lundi 31 décembre 2012

Rétrospective 2012 et cap sur 2013

Comme la dinde, les marrons ou la bûche, la fin d'année est également propice aux bilans. Ce blog sacrifie donc à ce qui devient une coutume bien établie en proposant chiffres et articles emblématiques de l'année écoulée. En vous souhaitant de profiter avec joie et sérénité des dernières heures qui nous séparent de la nouvelle année.

jeudi 27 décembre 2012

Piratages informatiques longue durée : la preuve par 4 !

En écho à l'un de mes articles du mois dernier intitulé "SSI/Cybersécurité : y a-t'il un pilote dans l'avion* ?", je vous propose une "saine" lecture vers un article de l'excellent site Dark Reading Security qui revient sur 4 piratages emblématiques et de longue durée.

S'y retrouvent l'U.S. Chamber of Commerce (la Chambre de Commerce des États-Unis ou comment truffer un réseau de portes dérobées pour lire tranquillement chez soi, chez toi - ou chi-nois :) - courriels et pièces jointes), le ministère japonais des Finances (ou 2010/2011 : deux ans d'exfiltration de données par troyen interposé) et Coca-Cola dont le célèbre breuvage pourrait avoir fait les frais en Chine (ou : comment se faire piller des secrets industriels par de méchants pirates qui se foutent royalement de la propriété intellectuelle !).

J'ai gardé le meilleur pour la fin, c'est à dire Nortel à qui je remettais symboliquement à l'époque le titre du "piratage d'or" pour s'être fait pillé durant une décennie entière ! Une malheureuse affaire qui finit par un dépôt de bilan en 2009. Mais qui aurait sûrement pu limiter ces dramatiques conséquences , comme les trois autres larrons, à travers quelques mesures techniques rabâchées depuis des années : cloisonnement des réseaux, mots de passe non codés en dur, droits administrateurs aux seuls administrateurs (avec surveillance renforcée sur ces comptes), justes droits et moindres privilèges pour les autres utilisateurs, analyse des logs et audits réguliers.

mardi 25 décembre 2012

Cinétique et non-cinétique : ce que sera (peut-être) la cyberguerre

Coordonnant le dossier thématique "électromagnétisme" de l'Alliance géostratégique, j'ai commis un article intitulé "Cinétique et non-cinétique : ce que sera (peut-être) la cyberguerre". Commis car il s'agit d'une courte nouvelle qui se base sur un scénario fictif mais résolument réaliste. 2022 : quelle serait la réaction des États-Unis face à une attaque (réussie) sur l'une de ses infrastructures vitales entraînant des conséquences majeures ?

Comme je l'ai écrit, "gageons que si celle-ci serait sans doute violente et rapide, elle pourrait combiner des effets cinétiques classiques mais aussi des effets non-cinétiques. L’emploi de la palette complète irait des moyens de guerre électronique, en passant par des cyberattaques et jusqu’à l’utilisation d’armes électromagnétiques". La suite est à lire sur le site d'AGS. Et Joyeux Noël à tous !

vendredi 21 décembre 2012

Rapport sur le ciblage des technologies US en 2012

Le Defense Security Service (DSS) américain, que l'on peut comparer à la DPSD en France, vient de publier un intéressant rapport intitulé "Targeting US technologies 2012 - A trend analysis of reporting from defense industry" (Ciblage des Technologies US 2012 - Une analyse des tendances rapportées de l'industrie de la défense).

jeudi 13 décembre 2012

Attention aux autocollants QR piégés dans les lieux publics

Il y a environ deux ans, lorsque le phénomène des codes QR a pris de l'ampleur, nombreux ont été les spécialistes de la sécurité à souligner toutes les possibilités d'escroqueries et d'arnaques possibles avec ce type de code-barres. Jamais à court d'idées, certains escrocs utilisent depuis quelques temps de véritables autocollants intégrant des url pointant vers des sites plus que douteux.

mercredi 12 décembre 2012

Café Stratégique n°20 : entretien avec une reporter de guerre

Somalie, Irak, Afghanistan, Libye, Syrie, ...
Depuis la disparition de l'Union soviétique, la liste des conflits dits de basse intensité s'est allongée, certains d'entre eux n'étant d'ailleurs toujours pas terminés. Les reporters de guerre, qui payent chaque année un lourd tribut sanglant pour informer le reste de leurs semblables, demeurent une caste à part dans leur profession.

Patricia Allémonière, grand reporter à TF1 et LCI est l'une des (trop) rares françaises à exercer ce métier dangereux mais fascinant. Nous faisant l'amitié de venir parler de sa riche expérience, elle répondra ensuite aux questions du public. 
L'Alliance géostratégique a le plaisir de vous convier le jeudi 13 décembre à partir de 19h au Café le Concorde, 239 boulevard St Germain, dans le 7ème arrondissement de Paris (métro Assemblée Nationale). Comme d'habitude, l'entrée est  libre. Venez nombreux !

dimanche 9 décembre 2012

DSD Australien : le Top 35 des mesures d'atténuation des cyber-risques

Le Defence Signals Directorate (DSD) est à l'Australie ce que la NSA est aux États-Unis. Toutes proportions gardées et même si les liens fraternels voire consanguins ne sont pas dissimulés (1). Le DSD coordonne et mène l'ensemble des actions en lien avec les opérations de cyberdéfense, que ce soit l'évaluation de la menace comme la lutte contre les cyberattaques. C'est dans ce cadre qu'il a récemment mis à jour son excellent et didactique guide de 35 recommandations dont la première édition datait de février 2010 (2).

lundi 3 décembre 2012

Votre cyberguerre : avec ou sans tarte à la crème ?

D'un côté on se félicite de commencer à prendre la problématique SSI/cybersécurité en compte. De l'autre, on nous annonce entre six années et demi (c'est précis...mais justifiable !) et dix années de retard. Entre les deux, les tartes à la crème volent et il vaut mieux être bien caché pour éviter les projections ou doté d'un énorme canon à chantilly pour pouvoir riposter ! La plus grosse de ces tartes à la crème, et qui révèle tout de suite les gourmands, c'est celle de la "cyberguerre".

OWNI vient de publier sur le sujet un article de bonne facture, abordant le sujet en interrogeant des spécialistes juridiques et politiques. Se retranchant prudemment derrière les diverses analyses, l'article ne tranche cependant pas. J'aurais tendance à confirmer ce que j'en pense et écris depuis un certain temps : je préfère largement l'usage des termes "actions offensives dans le cyberespace", "opérations non-cinétiques" voire éventuellement et avec la réserve nécessaire "cyber-conflits". Parce qu'ils me paraissent correspondre réellement aux opérations actuelles et à venir.

mercredi 28 novembre 2012

SSI/Cybersécurité : y a-t'il un pilote dans l'avion* ?

Coup sur coup, c'est à l’École militaire qu'il fallait être la semaine dernière pour assister à deux importantes conférences consacrées à la cybersécurité et à la cyberdéfense. D'ailleurs, et c'est presque sans malice que je l'écris, il serait malvenu de venir se plaindre et taper allègrement (et gratuitement) sur l'institution militaire qui sait organiser d'excellentes conférences, ouvertes au public, du moins à la société civile. Et qui sait donc s'emparer et piloter, l'air de rien, un sujet passé du statut émergent à celui de stratégique. Le tout en moins de deux années.

mardi 20 novembre 2012

Cybermenaces 2013 : les tendances du Georgia Tech

Sans grand étonnement, l'exploitation malveillante des données devrait s'accélérer en 2013. C'est en tout cas la prévision du Georgia Tech (Georgia Tech Information Security Center - GTISC et le Georgia Tech Research Institute - GTRI) dans son rapport 2013 sur les cybermenaces émergentes.

vendredi 16 novembre 2012

"Attention gorille échappé !" (piratage d'un panneau routier - le retour)

A peine trois semaines après l'avertissement de zombies dans l’État de New-York, c'est au tour de Sacramento, en Californie, d'être touché par un nouveau piratage de panneau routier. Il semble, cette fois-ci, que l'auteur de ce méfait inoffensif et humoristique ait agi trois nuits de rang avec trois messages différents. Le premier incitait à fumer "de la marijuana tous les jours", le suivant avertissait "un gorille échappé" et le troisième non reporté car considéré comme profane. 

Ce que l'on remarque avec cette série d'incidents similaires, c'est la possibilité qu'un mouvement spontané et non-organisé soit né. Car, coïncidence ou non, il s'agit là aussi d'un panneau routier d'information mobile.  Mes processus de veille ayant leur limite, je saurais apprécier à sa juste valeur qui me signalera tout incident similaire. J'ai le sentiment qu'une galerie des "exploits" pourrait être constituée.

mercredi 14 novembre 2012

Réseaux centrés et milieux extrêmes : de TCP/IP au DTN (Disruption Tolerant Networks)

La NASA vient d'annoncer le succès d'une expérience réalisée durant le mois d'octobre et intéressante à plus d'un titre. Sunita Williams, commandant de la 33ème mission à bord de la Station Spatiale Internationale (ISS) a pu prendre le contrôle depuis celle-ci d'un robot en Lego au centre européen d'opérations spatiales (ESA ESOC) de Darmstadt en Allemagne. Si la prouesse n'a rien d'exceptionnel il s'agit cependant d'un test grandeur nature utilisant un nouveau protocole de tolérance aux interruptions réseaux autrement appelé Delay/Disruption Tolerant Networks (DTN).

jeudi 8 novembre 2012

Café Stratégique n°19 : Mexique, l'Etat face au narco-terrorisme

Au lendemain de l'élection du 45ème président des États-Unis, l'Alliance géostratégique continue son exploration du continent nord-américain. Après les USA le mois dernier, c'est le grand voisin à sa frontière sud, le Mexique. Qui, depuis des années, voit sa société gangrénée par les narcotrafics et assiste à une vague de milliers d'assassinats depuis que l’État a décidé de se préoccuper sérieusement du problème.

Nous recevrons ce soir, jeudi 8 novembre 2012, Marion Trovo-Harlay, spécialiste du Mexique et analyste-consultant risque-pays au cabinet Risk & Co. Ce sera l'occasion de débattre, comprendre et discuter de la situation mexicaine.

Les échanges se tiendront de 19h à 21h au Café le Concorde, 239 boulevard St Germain, dans le 7ème arrondissement de Paris (métro Assemblée Nationale). Comme d'habitude, l'entrée est  libre. Venez nombreux !

mardi 6 novembre 2012

Hyper-vitesse, sécurité adaptative et kernel dynamique: les nouvelles pistes technologiques en matière de cyberdéfense

Relayé en mai 2012 par Daniel Ventre sur 01Net.com, un article de Thomas Rid paru dans la revue américaine Foreign Policy examine quelques idées reçues mais aussi certaines contre-vérités ayant trait à une hypothétique cyberguerre. Parmi celles-ci, l'auteur remet en cause le principe qui voudrait que, tout comme dans les autres domaines, dans le cyberespace l'attaque a l'avantage sur la défense.

Depuis des lustres, cette hypothèse est soumise à d’innombrables discussions, études et analyses, la plupart fort savantes avec des implications d'ordre stratégique. Cependant, même la vérité du terrain ne permet pas de trancher de manière certaine. Afin d’apporter un éclairage supplémentaire mais sans être exhaustif, cet article présente certains travaux actuels de recherche, des technologies émergentes à celles en cours de déploiement. Ces travaux visent à assurer une cyberdéfense efficace et à même de déjouer les formes de cyberattaques les plus communes, les actuelles, mais aussi celles qui restent à venir.

La suite est à lire sur l'archive de l'Alliance géostratégique.

jeudi 1 novembre 2012

Le "botCloud" ou l'usage malveillant, facile et à moindre coût du Cloud

Le cloud, on le sait, a passé le statut de tendance pour devenir une réalité. 2012, et sans doute encore plus 2013, marque(ront) le changement de paradigme annoncé depuis trois ou quatre ans. S'il est indéniable pour une entreprise, même de taille modeste, que de disposer d'une puissance de calcul importante (donc de traitements) associée à des capacités de stockage quasi-illimitées tout en supprimant les coûts de possession possède un réel intérêt, autant les problématiques de sécurité intéressent les experts depuis l'émergence du phénomène. A juste titre, une fois encore, si l'on s'en réfère à l'intéressante étude disponible sur le security research blog de Stratsec, filiale australienne du groupe de défense et de sécurité britannique BAE Systems.

vendredi 26 octobre 2012

"Zombies devant !" (piratage d'un panneau routier)


L'image est si parlante qu'elle ne nécessite qu'une brève ! Cela se passe à "Grèce" (Greece, si si !), l'une des banlieues de Rochester, état de New-York. L'un des panneaux routiers mobiles, utilisé pour des travaux en cours, sur la West Ridge Road. Qui affiche un message très inhabituel signalant des zombies (droit) devant !

Après enquête et réinitialisation du système, le bureau local des Transports a expliqué que le système était "difficile à pirater" car il était doublement protégé : un cadenas et un mot de passe ! A quelques jours d'Halloween, le mystère demeure entier ! Le (ou les) coupable, s'il est retrouvé, risque des poursuites pour "vandalisme".

PS : notons le caractère de cet acte qui confine à l'oeuvre artistique car sans aucun impact. Avec, peut-être, un hommage éphémère aux grands maîtres de l'horreur (Romero, Craven, etc.)


Article en rapport (et vidéo, en anglais) :


mercredi 24 octobre 2012

Cybersécurité : le Department of Homeland Security (DHS) se réorganise

C'est avec quelques jours de retard que ce blog relaie une information qui, sans être capitale, est importante. La branche cybersécurité (1) du DHS (le ministère de la sécurité intérieure américain) se réorganise et passe de trois à cinq divisions tout en créant un bureau de gestion de la performance.

lundi 22 octobre 2012

Cyberdéfense vs cyberattaques : les systèmes transportables de simulation

Durant le mois d'août a eu lieu un exercice commun entre militaires, gouvernements et organisations non-gouvernementales (ONG) de 22 pays (1) de la zone Pacifique.  Réunis sur la base navale de Shangi à Singapour, l'exercice Pacific Endeavor 2012 avait pour objet de vérifier la rapidité et l'efficacité de la communication entre les différents acteurs face à un désastre humanitaire. Et qui dit communication dit Systèmes d'Information.

vendredi 19 octobre 2012

Brésil : 3ème séminaire cyberdéfense

Quelques jours avant le Cyber Warfare & Security Forum Brasil 2012 aura lieu le 3ème séminaire de la cyberdéfense organisé par le ministère de la Défense brésilien. Du 24 au 26 octobre, à Brasilia, l'événement réunira des experts en provenance du Brésil et d'autres pays, uniquement anglo-saxons (1). Les questions liées à la sécurité et à la stratégie de défense pour les grands événements, la formation des ressources humaines et les investissements dans le segment cyber du secteur des entreprises seront les thèmes principaux abordés lors de ce séminaire.

lundi 15 octobre 2012

Paquets malformés, syndrome HLR et sévérité des impacts télécoms

Alors que la conférence de sécurité Hack in the box Malaisie vient de s'achever, l'une des interventions qui vient d'y être donnée retient l'attention. Deux français, Philippe Langlois (fondateur de Qualys) et Emmanuel Gadaix ont effectué une présentation intitulée "6000 façons et plus : une perspective de 15 années sur pourquoi les télécoms continuent d'être hackés".

mercredi 10 octobre 2012

Café Stratégique n°18 : les conséquences stratégiques des élections américaines


C'est la rentrée pour les Cafés Stratégiques de l'Alliance géostratégique. Quelques semaines avant des élections présidentielles américaines à l'issue incertaine, nous recevrons demain soir, jeudi 11 octobre 2012, Maya Kandel, chargée d’études à l’Institut de Recherche Stratégique de l’École Militaire (IRSEM). Ce sera l'occasion de débattre, comprendre et discuter des conséquences stratégiques des élections américaines.

Les échanges se tiendront de 19h à 21h au Café le Concorde, 239 boulevard St Germain, dans le 7ème arrondissement de Paris (métro Assemblée Nationale). Comme d'habitude, l'entrée est  libre. Venez nombreux !

mardi 9 octobre 2012

Big Data, SIEM, détection d'attaques : Pic Viz, une innovation de rupture ?

Ce doit être la première fois que ce blog traite d'une solution de sécurité en particulier. Pas que le sujet ne soit pas intéressant, mais les faits, rien que les faits est un leitmotiv où la complaisance n'a pas sa place. La médisance non plus. Ou à bon escient. Quoiqu'il en soit, le prix de l'Innovation 2012 des Assises de Monaco y a été remis la semaine dernière. Il récompense Pic Viz, une société initialement couvée dans l'incubateur Crealys de Lyon et adossée à un laboratoire de recherche du CNRS (UMR 5208).

dimanche 7 octobre 2012

SHA-3 sur les rails

Après presque cinq années de compétition ouverte, le NIST vient enfin de sélectionner le gagnant de la nouvelle fonction cryptographique SHA (Secure Hash Algorithm) dite SHA-3. Des 64 soumissionnaires, c'est Keccak (prononcer “catch-ack”) qui sort vainqueur.

samedi 29 septembre 2012

Un mois d'octobre sous le signe de la cybersécurité

Pour la neuvième année consécutive, le National Cyber Security (Awareness) Month débutera dès lundi (2 octobre 2012) aux États-Unis. Le programme s'annonce riche,  conséquent et touchera une majorité de citoyens américains (1). Tout spécialiste, expert ou praticien SSI / Infosec / CyberSec qui n'y participera pas ne peut que le regretter. Sauf à se trouver du côté du "Rocher", dès le mercredi 3 octobre, pour la 12ème édition des "Assises de la Sécurité de Monaco".

mardi 25 septembre 2012

Sanitisation des données : la SP800-88 Rev. 1 du NIST

Le NIST vient de mettre à disposition du public pour commentaires (1) la mise à jour majeure de la SP800-88 Rev. 1, une directive concernant la sanitisation des media (et des données). J'emploie le néologisme sanitisation à dessein car il existe plusieurs traductions possibles (2) et aucune ne me parait donner vraiment satisfaction : assainissement, stérilisation voire destruction.

mardi 18 septembre 2012

Cyber Warfare & Security Forum Brasil 2012

Le premier forum brésilien concernant les problématiques cybersécurité et autres opérations dans le cyberespace (cyber warfare) aura lieu à Brasilia les 30 et 31 octobre 2012. Réunissant les quelques unités et acteurs institutionnels brésiliens, on y trouvera en particulier le CDCiber qui est l'entité centrale autour de laquelle se structure la filière cyberdéfense des autorités brésiliennes.

samedi 15 septembre 2012

jeudi 6 septembre 2012

Equipements réseaux en environnement industriel critique : le cas GarretCom

Ce n'est pas le premier et ce ne sera pas le dernier. GarretCom est une société californienne qui produit des routeurs et des commutateurs spécialement développés pour opérer en environnement industriel et critique. Un chercheur en sécurité indépendant a découvert la présence d'un compte "usine" par défaut associé à un mot de passe en dur (1). L'utilisation malveillante de ce compte pourrait permettre une escalade des privilèges jusqu'au niveau administrateur ! Une compromission de ce type aurait donc des impacts potentiels en termes de disponibilité, d'intégrité et de confidentialité.

lundi 3 septembre 2012

RoMOS : le "presque Android" russe

L'information date de quelques jours mais semble être un peu passée inaperçue même si elle a été relayée (1). Présenté à l'IFA 2012 de Berlin, l'un des plus grands salons mondiaux ayant trait aux technologies et à l'électronique, un nouveau système d'exploitation pourrait faire une percée inattendue.

jeudi 30 août 2012

Cybersecurity Act USA : avec ou sans Executive Order ?

Tandis qu'aux États-Unis le Sénat n'en finit pas de ne pas s'accorder sur un très attendu car nécessaire "Cybersecurity Act", une sénatrice vient de réclamer que le président Obama dégaine urgemment un Executive Order. La session parlementaire actuelle du Congrès se terminant très prochainement, la méthodologie du président pour ce domaine semble donc avoir échoué.

lundi 27 août 2012

Confirmation de cyberattaques U.S. en Afghanistan

C'est à l'occasion d'une conférence militaire à Baltimore le 15 août 2012, que le Général Richard P. Mills du corps des Marines, a expliqué que des cyber-opérations avaient été menées "contre l'adversaire avec un grand impact" durant son commandement en Afghanistan en 2010 et 2011. Il a ainsi expliqué qu'il avait pu utiliser les capacités cyber à sa disposition afin de pénétrer les réseaux de ses adversaires, infecter leur centre de commandement et contrôle (C2) mais aussi de se défendre contre leurs "constantes incursions pour rentrer dans les câbles (comprendre les réseaux) afin d'affecter [leurs] opérations".

jeudi 23 août 2012

Plan X, le programme de la DARPA pour dominer le cyberespace (de bataille) !


La DARPA, agence de recherche militaire américaine, doit annoncer et présenter à la fin septembre 2012 "Plan X", un ambitieux programme à vocation offensive dans le cyberespace. L'objectif est de créer de nouvelles technologies révolutionnaires pour comprendre, planifier et gérer des opérations non-cinétiques dans le cyberespace en temps-réel, sur une large échelle et dans des environnements réseaux dynamiques.

vendredi 17 août 2012

Top Twitter (août 2012)

Après l'Alliance Géostratégique et Nicolas Caproni, j'ai décidé de publier mon propre Top Twitter que je souhaite complémentaire même s'il possède de nombreux recouvrements. Il recense les Twittos, auxquels je suis abonné, qui publient régulièrement et apportent à mon sens un petit plus en termes d'information(s) et de valeur-ajoutée de celle-ci. Quelque autres représentent un vrai coup de coeur, sans autre ambition qu'exister et faire entendre une petite musique bien à eux/elles.

Organisé par thèmes, ce Top Twitter ne tient aucunement compte de la nationalité, même si Français et francophones sont très fortement représentés. L'ordre alphabétique n'a aucune importance et il y aura sans doute des mécontent(e)s et des mécontentes. S'ils/elles travaillent bien :) d'ici là, rendez-vous est donné à la prochaine fournée, fin 2012, probablement !

mercredi 8 août 2012

Iran : la meilleure (cyber)défense ? Se déconnecter d'Internet !

L'Iran, au travers de son programme de recherche nucléaire, sert de laboratoire à une guerre de l'ombre abusivement appelée cyber-guerre. Stuxnet, Flame et peut-être DuQu sont les programmes malveillants complexes qui ont ciblé, ces dernières années, une partie des infrastructures et des réseaux iraniens. En premier lieu le nucléaire, en second lieu l'infrastructure pétrolière mais aussi nombre de ministères et d'organismes d'Etat ayant trait à la sécurité du régime des Mollahs.

mardi 31 juillet 2012

Le Top 5 des articles 2012 (1er semestre)

L'été est généralement une période transitoire pour de nombreuses professions. Le premier semestre clôturé, vient le temps de se reposer, de recharger les accus (en vue du second semestre) et, de manière avisée, faire un bilan des ventes. Pour un blog, il s'agit dans ce cas d'un recensement des articles les plus lus, ce qui permet toujours d'observer certaines tendances et/ou les sujets porteurs voire incontournables.

Le Top 5 des articles ci-dessous recense ceux qui ont été les plus consultés (par nombre de pages vues), généralement plusieurs centaines de fois avec une exception notable concernant le n°1, vu/lu plus d'un millier de fois. Je profite d'ailleurs de cet article estival pour saluer et remercier mes plus fidèles lecteurs (il y en a ! :) et vous assurer de cette envie permanente d'apporter une (modeste) contribution à un domaine mouvant, évolutif et d'une grande complexité. La pédagogie, la clarté du propos et l'accession au plus grand nombre demeurant toujours des critères auxquels j'essaye de ne pas déroger. Vos commentaires, trop rares, sont et seront toujours les bienvenus puisque souvent vos remarques et vos informations sont pertinentes.

N°4 - Décès de M. Pascal Lointier, Président du CLUSIF (mes pensées amicales vont à sa famille et à ses proches. Personne n'oublie Pascal)


mardi 24 juillet 2012

Power Pwn : la Hack machine infernale !

Cyber Fast Track (CFT) est un programme de la DARPA dont l'objectif ambitieux est de développer des projets cyber à bas-coût et en un temps record (démonstration des résultats en moins de 12 mois). L'un de ces projets, Power Pwn, arrive en phase d'industrialisation puisqu'il est possible de commander cette sorte de "module étrange" et d'être livré aux alentours du 30 septembre 2012.

D'aspect anodin car ressemblant à une sorte de multiprise parafoudre, il est quasiment invisible dans un bureau mais surtout une salle informatique et/ou de serveurs. Réellement impressionnant, c'est tout simplement une plate-forme ultra-complète de tests de pénétration puisque les tests partent de la couche ISO la plus basse, la couche physique, jusqu'à la couche applicative. Il peut être préalablement configuré puis déposé en mode "verrouillé et armé".

samedi 21 juillet 2012

Sécurité de l'Information : faut-il abandonner la sensibilisation des utilisateurs ?

A première vue, la problématique ainsi posée peut paraitre décalée si ce n'est provocatrice. En effet, et depuis des années, les entreprises qui traitent sérieusement de la protection et de la sécurité de leurs systèmes d'information s'appuient toutes sur une sorte de carré magique : un référentiel adossé à une politique (PSSI), des moyens spécialisés, une organisation fonctionnelle au centre de laquelle le RSSI est la pierre angulaire et enfin l'éducation des utilisateurs. 

Ces derniers, souvent qualifiés de maillon faible ou, plus rarement, de maillon fort en vertu de leur niveau de sensibilisation et de formation, devraient dorénavant être écartés du budget alloué à la sécurité du SI au profit unique d'un axe double : le cloisonnement des réseaux et la sécurité (robustesse) de l'environnement. C'est en tout cas ce que pense Dave Aitel, le président¹ d'une société américaine de sécurité des SI.

lundi 16 juillet 2012

Vulnérabilités du système Niagara : émergence d'un phénomène et irresponsabilités coupables

Quel rapport y-a-t'il entre la 21st Century Tower à Dubaï, l'aéroport Changi à Singapour, l'hôpital universitaire James Cook à Middlesbrough en Angleterre ou bien un dépôt géant de munitions de l'armée de terre américaine en Pennsylvanie ? A première vue, aucun et pourtant un point commun relie ces lieux et ces ouvrages fonctionnellement très différents. Ce lien s'appelle le système Niagara de la société Tridium et peut être considéré comme une sorte de "télécommande universelle" pour d'innombrables équipements électroniques.

Dans 52 pays, un peu plus de 11 millions de ces dispositifs, au premier rang desquels l'on trouve des systèmes permettant le contrôle de dispositifs anti-incendie, de climatiseurs, d'ascenseurs, d'éclairage, des frigos et des congélateurs, mais aussi des pompes à carburant, de la vidéosurveillance, des détecteurs anti-intrusions, voire des systèmes médicaux critiques ou des détecteurs de vapeurs chimiques (comme pour le dépôt géant de munitions de Tobyhanna). La Défense toujours puisque Niagara fournit également des dispositifs de surveillance et de contrôle des accès dans des installations de "haute sécurité".

samedi 7 juillet 2012

Chaire de cyberdéfense, NCCoE : deux centres d'excellence cyber, une différence fondamentale

Il ne se passe pas une semaine aux USA, allez, disons un mois sans que ne surgisse l'annonce de la création d'un nouveau centre dédié à la cybersécurité et/ou à la cyberdéfense¹. Cette fois-ci, c'est au tour du NIST de créer le Centre d'Excellence National en Cybersécurité (National Cybersecurity Center of Excellence - NCCoE). Notons là encore la réactivité dans la dynamique cyber des USA car le NCCoE est opérationnel à peine 4 mois après l'annonce publique de sa création.

mardi 3 juillet 2012

Le "pack cybersécurité" du DHS pour les agences fédérales

Sur un budget fédéral consacré à la cybersécurité estimé à 6 milliards $ par an, le DHS en 2013 devrait consacrer 202 millions $ à faire développer puis fournir aux autres agences fédérales un kit de cybersécurité visant à réduire drastiquement les risques liés aux vulnérabilités logicielles.

Ce qui est pour le moment appelé "CMaaS" (Continuous Monitoring as a Service - Surveillance continue en tant que Service) sera constitué de plusieurs outils incluant des sondes de menaces proches temps réel, un panneau de contrôle pour prioritiser les mises à jour logicielles et enfin des services de conseil et d'assistance permettant d'assurer la cohérence d'ensemble. Le kit sera développé par un contractant inconnu pour le moment mais la genèse et la philosophie du projet sont intéressantes à connaître.

samedi 30 juin 2012

3615 Adieu (Minitel) !

"On nous dit que le monde entier nous envie le Minitel. Je ne sais pas s'il nous l'envie, messieurs, mais je peux en tout cas vous dire une chose avec certitude, c'est qu'il ne nous l'achète pas " Bruno Lussato, professeur à l'ENSAM (Arts et Métiers), 1988.

Impossible de ne pas laisser poindre une certaine nostalgie alors que le Minitel fait maintenant partie du passé mais aussi de l'histoire (des technologies) depuis aujourd'hui, 30 juin 2012. Impossible également de tourner cette page d'une certaine France qui gagnait avec Concorde, le TGV, la fusée Ariane et donc ce sacré Minitel sans modestement contribuer à "l'hommage national" qui lui est rendu ces jours-ci ! Impossible enfin d'oublier le bruit typique (du modem intégré) lors de la connexion au service demandé et, quasi magie, voir l'affichage ligne par ligne de la page demandée. C'était hier, c'était il y a un siècle, c'était révolutionnaire pour l'époque.

mardi 26 juin 2012

Cloud : les conseils de la CNIL aux entreprises

A la suite d'une consultation publique lancée fin 2011 sur le cloud computing, la CNIL publie une synthèse des réponses et, surtout, un document applicable.

Ce document décline 7 recommandations majeures allant de l'identification des données et des traitements qui passeront dans le cloud à l'analyse de risques, au choix d'un prestataire ou à la qualification des risques et des impacts qu'entraine un choix aussi stratégique pour le Système d'Information (SI) de l'entreprise.

dimanche 24 juin 2012

Création du Joint Cyber Center (JCC) nord-américain

Avec une certaine cohérence (1) et sous l'impulsion du ministre de la Défense américain, Léon Panetta, c'est sous l'égide du NORAD, de l'U.S. Northcom et du COM qu'Américains et Canadiens ont officialisé (2) le 1er mai dernier la création d'un Centre Commun Cyber (Joint Cyber Center - JCC).

Cette unité, armée par du personnel des opérations, du renseignement et de commandements de type C2 intègre également un noyau du Cybercommand (de 4 à 12 personnes). Il est prévu que le JCC soit pleinement opérationnel d'ici 10 mois (mars/avril 2013).

vendredi 22 juin 2012

Inspections de cybersécurité et incidents mineurs dans des centrales nucléaires aux USA

J'ai écrit, au début de l'année, un article consacré à une série d'incidents touchant des centrales nucléaires américaines via des Systèmes d'Information (SI) ou, cas le pire, une seul et unique machine de pilotage, souvent "oubliée", de type SCADA ou DCS.

Cet article montrait que, même sans intention malveillante, des dysfonctionnements et surtout de simples erreurs pouvaient causer des incidents de gravité sérieuse. Qui, sans dispositifs opérants de sûreté voire une certaine part de chance, auraient pu devenir catastrophiques

lundi 18 juin 2012

Le Brésil rôde sa cyberdéfense au sommet RIO+20

La ville de Rio organise et accueille du 20 au 22 juin le RIO+20, autrement dit la Conférence des Nations Unis sur le développement durable. C'est en vue de cet événement qui placera la capitale des cariocas sous les projecteurs durant 3 jours, que le ministre de la Défense, M. Celso Amorim, a visité le Secteur Militaire Urbain (Setor Militar Urbano - SMU) chargé d'assurer la sécurité du sommet.

Comprenant une composante police, forces armées et antiterroriste, c'est aussi l'occasion pour le Brésil de mettre en valeur l'aspect cybernétique. En effet, un dispositif particulier dit de cyberdéfense est mis en place afin de protéger les réseaux informatiques et de communication utilisés par les délégations ainsi (et surtout) que les média participant au sommet. Rappelons au passage qu'une centaine de chefs d'état et de gouvernements participeront à ce sommet attendu.

Ce dispositif est opéré par le CDCiber, le cyber commandement brésilien, et le CCOMGEx qui regroupe les unités militaires Systèmes d'Information et moyens de communication. C'est donc l'occasion pour le Brésil de communiquer 2 ans avant la coupe du monde de football et 4 ans avant les Jeux Olympiques de 2016. Communiquer que le risque cyber est l'un des trois axes retenu dans le cadre de la Stratégie de Défense Nationale. Qu'à ce titre, un budget de 400 millions de $ est prévu pour les 4 prochaines années. Enfin, qu'il continue sa montée en puissance et se positionne possiblement comme l'un des acteurs émergents de la cyberdéfense, au moins de niveau régional (Amérique du Sud).


Sources :

http://www.defesanet.com.br/cyberwar/noticia/6461/Ministro-da-Defesa-conhece-equipamentos-de-defesa-cibernetica-da-Rio+20

http://blog.brasilacademico.com/2012/05/cdciber-ciberforca-militar-brasileira.html