final, l'Air Force enverra les 12 meilleures équipes se mesurer aux finalistes des autres armes lors de la finale nationale organisée à Washington en mars 2012.  Cette finale sera placée sous le spectre des analyses post criminelles et forensiques. L'intérêt d'un tel programme, unique au monde, est multiple : 
- Donner l'envie et le goût aux étudiants de poursuivre leurs études supérieures dans les filières techniques réunies sous le vocable STIM (Sciences, Technologies, Ingénierie, Mathématiques - STEM en anglais). Comme en France et en Europe plus généralement, il existe une véritable désaffection pour ces filières;
- Disposer d'un réservoir de "potentiels"  et repérer les talents que le Pentagone ou ses sous-traitants (partenaires du programme CyberPatriot) ne manqueront pas de contacter d'ici 3 à 5 ans (quand ce n'est pas déjà fait);
- Générer un afflux de candidats en affichant les ambitions (et les moyens) technologiques de la Défense U.S. (génération "techno-enthousiaste);
- Enfin, tester mine de rien des concepts via des prototypes industriels fournis par les partenaires industriels du programme, ce qui représente un gain de moyens, de temps donc d'argent manifestement significatif.

En résumé, on a là une autre facette de la volonté des USA d'essayer de prendre l'ascendant dans le cyberespace au travers de la détection des chercheurs et  des opérateurs de demain (3 à 10 ans), l'opportunité de tester de nouvelles solutions techniques et dynamiser l'engouement que peut générer un tel programme auprès de la jeunesse technophile américaine. Une fois encore, et toutes proportions gardées par ailleurs, un programme de type "Cyber-Erasmus" en Europe aurait une véritable incidence et serait une façon de préparer un avenir, dans le cyberespace et au-delà, par ailleurs incertain.

mercredi 7 décembre 2011

Du virtuel à la réalité : le Cyber arsenal (2/2)

J'avais subrepticement évoqué, début novembre, le 1er colloque Cybersécurité organisé par la DARPA. L'agence américaine chargée de la R&D du Pentagone est le lieu privilégié pour assurer la cohérence entre le cyber, les armes cinétiques, les armes non-cinétiques et la combinaison de ces éléments.  Pour qui serait attentif à ce blog, je m'étais attelé à ce sujet complexe et sensible (donc avec peu d'informations disponibles) en janvier 2011 (la suite de cet article viendra, soyez en assuré ! :)

Lapalissade s'il en est, la directrice de la DARPA reconnaissait qu'il était temps d'envisager de nouvelles réponses techniques puisque rien ne changeait vraiment dans le cadre des développements logiciels tandis que les menaces, elles, s'adaptent, évoluent et ont pris une certaine avance en terme de sophistication. L'émergence et la dangerosité de Stuxnet, dont la finalité est bien de s'attaquer à un équipement physique, ont fait prendre conscience à de nombreux acteurs et observateurs que des ruptures technologiques sont devenues nécessaires afin de reprendre l'avantage. Ou du moins d'essayer.

Sans présager de la qualité des cyber-armes offensives déjà disponibles (Stuxnet-like ? Pire ?), il n'est pas besoin d'être grand clerc pour réunir des informations publiques mais disparates pour les croiser avec un certain embarras de responsables politiques (et militaires) des États-Unis lorsque l'on vient sur le terrain d'armes cybernétiques. Les USA sont probablement en train de se constituer un cyber-arsenal dont certains projets sont sûrement à un niveau de TRL plutôt avancé. 

L'accroissement du budget cyber de la DARPA pour l'année fiscale 2012 (+73%) et pour les 5 prochaines années est un gage du sérieux avec lequel cette enjeu est traité. Parions enfin que, d'ici quelques mois et années, des retombées industrielles et civiles  interviendront sûrement dans le domaine des TIC et qu'elles le devront aux programmes en cours au sein de la DARPA. Qui, l'Histoire repassant quand même parfois les plats, est à l'origine de la création du réseau des réseaux (ARPANet --> Internet).

Ce billet est la suite de celui-là.

lundi 5 décembre 2011

Cyber Flag, 1er cyber-exercice majeur de l'U.S. CyberCom

Passionnés et professionnels de l'aéronautique militaire connaissent bien les "Red Flag" organisés tous les 4 ou 6 ans sur la base aérienne américaine de Nellis AFB, dans l'État du Nevada, qui possède l'un des plus grands polygones d'exercice au monde (la moitié de la Suisse environ !). Voyant s'affronter deux forces d'opposition, les "bleus" et les "rouges", nombreuses sont les forces aériennes à venir s'y entraîner et l'Armée de l'air française s'y est souvent distinguée.

C'est sur cette même base de Nellis et le même principe de forces "Agresseurs / Agressés" que le commandement Cyber de la Défense américaine, l'U.S. CyberCom, a organisé son premier cyber-exercice majeur. 300 spécialistes interarmées (en activité, de la Garde Nationale, de la réserve mais aussi civils et sous-traitants) répartis dans 2 équipes avec un objectif diamétralement opposé : l'une devait détecter et protéger les tentatives d'attaque sur les réseaux du CyberCommand, tandis que l'autre équipe devait tenter de pénétrer ces mêmes réseaux à coup de codes malveillants et d'intrusions réseaux sophistiquées.

Les résultats sont évidemment classifiés et ne seront pas portés à l'attention du public. L'on sait simplement que "les attaques n'ont pas pu être empêchées à 100%" mais que "la majorité des menaces a pu être identifiée et les réponses appropriées rapidement mises en œuvre". Le Général Alexander, patron de l'USCC a exprimé sa satisfaction car cet exercice aurait démontré les capacités opérationnelles de son unité, celles-ci ayant même "dépassé les attentes"

Sans faire la fine-bouche, on soulignera cependant que des attaques majeures potentielles dans "la vraie vie" ne chercheraient pas uniquement à s'en prendre à une seule cible comme les réseaux de l'U.S. CC. Infrastructures de transport d'électricité, de communication, de passagers, de données, etc. pourraient être attaquées simultanément, donnant ainsi une autre dimension, donc une plus forte crédibilité, à ce genre d'exercice forcément utile et riche de nombreux enseignements.

Source : http://informationweek.com/news/government/security/232200508