lundi 30 avril 2012

Les effets inattendus de l'Hadopi

PC Inpact a relayé une information plutôt cocasse. Lors d'une conférence organisée à Londres le 23 avril par la Creative Coalition Campaign (CCC - c'est...doublement cocasse), en charge de réfléchir sur la délinquance IP, pardon du piratage par des internautes, dans le domaine des "industries créatives", la présidente de l'Hadopi a exposé le retour d'expérience de la Haute Autorité, unique au monde et dans son genre.


Parmi les chiffres, les statistiques et un état des lieux de la législation dans 3 pays européens, on retiendra surtout l'un des effets inattendus de l'Hadopi dont on peut se demander s'il s'agit d'une provocation, d'un aveu ou d'un véritable satisfecit (voire les 3 à la fois) ?! 

La Hadopi aurait donc "enseigné aux consommateurs comment protéger leurs réseaux Wi-Fi" ! Et, dans une impeccable manœuvre oratoire, l'Autorité se voit même à l'avenir comme « un processus à long terme qui viendrait éduquer et soutenir la majorité des consommateurs respectueux de la loi plutôt que de cibler une minorité de pirates déterminés ». Le doute n'est plus permis : l'Hadopi a aussi une mission préventive en qui concerne les bonnes pratiques de sécurité** pour la foule des idiots*. Nous voilà rassurés !

* on ne peut être qu'idiot, délinquant ou pirate.
** que les plus malins n'ont pas attendu (ici et ).

samedi 28 avril 2012

Cyber-opérations et stratégie : quelle(s) doctrine(s), quel(s) concept(s) ?

Il n'y a pas qu'en France et, en particulier au sein des alliés de l'Alliance Géostratégique, que les pensées, les réflexions, les concepts et les échanges autour du cyberespace ont lieu. Les États-Unis, dont ce blog se fait souvent l'écho des progrès et avancées en observateur parfois fasciné mais toujours vigilant, semblent être dans une position étonnamment similaire. 

Développant depuis des mois et à marche forcée une panoplie complète d'outils, de moyens, de structures hautement spécialisées, en gréant d'autres avec un personnel de plus en plus nombreux qui, d'ici une décennie sera (presque) recruté et formé au berceau, un cyber-arsenal de lutte dans le cyberespace est en train de se créer. Avec souvent une tendance à la posture ou à l'exagération (des capacités adverses). Mais sans véritable doctrine ni concept d'emploi précis. On peut même dire que celles-ci se construisent dynamiquement autant chez les militaires que chez les sénateurs.

Dans un avenir proche, l'influence grandissante d'opérations non-cinétiques dans le cyberespace en soutien, en complément ou en préalable d'opérations cinétiques se verra confirmer.  Leur prépondérance à devenir centrales dans la conduite de futures opérations militaires (ou de sécurité extérieure) font l'objet de réflexions et d'échanges parfois passionnés et souvent passionnants.

L'une des questions majeures, soulevant de nombreuses difficultés et qui sont, pour le moment insolubles, est l'intégration de l'utilisation de l'arme* cybernétique et de ses effets capacitaires et non-cinétiques au niveau stratégique. Une interrogation soulevée à différentes reprises par le blog allié Egea (ici et ) qu'il convient pour le moment de relayer. Il conviendra aussi d'y contribuer dans un avenir (très) proche. Opinions et commentaires sont donc les bienvenus en attendant.

* arme au sens Armée de terre, de l'air ou Marine...les trois autres dimensions

jeudi 26 avril 2012

Concept Taplogger sous Android : une récupération de données frauduleuse mais originale

Android étant devenu le système d'exploitation ouvert pour smartphone le plus utilisé au monde, nombreux sont aussi les exploits ou les "preuves de concept" (PoC - Proof of Concept) accompagnant sa marche vers le succès.

Cette fois-ci, le concept d'attaque sort un peu des sentiers battus puisqu'il repose sur la capacité d'utiliser les données enregistrées des capteurs qui permettent d'interpréter les mouvements de changement de position de l'appareil dans l'espace ! Pour cela sont utilisées les faibles variations liées à la pression du doigt sur le clavier tactile. Un troyen permet de récupérer les informations des différents capteurs que sont les gyroscopes, l'accéléromètre ou les détecteurs d'orientation. Des algorithmes sont ensuite utilisés pour la corrélation des données utiles et permettent de reconstituer, en fonction du modèle de téléphone, le symbole ou le code PIN de déverrouillage du clavier, un numéro de téléphone composé, un numéro de carte bancaire saisi, etc.

C'est le travail d'une petite équipe de chercheurs qui a permis de valider ce concept appelé TapLogger et, pour plus de détails, on s'en référera à l'article de PCInpact. Ce qui a été moins commenté, c'est que l'équipe de chercheurs propose également des solutions pour empêcher (ou du moins limiter) la réussite de ce type d'attaque si elle venait à être utilisée. Au chapitre 7.3 intitulé "contre-mesures" se trouvent les préconisations.

En premier lieu, les chercheurs recommandent de s'intéresser aux systèmes de gestion de senseurs qui ne semblent pas exister. Un guide de bonnes pratiques (et plus tard pourquoi pas normatif) serait donc une première réponse intéressante. Il faudrait ensuite considérer les données des capteurs comme étant des données sensibles de même niveau que les données privées de l'utilisateur et les protéger en conséquence. Mais puisque malgré des permissions restrictives sur ces données rien n'empêchera un attaquant d'y accéder au bout d'un certain temps, l'amélioration de la gestion des UID est une piste sérieuse pour lui compliquer la tâche (reposant sur des travaux antérieurs). Enfin, des mesures "d'hygiène" standards comme un changement régulier du (ou des) mot de passe (de préférence robuste) ou l'augmentation du nombre de chiffres du code PIN sont aussi rappelés.




mardi 24 avril 2012

Les leçons de la bataille de l’Atlantique sont-elles applicables au cyberespace ?

Un certain nombre de spécialistes, la plupart marins d’eau douce, abordent pertinemment le cyberespace au travers d’analogies et de caractéristiques similaires avec le domaine maritime. D’une partie du collectif de l’Alliance Géostratégique aux Global Commons en passant par Daniel Ventre dans son dernier ouvrage, cette métaphore apparait moins surprenante lorsqu’elle émane d’un responsable de l’armée américaine.

L’originalité ici, cependant, réside dans le fait d’étudier la bataille de l’Atlantique pour la projeter comme stratégie d’entreprise afin de modeler une défense efficace face aux dangers permanents venus du cyberespace. C’est en tout cas la thèse que défend le Contre-Amiral David Simpson, vice-directeur de la DISA (l’agence du Pentagone qui s’occupe des Systèmes d’Information militaires).

La suite de cet article est à lire sur le site de l'Alliance Géostratégique.

jeudi 19 avril 2012

Cybersécurité pour Systèmes Cyber-Physiques : atelier et concept

(Power System Topology)
La Computer Security Division du NIST accueillera les 23 et 24 avril un atelier autour de la cybersécurité à destination des systèmes cyber-physiques (Cyber-Physical Systems - CPSs).

Mon étonnement et ma curiosité sont grands puisque c'est la première fois que j'apprends l'existence de ces CPSs ! En étudiant le programme et les abstract associés, on comprend un peu mieux de quoi il s'agit.

Tout d'abord, les domaines concernés sont assez larges mêmes si classiques puisque cela va du médical (implants) à l'embarqué (traité en février lors du congrès ERTS² 2012 dont je m'étais fait l'écho) jusqu'aux réseaux intelligents de distribution d'électricité (Smart Grid)

Les équipements et/ou systèmes visés traitent, sont opérés ou nécessitent des données pour fonctionner. Certains mêmes peuvent embarquer des fonctions de sécurité ce qui nécessite un niveau de protection associé. Seulement, le physique et le virtuel ne peuvent être entièrement dissociés puisque peuvent exister des interactions voire des effets de bord indésirables ou, plus simplement, insoupçonnés (cas de vulnérabilités non-détectées).

Cela revient à se demander si ces effets indésirables, et donc potentiellement exploitables (malveillance), peuvent être couverts par l'adjonction d'exigences et de mesures de sécurité supplémentaires. C'est tout l'objet de cet atelier que de s'appuyer sur les recherches des 2 ou 3 dernières années dans les domaines précédemment cités. Et de chercher à rapprocher les deux mondes, jusqu'ici complémentaires : la sécurité physique et la sécurité de l'information (ou cybersécurité). 

Une initiative à saluer mais aussi à surveiller afin d'en mesurer l'intérêt et la pertinence pour, le cas échéant, s'assurer que l'Europe et la France sont également sur la brèche. En particulier en ce qui concerne le Smart Grid qui semble donner des sueurs froides, pour le moment de l'autre côté de l'Atlantique, aux acteurs chargés de cette problématique et de ses aspects cybersécurité.