lundi 30 janvier 2012

De François Perrin à Stuxnet, les centrales nucléaires (cyber) vulnérables

Lunaire et maladroit compulsif, “Le Grand Blond” (and Co) nous a souvent fait rire et sourire, attendris par cette candeur désarmante et ce comique de situation, souvent désopilant. Transposons maintenant ce personnage dans la réalité, en plein cœur de situations ubuesques mais aux conséquences potentiellement catastrophiques ! Nul besoin de cyberarmes complexes quand de simples “cyber-gags” provoquent des conséquences que ne renieraient pas certains mouvements extrémistes ou terroristes.


Centrale Nucléaire de Hatch, près de Baxley, Etat de Géorgie, USA.
Lorsqu’il débute son service ce 7 mars 2008, l’un des ingénieurs de la Southwest Company ne sait pas encore que l’une de ses tâches du jour, en apparence banale, va provoquer un incident grave sur le réacteur n°2. A l’origine, une simple mise à jour  sur l’un des ordinateurs opérant sur le réseau informatique de la centrale. Exception faite que cette ordinateur est tout de même particulier puisqu’il est l’une des interfaces SCADA de surveillance : il centralise des données servant à divers diagnostics et collecte les taux de différents composants chimiques du système primaire de contrôle du réacteur. La mise à jour logicielle est malgré tout importante puisqu’elle doit permettre la synchronisation des données entre différents systèmes de différents réseaux.

L’enquête de la NRC (Nuclear Regulatory Commission, l’équivalent américain de l’ASN) déterminera que le redémarrage de la machine après la mise à jour a aussi remis à zéro l’ensemble des données du système de contrôle. C’est lors de cette phase que les dispositifs de sécurité, interprétant correctement des données erronées, ont considéré qu’il y avait une fuite dans la “piscine”, cet énorme bassin d’eau permettant le refroidissement des barres du combustible nucléaire !

La conséquence logique fut que le système exécuta les instructions prévues pour un tel cas : le réacteur nucléaire fut immédiatement mis à l’arrêt d’urgence, arrêt qui dura 48 heures, le temps de comprendre l’origine de l’incident et d’autoriser un redémarrage sûr. La morale de cette histoire, cependant, serait que l’incident de Hatch illustre le type de conséquences inattendues qui peuvent se produire quand de l’informatique dite d’entreprise ou que des logiciels “pris sur étagère” (COTS) sont interfacés avec des systèmes de contrôle industriels, sans considérations de design ou d’intégration adéquates. Il faut aussi souligner que cet incident a peut-être été “chanceux” dans le sens où les dispositifs de sécurité ont fonctionné. A l’inverse, quel enchaînement de conséquences dramatiques auraient pu se produire dans le cas où ces mêmes dispositifs n’avaient pas exactement réagi comme prévu ?


Centrale Nucléaire de Brown Ferries, près d’Athens, Alabama, USA.
Ce qui demeure terriblement gênant avec l’incident de Hatch, c’est qu’il est loin d’être unique ! Un peu plus de 6 mois auparavant, un arrêt d’urgence (et manuel cette fois-ci !) se produisit sur le 3ème réacteur de la centrale de Brown Ferries. En cause, deux équipements cruciaux : le contrôleur du condensateur-déminéralisateur qui est un PLC (Programmable Logic Controler) et les pompes de recirculation qui reposent sur des VFD (Variable Frequency Drives).

Retenons simplement que ces deux équipements, essentiels au bon fonctionnement du réacteur, embarquent des micro-processeurs qui peuvent communiquer des données via de l’Ethernet (la couche liaison de données du modèle OSI). Là est le problème puisque les paquets de données sont broadcastés (diffusées) à tous les récepteurs connectés, sans distinction. C’est ensuite à chacun d’entre eux d’analyser chacun des paquets et de le conserver s’il lui est adressé.

Hors, il est apparu que le réseau de contrôle de la centrale produisait plus de trafic que ne pouvaient en absorber les contrôleurs PLC et VFD ! Il est également possible que ce soit le contrôleur PLC qui ait malfonctionné en inondant (flooding) le réseau d’un trafic colossal, saturant puis désactivant les contrôleurs VFD. Quoiqu’il en soit, les tests menés durant l’enquête n’ont pas apporté de réponses satisfaisantes permettant de comprendre l’origine exacte de l’incident. Ce qui en soi est inquiétant puisque cela pose le problème d’absence de reproductibilité du phénomène donc d’identification des causes ou de l’enchaînement des causes.

Entre specticisme et alarmisme, quelles leçons ?
Défauts d’intégration des problématiques de sécurité dès la conception, absence de tests de non-régression (et tests en plate-forme de pré-production) ou inconsciences diverses montrent qu’il n’est nul besoin de développer un programme offensif, long et coûteux, les fameuses cyberarmes, pour provoquer des incidents qui, chance aidant, ne sont jamais passés du stade “inquiétant mais sous contrôle” à celui de “catastrophe écologique majeure”. Fukushima Daïshi étant passé par là, il est normal d’envisager des scénarii de menaces exceptionnels qui ne sont pas qu’environnementaux (au “hasard”, un tremblement de terre  suivi d’un tsunami) ou d’une incroyable complexité malveillante (Stuxnet).

Entre le sceptique et l’alarmiste, il est une fois encore question de pondération mais aussi d’honnêteté intellectuelle : une centrale nucléaire serait protégée de toute tentative de cyberattaque parce qu’aucun ordinateur n’est relié à Internet ou que les systèmes sont particuliers, ce que l’on appelle dans le jargon “propriétaires” ? Incompétence ! Il suffit simplement de se rappeler les deux incidents précédemment cités* : l’interopérabilité dans la communication entre systèmes dans un cas, un défaut de conception dans l’autre ou même Stuxnet, qui a pu se propager à partir de simples clés USB préalablement préparées. A l’inverse, une cyberattaque peut-elle se produire demain, l’état des systèmes de contrôle étant d’une telle vulnérabilité qu’une attaque serait plutôt simple à conduire ?


En réalité, les spécialistes s’accordent à dire que l’interconnexion de systèmes assez différents, leur hétérogénéité et d’autres subtilités ne rendent pas impossible de tels scénarii mais qu’ils sont difficiles et complexes. Jusqu’à présent, le seul exemple valable, Stuxnet et ses déclinaisons (Duqu) est le fait d’un ou plusieurs États qui sont les seuls acteurs à posséder le savoir, les ressources, les moyens et les compétences et qui encouragent en réalité, ou plutôt en dépit des annonces, de nouvelles stratégies dans le cyberespace.

Doit-on s’en féliciter ou, au contraire, s’en effrayer ? Un peu des deux, sans doute, lorsque l’on essaye de mieux cerner la problématique plus globale des infrastructures critiques et des SCADA en particulier. Si un certain nombre d’Etats se sont emparés du sujet ces dernières années (USA, France, Europe), on peut constater que le volet législatif et réglementaire, plutôt bien fourni, a été finalement franchi pour arriver actuellement à une phase opérationnelle et d’améliorations continues (audits / pentests / …). Si tel n’est pas le cas, il est plus que temps d’agir.

* j’ai volontairement omis d’autres exemples basés sur des infections virales (Slammer, par exemple) ayant également conduit à des incidents significatifs. Douze années se sont depuis écoulées. Et pourtant...
---
Pour aller plus loin (en anglais) :
Cyber incident blamed for nuclear power plant shutdown
---
Cet article a également été publié sur le site de l'Alliance Géostratégique

jeudi 26 janvier 2012

Promotion 2012 d'AGS : 5 nouveaux membres

C'est avec une certaine fierté et, pour tout dire, un peu d'émotion que ce blog devient officiellement membre de l'Alliance géostratégique

Fierté de rejoindre une communauté dynamique qui associe curiosité intellectuelle, approche multi-disciplinaire et pragmatisme. Et qui œuvre à éclairer les enjeux majeurs et multiples d'une époque complexe et par ailleurs incertaine.

Une certaine émotion également car ce blog, à mon humble avis, demeure et demeurera celui d'un artisan qui n'a pas la prétention d'avoir un avis sur tout ni de détenir LA vérité absolue. Questionnements et doutes font aussi partie du programme et permettent de garder les pieds sur terre ! Plus clairement, j'ai toujours pensé que les notions de partage et de communication sont essentielles car elles participent à l'éducation (au sens noble) du plus grand  nombre de personnes sur des sujets souvent peu et plus généralement mal traités voire caricaturés par les média plus traditionnels. Sachant pourtant que nombre de thématiques ont une influence indirecte et parfois directe dans notre quotidien.

C'est sûrement l'une des forces des média alternatifs que représentent les blogs, Twitter et autres réseaux sociaux : l'émergence d'une intelligence collective, accessible à tous et qui est peu ou pas mercantile. Les deux modèles, bon gré mal gré, apprennent à coexister ensemble et il n'est pas surréaliste de penser que la porosité de l'un vers l'autre construit un nouvel écosystème, plus ouvert, plus riche mais aussi plus ajusté (aux besoins de chacun). Et qui dit système ou écosystème d'information dit besoins de protection ! :)

lundi 23 janvier 2012

QKarD, le module cryptographique et quantique de poche

Après 18 ans de recherches, qu'on imagine ardues et entrecoupées de fréquentes périodes de découragement liées à la difficulté du sujet, une équipe de chercheurs du LANL (Los Alamos National Lab), unité historique et scientifiquement prestigieuse s'il en est, a présenté vendredi dernier un module compact de cryptographie quantique.

Baptisé QKarD (Quantum Smart Card - "Carte à puce quantique"), la taille de l'équipement permet de l'embarquer autant sur un support de type carte de crédit qu'un téléphone mobile. Qualifié de "ligne de défense impénétrable" (ce qui est vrai...en principe), l'utilisation d'un nouveau type de distribution des clés (symétriques) est basée sur les principes des lois physiques de la mécanique quantique. Ce procédé est censé garantir l'inviolabilité des clés permettant l'établissement des communications, quelles que soient les évolutions technologiques à venir. Disponible sous licence, cette innovation promise depuis plusieurs années pourrait intéresser de nombreux acteurs cherchant à offrir un niveau de protection absolu pour leurs systèmes d'information et de communication : secteur bancaire, industriel, de la défense mais aussi transactions sur Internet, documents d'identité, vote électronique, etc. 

La liste des applications est presque sans fin et le marché du point de vue économique potentiellement juteux. Il est cependant étonnant de penser que cette découverte procure un avantage technologique indéniable et l'on voit mal les autorités américaines autoriser la commercialisation d'un tel système à des criminels ou à des terroristes ! Sauf que QKarD ne garantit que l'authenticité, pas la confidentialité ni l'intégrité des données. En réalité ces dernières se font via QES  (Qantum Enabled Security) qui est l'autre versant du projet, développé par la même équipe du LANL.

jeudi 19 janvier 2012

SE Android, le dilemme d'un Android NSA

La fameuse NSA (National Security Agency) ne participe pas qu'à des opérations clandestines nourrissant nombre de fantasmes, à tort ou à raison. Si son rôle est de garantir une certaine infodominance, elle est chargée avant tout de la sécurité des communications militaires et gouvernementales et, plus largement, de la protection des systèmes et des infrastructures de communication mis en œuvre sur le territoire américain. Sans compter ses prérogatives extrêmement confidentielles en matière de collecte d'informations, multi-supports et de niveau mondial.

L'une de ses autres missions, capitale, est de pouvoir apporter les meilleurs garanties  possibles en termes d'Assurance de l'Information. C'est dans ce cadre qu'elle agit pour améliorer des produits accessibles à tous, comme des systèmes d'exploitation et des applications. Elle édite des guides de recommandations et les spécialistes noteront sa prédilection concernant le durcissement des OS. L'un des projets phare s'appelle Security-Enhanced Linux (SE Linux) et il a la particularité d'être ancien (plus d'une décennie) et d'avoir profité à l'ensemble de la famille du fameux pingouin (de Solaris jusqu'à FreeBSD, c'est dire ;)

Parmi les mécanismes proposés, se trouve Flask qui, malgré son nom ne l'est pas !  C'est une architecture flexible qui permet l'accès aux ressources par l'application fine des accès logiques et des droits associés en fonction de la politique de sécurité retenue et en tenant compte de deux critères essentiels : la confidentialité et l'intégrité des données. Autrement dit, Flask est la déclinaison aboutie mais aussi plus élaborée du Contrôle d'accès obligatoire (MAC ou DAC). Plus élaboré car le système va plus loin que du "simple" contrôle d'accès puisque reposant sur une architecture modulaire, il dispose de fonctions de  contrôles "internes" sur plusieurs niveaux et permet jusqu'à l'isolation d'une zone contenant une faille logicielle ou causée par une attaque malveillante !

Lors du Linux Security Summit l'été dernier, un projet focalisé sur Android avait été présenté. Retombée directe du prolifique projet SE Linux, la v1 de SE Android vient d'être officiellement annoncée en début de semaine. Il faut cependant souligner les deux écueils, l'un technique l'autre de confiance. La difficulté technique concerne l'installation de cette version qui n'est pas simple. Pour qui utilise Windows, il faut disposer d'un environnement Linux et le préparer. Ensuite, il faut suivre les indications du wiki du projet (premier lien de ce paragraphe). L'interrogation plus générale concerne le niveau de confiance que tout un chacun est en droit d'attendre d'un système d'exploitation sponsorisé par l'une des plus grandes agences de renseignement au monde (si ce n'est la première). 

Je renvoie à ce titre au thread sur le sujet que l'on trouve sur linuxfr.org (que je salue au passage). Parmi les échanges intéressants, celui sur la double compilation et les méthodes pour cacher quelques lignes de code à visées malveillantes (backdoor), invisibles même en cas d'audit de code approfondi, m'apparaissent significatifs. Des deux maux, un Android standard (potentiellement vulnérable) et un Android durci (mais avec une possible backdoor NSA),  lequel choisiriez-vous ?

mardi 17 janvier 2012

Hacking : Google et Bing comme outils de 1er rang

Il y a quelques semaines, j'évoquais la notion de cyber-arsenal, d'un ton presque badin. Aujourd'hui, c'est un peu plus sérieusement que j'y reviens puisque un article paru hier sur Infosec Island, (re)met sur le devant de la scène des travaux de recherche consistants mais aussi inquiétants sur la puissance du Google Hacking dans le cadre d'une utilisation malveillante.

Tout d'abord, un mot sur ce dont il s'agit : le Google hacking est une technique qui utilise les fonctions étendues des moteurs de recherche, au premier rang desquels Google et dorénavant Bing. Cette technique donne accès à une incroyable mine dans laquelle on trouverait  en même temps de l'or autant que du pétrole ou des métaux rares ! L'analogie de cette fabuleuse mine avec l'information me parait judicieuse puisque cette technique est donnée comme de premier rang pour la plupart des exploits des Lulzsec et, surtout, des Anonymous

L'ensemble permet de collecter de l'information sur les vulnérabilités logicielles, des erreurs de programmation tout comme de trouver de nombreux documents, de simples fichiers texte par exemple, dans lesquels peuvent se trouver des informations sensibles qui ne devraient pas être (aussi facilement) accessibles : fichiers personnels (facilitant l'ingénierie sociale), documents d'entreprise à usage interne, éléments d'administration de réseaux, etc. 

Toutes ces informations sont utiles voire nécessaires pour élaborer puis mettre en œuvre un scénario d'attaque et, cerise sur le gâteau, le Google hacking permet également de découvrir d'innombrables mots de passe facilitant largement les attaques. L'irresponsabilité de nombreux internautes mais aussi d'entreprises peut ainsi être qualifiée de pousse-au-crime, le B-A-BA n'étant même pas respecté.

La présentation faite à Miami dans le cadre de Hacker Halted  en octobre 2011 est technique mais n'en demeure pas moins éloquente, d'autant plus que Francis Brown a élaboré un outil permettant l'automatisation des recherches et facilitant l'interprétation des résultats. Parmi leurs cibles, les failles embarquées par Flash pour des pénétrations malveillantes et déconcertantes de facilité ainsi que la mise en lumière des faiblesses du cloud. Ses principaux opérateurs fournissent un service qui n'est, pour le moment, pas fiable en terme de protection de l'information : les accords contractuels précisent qu'ils ne sont pas responsables d'une quelconque fuite d'information ni de perte d'intégrité des données ! Un comble pour un service donné comme la révolution informationnelle actuelle au sein des entreprises alors qu'il s'agit, une fois de plus, de la confirmation la plus élémentaire de prudence recommandée par ce blog et bien d'autres.

La présentation de Francis Brown démontre particulièrement la facilité qu'il y a de récupérer des informations dans "le nuage", en particulier sur l'EC2 d'Amazon qui est l'une des plate-formes les plus utilisées et qui a déjà connu de sérieux problèmes l'année dernière. Il est donc recommandé de ne pas stocker, pour le moment, de données sensibles dans le cloud. Tout comme il pourrait être "amusant" pour un RSSI, si ce n'est déjà fait, de faire passer son système d'information au travers des fourches caudines du Google hacking !

vendredi 13 janvier 2012

Sykipot, le troyen qui utilisait une smartcard comme monture

Nom : Sykipot
Type : code malveillant de type Troyen
Naissance : aux alentours de 2006, résurgence en 2010 et 2011
Origine : inconnue
Vecteur : mail avec fichier pdf attaché et piégé
Mode d'action :  ouverture de la pièce jointe par le destinataire
Cibles : Pentagone, DHS, Affaires Etrangères (State Department) et de nombreuses autres agences gouvernementales
Particularité : utilise comme complice un dispositif de sécurité !

L'affaire est tout simplement ÉNORME !

De nombreux ministères et agences gouvernementales américaines utilisent les cartes sécurisées dites smartcards d'ActivIdentity, l'un des leaders mondiaux de ce type de produits. Utilisés, soit dit en passant, à travers le monde y compris en France dans de grandes entreprises et administrations (je dis ça je dis rien !). Matériel (la carte) et logiciel (ses fonctionnalités), ce dispositif permet autant les accès physiques aux sites et bâtiments ainsi qu'au Système d'Information de l'entité  et sert de sésame à la PKI (fonctions d'identification forte de l'utilisateur, usage d'un mot de passe unique OTP, chiffrement des mails et des données, etc.).

Jusqu'à présent, le troyen Sykipot était considéré comme une menace de faible niveau, du moins sur ses variantes connues. Le problème ici, c'est que la variante découverte, apparemment originaire de Chine (restons prudent mais ça n'est pas surréaliste), n'était elle pas connue. Du point de vue principes de l'attaque, le code malveillant s'emparait du code PIN de la carte grâce à un module de type keylogger puis utilisait ce code pour s'authentifier à des ressources protégées, avec pour seule contrainte que la smartcard soint insérée. L'ensemble des opérations pouvait être piloté à distance depuis un serveur.

Il sera sans doute difficile de connaître l'étendue des dégâts, mais on peut supposer qu'ils existent, puisque la version compilée de cette variante date de mars 2011 tandis que sa découverte semble récente. Pour qui est intéressé, les détails de l'attaque sont mis à disposition par AlienVault (ici), un laboratoire spécialisé en sécurité, par qui l'affaire a été découverte.

Même si ce type de code malveillant utilisant une smartcard n'est pas nouveau, notons quand même le ciblage bien spécifique d'un dispositif de sécurité largement répandu au sein du Pentagone et de nombreuses autres agences, avec pour dernier ressort d'exfiltrer des informations évidemment sensibles et classifiées vers une zone géographique tiers. Si besoin était, cette affaire illustre gravement le cyber-espionnage intensif (voire extensif) qui a cours.

mercredi 11 janvier 2012

Barbouzeries du côté de Bollywood

Le titre de cet article, comme hommage incertain envers Gérard de Villiers ou Frédéric Dard, ne doit cependant pas occulter la "bombe" qui vient d'être découverte : la commission américaine chargée de l'économie et de la sûreté vis à vis de la Chine (plus clairement : en charge de mesurer l'intensité de l'espionnage économique !), l'USCC, par la voix de son porte-parole a annoncé qu'une enquête venait d'être ouverte à propos de suspicions d'interceptions frauduleuses de mails de ses membres par les services indiens du renseignement militaire !

Le choc de l'information à peine estompé, deux possibilités s'offrent à nous : plonger directement dans le cœur de l'affaire, en s'emballant directement, ou faire preuve d'une grande prudence à partir du moment où les termes USA, Chine, Inde, hacking et emails sont dans la même barque !

Point de départ, l'affaire débute par un mémo posté il y a quelques jours par un groupe donné comme hacktiviste ("The Lords of Dharmaraja") qui s'est fait connaître bruyamment en dévoilant une partie du code source de l'anti-virus de Norton (version 2006 cependant). Ce mémo porte l'en-tête du "Directorat Général du Renseignement Militaire" indien, "Division Étranger". Le document précise tout d'abord que l'USCC est une cible (à cause de la Chine) mais que les connexions informatiques à distance de ses membres à son réseau s'effectuent uniquement par VPN

Pour contourner ce problème, un accord discret aurait été élaboré avec RIM (Blackberry), Nokia et même Apple. En échange d'un accès privilégié au marché de téléphonie mobile indien qui est en plein développement, il est demandé aux trois constructeurs la mise en place de backdoors afin de faciliter les écoutes et les interceptions. Apparaissent ensuite dans le mémo les résumés de discussions téléphoniques de membres, certains importants, de l'USCC !

De mon point de vue, la supercherie est probablement de mise : le mémo semble être un faux grossier, facilement réalisable, même si cela demande un peu de temps pour collecter les informations (accessibles en source ouverte), les attribuer aux personnes et rendre le tout cohérent. De plus, on voit mal une entreprise américaine comme Apple laisser le moindre intrus venir s'incruster dans ses équipements, de surcroît si c'est à la demande d'un pays étranger qui pourrait, hasard des hasards, tenter d'espionner des citoyens américains. 

Pour RIM, canadien, les choses sont différentes : même s'il a dû mettre la barre assez haut en termes de sécurité suite aux polémiques qu'il a subies il y quelques années, ces derniers mois semblent souligner une tendance à la collaboration technique plus ou moins poussée avec certains États. Quant à Nokia, on sait la Finlande plutôt neutre et l'on voit mal cependant une entreprise d'envergure également mondiale accéder à une telle requête. On a donc affaire, au moins à du buzz si ce n'est à de la manipulation (grossière). Dans ce cadre, il faudra alors se demander qui manipule qui et pour quels enjeux ? Observons les jours qui viennent pour voir si la bombe est un pétard mouillé ou une charge réelle...

Edit (12/01) : un article paru hier soir sur CNBC penche également pour un "vrai-faux" mémo, même s'il reconnait que l'élaboration du document a nécessité une excellente connaissance de la syntaxe bureaucratique indienne. Le Pakistan mais surtout la Chine, présumés innocents, font cependant partie de la liste des suspects...

Iran : sanctions, Stuxnet et mines magnétiques !

Humour noir s'il en est, la dernière fois qu'un "accident" de la circulation à Téhéran avait fait des victimes parmi du personnel en rapport direct avec le programme nucléaire iranien, j'avais relayé l'information (novembre 2010) puisque les victimes faisaient partie d'une équipe chargée de lutter contre Stuxnet. Et pour être bien-sûr que ces personnes ne pouvaient s'en sortir, deux équipes avaient agi de concert : l'une pour poser une mine magnétique sous le véhicule, la seconde pour mitrailler le véhicule.

Hier, un nouvel "accident" de la circulation a fortuitement causé la mort d'un chercheur, Ahmadi Roshan, travaillant sur le site d'enrichissement de Natanz, chargé des recherches sur un un "projet de membranes polymères utilisées pour la séparation de gaz" (source Le Monde). Modus operandi similaire à l'attaque précédente, une mine magnétique a explosé causant la mort du chercheur et blessant ses deux passagers.

Malgré les tensions et les gesticulations actuelles entre l'Iran et les USA dans le détroit d'Ormuz, nul doute que le programme nucléaire continue d'être la cible de puissances ayant décidé l'emploi de moyens cinétiques très ciblés (des responsables du programme nucléaire) et d'autres moyens non-cinétiques mais également très ciblés (Stuxnet, Duqu, autre...non détecté/dévoilé jusqu'à présent). L'hypothèse qui se développe depuis plusieurs mois est que l'Iran finira par détenir l'arme nucléaire et, hormis une confrontation directe qui n'arrangerait en réalité personne, ralentir le programme permet de laisser un peu  plus de temps aux sanctions successives, de plus en plus importantes voire inédites. Pas sûr cependant que les effets cumulés de ces différentes actions amènent l'Iran à négocier pour de bon puisqu'en excellents joueurs de Go, la Chine et la Russie dans une moindre mesure, disposent là, comme avec la Corée du Nord, d'une commode épée...de Damoclès !

mardi 10 janvier 2012

Stuxnet : Ford T ou Maserati ?

La question du jour peut paraître aussi incongrue que surréaliste : existe-t-il un rapport en la Ford T et l'arme non-cinétique à effets dirigés (vers le programme nucléaire iranien) plus connue sous le nom de Stuxnet ? Si oui, quel est-il ?!

La réponse, tout aussi étonnante, est plutôt affirmative : le programme Stuxnet semble être le résultat d'un processus quasi-industriel, qualifié par les chefs de la meute lancée à ses trousses, de "système de systèmes de développement de cyberarmes"* ! En clair, il s'agit d'une plate-forme logicielle, un "framework", qui permettrait de modifier à volonté certaines des caractéristiques opérationnelles malveillantes de ce qu'il faut bien considérer comme la première famille (prolifique) de cyberarmes.

Cette plate-forme facilite l'adaptation et la reconfiguration de Stuxnet qui, rappelons-le, est composé d'un vecteur et d'une charge (offensive) associée. L'un et l'autre peuvent être rapidement modifiés : le premier est recalibré pour pénétrer furtivement les systèmes de détection et de défense tandis que le second voit sa charge adaptée en fonction de la cible. Une partie est donc paramétrable et compilable via une interface tandis que certains "réglages" et finitions (des lignes de code en fait) sont le fait d'une intervention humaine. Pour rester dans la métaphore automobile, c'est ce qui fait dire à l'un des experts interrogés que l'on est plus proche de la Maserati que de la Ford T !

On peut comprendre l'intérêt d'un tel dispositif car, avec au moins 5 sites, le programme nucléaire iranien nécessiterait davantage d'efforts et ferait exploser les coûts. Ce qui est réellement fascinant avec la famille Stuxnet / Duqu, c'est qu'elle est le résultat d'un processus logiciel complexe, élaboré et organisé. Bâti sur plusieurs années, faisant appel à des compétences pointues (avec quelques cerveaux brillants), le ou les coupables potentiels se comptent sur les doigts (entiers) de la main d'un yakusa ! Tandis que l'on apprenait la semaine dernière que l'un des composants avait été développé dans un langage (informatique) inconnu jusqu'à lors, gageons que ces nouvelles révélations ne seront pas les dernières.

* ma traduction pour "bigger cyberweapons system".

vendredi 6 janvier 2012

Budget décennal du Pentagone : les gagnants et les perdants...potentiels

Tandis que le Président Obama et les principaux responsables du Pentagone présentaient hier le budget prévisionnel des forces armées américaines, la DISA, l'agence du DoD en charge des systèmes d'information, approuvait un guide sécurité de recommandations techniques (STIG) permettant prochainement de déployer Android

Revenons cependant à l'information importante qui concerne la cible du budget avec une réduction de 487 milliards $ sur 10 ans. Tenants et aboutissants étant déjà largement commentées (sur EGEA, par exemple), on retiendra simplement que ce budget, reflétant la crise économique actuelle, devrait mécaniquement faire réduire les effectifs, entérine le basculement perçu ces dernières années vers la zone Asie-Pacifique comme zone d'opérations prioritaire (Iran et Chine dans le collimateur, Australie et Inde comme points d'appui) avec, en corollaire, un possible désengagement en Europe et propose une réduction quantitative de l'arsenal nucléaire. Sans véritable étonnement, on notera que le programme du chasseur multirôle F-35 passe du statut de "moribond" à celui de "en péril" !

Sur l'autre plateau de la balance, des investissements supplémentaires sont prévus pour les forces spéciales (à lier probablement à l'évolution doctrinale et d'emploi découlant des opérations en Irak et surtout en Afghanistan), les forces aériennes sans pilotes (drones), les nouvelles technologies afin de toujours conserver une longueur d'avance (renseignement, surveillance, reconnaissance) dans le domaine spatial et le cyberespace. Je renvoie pour ce dernier point vers l'article de CIDRIS qui décèle dans le document stratégique présenté la confirmation d'une tendance du développement et du possible emploi d'armes cybernétiques à usage offensif.

Relevons cependant qu'il s'agit d'annonces qui pourront donner lieu à des évolutions en fonction de la conjoncture politique, économique et géopolitique des mois (élections présidentielles) et des années à venir (surprises stratégiques). Ce qui implique donc que certains pensent que le budget pourrait encore baisser de 500 milliards de $ supplémentaires tandis que d'autres laissent entendre que le budget, révisé chaque année, pourrait être aussi revu...à la hausse !

jeudi 5 janvier 2012

Stuxnet, DuQu : évidences et mystères

http://www.pcmag.com/article2/0,2817,2398201,00.asp
Stuxnet et Duqu continuent d'être analysés un peu partout dans le monde, Kaspersky et Symantec étant à la pointe des recherches. Codes malveillants à finalité ou offensive (Stuxnet) ou de reconnaissance (Duqu), les chercheurs ont maintenant la certitude qu'ils sont issus de la même plateforme logicielle, baptisée "Tilded" (du symbole ~ laissé comme "signature" par les deux) et que leurs développements respectifs ont une seule et même  origine.

Si la rétro-ingénierie éclaire la partie technique, aucun élément ne peut relier ces codes sophistiqués à un pays en particulier même si, depuis le départ, les États-Unis et Israël sont fortement suspectés. Ce qui renforce cette hypothèse, c'est de savoir que la conception de ces codes a pris plusieurs années, dans un cadre extrêmement organisé du fait du développement de modules par des groupes différents avec comme finalité des opérations de cyberespionnage et de sabotage. L'ombre d'un ou plusieurs États est donc l'hypothèse la plus crédible. 

On se référera au passionnant article qui m'a servi pour écrire celui-ci pour des détails supplémentaires mais ce qu'il en ressort c'est bien que l'Iran est la cible de Stuxnet et Duqu, que l'organisation qui les a développés continuerait de les améliorer (reconfiguration, recompilation) afin de déjouer équipements de sécurité et spécialistes qui les traquent. Certains spéculent même sur le fait que des nouvelles variantes seraient à l’œuvre et que des variantes de Duqu ont été conçues pour différentes cibles. 

Enfin, et c'est sûrement l'un des points les plus incroyables, l'un des composants ciblant les serveurs C&C (Command and Control / contrôle-commande) a été écrit dans un langage de programmation inconnu jusqu'à présent ! Nul doute que d'évidences en certitudes, ces codes malveillants d'un nouveau genre n'ont pas fini de faire parler d'eux. Peut-être d'ailleurs, l'Histoire le dira dans quelques années, seront-ils considérés dans quelques années comme les premières cyberarmes effectives ?

mardi 3 janvier 2012

2012 : du changement dans la continuité

http://www.emgleobreiz.com/
Je cède donc à la tradition en vous présentant, lectrices et lecteurs, tous mes voeux de santé, de bonheur, de réussite professionnelle et d'accomplissements personnels.

Pour marquer cette nouvelle année et comme l'idée me démangeait depuis longtemps déjà, j'ai décidé de refondre la présentation du site, en particulier afin d'intégrer ma blogroll, puisque le modèle Blogspot que j'utilisais avant ne le permettait pas. Il y aura sûrement encore quelques évolutions sur la forme, le temps que je sois satisfais du résultat. 

Veuillez également noter la publication sur l'Alliance Géostratégique du 3ème article de la chronique "La sécurité de l'information est-elle un échec ?", toujours écrit en collaboration avec le blog allié CIDRIS - Cyberwarfare. Je vous renvoie d'ailleurs à son article du jour sur le sujet (ainsi qu'à ses vœux) auquel je souscris entièrement. Enfin, ce blog continuera d'informer et d'éclairer sur les risques, les menaces et les problématiques dans le cyberespace...et au-delà. Avec le souhait de créer de nouveaux échanges autour de la sécurité et de la Défense, tout en développant ceux déjà existants avec la blogosphère française, francophone et européenne.

lundi 2 janvier 2012

Le Japon teste une cyberarme

L'année 2011 aura été marquée par un nombre record d'actes de cyber-espionnage et d'attaques informatiques réussies, au moins pour celles qui auront été révélées. L'une de ces séries, passée relativement inaperçue, concernait le Japon : ambassades ou consulats durant l'été, parlement en octobre mais surtout une série d'attaques, détectées tardivement, ayant visé l'un des principaux fournisseurs des Forces japonaises d'autodéfense, MHI (Mitsubishi Heavi Industries)

MHI est un zaibatsu, c'est à dire un conglomérat industriel multi-sectoriel : spatial, aéronautique, énergie, construction navale, transport, environnement, etc. Les piratages qu'il a subi étaient ciblés car les attaques ne touchaient que certains centres de R&D et de production : un qui construit des sous-marins à propulsion classique, un autre qui fournit des composants pour la construction de réacteurs nucléaires, ou bien le chantier ayant construit le Kongo, un destroyer de classe Aegis utilisable pour la défense balistique antimissile exo-atmosphérique (la Chine mais surtout la Corée de Nord sont proches), ou des systèmes de guidage de missiles et autres systèmes propulsifs.

Autant dire que le gouvernement japonais et MHI ont tout fait pour limiter la publicité du fait de l'ampleur de ce qui n'est rien d'autre que de l'espionnage industriel, les chemins des attaques conduisant tous vers la Chine. Depuis cet événement, le Japon a décidé, à l'instar des USA ou de la Chine, de développer des outils que d'aucuns qualifieraient de cyberarmes. Je me bornerai à parler de moyens cyber de protection et de défense, bien que l'on puisse s'interroger sur l'incohérence qu'il y aurait à développer un outil censé remonter jusqu'à la source d'une attaque et s'arrêter en si bon chemin ?!

On peut donc supposer qu'a été également développé un volet offensif chargé, au minimum, de "neutraliser" la source offensive une fois qu'elle est localisée. On notera que la charge logicielle est pour le moment testée en environnement confiné, autant pour éviter de la rétro-ingénierie que de possibles effets indésirables. De plus, certains experts considèrent que la loi devra être modifiée, le développement de code malveillant étant interdit.