lundi 28 février 2011

La cybersécurité en France et en Europe : déclassement ou opportunité(s) ?

Alors que sur le Vieux Continent on cherche tant bien que mal à se positionner dans la lutte contre les cyber-menaces, les États-Unis et plus singulièrement le "DoD" (Department of Defense / Ministère de la Défense), communiquent à un autre niveau mais surtout progressent rapidement. J'y reviendrai dans un prochain billet.

Une première parenthèse : on peut même penser que les évolutions de la "Sainte Trinité" (doctrine / moyens / capacités) devancent la communication car aussi grands communicants soient-ils, l'avance technologique et/ou capacitaire et la protection du secret demeurent aussi l'une de leurs forces.

Une seconde parenthèse concerne une précision, liée à l'un des mes précédents billets abruptement (mais justement, je maintiens ma position !) intitulé "Oui-Oui et les cyber-menaces". Je me moquais gentiment de l'agence européenne pour la sécurité des réseaux et de l'information (ENISA) et de son homologue française, l'ANSSI. Ces deux entités, aux missions assez différentes mais complémentaires, souffrent de handicaps majeurs : pour l'ENISA c'est d'être une agence intégrée européenne avec ce que cela induit en terme de stratégie(s) et de décision(s). Depuis sa création, l'ambition initiale a vite été confrontée à la réalité : légitimité des agences nationales et des CERT, budgets modestes, objectifs vite revus à la baisse. Comme d'autres agences en leur temps, celle-ci devra à l'avenir trouver sa place parmi les dispositifs nationaux, sous peine de n'être qu'un nouveau "machin".

Pour l'ANSSI, c'est plus compliqué : feue la DCSSI possède une légitimité sur la scène nationale et au-delà, une expertise reconnue mais l'inconvénient majeur de n'avoir pas une taille critique. Les budgets sont certes en hausse et le nombre de postes ouverts a sensiblement augmenté ces dernières années mais tout cela n'en fait pas le fer de lance que la France, "cinquième puissance économique mondiale", est en droit d'attendre. D'autant plus qu'en Europe, elle est un acteur mais aussi une cible pour des menaces allant du terrorisme en passant par le renseignement économique et industriel. Et que les réseaux et les systèmes d'information sont au cœur de ces problématiques.

Est-ce que pour autant les dès sont jetés ? Nous pouvons le craindre, malheureusement. En particulier quand on sait que l'OTAN, lors de son dernier sommet, a placé la cybersécurité comme l'un des domaines d'importance que l'Alliance va devoir adresser.

Alors d'un côté, on peut laisser aller et se dire que conserver une petite agence au niveau national, intégrée dans un système otanien doté de moyens et de ressources plus importantes, est du bon sens. Surtout à l'heure où les économies sont partout annoncées.

D'un autre côté, certains décideurs (et leurs conseillers) ont-ils bien mesuré l'intérêt que la France (et certains de ses voisins européens) aurai(en)t à se lancer dans le train de la lutte contre les cyber menaces ? Car derrière ce qui peut paraître abscons et extrêmement virtuel, des emplois de haute-technicité et des nouveaux outils (concepts, méthodologies, technologies) sont à intégrer et à créer. Et ce savoir-faire pourrait être, en partie, exporté (donc vendu) par la suite.

A croire que l'adage "la sécurité est un coût, pas un investissement" demeurera inscrit encore longtemps dans le marbre !

jeudi 24 février 2011

L'U.S. Air Force, les média sociaux et les fausses identités

Une retombée surprenante de l'onde de choc Wikileaks au travers de l'un des nombreux courriels illégalement récupérés  par des Anonymous dans l'entreprise de sécurité HB Gary, a permis d'apprendre que l'U.S. Air Force a lancé, au début de l'été 2010, un appel d'offres pour un logiciel permettant de créer et de gérer de fausses identités sur les réseaux sociaux (Facebook, Twitter, MySpace). Parmi ces courriels, l'un des responsables de HB Gary s'étonne du fait que cet appel d'offres soit "ouvert" c'est à dire public, d'autant plus qu'il semble que ce soit HB Gary Federal, l'entité qui fournit les services de sécurité, qui a pu être retenu pour proposer le logiciel désiré.
 
Les caractéristique de l'outil sont les suivantes : 50 licences permettant de gérer chacune 10 personae (utilisateurs virtuels) avec des fonctions d'IP Spoofing pour camoufler l'origine exacte du persona. Le but de la manœuvre est double : leurrer les amis qui se connecteront à ces profils et obtenir de l'information sur les personnes ciblées à travers ces amis. C'est ce que nous apprend l'article d'Information Week.
L'information montre quand même la part de plus en plus importante des réseaux sociaux en tant que vecteur informationnel mais aussi combien les entités gouvernementales américaines font feu de tout bois dans le domaine des technologies de l'information.

Une illustration supplémentaire de l'émergence de la cyber sécurité comme domaine clé et critique (et si possible contrôlable !) au même titre que les quatre dimensions (terre, mer, air et espace) dont les États-Unis possèdent la maîtrise voire la supériorité.

mercredi 23 février 2011

1989 - 2011 : effet domino ou onde de choc ?

Une fois n'est pas coutume, un billet à vocation géopolitique. Les événements actuels qui se déroulent du Maghreb à la péninsule arabique sont de l'ordre de l'événement historique : une somme d'histoires, tragiques pour les unes (Libye ?), "heureuses" pour les autres (Tunisie, Égypte) entrant toutes dans le champ d'études (en cours et à venir) de l'Histoire.

Il est extrêmement difficile de savoir comment ce maelström finira mais l'on sent instinctivement que ce qui s'y joue est de l'ordre de la chute du mur de Berlin en 1989 et de l'effondrement du système soviétique (et de ses pays satellites) qui s'en est suivi. Pour autant, on risque davantage d'assister à la propagation d'une onde de choc plutôt qu'à un effet dominos. C'est ce qu'exprimait hier soir sur France 5 ,dans l'émission "C dans l'air", Pascal Boniface. Qui d'ailleurs expliquait pressentir que l'onde de choc allait se propager jusqu'en Asie et, pourquoi pas, en Chine dont on connaît nombre de foyers locaux, révoltes ou mécontentements nombreux depuis plusieurs années. Mettre de l'essence sur des braises pourrait vite devenir l'incendie d'été dans une pinède desséchée par la canicule !


L'inconvénient (le danger ?) d'un tel scénario, c'est qu'il est difficile de prévoir l'intensité et la durée de cette onde de choc. De plus, et contrairement, à l'effet dominos, les effets peuvent traverser certains pays sans dommages pour rebondir un peu plus loin. Enfin, la direction demeure incertaine et même les pays du nord de la Méditerranée (l'Europe, c'est à dire nous) pourraient en ressentir certains effets.

Afin de coller au mieux à cette actualité brûlante et mouvante, j'ai listé ci-dessous les sites que je consulte régulièrement. Au lecteur averti, j'éditerai cette liste si vous me faites part de vos propres sources.

- Arabies, regards sur le monde arabe. Géopolitique, économie, sociétés. Le blog de Morgan Marchand.
- Le fil Twitter de Clarisse.  Une sélection (pas toujours mise à jour en continu) de tweets de médias, journalistes, blogueurs et témoins/relais sur la Libye, en provenance d’Égypte, Turquie, Syrie, Inde, Émirats, Pakistan, Europe, Afrique…  – informations pas toujours confirmées ni confirmables.
- Chroniques persanes.  L'Iran : analyse politique, géopolitique et géostratégique par Vincent Eiffling.
- EGEA. Le blog bien connu d'Olivier Kempf dont les analyses sont toujours riches d'enseignements et d'informations. Les billets liés aux soulèvements actuels tentent une approche prospective extrêmement pertinente. 
- Chinatown. Le quartier chinois de Rue89.

lundi 21 février 2011

Empire romain et renseignement (Alliance Geostratégique)

J'ai l'honneur d'avoir modestement contribué au thème du mois sur le renseignement de l'Alliance Géo Stratégique (AGS). Mon article traite du renseignement sous l'Empire romain et, malheureusement, ne fait que survoler un sujet complexe et surprenant, contrainte de taille de publication oblige.

Pour celles et ceux qui seraient tentés d'aller plus loin, je recommande l'ouvrage de référence que j'évoque dans l'article : Renseignement et espionnage dans la Rome antique du Colonel Rose Mary Sheldon. Bonne lecture et n'hésitez pas à me faire part de vos remarques et commentaires.

jeudi 17 février 2011

MISSION: Security (Coup de pouce)

Cela fait un moment que je souhaite consacrer  de temps en temps de courts billets afin de promouvoir les sites web ou les blogs qui m'inspirent. 

J'inaugure le premier d'entre eux avec le blog  "MISSION: Security" de l'un de mes anciens confrères, Mister Jer001. Généralement technique mais excellent vulgarisateur (avec plein d'images, ce qui ne gâche rien), les sujets traités par l'auteur vont de la partie Audit(s) technique(s) et tests de pénétration à, dernièrement, une série sur la famille de normes 27K (ISO 27001, 27002 et consorts). Malheureusement le blog est irrégulièrement alimenté mais si le "Big J" m'entend... :)

mercredi 16 février 2011

Stuxnet, Anonymous, Chine et Foreign Office : plus c'est gros...


L'actualité sécurité des dernières heures étant riche, voici une synthèse de deux informations qui ont retenu mon attention.

En premier lieu, les Anonymous restent sur le podium car, d'après Fox News*, une version déchiffrée de Stuxnet serait disponible. Mon analyse est que cette information, dont je parlais déjà avant-hier, tient lieu de leurre : depuis que Wikileaks et son ange blond défraient la chronique, on assiste à une cyber offensive de désinformation autant de certains média (probablement en plein accord avec leurs gouvernements respectifs) que des Anonymous dont le fait d'arme marquant fût de s'attaquer (avec succès) aux serveurs de la société de sécurité informatique HB Gary Federal. Au final, qu'iraient faire les Anonymous avec un virus conçu pour s'attaquer spécifiquement à des centrifugeuses à Natanz ou aux turbines de Bashehr ? S'attaquer à d'autres sites nucléaires, américains ceux-là ? Plus c'est gros, plus ça passe !

Un cran au-dessus ("Plus c'est énorme, mieux ça passe"), on apprend qu'une attaque audacieuse et étatique (!) a ciblé le Foreign Office (Ministère britannique des Affaires étrangères) le mois dernier. C'est le ministre lui-même qui l'annonce, sans citer l'origine du pays. Une source cependant a fait comprendre que la Chine était derrière cette attaque. Quelques lignes plus loin, on en sait un peu plus sur cette "attaque" : trois malheureux courriels envoyés à des cadres haut-placés, avec une pièce jointe piégée par du code malveillant. Fort heureusement, ces courriels malveillants ont été détectés avant qu'ils ne puissent être ouverts.

Moralité : un État, doté de capacités techniques (et intrusives) avérées, serait-il assez stupide pour lancer une attaque aussi triviale en ne dissimulant pas son origine ? Sachant pertinemment que les dispositifs de détection sont suffisamment efficaces pour repérer ce type de code malveillant ? Je sais que nous sommes entrés dans l'année chinoise du lapin mais celui-ci s'est-il échappé d'Alice (au pays des merveilles) ?

* Fox News étant réputée pour son objectivité professionnelle et ses "non-orientations" politiques ! ;)

mardi 15 février 2011

Oui-Oui et les cyber menaces

En septembre 2010, j'évoquais la montée en puissance de l'US CYBERCOM, l'unité interarmes américaine chargée de fédérer ses homologues distribuées au sein de l'Armée de terre ("Army Cyber Command"), de la Marine ("Fleet Cyber Command"), de l'Armée de l'air ("Air Forces Cyber Command") et enfin du corps des Marines ("USMC Cyber Forces Cyberspace Command").

Ces entités militaires sont chargées de la lutte contre les menaces dans le cyberespace et sont dotées de moyens offensifs et non-cinétiques. Elles ne sont néanmoins pas les seules puisque le DHS, le FBI ou la NSA possèdent également leurs propres forces. On sait évidemment que les Etats-Unis disposent d'un budget militaire et de sécurité intérieure sans équivalent dans le monde mais j'aimerai souligner l'intérêt qu'il y a d'entretenir une "saine" émulation entre toutes ses agences et entités : au final, elles luttent contre les mêmes menaces mêmes si celles-ci ont des origines et des motivations différentes, tout en développant leurs propres spécificités. C'est une richesse incomparable qui illustre le principe de "la somme de mes entités/individualités est légèrement supérieure aux quantités prises individuellement".

Je reste donc très respectueux voire même légèrement fasciné quand l'une ou l'autre de ses entités publie sa propre doctrine d'emploi. D'autant plus fasciné, par exemple, lorsque l'on mesure le degré de difficultés pour une agence intégrée européenne (ENISA*) ou même "locale" (ANSSI*) pour publier de tels documents. Par respect dépit, je ne parlerai même pas des moyens qui y sont (ou devraient être) associés !

PS : il est vrai que j'abuse quand même. L'ENISA a publié un guide de gestion des cyber incidents le mois dernier, grande avancée s'il en est ! Et l'ANSSI vient, d'hériter pas un décret "tout chaud" de vendredi dernier, d'une nouvelle fonction "en cas d’attaque informatique majeure contre la Nation, [afin] d’organiser la réponse et de décider des premières mesures urgentes à faire mettre en œuvre notamment par les administrations et à terme par les opérateurs de communications électroniques". Nous voilà rassurés !

lundi 14 février 2011

Complexité et beauté de Stuxnet

Wired a publié vendredi 11 février un article bien documenté sur la typologie d'introduction de Stuxnet avant qu'il ne s'active et ne cause des dommages, difficilement quantifiés depuis, au sein du programme nucléaire iranien. La méthodologie retenue est somme toute "logique" puisque ne pouvant utiliser l'internet, seuls restent des vecteurs physiques de type support amovible (clé USB) afin de contaminer l'un des réseaux locaux (mais isolé) du programme nucléaire.

Cinq Six organisations/groupes, dont on ne sait rien pour le moment mais dont on peut supposer un lien direct ou indirect avec le programme nucléaire, ont été ciblées et ont fait l'objet d'attaques temporelles successives. Les deux premières vagues ont eu lieu en juin et en juillet 2009 puis il y a eu neuf mois d'inactivité complète avant que trois autres vagues n'aient lieu (mars, avril et mai 2010).

Symantec, qui a mené ces analyses, est capable de dire que c'est l'attaque conduite en mars 2010 qui a obtenu le taux de réussite le plus important (69%). Deux autres informations intéressantes émergent du rapport : il n'a fallu qu'une douzaine d'heures entre l'introduction réussie de Stuxnet et que sa charge devienne active (du point de vue logiciel). Enfin, Stuxnet semble avoir été conçu pour être uniquement "LAN-based" ("réseau local") afin de ne pas s'échapper into the wild (dans l'Internet).

Si ces informations viennent à être confirmées, on peut de nouveau souligner la grande complexité  opératoire de ce code malveillant high-tech. Enfin, je signale qu'une partie du code décompilé de Stuxnet est disponible ici. A projeter le samedi soir en soirée, pour faire son geek ! :)

D'ailleurs, en parlant de geek, la toile bruisse ces dernières heures d'une rumeur insistante : les Anonymous auraient déclaré être entrés en possession de Stuxnet. On imagine aisément la vision d'Apocalypse relayée par certains média. La bonne question à se poser serait : qui a intérêt à quoi ? Je pense que l'on assiste à de la désinformation voire de l'intoxication informationnelle. Cet article, sérieux et étayé, semble confirmer mon sentiment.

jeudi 10 février 2011

Pétrole et gaz, recette chinoise

http://www.topnews.in/files/oil-gas1.jpg
J'ai hésité, peu de temps, à vous parler de cette énième affaire de hacking chinois, relayée en France par le Figaro. Peu de temps car le gourmet que je suis ne pouvait laisser passer l'occasion de pointer les annonces "fracassantes" mais douteuses de cette histoire. 

L'origine de cette affaire vient de l'un des leaders mondiaux des produits de sécurité, Mc Afee, et plus particulièrement de son responsable technique (CTO - Chief Technical Officer), Georges Kurtz. On y apprend sur son blog que sa société a étudié de près une "nouvelle" attaque portant le nom poétique de "Night Dragon" (Dragon de nuit). Il s'agit d'attaques provenant de Chine et visant des compagnies occidentales d'exploitation de l'énergie (disons même anglo-saxonnes, on parle de Chevron, BP et ExxonMobile). 

C'est donc le secteur pétrole et gaz, éminemment stratégique dans le cadre de la sécurité des approvisionnements autant américains que chinois qui est, une nouvelle fois visé. Une nouvelle fois puisque ce n'est pas la première ni la dernière fois que ce secteur est la proie d'attaques. On peut cependant estimer que le nucléaire iranien et Stuxnet ayant longuement squatté les charts des attaques ces derniers mois, un peu de vent frais soufflant des steppes du Kazakhstan ne peut que faire du bien !

En réalité, à part la tentative (probablement réussie) de buzz de cette affaire, la seule information pertinente est d'apprendre que la typologie des attaques est d'un classicisme absolu* et, grandeur et décadence, les dispositifs  de détection d'attaques (chèrement vendus par...Mc Afee et consorts) ont été...inopérants !

* recette d'une attaque "sépia" mais efficace : quelques gousses d'ingénierie sociale, une belle brochette de vulnérabilités Windows, l'utilisation d'un AD (Annuaire Windows), le tout saupoudré d'une bonne escalade des privilèges. Faire cuire doucement avec des outils d'administration à distance, laisser refroidir puis servir à ses invités !

lundi 7 février 2011

Cryptologie : dix codes inviolés

Un très bon article, sympathique et ludique au demeurant, paru sur Slate et qui recense une dizaine de méthodes de chiffrement, anciennes pour certaines. Malgré les progrès colossaux en ce qui concerne la cryptanalyse et les puissances de calcul informatique associées, ces "codes" demeurent inviolés.

Une quasi exception cependant peut-être faite en ce qui concerne Chaocipher puisque Moshe Rubin publia en juillet 2010 un excellent article révélant l'algorithme utilisé. Mais sans le don du fond documentaire de la famille de John Byrne, l'inventeur de Chaocipher, au musée National Cryptologique de Fort Meade (siège de la NSA), nul ne sait quand ce code serait tombé. L'étude de Moshe Rubin se trouve ici, en anglais, pour amateurs seulement ! :)

vendredi 4 février 2011

Today is the Day (the Music) IPv4 Died

L'un de mes confrères (qui se reconnaîtra et à qui j'adresse un confraternel clin d'œil) m'a envoyé de bon matin un courriel* de Marcus Sachs, Vice-Président de la politique Sécurité du groupe Verizon. Ce dernier, amateur de bons mots mais aussi probablement de (bonne) musique nous rappellait qu'hier, on fêtait le 52ème anniversaire de la tragique disparition des légendes du rock Buddy Holly, Richie Valens et J.P. "The Big Bopper" Richardson.

La presse américaine s'en est bien-sûr fait l'écho mais ce petit malin de Marcus a aussi voulu faire un parallèle historique entre cette date de commémoration et l'évènement qui secoue symboliquement l'internet puisque, comme le rappelait judicieusement Cidris, les dernières adresses IPv4 (Internet Protocol version 4) viennent d'être allouées aux cinq continents. Ce qui tombe bien puisqu'il restait cinq blocs en /8 soit environ 16,8 millions d'adresses par bloc. De quoi voir venir quelques temps encore même si maintenant il va être difficile d'ignorer l'obstacle : c'est IPv6 qu'il va falloir gérer, ce qui effraye un temps soit peu les acteurs mondiaux du web. J'y reviendrai à l'occasion et en attendant, je vous enjoins à lire ce papier didactique de la NRO (en anglais). 

* Today is the Day the Music Died.  A fitting date for the last allocation of IPv4 to be issued.

mercredi 2 février 2011

Menaces Persistantes Avancées...au marketing !

http://taosecurity.blogspot.com/
Je viens de lire un excellent article d'Ellen Messmer sur CSO qui, avec une certaine finesse et un peu d'humour, semble remettre en perspective à sa place le concept d'Advanced Persistent Threat dont je m'étais déjà fait l'écho, plutôt réservé d'ailleurs.

Sans être schématique, on peut considérer que ce terme d'APT est avant tout utilisé par les grands éditeurs de sécurité et qu'il a probablement une origine militaire (U.S. Air Force, sans certitude). Le lecteur avisé conviendra que l'on possède alors deux acteurs connus pour leurs ruses de sioux et autres représentations allégoriques d'un cyber monde barbare peuplé de redoutables hackers chinois !

Ce n'est sans doute pas ce que veut signifier Marc Maiffret, le CTO d'eEye Digital Security, quand il précise ne pas être enclin à utiliser l'acronyme APT. "J'essaye de dire ce que je veux signifier au lieu d'utiliser des acronymes". APT est "davantage célèbre dans les réunions des départements du marketing. La nouvelle chose effrayante à prononcer est APT".

Ou comment le marketing, une fois de plus, donne l'illusion de la nouveauté alors que les techniques d'attaque, les vulnérabilités exploitées et les préjudices causés n'ont rien de nouveau, malheureusement. La seule subtilité étant, peut-être, que l'on transpose le tout dans le cyber espace (là ça devient sexy !) et que la plupart du temps, les attaques sont conduites par des États. Tout compte fait, Marc Maiffret vient de faire un disciple ! :)