Naissance de l'International Cyber Security Protection Alliance (ICSPA)

Le mardi 5 juillet 2011, naissait officiellement un joli bébé que ses parents ont décidé d'appeler ICSPA (International Cyber Security Protection Alliance). La démarche mérite d'être saluée mais la prudence est de mise !

L'ICSPA a pour objectif de développer des relations entre les gouvernements, les institutions, les entreprises et les différents services de police et de justice, en construisant une plate-forme d'échanges et de conseil autour des problématiques de cybersécurité. Elle a l'ambition d'améliorer les capacités internationales en terme de réponse criminelle (police, justice) afin de protéger les professionnels et les clients. Elle s'adresse à tous, y compris à la Chine, qui saluera sans doute l'initiative tout en partant dans un grand éclat de rire. Discrètement, bien-sûr ! :)

Patronnée par le gouvernement de sa Gracieuse Majesté, le comité de direction (le board) est dirigé par David Blunkett, homme politique britannique de premier plan. A ses côtés officient deux autres membres, passés par les arcanes de la Défense ou de l'administration, tout en exerçant dans le secteur privé depuis des années. En appoint, un conseiller spécial, Américain, spécialiste en cybersécurité. A noter les liens directs de ces personnes avec des services d'enquête qu'ils soient policiers ou militaires (enquêtes criminelles, renseignement et contre-terrorisme).

Maintenant, les partenaires industriels : Cassidian, filiale d'EADS qui portait encore récemment le nom de Defense and Security, une société d'intégration et de conseil Core Security Technologies, trois autres sociétés moins connues de ce côté-ci du Channel et enfin deux éditeurs d'envergure mondiale : McAfee et Trend Micro. Le budget, enfin, est abondé par les partenaires de l'Alliance qui espèrent une participation significative de l'Union européenne.

 

Voilà donc pour le côté désintéressé ("non-for-profit organisation") et international (des Anglais et un Américain) ! :) J'oublie cependant la touche Européenne puisque Europol fait également partie des parrains. On peut y voir la caution l'interface avec les services de police et d'enquête du Vieux Continent.

Si l'initiative est louable, dans le sens où je fais partie de ces personnes qui appellent depuis plusieurs mois à une meilleure coordination internationale et, surtout, l'établissement d'une politique commune européenne sur la cybersécurité, quelques éléments troublants obscurcissent l'horizon.

D'abord, cette Alliance semble toute droit sortie des initiatives encouragées par la politique américaine (et britannique) en la matière : développer un partenariat public/privé fort et moteur. Ensuite, baser cette Alliance à Londres avec un board et un conseiller spécial, tous anglo-saxons et ayant des accointances certaines avec la galaxie "renseignement", ne facilite pas forcément une offre de service à destination de certains pays européens, sensibles à ce sujet. Que dire, alors, de cette même proposition envers la Chine ?! Enfin, laisser entendre que cette organisation serait presque caritative (je caricature à peine !) alors que son fer de lance est constitué d'éditeurs ou d'industriels importants voire majeurs dans la Sécurité (ou qui cherchent à se renforcer) est assez surprenant.

L'initiative, cette semaine, du député belge François-Xavier de Donnea me semble davantage correspondre à ce que l'on est en droit d'attendre du continent européen, qui dispose d'une histoire et de valeurs susceptibles de transcender les intérêts partisans. L'un dans l'autre, on ne peut qu'être consterné par cette assemblage hétéroclite d'initiatives où l'on ne distingue plus vraiment ceux qui cherchent à œuvrer pour le bien de tous et les autres qui eux, sont dans un état d'esprit bien différent.

OTAN : Cyber Security Strategic (le livre)

Sans surprise aucune, l'OTAN vient de publier un livre intitulé "Cyber Security Strategic" qui risque de se révéler aussi que décevant que passionnant.

Décevant parce que le premier survol que je viens de faire du document confirme les craintes que ce blog souligne depuis plusieurs mois : la cybersécurité au niveau de l'Union européenne relève plus d'une douce utopie que d'une volonté politique (inexistante par ailleurs, sur ce sujet...comme tant d'autres ?) et c'est l'OTAN qui est chargée de donner la cadence, ce qui tombe bien, pour une organisation militaire ! Et qui dit OTAN dit les...USA*!

L'auteur, Kenneth Geers, est le représentant américain auprès du CCDCOE de Tallinn. Détaché du NCIS (qui n'est pas qu'une série américaine mais bel et bien l'organisme chargé des enquêtes criminelles de la Navy !), son livre transpire la vision américaine, dont la doctrine se matérialise depuis le mois de mai. Les exemples pris traitent des thématiques et des problématiques récurrentes du point de vue américain : l'Arabie saoudite qui a élaboré un Firewall national à finalité religieuse (conformité avec les règles de l'Islam), des agents de la NSA qui jouent les attaquants lors d'un cyber-exercice en se faisant passer pour des...Nord-coréens. Puis enfin Moscou, la Chine, l'Iran (et Stuxnet) et la Corée du...Nord, encore ! Ces mots-clés revenant beaucoup tout au long de la première partie du livre.

Venons-en, tout de même, aux aspects intéressants voire passionnants de ce livre qui portent sur les stratégies possibles de mitigation des risques, pouvant se résumer ainsi : 

- IPv6 comme solution technique ? Réponse : le protocole solutionne bien une partie de la problématique mais soulève aussi de nouveaux problèmes.

- La cyber-dissuasion peut-elle empêcher ou interdire les cyber-attaques ?

- Le cyber-contrôle (comme pour les armes chimiques) avec les délicates notions de prohibition et d'inspections.

- Enfin, une tentative intéressante de transposition des principes de l'Art de la guerre de Sun Tzu au cyber-espace. Certains des principes peuvent s'appliquer, d'autres comportent des limitations, enfin une partie ne le sont pas du fait des spécificités de l'Internet comme champ de bataille (rapidement évolutif, topologie mouvante, innovations techniques, etc.).

La dernière partie du livre porte sur l'utilisation de la méthodologie DEMATEL qui a pour objet d'évaluer la pertinence des mitigations face aux risques relevés. La méthode permet la réduction des risques en terme d'influence directe et indirecte, avec une échelle de calcul assez simple. Grâce à cette méthodologie, la conclusion de ce livre est que la dissuasion, le contrôle ou l'Art de la guerre appliqués au cyber-espace ont une portée limitée. Seul le protocole IPv6 semble trouver grâce aux yeux de l'auteur puisque, d'après lui, il permet de réduire assez fortement l'anonymat qui est, pour le moment, le vrai talon d'Achille de la cyber-défense. N'étant pas spécialiste de l'IPv6, j'aimerai un avis d'expert sur le sujet : n'hésitez-pas à réagir et partager toute connaissance avérée sur le sujet !

Que dire de plus si ce n'est qu'il est dommage de constater ce "laisser-faire, laisser-aller" vers une cyber-défense européenne à la mode OTAN. Mais il est vrai qu'à force de construire des réponses nationales** à coup de déclarations d'intention "pressantes" ou de vagues coordinations, mêmes sincères, la cybersécurité made in Europe risque de n'être qu'une chimère de plus.

* "[...] l'impression que l'OTAN, au moins en cybersécurité, est une simple courroie de transmission des USA", déjà le mois dernier ou en novembre 2010 !

** derniers en date, les Pays-Bas (après le Royaume-Uni, la France ou l'Allemagne).

Le pactole des cyber-assurances

Ce qui pourrait presque faire sourire est en train de devenir un énorme business : de plus en plus d'entreprises chercheraient à souscrire des contrats d'assurance spécifiques afin de se couvrir contre les cyber-risques !

Sénat américain, CIA, FMI, Lockheed Martin, Citigroup, Google, Sony. Cette liste, non-exhaustive, des institutions et des entreprises internationales touchées ces dernières semaines par des intrusions informatiques a conduit à une perte en intégrité ou en confidentialité de certaines de leurs données. Au-delà de l'impact conséquent en terme d'image de marque pour les victimes, c'est aussi et surtout les coûts financiers, directs et indirects, de cette "flibusterie" des temps modernes, qui les fait se tourner vers les assureurs : atteinte à l'image de marque, perte de confiance en la marque, coûts de la perte ou du vol des données, possibles procès par des clients.

La liste des impacts peut vite s'alourdir et traumatiser réellement l'entreprise visée. Sony, par exemple, au-delà de l'énormité du coût estimé (presque 13,5 milliards de $ !), connaîtra dorénavant un "avant" et un "après" Lulzsec,  intériorisé (psychologie des dirigeants, des salariés et des consommateurs) donc difficilement mesurable. Et pourtant bien réel.

Les assureurs ont, ces dernières semaines, noté un afflux de demandes d'information, sachant qu'il n'existe pas (encore) de standard ou de cadre normatif en cyber-assurance. La tendance existe cependant, puisque l'un des volets des mesures en cybersécurité, prises le mois dernier par l'administration Obama, a pour objet de faire converger le législatif vers quelque chose de moins décousu (et non pas des dizaines d'amendements comme c'est le cas actuellement). L'adoption d'un cadre législatif cohérent devrait accélérer son utilisation juridique, particulièrement dans le monde de l'assurance.

La partie normative est donc l'un des vecteurs essentiels, partagée entre le NIST et les recommandations issues du DHS voire du CyberCom. Le DHS, avec le SANS, vient d'ailleurs de dévoiler une méthodologie de scoring logicielle (vulnérabilités et bonnes pratiques des développements). Ne manque plus qu'un travail en commun avec le NIST pour élaborer un guide spécifique ou, du moins, énoncer les bonnes pratiques à adopter : identification et classification des Assets (au sens IT), analyse(s) de risques, couverture des risques et risques résiduels, déclinaison (politiques et dispositifs mis en œuvre), formation du personnel, mesures particulières, etc. Le tout devant permettre de déterminer assez finement une classification finale, pourquoi pas sur le principe de l'étiquette-énergie, donc d'une grille de tarifs modulables.

Il y a donc là tout un pan à construire, au confluent de la technique, du législatif, du juridique et de l'évaluation des risques. Gageons que les géants de l'assurance ont flairé le filon et élaborent de juteux contrats qui ne vont pas tarder à être proposés sur le marché. L'article Reuters, d'où est issue cette réflexion, estime d'ailleurs ce marché à plusieurs centaines de millions de $ !

Cyber-espionnage "temps de paix" ?!

Les USA, grands communicants devant l’Éternel, ont beau maîtriser l'art et la manière de peindre la toile qui illustrera au mieux le storytelling choisi, il semble cependant assez évident que le cyber-espace et les enjeux liés à se conflictualité sont un sujet pour le moins...délicat !

Tandis que je tentais, imparfaitement, vendredi dernier d'analyser l'Executive Order signé le mois dernier par le président Obama, des éléments de réflexion supplémentaires sont apparus durant le week-end. Un article de TheAtlanticWire résume parfaitement les 3 points clés qu'il faut (faudrait ?) retenir pour le moment. Pour le moment, puisque le Pentagone doit prochainement publier la déclinaison de l'Executive Order en règles d'engagement opérationnelles et que l'été apportera peut-être un autre lot de "fuites" savamment orchestrées.

Les 3 points clés sont les suivants :

- S'assurer régulièrement que les routes (vers les réseaux gouvernementaux et militaires) du pays-cible (je ne vois pas d'autre traduction contextuelle à "another country") sont "praticables" à tout moment via l'envoi de requêtes non-malveillantes. Ceci en vue de lancer une contre-attaque éclair. L'article parle d'espionnage en temps de paix (Peacetime Espionage) pour cette activité.

- L'autorisation de mesures de rétorsion en lançant des attaques ou des contre-attaques avec la particularité que les USA s'arrogent le droit de poursuivre virtuellement les attaquants, même (et surtout) à l'intérieur du pays d'où proviendrait l'attaque.

- Enfin, le fait de ne pas lancer d'attaque ou de contre-attaque via les réseaux, systèmes et serveurs d'un "pays neutre" c'est à dire qui n'aurait pas donné son autorisation à ce type d'action.

La partie "rétorsions" est la moins surprenante puisque nombre de spécialistes se sont focalisés sur ce point alors, qu'à mon avis, les autres parties sont tout aussi intéressantes, si ce n'est plus. On remarquera d'ailleurs la belle hypocrisie de langage qu'il y aurait à distinguer un cyber-espionnage "en temps de paix" et un cyber-espionnage "en temps de guerre". Il s'agit bel et bien de la même activité qui est de reconnaître les chemins d'attaque vers les pays-cibles et de s'assurer que l'ensemble des informations dont disposent les USA sont à jour "au cas où".

Enfin, la partie sur les "pays neutres" est soit un non-sens soit, là aussi, une belle hypocrisie pseudo-légaliste : le Pentagone, via l'U.S. Cyber Command, voire le DHS (le périmètre "géographique" du DHS semble, en fait, assez fluctuant) ne sera pas autorisé à lancer une cyber-attaque via un pays qui ne l'aurait pas autorisé. Le Pentagone ou le DHS non, mais la CIA ?
 

On atteint là les limites d'un exercice, certes délicat, de communication tout azimuts alors que la stratégie générale n'apparait pas vraiment finalisée* ou reste encore perfectible. A moins, évidemment, que tout ceci ne soit qu'un immense iceberg où la partie immergée reste invisible aux yeux du commun des mortels ?


* on lira avec intérêt (en anglais) les auditions effectuées par la sous-commission "Cybersécurité" du Sénat. Des critiques, émises par Mélissa Hathaway, soulignent le flou que j'évoquais plus haut. En particulier sur le rôle du DHS. Je veillerai, si mon agenda le permet, à produire une courte analyse sur ces auditions.

Cybersécurité USA : les règles (officielles) d'engagement signées

Le mois dernier, le gouvernement Obama annonçait une série de mesures dans le domaine de la cybersécurité. Les mesures étant déclinées sur le plan défensif et offensif, c'est ce dernier point qui avait surtout retenu l'attention de certains média (traditionnels et Internet).

La riposte à coups de missiles, pas seulement conventionnels (?!), en réponse à une attaque sur l'infrastructure de production et de transport de l'électricité avait choqué plus d'un commentateur avisé. Je demeure toujours convaincu que cette image est avant tout l'interprétation de "toute cyber-attaque d'origine étatique pourra être considérée comme un acte de guerre".

Il semblerait que des fuites savamment organisées (forcément) épaississent un peu plus le brouillard* puisque l'on en apprend un peu plus sur l'Executive order, portant sur la cybersécurité, et signé le mois dernier par le président Obama. En lieu et place de missiles, il y est surtout question des réactions militaires autorisées en fonction de certaines cyber-attaques : celles-ci vont de l'emploi des capacités cyber-offensives à la conduite de missions de renseignement (espionnage = usage CIA).

Dans tous les cas, toute réaction devra avoir reçu une autorisation présidentielle et, même si l'ensemble des règles ne sont pas encore connues, une cyber contre-attaque américaine passant par un autre pays devra avoir l'aval de celui-ci. Sur le principe de ce qui se fait du point de vue de l'aviation militaire américaine qui doit, normalement*, obtenir l'autorisation de passage dans l'espace aérien du pays survolé.

Ce dernier point me plonge dans une grande perplexité puisque les attaques peuvent être menées très rapidement et qu'un pays comme les USA, inventeur - entre autre - de l'Internet, possède les outils les plus pointus pour camoufler de possibles attaques de son territoire. Disons que dans ce cadre, on est plus dans une réponse de type "communication officielle" avec, optionnellement, l'implication des alliés (au hasard : l'OTAN).

Étrangement*, les règles d'engagement de la CIA n'apparaissent nulle part. Sachant que cette dernière possède les propres siennes (également sous Executive order mais de niveau...secret !) dans le cyber-espace et qu'elles sont moins contraignantes que celles qui s'appliquent aux militaires. Alors peut-être qu'un jour, oui, en réponse à une cyber-attaque, l'un des (nombreux) drones employé par "l'Agence" balancera son ou ses missiles sur un data-center militaire. Ou, en tout cas, sur une cible de valeur militaire voire politique.

* on notera avec une certaine gourmandise que la discrétion induite par le brouillard n'empêche aucunement de jouer à "ma main droite ne voit pas ce que ma main gauche fait" ! Mais qu'aussi, Tom Clancy est un visionnaire ! ;)

Operation Buckshot Yankee : le retour ?

La vitesse d'évolution des technologies de l'information induit une accélération du temps ayant trait au cyber-espace. Lorsqu'on entend parler de l'Agent.btz, on pourrait presque se prendre pour un archéologue numérique puisque ce code malveillant, de la famille des vers évolués, avait causé des sueurs froides au Pentagone à partir de l'automne 2008. 

La caractéristique première d'un ver est de se dupliquer sans cesse afin d'infecter un système d'information sur l'échelle de "surface" la plus large possible. L'Agent.btz était de plus chargé de trouver des points de connexion Internet afin d'exfiltrer les données collectées. Sachant que la cible première était le protocole SIPRNet, utilisé par le ministère de la Défense américain afin de faire circuler les informations confidentielles jusqu'au niveau Secret. On imagine aisément la valeur de telles informations pour toute entité dotée d'intentions possiblement inamicales envers les USA !

Plus de 14 mois (!) avaient alors été nécessaires pour éradiquer la menace et remettre d'aplomb les milliers de postes et serveurs infectés ainsi que les dizaines de réseaux militaires qui avaient été "fermés" dans l'urgence. L'opération portait le nom de "Buckshot Yankee" (buckshot signifiant chevrotine ou plomb) et est toujours qualifiée de "plus grande brèche dans l'histoire des réseaux informatiques militaires U.S.". D'ailleurs, la création de l'U.S. Cyber Command fut la conséquence la plus visible et la plus immédiate de cette opération. L'histoire détaillée peut être lue sur Wired (en anglais) avec une variante un peu plus technique ici (et toujours en anglais).

Ce "retour vers le futur" est revenu au devant de l'actualité (cybersécurité en tout cas) ces derniers jours : il semble que des variantes de l'Agent.btz, plus élaborées, ont fait leur apparition sur les réseaux américains. Gouvernementaux et/ou militaires, on n'en sait pas plus pour le moment mais l'accent est mis sur les présomptions, déjà à l'époque, des services officiels : l'origine russe de l'attaque semble toujours de mise. Et même si des indications trouvées dans un échantillon du code désigneraient...la Chine !

A l'heure où les grandes manœuvres commencent à peine dans le cyber-espace, le brouillard est loin de se dissiper. On peut même présager une augmentation de l'épaisseur de ce dernier !

Cybersécurité do Brasil

Il n'y a pas qu'aux USA, en Europe (voire le Trackback de ce billet), en Russie ou en Asie (Chine, Inde) que les États se préoccupent du cyber-espace, de ses menaces et de la perméabilité grandissante entre lui et la sphère réelle (en particulier les infrastructures vitales).

De l'autre côté de l'Atlantique, plus au sud cette fois-ci, cette préoccupation accompagne également l'émergence du géant brésilien.  Le gouvernement de Brasilia a récemment décidé la création d'une structure militaire appelée CDCiber (Centro de Defesa Cibernética. Quelques explications ici, en brésilien).

Ce centre devrait être opérationnel au second semestre 2011 et sera armé par une petite centaine d'officiers des 3 armes (Terre, Air, Mer). Sa mission première sera la protection des réseaux et les systèmes d'information militaires et gouvernementaux contre les cyber-attaques. Et, de manière générale, il participera à la protection des infrastructures de communication informatiques du pays.

Le Brésil insiste sur sa réputation de pays pacifiste en expliquant que le gouvernement et les militaires préfèrent l'emploi du terme "défense cybernétique" que le populaire "guerre cybernétique", utilisé par la plupart des autres pays. Une façon sans doute de lancer un (petit) pavé dans la mare et de se positionner et/ou de se renforcer comme chef de file des pays non-alignés.

Pour conclure, j'aimerai souligner ces éléments pouvant expliquer deux ou trois choses : tout d'abord, le Brésil, de par son histoire "récente", a connu une succession de régimes politiques (colonie, oligarchie, démocratie, dictature militaire puis République) avant de devenir une "vraie" démocratie au sens occidental. 

Les forces armées ont toujours été un pilier du pays, d'une certaine façon garantes de sa stabilité et ayant conduit pacifiquement à la transition démocratique du milieu des années 80. Les deux mandats du président Lula ont fait perdre en influence cet "État dans l'État". C'est durant cette période que le Brésil est devenu l'un des pays au monde où la croissance est forte, durable et solide et qui ne peut plus vraiment être considéré comme un pays émergent. 

Les découvertes en 2006 et 2008 de colossales réserves d'hydrocarbures au large de ses côtes et la montée en puissance de ses forces armées (il existe un lien direct possible entre les deux) pour asseoir sa puissance régionale, amènent tout naturellement le Brésil à gérer le risque cyber dès à présent.

Autant pour éviter un pillage en règle des secrets industriels et des innovations brésiliennes (dans l'exploitation du pétrole en eaux très profondes, par exemple), que pour asseoir sa puissance politique et économique mondiale en (proche) devenir.

Info d'origine : Twitter.
Trackback : Allemagne et Autriche construisent leur capacité sur Cidris - Cyberwarfare

Dans le brouillard (entretenu) de la cyberguerre ?

Charles Bwele, éminent spécialiste francophone de la technosphère est aussi l'un des membres créateurs d'AGS (Alliance GéoStratégique) et accessoirement l'administrateur du site web qui héberge les publications de ce collectif. Charles est également le propriétaire (très) actif de l'excellent site Electrosphère et intervient de temps à autre sur Agoravox.

Je ne pouvais pas faire autrement que réagir à l'article, pertinent et parfois savant (dans l'approche des concepts et les effets systémiques induits) qui vient d'être publié sur AGS. Celui-ci s'intéresse aux annonces de l'administration Obama en matière de cybersécurité, en particulier l'un des points les plus discutés sur le web : les mesures de rétorsion militaires (conventionnelles voire nucléaires !) en cas de cyber-attaques destructrices sur les infrastructures vitales des USA. Ce que d'aucun appellent le "Cyber Pearl Harbour" depuis plus d'une décennie.

Charles souligne habilement mais aussi à juste titre, les paradoxes voire les contradictions d'une telle annonce. La métaphore à la fin de son article pourrait résumer l'essence même du propos : "D’une certaine façon, un État face aux hackers est aujourd’hui comme un boxeur poids lourd face à un essaim d’abeilles : complètement désemparé et très peu dissuasif".

C'est tout à fait cela. Et j'ajouterai même "plus c'est gros plus ça passe" !

A part reproduire une manœuvre de désinformation/manipulation (osée mais réussie) comme celle ayant conduit à l'entrée en guerre des USA en Irak en mars 2003, les traces numériques et autres preuves dématérialisées seront, elles, beaucoup plus difficiles à produire de manière absolue et indéniable en cas de cyber-attaque "chinoise" ou "nord-coréenne" ! J'aimerai d'ailleurs connaître le type de réaction "militaire" face à une attaque concertée des Anonymous sur une ou plusieurs infrastructures vitales américaines ? Le président Obama ira-t-il jusqu'à autoriser le tir d'une bombe guidée laser sur l'habitation du "dangereux terroriste" ?

On le voit, tout ceci n'est pas très sérieux, et c'est pourquoi je n'y avais pas attaché plus d'importance que cela dans mon billet du mois de mai sur le sujet, évoqué par Charles Bwele. J'aurais sans doute dû être plus explicite, car c'est ainsi qu'il fallait comprendre ma première phrase : "Attendues depuis des semaines, les propositions de la Maison Blanche en matière de cybersécurité n’apportent pas de réelles nouveautés à un arsenal déjà bien fourni". Mais je n'ai pas vu l'intérêt de "montrer les crocs" ou de distiller mon "venin" ;) considérant que ce blog cherche avant tout à transmettre de l'information en la commentant le moins possible et/ou de manière pertinente : charge au lecteur/trice de se faire sa propre opinion et, le cas échéant, d'engager une discussion avec moi ou les autres spécialistes du domaine. Eux aussi accessibles via la Toile (voir la partie Liens, colonne de droite de ce blog).

Au fil des siècles, les puissances dominantes successives ont souvent eu tendance à vouloir montrer leur supériorité du moment, quelle soit de nature politique, économique et/ou militaire. Les USA, qui ne font pas exception à la règle, auraient sans doute dû faire plus acte de pédagogie, en traitant la cybersécurité (qui va devenir un vrai problème stratégique dans les mois/années qui viennent) avec davantage de cervelle que de muscle. Pour autant, il faut sans doute y lire une concession aux tenants d'une ligne dure et agressive (les fameux "faucons") qui entourent le président américain. Qui y a sans doute également vu l'occasion de faire phosphorer ceux "du camp d'en face". De manière quasi inutile. Ce qui est aussi l'art de continuer à entretenir le brouillard de la cyberguerre...

Cyber-espace : la prochaine "War on Terror(ism)" ?

Pour un peu, on pourrait croire que l'OTAN me lit ! Ce qui est, en fait, sûrement vrai à travers l'une ou l'autre de ses cellules de veille :) Quoiqu'il en soit, un nouveau communiqué à l'issue de la réunion des ministres de la Défense de l'Alliance la semaine dernière, a été publié vendredi 10 juin (le lendemain donc de mon billet précédent, ci-dessous).

Dans le fond, ce communiqué n'apporte pas grand chose de plus puisqu'il ne fait que reprendre les différentes étapes ayant eu lieu depuis le sommet de Lisbonne, en novembre 2010. Je relève néanmoins deux éléments significatifs : le premier répond à l'une de mes interrogations, à savoir si une nouvelle structure allait être créée pour centraliser la protection des différentes entités otaniennes. La réponse est négative. Ce qui sous-tend qu'il faudra faire avec l'existant. Une conséquence des multiples opérations en cours (d'un coût financier exceptionnel) dans un contexte de réductions budgétaires drastiques ?

Le second point qui m'interpelle et qui interpellera, je le pense, les membres d'AGS (Alliance GéoStratégique) qui me lisent, concerne la place de la "brique" cyber dans l'organisation (et les concepts d'emploi) de l'OTAN. Les cyber-attaques sont désormais considérées comme une forme permanente d'opérations de guerre de basse-intensité ! Et cette "classification" n'est pas anodine, loin s'en faut. Car qui dit opérations de guerre dit ennemi(s) !

Dans le fond, peut-on dorénavant considérer que le terrorisme (d'essence extrémiste et religieuse) est sous-maîtrise ? Ou du moins, réduit à un périmètre géographique et spatial limité ? Et que les formidables moyens (financiers puis technologiques et enfin humains) développés puis mis en œuvre, depuis bientôt une décennie, portent leurs fruits ? J'ai tendance à le penser et je ne suis sûrement pas le seul. 

Dans ce cas, quelle sera la nouvelle frontière, le prochain "ennemi" ? Le cyber-espace et sa cohorte d'attaques incessantes et permanentes, lieu de beaucoup de fantasmes mais aussi de manœuvres réelles et dilatoires, me semble être le bon candidat, avec un dossier solide et de sérieuses références  !

Trackback : OTAN et Cyber Défense sur le blog ami Cidris-Cyberwarfare

OTAN : une nouvelle politique de cyber-défense ?

L'OTAN, qui sait parfaitement communiquer sur ses opérations en cours (Afghanistan ou Libye), devient beaucoup moins prolixe lorsqu'il s'agit d'évoquer le cyber-espace. Pour celles et ceux qui suivent régulièrement ce blog, j'essaie tant bien que mal de suivre les évolutions otaniennes en regard de cette thématique. Hormis la dernière communication au mois de mars où j'estimais les choses avancer enfin (un cadre précis et des intentions explicites), je suis beaucoup plus sceptique sur les annonces faites hier.

Hier et aujourd'hui à Bruxelles, les ministres de la Défense des membres de l'OTAN ont eu, entre autres sujets, à faire un point sur les actions en cours dans le domaine de la cybersécurité. Ceux-ci ont adopté la révision de la politique en terme de cyber-défense qui, dorénavant, "apporte une vision claire quant aux efforts que l'OTAN doit fournir dans ce cadre". Passons le fait qu'on pourrait l'entendre comme n'étant pas le cas jusqu'à présent (indice 1), on y apprend que cette nouvelle politique offrira "une approche coordonnée en cyber-défense avec un focus sur la prévention des cyber-menaces et la résilience" (des infrastructures de transport et de communication IP - ou autres - ? Celles-ci me semblent en être la cible).

Chaque structure de l'OTAN sera sous protection centralisée (entité à créer ?) et de nouvelles exigences en terme de cyber-défense seront appliqués.La nouvelle politique "clarifie les mécanismes politiques et opérationnels en termes de réponse en cas de cyber-attaques" (ce qui ressemble furieusement au décret de février 2011 portant sur les attributions élargies de l'ANSSI et la clarification juridique du "qui fait quoi").

Enfin, la politique établit les principes de coopération avec les partenaires nationaux respectifs (donc type ANSSI, GCHQ, etc.) mais aussi avec les organisations internationales (lesquelles ?), le secteur privé et académique. (Indice 2 : cela ressemble là aussi furieusement aux récentes orientations américaines dans le domaine). En parallèle à cette politique, un plan d'action a été adopté. Il servira d'outil afin d'assurer la mise en œuvre effective et dans les temps de la politique.

Pour conclure, et même si mes "indices" sont plus de l'ordre du ressenti, ce communiqué donne l'impression que l'OTAN s'est accordée a minima sur la cybersécurité (qui, remarquez-le, est appelé cyber-défense, on est chez les militaires, après tout ! :). Les annonces me semblent très (trop) politiques et bien moins "concrètes" (c'est certes relatif) qu'en mars dernier. Quid, par exemple, de l'appel d'offres qui devait être publié le mois dernier ? Si quelqu'un me le trouve ou a des informations, merci de le faire suivre : je réviserai l'impression que l'OTAN, au moins en cybersécurité, est une simple courroie de transmission des USA et qu'hormis la protection des infrastructures (de nature critiques), le concept et la doctrine définies depuis l'année dernière ont beaucoup de mal à être déclinés opérationnellement. Tout cela sent les effets d'annonce et le saupoudrage cosmétique !

Trackback : IPv6 et OTAN chez Cidris-Cyberwarfare

Cybersécurité USA : les propositions du CNAS

Ah ! L'Amérique. Ou plutôt les États-Unis d'Amérique. Ses hamburgers, Hollywood, Apple et ses...think-tanks ! Les USA, donc, possèdent le plus grand nombre mondial de ces "laboratoires d'idées" avec cette particularité toute pragmatique qu'ils ne "pondent" pas que du papier et de belles idées mais que celles-ci sont souvent déployées dans la vie politique, économique et sociale du pays.

L'un de ces think-tank, le CNAS (the Center for a New American Security) vient de publier deux tomes concentrant un panorama complet et à jour des enjeux et des problématiques en cybersécurité. Ce panorama s'adresse avant tout aux décideurs politiques américains : le législatif donc la chambre des représentants à travers ses sénateurs/sénatrices mais surtout l'exécutif actuel, le président Obama et son administration.

Il va m'être très compliqué d'en faire un résumé puisque je viens tout juste de commencer à survoler l'un des deux tomes publiés (plusieurs centaines de pages) mais quelques idées fortes peuvent ici être résumées :

- La cyber-insécurité est en train de devenir l'une des menaces principales pour le gouvernement fédéral et la sécurité nationale;

- Les entreprises américaines en général et celles de défense en particulier sont des cibles de choix qu'il faut protéger en priorité;

- Le CNAS recense 1,8 milliards d'attaques par mois sur les réseaux fédéraux (!);

Le CNAS salue les mesures annoncées par l'administration Obama le mois dernier mais considère qu'elles n'apportent principalement que des réponses à finalité "militaires" (comprendre guerrières). En complément, il propose d'adresser également les problématiques de protection de la propriété intellectuelle (dont le vol "sape la puissance américaine"), et de développer les moyens d'assurer un cyberespace ouvert et interopérable.

Il propose enfin de créer une nouvelle agence chargée de coordonner les efforts en terme de protection du cyberespace, de la rattacher directement au bureau exécutif (la présidence) sous l'égide d'un conseiller spécial reconnu également par le Sénat. Cette agence devra rester de petite taille, réactive et maintenir un lien proche avec le Conseil National de Sécurité et le Conseil National Économique et devra éviter une duplication des fonctions déjà existantes.  

Pour ce dernier point, il serait vain de penser que le DHS n'est pas visé : ministère à part entière, il lui est également conseillé d'augmenter ses capacités en matière d'évaluation des risques et de traitement des incidents. Ce qui est plutôt cocasse quand on sait les moyens dont dispose le DHS avec, en particulier, l'ICS-CERT dont l'objectif premier, justement, est de réagir préventivement ou curativement aux incidents et/ou attaques.

Ces éléments me semblent confirmer une tendance qui se dessine depuis le début de l'année 2011 : la cybersécurité est devenue un sujet "à la mode" du côté de Washington. Un sujet politique également puisque le CNAS ne sera pas le seul think-tank à publier son étude mais surtout à essayer d'influencer les arcanes du pouvoir. Enfin, rappelons-le si besoin est : les budgets consacrés, déjà importants, vont probablement encore augmenter dans les mois et les années qui viennent. Le sujet devient donc également économique. Ah ! L'Amérique. Ses dollars, son business, etc.

D-Day

Pas de sécurité ou de technologie dans ce billet, un simple hommage en ce 6 juin, jour de commémoration de l'opération Overlord, autrement dit le "débarquement en Normandie". Cette opération aura été un immense pari et une machinerie militaire colossale avec une logistique totalement démente. Et tout cela sans ordinateurs ! ;)

Une pensée émue pour la dizaine de milliers de tués et de blessés des premières heures de combat qui, par leur sacrifice, vont permettre la libération de l'ensemble de l'Europe. Et, accessoirement, des décennies de paix depuis sur le continent européen, hormis le sale conflit en ex-Yougoslavie.

Un salut plein de respect et de gratitude aux centaines de milliers d'autres qui, pour certains, auront été de l'aventure jusqu'à Berlin. Et, de plus en plus rares, sont encore vivants aujourd'hui.

Ne les oublions pas !

Cybersécurité : de l'autre côté du "Channel"

Il y a maintenant presque trois semaines, l'administration Obama annonçait une série de mesures en cybersécurité, visant à rendre plus efficace un arsenal déjà existant et conséquent. On lira, si ce n'est déjà fait, l'analyse détaillée de Cidris sur ce thème.

La semaine dernière, le président Obama était en visite officielle au Royaume-Uni et, avec son homologue David Cameron, n'a pas manqué de rappeler la relation "unique et spéciale" qui lie historiquement les deux nations. Au-delà du glamour et des flashs crépitants des photographes, on peut, sans trop se tromper, affirmer que les annonces anglaises cette semaine en matière de cybersécurité tombent étrangement à point nommé. 

Ces annonces soulignent clairement l'adoption et l'application de la politique américaine dans ce domaine. C'est en particulier vrai sur les questions offensives tout comme la prise en compte du cyberespace comme nouveau domaine d'actions à appréhender comme les trois (ou quatre) autres dimensions (Terre, Air, Mer voire Espace pour les USA, la Chine et...la France !). De la pure doctrine américaine.

On notera avec intérêt que dans un contexte de taille "à la tronçonneuse"(1) dans le budget grand-breton :

- Que les subsides consacrés à la cybersécurité sont conséquents (650 M £ soient 740 M €) et doivent permettre le recrutement de "plusieurs centaines" de spécialistes (chiffre non détaillé pour d'évidentes raisons de confidentialité);

- Qu'une réflexion s'engage dorénavant sur l'adjonction de cyber-unités au sein des unités militaires traditionnelles ("Cyber-soldiers"(2)).

- Qu'enfin, le gouvernement anglais axe également ses efforts sur la protection des infrastructures critiques ainsi que la résilience des services et des réseaux gouvernementaux.

(1) en France ce serait plutôt à la serpette !

(2) à propos des "cyber-soldiers" je reste "perplexe" sur l'emploi du terme "cyber-commandos" que j'ai pu lire ici ou là à propos des dernières annonces concernant l'ANSSI et, entre autre, la création d'une Force de réaction rapide. A noter qu'il ne s'agit pas d'une création mais d'une confirmation à visée "communicationnelle" et que pour avoir été formé - dans une autre vie - chez les commandos (Sicut Aquila ;), je souhaiterai humblement un peu moins de "bling-bling" et un peu plus de respect pour les "vrais" commandos ! A qui j'adresse un salut amical et respectueux en ces temps d'opérations militaires multiples et dangereuses.

Une guerre (ou une bataille) de l'information de retard ?

Saluons le dernier avis d'expert de Christian Harbulot sur 01net.entreprises. Deux raisons à cette opinion : la première, relativement évidente, puisque mon analyse en mars dernier quant au rôle réel et non fantasmé de l'ANSSI, à ce qu'elle parait être en train de devenir mais surtout ce qu'elle n'est pas (encore ?), n'est pas passée inaperçue et devait sûrement comporter quelques idées pertinentes.

La seconde, plus évidente encore, puisque l'analyse de C. Harbulot ne fait que renforcer l'urgence qu'il y a/aurait impérativement à traiter les problématiques de "Cyberwarfare" ou d'actions offensives dans le Cyberespace.

En particulier dans  cette dichotomie qu'il y a à laisser traiter les problèmes par des entités à vocation uniquement techniques dans l'espoir que des problématiques qui ,pour le coup,  possèdent une finalité technique seront dès lors réglées. Ce scénario ne tient pas  face à la réalité, sauf  à ne considérer que des attaques de type "Bercy", ponctuelles et en apparence complexes donc "rares".

Là où C. Harbulot, moi et tant d'autres voulons humblement mais fermement venir est qu'il est vain mais surtout dangereux de se recouvrir les yeux de la main en considérant que, de fait, les menaces n'existent plus !

C'est oublier dans quelle perspective "Clausewitzienne" se positionne la composante informationnelle, défensive et offensive : un levier supplémentaire dans la lutte inamicale que se livrent l'ensemble des acteurs majeurs et étatiques de la mondialisation. Et que sur le "Vieux Continent " une volonté politique, que dis-je, une certaine vision prospective devrait sans coup férir reprendre la main et éviter tout suivisme. Sauf à vouloir, évidemment, confier les clés de la "boutique" à d'autres nations bien plus promptes à conserver mais surtout à accroître leurs parts de marché, quel que soit celui-ci !

Il n'est pas encore trop tard même si, les mouvements actuels sur l'appréhension politique des problématiques de cybersécurité et leur traduction par des actions techniques,  organisationnelles et législatives, semblent être bien plus sérieusement traitées sur notre flanc occidental (USA) ou oriental (Chine, Inde, Israël voire Iran).

DHS + Siemens = TakeDownCon - SCADA

C'est de nouveau grâce à Twitter qui, une fois encore prouve sa pertinence comme outil pointu de veille, que l'on a appris l'annulation d'une présentation lors des sessions Security TakeDownCon à Dallas. Il faut d'abord remercier Jason E. Street avant de se pencher sur le pourquoi du comment.
 

Deux chercheurs en sécurité, l'un semi-indépendant Dillon Beresford (déjà relayé sur ce blog), l'autre Brian Meixell travaillant pour NSS Labs devaient présenter mais surtout faire une démonstration physique aujourd'hui autour du thème "Réactions en chaîne - Hacking SCADA". L'idée semblait être de démontrer comment des attaquants motivés (et non-étatiques) pourraient pénétrer tout système industriel même le plus protégé du monde ! Et comment il serait possible d'écrire le code malveillant sans avoir accès physiquement à la cible. En clair, reprendre les principes ayant conduit à la création de Stuxnet et, a priori, sa réussite opérationnelle.
 

Mais une discussion, quelques heures avant la présentation, avec des représentants de l'ICS-CERT...du DHS (qui a préalablement discuté avec Siemens) semble avoir convaincu les deux chercheurs qu'il était dans "l'intérêt national" de ne pas se produire devant les plus de 300 participants. Les choses ne sont pas exactement dites comme cela mais il faut ainsi comprendre l'exercice "langue de bois" qui s'en est suivi. A lire ici pour quelques précisions supplémentaires et les commentaires, passablement remontés.

On notera simplement qu'il ne peut y avoir de coïncidence entre les mesures annoncées cette semaine par l'administration Obama sur la cybersécurité et cet événement, confiné au petit monde de la sécurité et de ses chercheurs. Le fait que la cybersécurité soit officiellement devenue un enjeu de sécurité nationale trouve ici sa première concrétisation. Il y en aura d'autres...