Cyber FBI...aïe aïe aïe !

(https://twitter.com/FBI/status/815584098676674560)

Si la critique est facile, il convient dans certains cas d'en saluer la nécessité salutaire de la prononcer. Autant pour permettre à celui ou à celle qui en est la victime de prendre conscience de ses possibles limites. Mais aussi, d'une certaine manière, pour pourfendre donneurs de leçons et gardiens de la morale pour qui le devoir d'exemplarité s'applique surtout aux autres. Prenons par exemple le FBI, cette légendaire agence fédérale étasunienne qui traque les criminels et qui eut à sa tête durant près de 37 ans un directeur qui fit trembler tout le système politique de son époque. Y compris jusqu'à la Maison Blanche. Mais soyons indulgent et, du passé, faisons table rase. Pour arriver à ces derniers jours où deux faits ridicules, et sans doute anodins pour le commun des mortels, se révèlent tout simplement affligeants.

La culture geek est-elle soluble dans la cyberdéfense ?

Si pour les États-Unis les conséquences internationales de l'affaire Snowden [1] sont diverses mais unanimement négatives, les impacts futurs notamment en matière de géopolitique de l'Internet [2] demeurent difficiles à anticiper. En revanche, au fil des diverses révélations, les relations entre l'administration U.S. et les entreprises de la Silicon Valley se sont singulièrement compliquées. Avec pour corollaire une conséquence majeure, directe et inquiétante : une franche défiance voire de l'hostilité de la part de la plupart des entrepreneurs et des salariés de la zone la plus high-tech au monde [3]. Dans ces conditions, les difficultés actuelles de recrutement que connait l'administration américaine portent-elles à conséquence sur ses capacités cyber ? Sinon quelles solutions sont envisageables ?

Bonne (Snowden) année 2014 !

L'affaire Snowden est un méga tremblement de terre informationnel. Assurément celui de 2013, peut-être celui de la décennie en cours, l'Histoire nous le dira. Imaginons que nous disposions depuis juillet 2013, date de la première déflagration, des sondes et des appareils de détection ad hoc. Observons dès lors les ondes se propager dans un océan de données (1) elles-mêmes en pleine expansion. Il n'est sans doute pas nécessaire d'être un grand maître divinatoire (2) ou un haruspice des temps modernes pour en deviner la propagation par ondes vibratoires successives et d'amplitudes différentes. Pourtant, c'est sûrement faire œuvre utile, et pourquoi pas (im)modestement planétaire, que de s'intéresser régulièrement aux informations distillées par les révélations d'un Edward aux mains d'argent.

Los Angeles crée son "Cyber Intrusion Command Center"

Le maire de Los Angeles Eric Garcetti, élu en juillet 2013, vient d'annoncer la création d'un centre de commandement contre les intrusions cybernétiques (1). Opéré avec l'aide du FBI et du Secret Service, ce centre sera composé d'experts en cybersécurité qui auront pour mission principale de scanner les systèmes d'information en vue de détecter les vulnérabilités puis de les corriger. Son rôle sera aussi de servir de "force de réaction rapide en cas de cyberattaques.

Stuxnet : dommages collatéraux à la Maison-Blanche ?

Le 1er juin 2012, le New York Times sous la plume de David Sanger, publiait un scoop sur l'affaire Stuxnet. Ce code malveillant considéré comme la première "cyberarme" par de nombreux commentateurs aurait bien été développé par les USA et Israël dans le cadre d'un programme secret appelé "Olympic Games".

Une semaine après ce scoop retentissant, le procureur général des États-Unis, Eric Holder Jr, autrement dit le ministre de la Justice, nommait deux procureurs généraux en vue de conduire les investigations sur de possibles fuites d'informations classifiées. Des fuites possiblement orchestrées de la Maison-Blanche vers les journalistes et ce malgré que le président Obama ait défendu son administration.

Attaque APT/RSA : la piste chinoise ?

ATTENTION : le titre de ce billet et son contenu sont à prendre au second voire au troisième degré et ne peuvent être considérées comme réellement sérieux ! Quoique...

Pour celles et ceux qui sont des couches-tards/lève-tards comme moi, n'avez-vous jamais remarqué le pic d'activité neuronale que votre cerveau atteint en (fin de) soirée ? C'est donc quelques instants avant d'aller me coucher hier soir, qu'une idée saugrenue m'a traversé l'esprit. 

Revenant sur la journée écoulée, je repensais à l'attaque RSA qui, comme à Fukushima (je regrette le parallèle mais d'un côté comme de l'autre c'est loin d'être glorieux - Fin de la parenthèse), est officiellement sous contrôle.

On sait que la tribune - risquée - d'Art Coviello, le patron de RSA, ne comporte aucun élément technique et n'évoque aucune piste. Ce qui peut se comprendre si l'enquête est toujours en cours (avec le FBI en cyber-limier*) mais il devient étonnant de n'avoir lu aucun article qui ferait intervenir la puissance cyber-démoniaque* : la Chine !

Alors, disons que par goût du jeu et d'une certaine provocation, j'associe ces mots-clés et j'attends de voir ce que va devenir ce billet emporté par des robots vers les confins buzzesques*.

* entre l'association à toute les sauces du préfixe "cyber" et le néologisme tout pourri, vous me pardonnerez ces chinoiseries ! :)

HBGary/Anonymous : nouvelles révélations

L'information a surgi hier de l'autre côté de l'Atlantique et semble être relativement passée inaperçue de ce côté-ci. Tout du moins en Gaule, se pâmant peut-être devant le suspense Hitchcockien de l'affaire dite de Bercy (se pâmant...ou pas ! :).

Début février 2011, et entrant dans le champ des mesures de rétorsion dans l'affaire Wikileaks, des pirates (qualifiés à tort ou raison de l'étiquette Anonymous)  pénètrent le Système d'Information d'HBGary, une société spécialisée dans la...sécurité de l'Information (les cordonniers, toussa) et récupèrent des dizaines de milliers de courriels confidentiels et sensibles pour la plupart d'entre eux.

L'information du jour concerne les attaques, apparemment réussies, dont ont été la cible des entreprises d'envergure mondiale : DuPont, Johnson & Johnson, Walt Disney, SonyCorp ou encore General Electric. L'affaire ou plutôt les affaires, ne s'arrête(nt) pas là puisque c'est le FBI qui est sur la brèche et révèle que DuPont subit là sa deuxième série d'attaque en moins d'un an ! La première série d'attaques ayant été du type Google,  affaire largement médiatisée et ayant donné lieu à des frictions certaines entre le géant de Mountain View, le gouvernement chinois mais aussi américain (même si moins médiatisé).

Au-delà de l'importance économique et concurrentielle de ces affaires, on découvre à travers les mails dérobés le portrait d'un espionnage élevé au niveau industriel dont les pirates opèrent à partir de la Chine, de la Russie et d'autres pays. Les autorités américaines poussent évidemment un énième cri d'alarme en soulignant que les dangers de ces cyber-attaques sont sous-estimés. L'affaire DuPont le prouve d'une certaine manière mais il est difficile de réduire une douzaine d'attaques forcément d'importance puisque touchant de grandes entreprises tandis que c'est toute l'industrie qui subit en permanence ces  cyber-assauts. 

C'est ce que dit Steven Chabinsky, l'un des responsables de la cyber division du FBI qui s'inquiète de la permanence et de l'augmentation incroyable de ces attaques. On apprend d'ailleurs, sans surprise d'ailleurs, que tous les secteurs sont visés : l'énergie, l'industrie pharmaceutique, les entreprises de défense, etc. 

Que dire de plus si ce n'est que l'article* d'où j'ai extrait ces informations recèle d'informations très intéressantes. On y apprend, entre autre, comment la 2ème attaque sur DuPont a pu fonctionner : les ordinateurs portables de certains de ses cadres  avaient été "piégés" lors d'un voyage d'affaires en...Chine. Sans forcément les partager, on comprend aussi les silences de nombreux responsables du fait des contraintes légales américaines mais aussi de l'atteinte en terme d'image de marque vis à vis de leurs clients.

Cet article met davantage en lumière, puisqu'il semble que c'est nécessaire, la réalité d'une guerre qui se déroule dans l'ombre depuis des décennies mais franchit un nouveau palier par l'usage des technologies de l'information : la guerre économique mondiale où le cyberespace semble avoir atteint sa "taille d'adulte" dans les échanges d'informations et les transactions dématérialisées. Et il ne faudrait pas croire que cette guerre ne concerne que les États-Unis, la Russie ou la Chine : les nations dites moyennes, font aussi partie du jeu. Sous-estimer la réalité stratégique des enjeux ou balayer les conséquences sous couvert de restrictions budgétaires n'est plus de l'ordre de la légèreté ou de l'inconscience : c'est celui de l'irresponsabilité** politique, économique et technologique.

* Pour les non-anglophones, la traduction Google devrait suffire.  
** Le lecteur, dans sa bienveillance, reconnaîtra que si je me montre offensif sur ce sujet (une fois encore), veillera également à noter la constance de mes propos en cohérence avec le titre de ce blog :) Si tu veux la paix... 

Oui-Oui et les cyber menaces

En septembre 2010, j'évoquais la montée en puissance de l'US CYBERCOM, l'unité interarmes américaine chargée de fédérer ses homologues distribuées au sein de l'Armée de terre ("Army Cyber Command"), de la Marine ("Fleet Cyber Command"), de l'Armée de l'air ("Air Forces Cyber Command") et enfin du corps des Marines ("USMC Cyber Forces Cyberspace Command").

Ces entités militaires sont chargées de la lutte contre les menaces dans le cyberespace et sont dotées de moyens offensifs et non-cinétiques. Elles ne sont néanmoins pas les seules puisque le DHS, le FBI ou la NSA possèdent également leurs propres forces. On sait évidemment que les Etats-Unis disposent d'un budget militaire et de sécurité intérieure sans équivalent dans le monde mais j'aimerai souligner l'intérêt qu'il y a d'entretenir une "saine" émulation entre toutes ses agences et entités : au final, elles luttent contre les mêmes menaces mêmes si celles-ci ont des origines et des motivations différentes, tout en développant leurs propres spécificités. C'est une richesse incomparable qui illustre le principe de "la somme de mes entités/individualités est légèrement supérieure aux quantités prises individuellement".

Je reste donc très respectueux voire même légèrement fasciné quand l'une ou l'autre de ses entités publie sa propre doctrine d'emploi. D'autant plus fasciné, par exemple, lorsque l'on mesure le degré de difficultés pour une agence intégrée européenne (ENISA*) ou même "locale" (ANSSI*) pour publier de tels documents. Par respect dépit, je ne parlerai même pas des moyens qui y sont (ou devraient être) associés !

PS : il est vrai que j'abuse quand même. L'ENISA a publié un guide de gestion des cyber incidents le mois dernier, grande avancée s'il en est ! Et l'ANSSI vient, d'hériter pas un décret "tout chaud" de vendredi dernier, d'une nouvelle fonction "en cas d’attaque informatique majeure contre la Nation, [afin] d’organiser la réponse et de décider des premières mesures urgentes à faire mettre en œuvre notamment par les administrations et à terme par les opérateurs de communications électroniques". Nous voilà rassurés !

Backdoors OpenBSD et FBI

Courant décembre, ZDNet publie un article annonçant que le FBI serait soupçonné d'avoir fait intégrer des backdoors dans OpenBSD. Il faut savoir qu'OpenBSD est un système d'exploitation libre de type Unix dont le triptyque est "son intransigeance sur la liberté du logiciel et du code source, la qualité de sa documentation, et l'importance accordée à la sécurité et la cryptographie intégrée".

L'histoire démarre lorsque Theo de Raadt, cofondateur et co-développeur de l'OS, explique le 14 décembre 2010 qu'il a reçu un mail de Gregory Perry lui indiquant la présence de backdoors introduites à la demande des autorités fédérales (FBI).  G. Perry aurait décidé de transmettre l'information apparemment pris par le remords mais surtout parce que son NDA (Non-Disclosure Agreement - Accord de confidentialité pour faire simple) venait d'expirer.

La communauté OpenBSD mais aussi BSD s'émeut alors de l'information et T. de Raadt recommande un audit de code tout en restant extrêmement prudent sur les motivations réelles de G. Perry. L'audit de code n'aurait, pour le moment, rien révélé de particulier ni mis en évidence la présence d'une quelconque backdoor.

J'ai donc contacté l'un de mes confrères, spécialiste du monde BSD (ultra geek voire obscur :) qui m'a donné son sentiment et que je reproduis ci-dessous, avec son consentement :

"L'info est avérée, il s'agit bien d'un mail de Theo de Raadt (patron du projet) qui, lorsqu'il a eu vent de l'affaire par le biais de "l'implémenteur", a initié un audit général.

Mais pour moi, il y a plusieurs hypothèses, soit il s'agit bien d'une corruption de l'un des développeurs avec très certainement une implémentation de backdoor, ou alors, il y eu tentative sur la dite période et Theo a gardé l'info sous le coude, pour s'en servir aujourd'hui, car le projet doit subir des pressions des autorités US pour implémenter ces backdoors, ce qui permet de les tenir à distance avec le buzz qu'a générer l'affaire.

Dans tous les cas, il y a bien eu des initiatives de la part des autorités US."

Simples initiatives ou portes dérobées avérées, peu de personnes de la sécurité (informatique / de l'information) seront surprises qu'une telle possibilité existe. A suivre...

Nouvelles de la cyber sphère

Une fois n'est pas coutume, voici un petit panorama sans lien aucun de la cyber sphère internationale, toute pleine de vigueur. C'est d'abord une annonce du Vice-directeur du Centre d'Information d'Etat sur la Sécurité des Réseaux et de l'Information du Ministère chinois de la Sécurité Publique (!) affirmant que près de 200 sites internet du gouvernement chinois sont piratés chaque jour, et 80% de ces cyberattaques viennent de l'étranger. A lire ici.

De la Chine, nous passons en Algérie où la coopération entre l’Algérie et les Etats-Unis s’intensifie dans le domaine de la lutte contre la cybercriminalité. Ainsi, des responsables du Bureau fédéral d’investigations (FBI) et du United States Secret Service (USSS) ont piloté un atelier de formation de trois jours au profit de magistrats algériens. A lire là.

Retour sur le sous-continent indien où le National Technical Research Organisation (NTRO) et le Defence Intelligence Agency (DIA) ont été chargés de mettre en place un bureau permettant de contrer les nombreuses attaques informatiques que le pays subit. On peut lire cette annonce ici.

Enfin, rien de mieux que de revenir au pays pour informer les parisiens que l'ANAJ-IHEDN organise une conférence cybercriminalité le jeudi 18 novembre à l'Ecole Militaire. Il n'est peut-être encore trop tard pour s'inscrire.