06juin 2014

Questions sur la cyber-défense.

Un étudiant en master nous a transmis quelques questions autour de la cyber-défense pour élaborer un mémoire sur la cyber-sécurité et la cyber-défense, et nous proposons de livrer ici les réponses que nous avons apportées.

Des évolutions ont eu lieu concernant la prise en compte des menaces émanant du cyberespace. On peut noter une augmentation de l’intérêt des politiques pour ces « nouvelles » menaces (Livre Blanc de 2008 ; création de l’ANSSI en 2009 ; rapport Bockel sur la cyberdéfense en 2012 ; enfin Livre Blanc 2013). Dès lors, pensez-vous que le sujet est suffisamment traité au niveau national ?

Cyber-defense.fr: Le préfixe "cyber" apparaît 10 fois plus souvent dans le nouveau LBDSN de 2013 comparé à celui de 2008, on ne peut nier le sursaut dans la prise de conscience des pouvoirs publics pour cette thématique. Toutefois, si l'on compare les moyens français avec ceux de puissances comparables à la France (UK, Allemagne), il y a encore un effort important à faire.

Les agences de l’Etat, comme l’ANSSI, doivent-elles fixer une ligne de conduite spécifique, en matière de cybersécurité, aux entreprises du secteur privé, qui se positionnent sur des secteurs clefs relevant de l’intérêt national ?

Cyber-defense.fr: Clairement, oui. Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire »  que prônait l'ancien patron de l'ANSSI P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est en préparation (le texte de l'UE est disponible ici http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security).

Est-il nécessaire de créer des « cloud souverains » afin de préserver des données qui sont sujet aux risques d’atteinte à la confidentialité lorsqu’elles ont un caractère sensible ?

Cyber-defense.fr: Les pouvoirs publics (et de nombreux acteurs privés: Iliad, OVH...) n'ont pas attendu cette proposition pour élaborer des 'datacenter' de qualité. Selon nous le « Cloud souverain » est un concept très flou, inutile aux entités détenant des informations confidentielles qui maîtrisent déjà très bien les processus pour stocker leurs données. Comme certaines affaires l'ont montré, le maillon faible dans le stockage de données confidentielles n'est pas la solution technique, mais le facteur humain : Snowden, Manning ...

Peut-on imaginer, en cyberstratégie, une analogie avec la dissuasion nucléaire, et ainsi la création d’une cyberdissuasion ?

Cyber-defense.fr: la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Pour le premier aspect, tant qu'il n'y aura pas un « cyber Hiroshima », la menace cyber restera peu crédible face à des représailles classiques. D'autre part la certitude d'attribution (bien que prétendument maîtrisée par les US) n'est pas acquise. Par conséquent l'analogie avec la dissuasion nucléaire reste un concept selon nous très limité.

Dans ce cas-là, le futur de la cybersécurité passe-t-il par le développement de cyberarmes ?

Cyber-defense.fr: Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.

Si l’on part du postulat que le cyberespace est un nouvel espace géographique, au sein duquel s’appliqueraient des règles spécifiques, comme pour d’autres espaces, le droit de l’espace, le droit aérien, ou encore le droit de la mer: peut-on dès lors imaginer que des traités internationaux, ou régionaux, fassent leur apparition avec pour objet spécifique, la cybersécurité ou la cyberdéfense ? Peut-on espérer un droit du cyberespace ?

Cyber-defense.fr : Le cyber espace est déjà particulièrement normé (RFC, normes constructeurs...) et pour l'instant que ce soit en terme de norme comme d'administration (noms de domaines par exemple), les États-Unis sont en position de domination. Il y a eu plusieurs tentatives dans le domaine, il faut aujourd'hui d'abord retenir le débat autour de la neutralité du réseau. Pour le reste, le droit de la sphère cyber ne peut être séparé des autres disciplines du droit (relations internationales, droit commercial, propriété intellectuelle) qui sont elles, ancrées dans des limites géographiques et des sphères d'influences d’acteurs précis. Ce qui est sûr, c'est que le cyber-espace sera à l'avenir l'objet de toujours plus de normes et traités, par les États mais aussi les acteurs inter-étatiques (OTAN, UE, mais aussi consortium d'entreprises...). Dans le domaine des cyber-conflits, voir ainsi le manuel de Tallinn: http://ccdcoe.org/249.html.

Pouvez-vous me parler brièvement des principales menaces au sein du cyberespace (attaques DDOS, le virus Stuxnet…) ?

Cyber-defense.fr : Selon nous on peut les classer selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclut la coercition).

Les hackers et cyberterroristes sont les acteurs qui viennent en premier à l’esprit quand on parle de cyberattaques. Mais qu’en est-il des Etats ? Disposent-ils de moyens suffisants pour lancer ce type d’attaque (notamment la France) ? Ont-ils recours à des personnes privées afin de lancer ce genre d’attaque ?

Cyber-defense.fr : Les révélations de Snowden ont démontré que les US disposent d'un ensemble de moyens incomparablement supérieur à n'importe quel acteur privé (qu'ils « fédèrent » d'ailleurs autour de leur système de surveillance). Pour le reste des pays, il faut rester dans la supposition. En France nous disposons certainement de bonnes capacités offensives comme le montrent certaines allusions lors d'auditions parlementaires. De même nous avons quelques entreprises très bien positionnées (Par exemple Qosmos, spécialisée dans le filtrage; ou encore Vupen dans les vulnérabilités 0-days) . En revanche rien ne nous permet de penser que des entreprises françaises travailleraient uniquement pour le compte de l’État français. (Voir notre billet sur le marché cyber ).

Les nouveaux acteurs comme Wikileaks ou les Anonymous constituent-ils de réelles menaces pour la sécurité des systèmes d’informations ?  

Cyber-defense.fr: Il en sont un aspect (voir plus haut), mais certainement pas la menace principale. Pour nous, dans un sens ils participent même à l'équilibre des forces.

Peut-on imaginer un développement des cyberattaques tel que le cyberespace devienne l’espace privilégié des conflits à venir ?

Cyber-defense.fr: C'est de la prospective à très long terme et donc un sacré pari. C'est selon nous envisageable à l'horizon de la fin du siècle mais d'ici là, il faut s’attendre à d'autres ruptures technologiques qui pourraient aussi bien de nouveau ancrer la guerre dans la sphère réelle : par exemple les nano-technologies.

Au contraire la cyberstratégie restera-t-elle plus modestement un des pans de la stratégie militaire française ?

Cyber-defense.fr : Un des pans peut-être, mais un courant de pensée en pleine expansion. Toutes les potentialités sont loin d'avoir été explorées et le domaine reste en pleine évolution.

03fév. 2014

Rétrospective 2013

2013, Snowden, An 1

2013 restera d'abord à jamais marquée par l'affaire Snowden. Même si les révélations faites par Snowden n'ont rien eu de révolutionnaires - après tout on se doutait que les services secrets menaient des actions clandestines y compris dans la sphère cyber; elles ont permis de donner un contour aux fantasmes et allégations auxquels ont pouvait se laisser aller. L'ampleur et la sophistication du système NSA dépasse largement ce à quoi on pouvait s'attendre: en terme d'échelle mais aussi de sophistication. Comme les États-Unis savent le faire dans le domaine de certains projets restés secrets (comme leurs avions furtifs...) ils ont su conserver une longueur d'avance dans le domaine.

Reste que globalement, ces révélations ont surtout régalé les spécialistes du secteur et n'ont pas changé grand chose à la conscience collective. Et ce n'est pas la fuite de plus de 800.000 comptes-client d'abonnés Orange, information passée presque inaperçue à côté d'une vidéo de chat se faisant maltraiter qui viendra nous faire mentir.

Aujourd'hui, la protection de la vie privée dans le cyber espace n'est pas une préoccupation de la majorité des citoyens.

Edward_Snowden-2.jpg

Edward Snowden (credit photo Wikipedia)

La cyber défense entre incantation et opacité

2013 c'est aussi l'année du nouveau Livre Blanc sur la Défense et la sécurité. Celui-ci a laissé transparaître une volonté forte d'investir dans la cyberdéfense. A ce jour toutefois il n'y a pas eu de grandes manœuvres, tout au plus quelques annonce du ministre Jean Yves le Drian qui a placé la Bretagne au centre de ses efforts en renforçant des structures déjà existantes à Bures.

Aussi dans son discours prononcé à Rennes le ministre avait détaillé 5 "axes d'effort":

  • Le développement d'une capacité offensive au niveau de l'Etat
  • 350 personnels d'ici 2019 et un effort au sien du ministère de la défense en partenariat avec nos alliés
  • la colocalisation des centres de surveillance relevant de l’ANSSI et de la chaîne cyber des armées, avec une nouvelle doctrine "de cyberdéfense militaire" à paraître
  • le renforcement de la base industrielle de technologies de défense et de sécurité nationale en encourageant la R&D
  • Le développement de la réserve citoyenne et opérationnelle

Naturellement eut égard au caractère toujours très confidentiel des attaques informatiques et des moyens pour les contrer, il ne faut pas s'attendre à voir, comme dans d'autres domaines, tous les efforts du ministère rendus publics.

Un effort de long terme

Bien sûr, dans le domaine il ne fallait pas s'attendre à une révolution. D'abord parce que l'investissement est en partie "virtuel" et fait bien moins de bruit qu'un Rafale pleine post-combustion, mais surtout parce que c'est un travail de longue haleine qui repose d'abord sur les compétences et expertises de spécialistes qui sont très demandés sur un marché concurrentiel.

Finalement, si l'investissement français dans la cyber défense est aussi faible, c'est d'abord parce que nos choix reposent sur des grands projets portés par des grands groupes de défense et d'armement. Le produit précède la mission. Le besoin passe au second plan devant la nécessité de remplir les carnets de commande des industriels du secteur (A400M, Rafale, Leclerc etc. ...). Si ces programmes -qui sont souvent de vraies réussites technologiques et industrielles permettent en plus de remplir la mission, tant mieux. Mais clairement, ces grandes directions dessinées 20 à 30 ans avant la mise en service sont de vrais paris sur l'avenir, qui se révèlent, trop souvent être perdants.

Cette situation n'est pas complètement scandaleuse. Avoir un tissu industriel et de défense dynamique présente aussi un intérêt majeur pour la défense française: elle représente un enjeux de souveraineté et participe au dynamisme global de l'économie qui est indirectement dans l’intérêt de la défense.

catia-3ds.jpg

Logiciel Catia 3D de Dassault Systèmes (credit photo DS - 3ds.com)

Avec ces données structurelles, il faut donc souhaiter que l'offre en matière de cyber défense et cyber sécurité s'étoffe au niveau national et européen. Tous les géants de la défense américaine ont pris ce tournant vers la cyber défense au début de la décennie. La France qui possède un beau potentiel en la matière (nombreuses SSI, écoles d'ingénieurs de haut niveau), doit s'engager sur la même voie. Dassault, dont la filiale Dassault systèmes spécialisée dans le logiciel de conception 3D est une belle réussite, est par exemple le grand absent de ce marché prometteur.

23sept. 2013

Peut-on encore avoir confiance dans la cryptographie ?

Elle protège les transactions entre les banques, les données confidentielles de toute sorte et est à la base d'un secteur de l'économie qui pèse près de 1000 milliards d'euros: la cryptographie a envahi notre quotidien, et en est devenue un élément essentiel. La plupart des utilisateurs de ces services ont confiance dans le chiffrement sans vraiment en connaître le principe de fonctionnement. La cryptographie pour la majeure partie de la population, c'est d'abord une question de confiance.

Pour les 0,1% restant, elle est la base de la sécurité de la sphère cyber.

La cryptographie a transformé les chiffres en armes[1]et certains mathématiciens en combattants. Pourtant il a fallu longtemps à ces premiers cyber-guerriers pour être reconnus. Ceux-ci ont connu leur première victoire majeure lors de la seconde guerre mondiale avec Enigma. C'est à Betchley Park qu'une légion d'anonymes scientifiques déchiffrèrent ainsi les communications allemandes, mais aussi italiennes et japonaises; avantage décisif réputé pour avoir écourté de deux ans le second conflit mondial. Dans cet univers du secret, il fallut attendre les années 70 pour que dans un livre intitulé The ultra Secret , toute la lumière soit faite sur ces héros de l'ombre[2]. Désormais, la maîtrise du chiffrement conditionne une grande part des capacités offensives mais aussi les vulnérabilités d'un acteur du domaine cyber.

Machine Enigma H Exemplaire de machine Enigma H (source cryptomuseum)

Les révélations de Snowden

Le monde de la cryptologie se divise en deux catégories : ceux qui font passer des messages cryptés avec le maximum de sécurité, les cryptographes ; et ceux qui s’acharnent à les déchiffrer : les cryptanalystes. Au cours des années certains procédés cryptographiques réputés sûr (d'où le terme de confiance toujours connexe de la notion ...) ont été cassés, ou bien sont devenus moins sûrs. Parfois grâce à des vulnérabilités théoriques, parfois aussi à cause de certains biais d'utilisation, et enfin grâce au progrès dans la puissance de calcul des ordinateurs. Si on s'en remet à l’histoire, on peut en déduire qu'aucun procédé de chiffrement ne peut être sûr à 100%.[3].

Dans ces conditions les documents révélés par Edward Snowden viennent apporter deux éclairages différents sur cette lutte entre cryptographes et cryptanalystes. Le premier évoque la possibilité que la NSA puisse jouir d'une relative avance en terme de recherche dans le domaine de la cryptographie; en ne publiant pas les vulnérabilités sur différents procédés cryptographiques, elle obtient donc un avantage. Cet aspect était déjà soupçonné, et somme toute assez évident, même s'il peut être choquant que des découvertes mathématiques puissent rester confidentielles (mais cependant, la gloire de la médaille Fields représente peut-être pour certains mathématiciens une récompense moins intéressante que les dizaines de millions de dollars qu'une avancée sur le logarithme discret pourrait rapporter). Le deuxième aspect, plus inquiétant, est que la NSA ne se contente pas de casser les procédés de chiffrements mais les sabote en amont.

Le risque de la "backdoor"

Comment la NSA saboterait t-elle les procédés cryptographiques ? De plusieurs manières si on en croit cet article du Guardian. Ainsi la NSA aurait imposé des procédés de cryptage volontairement vulnérables via les autorités de standardisation, et aurait même influencé ou infiltré les acteurs majeurs du secteur IT. Ces révélations permettent de comprendre plusieurs soupçons passés, notamment cet article de Bruce Schneier en 2007, qui faisait l'hypothèse d'une porte dérobée dans un procédé de chiffrement proposé par la NSA à l'office de standardisation US[4]. La NSA est en effet un acteur majeur de la capacité normative[5] américaine.

Au delà de cette capacité à façonner la norme à son avantage la NSA a poursuivi une véritable campagne pour introduire des portes dérobées dans des logiciels commerciaux. On peut notamment lire dans des présentations qui ont fuité, que la NSA "se mobilisait auprès des entreprises américaines et étrangères du secteur IT pour influencer secrètement et/ou ouvertement tirer parti des procédés de leurs produits commerciaux (...) et insérer des vulnérabilités dans les systèmes de cryptographie commerciaux". Apparemment, le nom des sociétés concernées serait couvert par un niveau de secret encore plus élevé que celui des documents dévoilés par Snowden.

Extrait d'une présentation par le GCHQ Les cyber-espions se réjouissent des vulnérabilités du net ... (source: The Guardian)

Faut-il céder à la paranoïa ?

Certes pas. D'ailleurs Snowden lui-même reconnaissait:

"les systèmes cryptographiques correctement élaborés sont une des rares choses dans lesquels vous pouvez avoir confiance"

Tout l'enjeu se situe donc autour du terme "correctement élaboré". Pour le grand public, il est évident que se soustraire à la surveillance des gouvernements requiert un excellent niveau d'expertise. Pour les États et en particulier l’État français, la problématique est tout autre. On se rappelle en effet l'audition de l'officier général cyber devant l'assemblée nationale[6] l'Amiral Coustillère s'était peu ému des risques de portes dérobés dans les logiciels utilisés au sein des forces armées[7]. On espère sincèrement que ces déclarations édulcorées par le devoir de secret, ne cachent pas un trou béant de sécurité au niveau de notre cyber-défense.

En tout état de cause ces révélations devraient stimuler l’intérêt pour la cryptographie. Ainsi de nombreux procédés de communication sécurisés ont vu leur usage augmenter depuis les révélations de Snowden. On peut citer ainsi la tentative du Français Eric Filiol pour proposer un système de messagerie sécurisé sur les terminaux mobiles, SMS Perseus.

Des retombées négatives pour l'industrie informatique américaine

Finalement, comme le souligne The Economist dans cet article les conséquences les plus néfastes de cette crise de confiance, se situent au niveau des grands groupes américains. En Allemagne, l'affaire qui fait grand bruit a conduit à l'appel au boycott par certains hommes politiques des géants du web américains; en Inde le gouvernement envisagerait d'interdire la messagerie de Google pour tout usage officiel. Ainsi un rapport publié par un think-tank spécialiste du domaine des communications et nouvelles technologies, chiffre entre 22 et 35 milliards de dollars US, les pertes dues à cette crise de confiance d'ici 2016. Au États-Unis la classe politique a réagi en voulant interdire par la loi, certaines pratiques à la NSA.

En définitive, la mise à nu du système de cyber-surveillance américain, en affectant les géants du secteur, porte un coup à sa base industrielle et technologique. Aussi ce pilier qui porte en grande partie la cyber-puissance américaine, s'en trouve ébranlé.

Notes

[1] Aux Etats-unis certains procédés cryptographiques sont des armes de 11eme catégorie.

[2] On peut toutefois rappeler que cette entreprise fut facilité par la capture d'une machine et de ses livrets de code à bord du sous marin U110.

[3] Même le chiffrement par clés asymétriques sur lequel repose une grande partie du chiffrement aujourd'hui, pourrait être percé à l'horizon de quelques années; il est amusant de noter qu'Antoine Joux, mathématicien français à l'origine de cette remise en question, travaille dans un laboratoire français du nom de PRISM.

[4] le dénouement de l'affaire évoqué ici.

[5] Dans son ouvrage intitulé "Cyber stratégie l'art de la guerre numérique", Bertrand Boyer cite à raison la capacité normative comme un des piliers de la cyber-puissance. Envisagée seulement dans son livre comme une "nouvelle forme de diplomatie et d'influence" il faut voir même au delà un véritable moyen de contrôle clandestin.

[6] Et notamment ce passage "Le ministère de la Défense a fait le choix d’un accord-cadre avec Microsoft, ce qui, de mon point de vue, ne présente pas un risque de sécurité supérieur par rapport à l’utilisation de logiciels libres."audition devant l'assemblée nationale, le 12 juin 2013

[7] Lire ici le débat qu'avait déclenché l'offre dite "open bar" de Microsoft pour le ministère de la défense française.

02sept. 2013

EDITO: Syrie - acte 2.0

L'été fut riche en actualités cyber et défense. La présentation de la Loi de Programmation Militaire a confirmé l'importance de la cyber-défense tout en diminuant les ambitions globales de la France dans le domaine de la défense. Les documents dérobés par Edward Snowden, ancien consultant pour la NSA, apportent chaque semaine un nouveau lot de révélations sur le système de cyber-surveillance américain. En cette rentrée, l’actualité internationale la plus bruyante est bien évidement la Syrie. Quelques articles que nous avons mentionnés sur notre Twitter offrent une analyse selon nous assez fine et objective des événements de ces dernières semaines.

A la veille de possibles frappes punitives, puisque c'est le terme employé par le président Hollande, nous sommes convaincus que les bruits de bottes autour de la Syrie ne résoudront rien. En effet, une fois dépassées les premières salves punitives sur des sites supposés fidèles à Assad que restera t-il ? Dans le meilleur des cas un chaos et un protagoniste (Assad) plus acculé et désespéré à commettre des exactions, peut-être aussi des images montrant de nouvelles victimes de ces frappes "chirurgicales" qui radicaliseront de nouveaux combattants. Dans le pire des cas: un embrasement du Liban et des effets néfastes sur la stabilité d'autres voisins (Israël, Sinaï, Turquie, Jordanie ...). Ainsi, si l'on raisonne en terme d'effet final recherché, une frappe, même massive n'apporte rien de plus finalement que ce qu'avance le président Hollande: "une punition". Cette punition est forcément aveugle car on ne va pas punir les responsables d'un massacre chimique à coup de tomahawk et de scalp EG. Surtout, l'après-frappe laisse planer une nouvelle question, et si Bachar Al Assad recommence: on fait quoi ? La même aventure qu'en Irak ?

sea.png

Du côté cyber, la crise Syrienne continue de confirmer que la sphère cyber supprime le filtre des appareils d'Etat entre les peuples et les acteurs du terrain. Avec la transmission des photos et des vidéos en instantané, internet donne potentiellement une tribune internationale à chaque combattant. Si une cyber armée syrienne s'en est prise au site du New York Times ou à Twitter, ces représailles quoique spectaculaires restent limitées. Mais la sphère cyber est un moyen vital pour l’opposition syrienne, même avec des moyens rustiques, pour à la fois se coordonner et communiquer. De notre côté, le renseignement qu'elle nous apporte permet de chercher des preuves accusatoires d'un camp ou de l'autre. Cela nous laisse entrevoir un futur à un horizon de dix ans dans lequel une multitude de capteurs connectés et des constellations de micro satellites rendraient difficile toute dissimulation.

En dernier lieu et on le voit dans les hésitations au Royaume-Unis ou en Italie, la véritable guerre de communication que se livre chaque camp peux faire penser la balance de la légitimité d'une intervention.

Toutefois, l'actualité c'est aussi la rentrée scolaire. Rappelons-nous que la guerre -même au travers de machines - reste une dialectique des volontés, et est donc par essence une activité humaine. Une population bien éduquée, curieuse et exerçant ses capacités de réflexion reste une composante majeure de la puissance d'un pays. Dans un monde toujours plus technique, face à une crise qui est aussi une mise à l'épreuve de notre compétitivité, notre niveau d'éducation est aussi une question de sécurité nationale.

04juin 2013

Une montée en puissance de la cyber-défense aux accents bretons

Hier, le ministre de la défense est intervenu au cours d'un colloque organisé à l’École des Transmissions de Rennes. On connait l'attachement de Jean-Yves Le Drian à la Bretagne, et le ministre n'a pas manqué de placer sa région, en proposant un pôle d'excellence de la cyber-défense:

« Ce pôle pourrait se traduire par un projet ambitieux qui pourrait naître ici. Parce que, en matière de défense, nous avons deux creusets - et c’est la mission que je leur donne - les écoles de Saint-Cyr Coëtquidan et l’école des transmissions. Et, autour, il y a des partenariats avec les grandes écoles de Bretagne, des grands centres universitaires de la région, et une volonté des élus locaux et régionaux. Il faut les réunir et les porter dans une dynamique commune. Le ministère est déterminé à y contribuer » (source Ouest France)

Jean-Yves Le Drian à Rennes le 3 juin Jean-Yves Le Drian à Rennes le 3 juin (Crédit photo Ouest France)

Son allocution a confirmé les lignes directrices fixées dans le livre blanc, à savoir: le développement de capacités de cyber-offensives et une augmentation des moyens budgétaires, mais aussi la création de la cyber-réserve, dont nous sommes impatients de voir la concrétisation. Dans un contexte de réduction d'effectif à la défense, le ministre a annoncé que 350 personnels supplémentaires seraient affectés à la cyber-défense.

Surtout, le ministre a annoncé une colocalisation de l'ANSSI et de la chaînes des "cyber-armes". Ce rapprochement a du sens et devrait, selon nous, constituer le point de départ d'un secrétariat d’État au cyberespace comme nous le défendions dans cet article.

Le pays breton abrite de prestigieuses écoles d'informatique et de télécommunication, mais il est loin d'être le seul. Ainsi le favoritisme du ministre affiché à la fois pour la région (Bretagne) et la couleur de l’uniforme (armée de terre) ne rend peut-être pas justice à la cyber-défense: une priorité à la fois nationale, inter-armées, voire inter-ministérielle.

EDIT 1: le texte intégral du discours ici.

29avr. 2013

Livre blanc: la cyberdéfense mise en avant.

Le livre blanc sur la défense et la sécurité nationale (LBDSN) a été remis officiellement au président François Hollande ce matin. Plus réaliste au vu des contraintes budgétaires, sans rompre complètement avec le précédent opus, celui-ci s'apparente à un recadrage des ambitions françaises.

Surtout, en dehors d'une homothétie du format des armées, le livre blanc de 2013 est marqué par l'essor du cyberespace et du risque de cyberattaques qui "constituent une menace majeure, à forte probabilité et à fort impact potentiel". Déjà, le préfixe "cyber" apparaît 36 fois (hors sommaire) pour 160 pages, quand il apparaissait, en 2008, seulement 6 fois pour 350 pages. C'est un facteur 10, et c'est un signe que le domaine devient un aspect fondamental de la défense et sécurité de la France:

"Le cyberespace est donc désormais un champ de confrontation à part entière."

Ainsi le LBDSN 2013 affirme que le dispositif de cyberdéfense est appelé à s’amplifier "dans les années qui viennent". De quelle manière le LBDSN entend développer ces capacités ?

Un renforcement des capacités militaires de cyberdéfense

Le LBDSN parle de capacités défensives et offensives et d'une chaîne opérationnelle de cyberdéfense "centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées". La DGA se voit confier le volet technique sans qu'une allusion à la DIRISI ne soit faite, ce qui marque selon nous un désir de conserver cet acteur sous la coupe du chef d'Etat-major des armées.

Milieu à part entière, le cyberespace se voit donc logiquement intégrer la posture permanente de sécurité (PPS). La PPS concernait la protection de notre territoire, de nos approches maritimes et aériennes mais aussi spatiales[1]. Le LBDSN inclut le cyberespace dans la protection du territoire et parle de "posture de cybersécurité". Nous sommes ici dans l'incantation et il faudra peut être définir plus précisément ce concept, quitte à créer au niveau national un niveau de cyber-menace comme ce qui est fait au sein des forces armées ou pour le plan Vigipirate.

Le LBDSN veut instituer une nouvelle composante de la réserve opérationnelle dédiée à la cyberdéfense. Il insiste surtout sur la capacité à identifier l'origine des attaques et d'évaluer les capacités d'adversaires potentiels.

Le LBDSN aborde également l'effort à fournir en terme de moyens humains "à la hauteur des efforts consentis par nos partenaires britannique et allemand". Ce vœu doit être rapproché du rapport Bockel sur la cyberdefense qui affirmait: “Avec des effectifs qui devraient être de 230 personnes et un budget de l’ordre de 75 millions d’euros, les effectifs et les moyens de l’ANSSI sont encore très loin de ceux dont disposent les services similaires de l’Allemagne ou du Royaume- Uni, qui comptent entre 500 et 700 personnes.”

Enfin le LBDSN insiste sur la nécessaire augmentation du volume des experts en informatique, et de la coopération avec nos partenaires, notamment le Royaume-Unis et Allemagne.

Des réponses aux agressions informatiques majeures

Comme évoqué récemment dans la presse, le LBDSN précise que les activités d'importance vitale verront leur standard de sécurité informatique fixé par un dispositif législatif et réglementaire.

Enfin, il est abordé une doctrine de réponse aux agressions informatiques majeures. Celle-ci repose sur deux manœuvres: celle de la prévention qui sera coordonnée sous l'autorité du premier ministre. Et celle de l'intervention qui se veut être une réponse globale et ajustée faisant appel à divers moyens diplomatiques, juridiques et policiers. En fonction des circonstances, les moyens de la défense seraient utilisés de façon graduée.

Un livre blanc de crise où la cyberdéfense voit son poids renforcé

Ainsi au milieu des réductions tout azimut, la cyberdéfense voit son importance affirmée. Il reste à voir en fin d'année si ces mots seront suivis d'effets budgétaires, lors de la loi de programmation militaire.

Note

[1] L'armée de l'air possède des capacités de détection et de suivi des objets spatiaux, notamment grâce au radar GRAVES

10avr. 2013

Le marché des cyber-armes: un marché gris ?

Si le marché de la cyber défense est en plein boom, comme nous le soulignions dans un précédent article, celui-ci présente une spécificité indéniable. En effet, s'il est possible de s'armer de manière conventionnelle par des circuits classiques et relativement publics, le marché de la cyber-défense rend indispensable le recours à une forme de marché obscur et confidentiel, que nous qualifierons, sans parler de marché noir, de marché gris. Parler de marché gris, c'est tempérer le terme "noir", puisque ce marché n'est pas illicite. Par ailleurs, le terme "gris" marque une forme d'absence de contrôle par le fabricant original.

Pourquoi avoir recours à ce marché gris ?

La sphère cyber a ceci de spécifique qu'elle possède une portion dématérialisée, le logiciel, sur laquelle les attaques sont les plus aisées, et bien sûr les plus répandues. Dès lors, afin de mener une attaque il est le plus souvent nécessaire d'exploiter une vulnérabilité d'un système d'information. Ces vulnérabilités, aussi appelées "exploits", sont la ressource naturelle, le nerf de la cyber-guerre, serions-nous tentés d'écrire. Lorsque ces failles sont directement exploitables et inconnues du public (et donc de l'entité en charge de les résoudre, les "patcher" dans le jargon consacré), elles sont qualifiées de "zero days"[1].

Les "exploits" ne sont pas illicites. De nombreuses entreprises en font leur commerce. Un exploit peut se vendre jusqu'à 500.000$ s'il concerne un logiciel majeur (Internet Explorer de Microsoft par exemple). Aujourd’hui ce commerce se développe et se professionnalise: plus de la moitié des exploits sont vendus par des entreprises plutôt que par des hackers isolés[2] La France possède par exemple une entreprise dont c'est la spécialité, Vupen . Pour autant, une grande partie des transactions de ces "exploits" a lieu sur internet directement ou indirectement, notamment par le biais de certains forums. De par la nature du produit, l'origine de l'exploit, même vendu par une entreprise, n'est ainsi jamais garantie.

Forum Darkode.com

Profil d'un client

Avec des prix aussi élevés, le client type d'un exploit est rarement un cyber-criminel : il s'agit d'abord et surtout des services de renseignements disposant des fonds les plus importants. L'entrée sur le marché d'acteurs au poids financier important aurait multiplié par 5 le prix moyen d'un exploit depuis 2004[3]. Des critiques s'élèvent contre ce marché de cyber vulnérabilités, pour autant toute velléité de régulation est vouée à l'échec: par l'aspect international de ce marché, mais aussi à cause de la fine frontière entre simple recherche en cyber-sécurité et les applications offensives possibles.

La France, combien d'exploits?

Dans cette tribune des Échos, Eric Filiol, ancien officier français et spécialiste en cyber-sécurité, défend l'existence d'une compétence française dans le domaine. Il y écrit ainsi:

"Le maître mot de la guerre de demain ne sera pas : « la France, combien de divisions ? » mais « la France combien de vulnérabilités peut-elle exploiter ? ».

Il est satisfaisant de constater que la France possède certaines compétences dans le domaine.

Cependant à l'heure actuelle le développement de ce marché gris pose plusieurs problèmes. En premier lieu il y a le problème moral qui est proche de celui des armes conventionnelles, l'aspect insidieux en plus: ces vulnérabilités sont susceptibles de nuire à tous; leur prolifération est incontrôlable. Ensuite, ce marché entraîne une surenchère, pour nos propres gouvernements, des crédits consacrés à l'achat d'exploits. Exploits, qui, de par la nature du marché peuvent d'ailleurs être vendus à plusieurs acheteurs différents sous couvert d'une prétendue exclusivité.

Afin de résoudre ces problèmes il est nécessaire que la recherche de ces exploits se fasse au sein même des agences "cyber" des différents gouvernements. Pour autant, on sera toujours confronté à cette forme de pouvoir égalisateur du cyber: la découverte isolée d'exploits par n'importe quel amateur éclairé ne peut être empêchée. Le marché des cyber-armes est donc condamné entre noir et gris.

Notes

[1] Puis lorsqu'elles deviennent publiques, sont appelées successivement "one day", "two days" etc...

[2] selon Roy Lindorf, chercheur à la l'université de la défense hollandaise, cité par The Economist, March 30th 2013, The digital arms trade.

[3] ibid

18janv. 2013

2013, année de transition

2012 est déjà dans nos rétroviseurs, 2013 s'avance. Voici l'occasion pour nous de tirer les principaux enseignements de l'année passée, et de tenter de scruter l'horizon qui s'ouvre devant nous.

2012, l'indétermination.

2012 a révélé que le monde était plus complexe qu'une simple convergence des intérêts mondiaux sur fond de liberté (au sens large: liberté de l'homme, libéralisation des flux et de l'économie). Les conséquences des révolutions de jasmins sont encore floues. Le dynamisme économique en Chine et plus généralement dans les pays émergents s’essouffle. La situation en Europe -mais aussi aux États-Unis; sur fond de crise budgétaire, est confuse.

Ainsi 2012 a apporté plus de questions que de réponses. Elle nous laisse cependant le sentiment que tout reste ouvert: la possibilité d'une reprise économique dans les pays occidentaux; le règlement pacifique des crises en Afrique sub-saharienne et au Moyen Orient.

Un recul de la gouvernance mondiale

2012 apporte selon nous un premier stigmate du monde de demain. D'abord nous notons un recul de la gouvernance mondiale. Aux Nations Unies mais aussi dans les domaines spécialisés comme l'internet, où le sommet de Dubaï a montré un clivage entre les pays. L’Union Européenne peine à voter un budget. Les grandes dynamiques d'intégration sont en perte de vitesses. En 2012,la problématique du droit des cyberconflit a été abordée dans le "Manuel de Tallinn", mais reste selon nous une tentative normative par l'Ontccident plus qu'un consensus général sur la question (qui aurait davantage sa place aux Nations Unies).

Comme les crises récentes le démontre (Lybie, Mali, ...) l’État reste le pivot central des initiatives de sécurité.

Physionomie des opérations militaires

Dans ce contexte, les opérations militaires ne subiront pas de révolutions. Les guerres de type asymétrique, et contre-insurectionnelles resteront la norme. Nous sommes convaincus que la probabilité extrêmement faible d'une guerre de haute intensité devrait porter d'emblée les armées occidentales vers un renforcement de la projection de puissance au meilleur coût. En effet celles-ci devrait être adaptées aux crises probables, car, comme on a pu le constater ces dix dernières années, la gamme d'outils occidentale, trop tournée vers la haute intensité, est inadaptée à la cible principale à traiter de cette décennie: le pick-up. Pour remplir ce contrat, il faudrait acquérir des vecteurs aériens adaptés au support des opérations au sol de type A10 et renforcer la capacité en hélicoptère de combat et de manœuvre.

La permanence devrait également être l'objet de toutes les intentions. En France, la capacité drone est indigente et il est urgent d'acquérir sur étagère un nombre de drones armés suffisants pour couvrir un théâtre d'opération.

Firemen Wip

2013, poursuite d'une transition vers une paix globale et l'instabilité locale

2013 nous rappelle à l'ordre, car après des réflexions sur la maritimisation, l'OTAN, la cyber-défense, nous voilà repartis dans une opération africaine, qui n'est pas sans rappeler l'opération Tacaud des années 70...

A cet égard l'année à venir nous confirmera peut être une réalité esquissée par Pierre Hasner d'une "nuit où toutes les guerres et toutes les paix sont grises". Le monde s'enfoncerait alors durablement dans ce que Frédéric Gros décrivait comme des "états de violences". Les armées occidentales avec l'aide d'acteurs locaux deviendraient alors des pompiers du monde, chargés d'éteindre ici ou là des incendies. La guerre totale, le choc inhumain et rangé de deux forces militaires, une antiquité.

Dès lors, la conflictualité entre les États se concentrerait dans la sphère cyber ou le soft-power, donnant raison à l’essai de Quiao Liang et Wang Xiangsin, la guerre hors limite. Nous ne pouvons écarter l'hypothèse selon laquelle dans un siècle, les historiens décriront notre siècle comme celui marquant la fin de la prépondérance de la chose militaire pour (re)distribuer les cartes de la puissance.

21déc. 2012

La cyberguerre, un fantasme ?

CyberWarfareLa cyberguerre fantasme ou réalité ? A l'heure où la cyber-défense revient sur le devant de la scène, dans l’actualité mais également dans le futur livre blanc, la priorité entre offensive et défensive est débattue. Finalement, la cyber-offensive est-elle utile ? La défensive ne devrait elle pas se réduire à de la simple sécurité ?

Ainsi le 20 novembre, l'Express révélait qu'une véritable cyberguerre s'était jouée derrière le piratage dit "de l'Elysée".[1].

L'exemple américain

Dans son édition du 8 décembre, The Economist publie un article sur cette "cyberwarfare" sous-titré "Hype and fear", disponible en ligne ici. Présentant l'avance majeure dont dispose les États-Unis, celui-ci conclut que l'offensive est largement sur-évaluée.

L'article rappelle qu'aux États-Unis, le spectre de cyberattaques ayant des effets dans le monde réel est largement évoqué. La notion de "Cyber Pearl Harbor", en vogue. Une politique volontaire est en place. Elle se serait traduite récemment selon l'hebdomadaire par la signature au mois d'Octobre par Obama d'une directive secrète pour des cyber-opérations. Il est clair qu'avec un budget de 3,4 milliards de dollars, le Cyber Command américain dispose de moyens importants (ce budget est quasiment celui de l'ensemble de la dissuasion nucléaire... en France).

Il faut également noter que le patron du Cyber Command US (Général Keith Alexander) est également le patron de la NSA, contrairement à un pays comme la France où le cyber possède une partie militaire (via l'OG-cyber[2], sans budgets ni moyens importants) et une partie civile distincte (l'ANSSI, mieux dotée).

L'équilibre entre offensive et défensive en débat

A propos de l'équilibre entre défense et attaque, en bon militaire, le général Alexander estime que l'offensive est primordiale. Pour autant, The Economist affirme que les défenses américaines ne sont capables d'arrêter que 3 attaques sur 10; par ailleurs, le journal cite Martin Libicki de la Rand Corporation qui prétend que la cyber-offensive ne peut jouer qu'un rôle de soutien d'opérations classiques. [3].

Selon Jarno Limmel de Stonesoft, une entreprise de cyber-sécurtié, la cyber-défense doit s'appuyer sur 3 capacités clés:

  • résilence contre une attaque majeure
  • des capacités d'attributions afin d'interdire l'impunité
  • des moyens de rétorsion pour dissuader une éventuelle attaque.

Pour autant, The Economist estime que les luttes dans le cyberespace sont principalement d'ordre économique. En effet, la Chine et la Russie sont citées pour être les spécialistes de l'espionnage industriel [4]. Surtout, l’hebdomadaire souligne ironiquement qu'avant de penser à l’attaque, les pays occidentaux et les américains les premiers devraient colmater les brèches dans leur propre logiciels (98% des failles de sécurité viendraient de logiciels produits aux États-Unis).

Le retour de la dissuasion

Finalement, on revient sur le brouillard de guerre propre au cyber-espace. En définitive la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Au mois d’Octobre le secrétaire d’État à la défense américain affirmait "les potentiels agresseurs devraient avoir conscience que les États-Unis disposent de la capacité de les localiser et les tenir responsables d'actes affectant l'Amérique ou ses intérêts". Même si cette affirmation peut paraître optimiste, elle établit une voie possible pour la dissuasion: le rôle central de capacités d'attribution permettant des représailles, y compris classiques.

Pour penser la cyber-guerre, d'abord repenser la guerre

En définitive si la cyber-guerre apparaît pour certains comme un fantasme; c'est d'abord parce que l'imaginaire collectif n'a pas encore pris conscience des changements dans la conflictualité. La guerre telle qu'elle est encore pensée n'existe plus. Comme l'a bien exprimé Bertrand Boyer dans son ouvrage Cyberstratégie, l'art de la guerre numérique[5]:

"il faut résolument aujourd'hui favoriser l'évolution de notre cadre de pensée, briser les codes qui régissent la stratégie et son rapport à la violence. Il nous faut concilier l'inconciliable, penser l'affrontement sans la guerre, la coopération sans la transparence, la paix comme un état transitoire."

Ainsi l'émergence de la cyberguerre n'est que le symptôme d'une recomposition des stratégies de puissance des États, et sans doute, de nouveaux acteurs.

Notes

[1] On peut pour étoffer le sujet lire ce point de vue, mais aussi le naturel démenti américain ici

[2] Officier Général Cyberdéfense, appartenant à l’État-major des armée

[3] "Cyber-warfare can only be a support function" for other forms of war

[4] L'article cite cet exemple où des hacker d'une agences de renseignement étranger, auraient en 2009 dérobé 24.000 fichiers confidentiels de Lockeed Martin, qui auraient permis d'espionner les réunions abordant des aspects technologiques des capteurs du chasseur J-35 Joint Strike Fighter.

[5] Paru en mai 2012, Éditions Nuvis, ISBN 978-2-36367-013-7

03déc. 2012

Introduction à la Cyberstratégie - Olivier Kempf

Introduction à la CyberstratégieOlivier Kempf est une des quelques personnalités du monde académique à publier régulièrement sur les aspects stratégiques du cyberespace. Après un ouvrage collectif "Stratégie dans le cyberespace", qui regroupait plusieurs textes autour d'un domaine théorique encore peu débroussaillé, il publie ce mois-ci un ouvrage intitulé "Introduction à la cyberstratégie" chez Economica.

Lire la suite

16oct. 2012

Nos 5 propositions pour le livre blanc de la défense et la sécurité nationale

A l'heure où la commission s'active pour actualiser le livre blanc de 2008, nous constatons que pour la cyber-défense les résultats du précédent opus ne sont pas là. La France tarde à prendre la mesure de l'importance de ce domaine. La nouvelle fonction stratégique "connaissance et identification" n'a pas non plus été particulièrement développée. Aussi voulons nous formuler 5 propositions qui pourraient être incluses dans le prochain livre blanc de la défense et sécurité nationale. Celles ci ont été formulées en tenant compte d'un contexte budgétaire dégradé: elles ne sont donc pas une utopique liste reposant sur un gonflement du budget de la défense.

1. Généraliser l'utilisation du logiciel libre dans les systèmes d'information de l’État et les infrastructures critiques

Ce principe est le fondement d'un univers cyber sécurisé. Les logiciels propriétaires (i.e. dont le code n'est pas public) peuvent comporter des portes dérobées (back-door en anglais) et des vulnérabilités dont la correction dépend du bon vouloir de l’entreprise ayant fourni le logiciel. A l'opposé: le code libre est transparent, il bénéficie d'une communauté qui peut y participer et corriger les erreurs et vulnérabilités.

En ce qui concerne la cryptographie, on peut traduire ce paradigme par le principe de Kerckhoffs; l’algorithme peut être connu de tous: sa sécurité repose sur la clé, et seulement sur la clé. Cette transparence doit également s'appliquer aux équipements d'infrastructures critiques (routeurs, contrôleurs industriels...) qui devront posséder des micrologiciels (firmware en anglais) libres[1].

Ce principe est par ailleurs vertueux: non seulement on augmente la sécurité mais en plus on diminue le coût, le logiciel libre étant gratuit. Il faut rendre obligatoire l'informatique libre dans tous les ministères.

2. Créer une cyber-garde républicaine.

La communauté de développeurs et d'experts informatiques française est dynamique. Nous possédons parmi les meilleurs programmeurs mondiaux, héritage d'un fort enracinement des mathématiques dans notre système scolaire. A la manière de ce qui se fait pour le logiciel libre: la contribution d'une communauté mettant ses compétences au profit d'un projet, il faut tenter la même expérience dans la cyber défense.

Ainsi il serait possible d'intégrer dans une cyber-garde républicaine ou cyber-réserve les talents d’informaticiens, sélectionnés pour leur compétences dans des domaines variés. L'avantage c'est qu'il est inutile de fournir une arme ou un uniforme à ces personnes qui disposent déjà des instruments pour appuyer et renforcer l’État. Ceux-ci pourraient se voir confier une mission particulière (participer à un développement, traquer des bugs et des failles dans un logiciel, ou faire du reverse engineering....) ou conserveraient une certaine autonomie dans des domaines de recherches. Ces réservistes bénéficieraient d'équivalent-grades et de rémunérations similaires à ceux de la réserve opérationnelle, en leur versant en fonction de leurs contribution l'équivalent de 10, 20 ou 30 jours d'activité.

3. Créer un secrétariat d’État au cyberespace

Aujourd'hui, l'action de l'état dans le cyberespace est éparpillée entre plusieurs ministères, et coordonnée de manière plus ou moins heureuse pour ce qui concerne la sécurité par le SGDSN. L'importance du cyberespace aujourd'hui devrait justifier à elle seule la création d'un secrétariat d'état, qui décloisonne le développement et l'économie numérique de la sécurité. A cet égard, la sécurité du cyberespace est trop critique pour être seulement coordonnée par le secrétariat général de la défense et sécurité nationale.

Comme aujourd'hui où la direction du budget de Bercy encadre l'action de chaque ministère en matière de budget, ce secrétariat serait chargé de toutes les questions en relation avec le cyberespace de chaque ministère. Cet opérateur commun devrait donc voir certains effectifs jusqu'alors détenus par chaque ministère lui être transférés (y compris des effectifs de la DIRISI[2]). Cette rationalisation au niveau inter ministériel des SIC apporterait cohérence et économie.

Le directeur de la sécurité du secrétariat d'état au cyberespace devra être alternativement un militaire.

4. Renforcer au sein des forces armées l'organisation des systèmes d'informations

Au sein du ministère de la défense, il faut renforcer le rôle de la DIRISI en lui transférant un maximum de SIC que les armées gardent encore en propre en vertu de leur caractère spécialisé. La DIRISI doit se recentrer sur un cœur de métier qui serait l'opérationnel, tout en conservant un rôle d'interface avec le secrétariat d'état au cyberespace. Le CALID[3] resterait sous la coupe de la DIRISI; et de même un laboratoire de lutte informatique offensive serait créé. La montée en puissance de la DIRISI, qui devra rester sous les ordres du CEMA pour marquer son caractère opérationnel, pourrait conduire à moyen terme à la naissance d'une quatrième arme: celle du cyberespace.

La DIRISI bénéficiera d'une double subordination au CEMA et au Secrétaire d’État au cyberespace qui sera en mesure de demander son concours pour des missions particulières. A la manière de ce qui se pratique dans l'organisation territoriale de la défense, pour laquelle les militaires apportent leur concours pour les opérations intérieures, la DIRISI apportera son expertise et ses moyens.

5. Créer un Événement autour de la cyber-défense et cyber-sécurité de dimension majeure

Il existe certains rassemblements privés tel la Hack in Paris par exemple. Ici le but serait de créer un rassemblement similaire qui serve les intérêts de la Nation. Comment ? D'abord en permettant de recruter. En faisant découvrir les métiers des armées, ou encore la cyber-réserve évoquée plus haut. Ensuite en créant plusieurs concours dotés de prix importants. Les concours créent l’émulation et permettent de comparer le talents des informaticiens. Dans la sphère informatique, la compétition est une valeur fondamentale, comme les coding-parties[4] peuvent l'illustrer.

Cette manifestation devrait proposer plusieurs "challenges" et plusieurs catégories: des lycéens jusqu'aux professionnels du secteur, en équipe et/ou en individuel. En dotant ce concours d’au moins 1 million d'euros de prix, on s'assurerait d'une participation de très haut niveau. Cette somme apparaît dérisoire en comparaison par exemple du budget de fonctionnement de la HADOPI (10 millions d'euros en 2012), qui se révèle d'une utilité plus que contestable [5].

Certaines catégories pourraient être ouvertes à la compétition internationale, car dans ce domaine il s'agit aussi d'attirer des talents étrangers.

Cette grande manifestation serait le moment privilégié pour le recrutement et la communication de l’État vers la communauté informatique et le grand public.

Conclusion

Le futur livre blanc est l'occasion pour le politique de marquer l'importance accordée au cyberespace. Dans un contexte budgétaire contraint, il y a pourtant tout lieu d'être optimiste. En effet, la défense du cyberespace repose d'abord sur l'homme et l'intelligence plus que sur l'équipement. Cette dépendance donne du sens à nos propositions.

Notes

[1] De fait, une telle mesure rendrait caduque la polémique sur les routeurs chinois, puisque ceux-ci devraient posséder un code totalement transparent ...

[2] La Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information est l'opérateur des SIC du ministère de la défense, voir notre article ici

[3] Centre d'analyse de lutte informatique défensive, une présentation ici

[4] Rassemblement de programmeurs qui ont un temps donné pour créer une œuvre dans un domaine varié, voir ce site pour des exemples

[5] comme l'illustre ses résultats

07sept. 2012

Liars & Outliers - Bruce Schneier

PageUnLiars&OutliersBruce Schneier est un expert américain reconnu de la sécurité technologique. Son blog est toujours une mine d’informations sur les problématiques de cyber-sécurité.

Dans son dernier livre Liars & Outliers, il étudie ce qui selon lui, est à la base de la sécurité dans toute organisation: la confiance.

Dans la première des quatre parties que comporte son livre il passe en revue la confiance et la sécurité au travers d'une multitude d'approches différentes: économie, biologie informatique , etc. Ainsi il parle de dilemme sociétal lorsque l’intérêt de l'organisation est en compétition avec un autre intérêt.

La seconde partie est consacrée au développement de sa théorie: la confiance est un élément essentiel de nos sociétés et la "pression sociétale" est le moyen par lequel nous y parvenons. Il y a selon lui quatre catégories de "pressions sociétales": la pression morale, la pression réputationnelle[1], la pression institutionnelle, et enfin, les systèmes de sécurité.

La troisième partie se veut une mise en application et une mise en situation de la théorie précédente. Enfin la quatrième partie examine les cas où la "pression sociétale" échoue. Cette partie est également l'occasion de se pencher sur les nouvelles technologies et comment elles transforment la "pression sociétale".

Cet ouvrage n'introduit pas d'idées révolutionnaires, mais cependant s'attache à formaliser et conceptualiser des notions intuitives. Aborder la cyber-sécurité et la cyber-défense sous l’angle de la confiance est une approche fructueuse. Dans l'univers dématérialisé qu'est le cyber-espace, la confiance est en effet à la base de tout. En particulier, la croissance du e-commerce repose totalement sur le sentiment de confiance du client. Une bonne lecture pour la rentrée.

Liars & Outliers - Bruce Schneier - 366p - Wiley press ISBN 978-1-118-14330-8.

Note

[1] cet anglicisme que l'on trouve sur le web, n'est pas encore dans les dictionnaires français, que le lecteur nous excuse pour son emploi, qui nous parait pourtant plus éclairant que "de réputation"

30août 2012

La maîtrise des SIC au sein du ministère de la défense

dirisi.jpgA l'heure où deux rapports soulignent la difficulté du ministère de la défense français à maîtriser ses systèmes d'information et de communication[1], il n'est pas inutile d'examiner l'organisation actuelle des armées françaises en terme de système d'information et de communication (SIC). Et de réfléchir aux futures évolutions.

Lire la suite

31juil. 2012

Le rapport Bockel

Le rapport "Bockel" sur la cyber défense va bientôt être digéré par la blogosphère française, aussi est-il temps pour nous d'aborder ce rapport public du Sénat, qui a fait couler beaucoup d'encre.

Lire la suite

28juil. 2012

Les capacités industrielles critiques

Du fait du cycle électif, le Sénat a bénéficié cette année de davantage de temps et de recul pour élaborer ses réflexions autour de notre politique de défense. Le mois de juillet a vu plusieurs rapports d'information parlementaires dont le rapport dit "Bockel" sur la cyber-défense. Un autre rapport, passé plus inaperçu, mais également intéressant (surtout à la veille d'une nouvelle loi de programmation militaire) porte sur les capacités industrielles souveraines - capacités industrielles militaires critiques.

On se souvient que dans le livre blanc sur la défense et la sécurité on pouvait lire qu'au rang des "priorités technologiques et industrielles découlant des objectifs stratégiques de la sécurité nationale à l’horizon 2025" figurait:

Secteur de la sécurité des systèmes d’information Le développement des menaces sur les systèmes d’information et les réseaux implique de disposer de capacités industrielles nationales solides permettant de développer une offre de produits de sécurité et de cryptologie totalement maîtrisés au niveau national. Ces capacités sont aujourd’hui insuffisantes et dispersées. La France établira une stratégie industrielle, permettant le renforcement de capacités nationales de conception et de réalisation dans le domaine de la sécurité des systèmes d’information.

La parution de ce rapport est donc l’occasion de s’interroger sur les capacités dont dispose la France pour faire face au défi d'un domaine à la très haute technicité, et donc à de fortes exigences en terme de stratégie industrielle et de capacité de recherche et développement.

Lire la suite

23juil. 2012

Cyber-défense et cyber-sécurité

Le blog EGEA publie un article pour explorer les différences entre cyber défense et cyber sécurité [1]. Pour autant, si l'angle d'étude de M. Kempf est intéressant (il décortique les notions sous le prisme de l'ordre public, l'économie, et la technologie). Il ne permet peut être pas selon nous de bien expliquer les nuances entre ces termes.

Dans celui-ci Olivier Kempf écrit:" La cyber-sécurité se comprend alors comme la lutte contre la cybercriminalité".

Cette affirmation laisserait penser que la sécurité renvoie toujours à une forme de "police".

D'abord si l'on retient la classification des cyber-menaces selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclue coercition)

alors l'affirmation de M. Kempf parait incomplète. Ensuite, l'assertion selon laquelle:

la sécurité est un état dont la défense est le moyen

nous semble plus fidèle à la compréhension des choses[2]. Depuis la publication du livre blanc, la distinction entre défense (armées) et sécurité (qui relève davantage de la police, la sécurité civile, les pompiers...) a déjà été critiquée[3].

Ainsi la cyber-sécurité est un état (souhaité, réalisé,...) et parmi elle la cyber-défense peut être définie comme la mise en œuvre par une entité politique de la protection de ses intérêts.

A l'heure où dans la sphère occidentale, nous avons tous davantage de chances d'être victime d'une cyber-attaque que d'une attaque physique; nous aimerions, en guise d'ouverture, lancer un pont vers Michel Foucault et sa biopolitique.

En effet il nous semble qu'à côté d'une forme d'exercice du pouvoir qui porte, sur la vie des gens, sur des populations, il faille s'attendre à l'émergence d'une cyber-politique, garantissant -à quel prix?; notre sécurité dans l'univers virtuel.

Notes

[1] Pour rendre justice au travail d'Olivier Kempf qui anime le blog EGEA, lire cet excellent article d'introduction également

[2] C'est également l'opinion d'un commentateur inspiré qui cite une source partageant cet avis

[3] une critique agacée de la confusion des genres ici

15juil. 2012

Le réseau des drones

iran_droneRQ170.jpg Les drones montent en puissance. D'abord par leur utilisation militaire, mais aussi par un intérêt croissant de la société civile. Or dès que leur utilisation s’effectue au delà de la portée optique (que l'on peut approximer en miles nautiques par 1,23 fois la racine carrée de la hauteur du drone en pieds) il est nécessaire de trouver un moyen de relayer les ordres et les données entre l'utilisateur et le drone.

Aujourd'hui, l'infrastructure utilisée est celle des satellites de communication.

Aux Etats-Unis comme dans la plupart des autres pays, ces satellites sont de la gamme civile. En effet il est plus commode de choisir un satellite dans la zone survolée par le drone que de lancer une constellation qui couvrirait l'ensemble du globe.

Cette situation possède quelques désavantages. D'abord, la bande passante des satellites de télécommunication civile est une ressource pour laquelle les armées sont en concurrence avec les utilisateurs civils (télévision, téléphonie, ...). Ensuite leur bande de fréquence autour de 36-54Mhz est adaptée aux utilisateurs civils, mais ne permet pas une utilisation à plein débit des drones tels le Global Hawk.

Tout cela porte les Etats-Unis par exemple à imaginer un réseau de ballons plus légers que l'air pour relayer les données des drones en s'appuyant par exemple sur les systèmes de liaison de données comme la liaison 16 et ses successeurs.

Car la vulnérabilité de l’infrastructure sur laquelle se dépolie les système de Drones fait débat[1]. Rappelons nous qu'en 2009 des insurgés irakiens avaient obtenus des images des Drones américains en interceptent le flux de données non crypté transmis par le drone[2]. Le Hezbollah aurait réussi a crasher plusieurs drones Israélien. Plus récemment la capture d'un Drone RQ170 américain par l'Iran représente une étape supplémentaire dans la cyberguerre autour des drones. L'Iran prétend qu'ils sont parvenus à capturer le drone en le forçant à se poser en territoire iranien, en modifiant le signal GPS (en clair, en lui faisant croire qu'il se trouvait à une position différente que celle où il était réellement; c'est ce que l'on appelle du "GPS-spoofing").

Cependant pour arriver à un tel résultat il faudrait d'abord localiser le Drone. Eu égard à sa signature radar et à l’altitude auquel le drone évolue, cet exploit apparaît impossible pour le système de défense anti-aérienne iranien. Le reste de l'opération, qui brouillerait le signal GPS et en recréerait un nouveau apparaît également hors de portée pour l'Iran. Certes il est facile de brouiller un signal GPS, mais dans le cas du RQ170, il aurait fallu brouiller une zone très lointaine. Ainsi ce scénario n’apparaît possible qu'avec la complicité des Russes ou des Chinois[3]. Ainsi à l'évidence, une défaillance technique apparaît davantage plausible. Mais cette histoire démontre que dans l'opacité de la cyberguerre, la communication joue bien évidement un rôle de premier plan.

En tout état de cause, les drones se reposent sur des réseaux vulnérables. Puisqu’il est illusoire de penser que leur données pourront transiter uniquement sur des supports militaires, le développement du durcissement de leurs données est primordial et passe à moyen terme par les techniques cryptographiques. Par la suite, l'architecture réseau des drones pourrait s’appuyer sur différents vecteurs aériens: avions, drones dédiés, ballons...

Notes

[1] voir ce rapport officiel américain: ici et également cet article

[2] Article en anglais ici

[3] Selon James Lewis du Center for Strategic and International Studies de Washington, cette éventualité n'est pas à écarter: voir cet article

24juin 2012

Revue de presse - Juin

siliconrush

Le rythme des publications a faibli ce mois-ci car l'équipe de rédaction est particulièrement sollicitée.

Voici donc quelques liens à ne pas manquer.

Un séminaire a eut lieu au mois de mars 2012 à l'université de Savoie. Le thème axé sur l'architecture est en prise avec l'actualité de ce mois qui a vu le basculement vers IPv6. L’architecture de l’Internet, enjeu majeur de la Cyberstratégie.

Les Pays-Bas ont publié leur stratégie de cyber-défense le lien vers l'analyse par un site de consultant et pour les néerlandophone le lien vers le document. A noter que la lutte offensive repose principalement sur l'agence de renseignement hollandaise, et non sur les forces armées.

Dans sa revue politique étrangère du mois de février, l'Institut Français des relations internationales, l'IFRI, a publié un article de Michel Baud (officier dans l'armée de terre) intitulé "La cyberguerre n’aura pas lieu, mais il faut s’y préparer"(le lien vers le document). Nous recommandons la lecture de cet article qui est une bonne synthèse du sujet.

Enfin la Revue de la Défense Nationale publie ce mois ci un dossier consacré à la cyber-stratégie, dont nous feront une exégèse prochainement. En attendant vous pouvez vous reporter au site de la RDN.

29mai 2012

Stuxnet, Duqu ... Flame !

208193539.png

Après Stuxnet et Duqu, un nouveau vent de panique souffle dans l'nivers de la Cybersécurité, et bien sûr de la cyber-défense. Un nouveau virus, macro-virus devrions-nous dire est apparu. Enfin apparu, c'est inexact puisque'il sévirait en toute discrétion depuis 2 ans au moins. Découvert il y a quelques jours par Kaspersky suite aux demandes d'investigation de l'union internationale des télécommunications, celui-ci possède à première vu des caractéristiques intéressantes:

  • Une remarquable furtivité donc (durée des sévices estimée à 2ans au moins), avec possibilité d'être commandé et effacé à distance
  • Mouchard complet utilisant micro-capture d'écran-keylogger[1]; les données sont envoyées ensuite par Internet.
  • Environnement de développement permettant a priori de reprogrammer à la volé n'importe quelle outil avec notamment une machine virtuelle; cela confère une évolutivité au virus.
  • Du coup le virus n'est pas très léger: il pèserait donc dans les 20Mo ! (à comparer avec les 0,5mo de Stuxnet); si la comparaison de complexité ne peut se réduire à une comparaison de taille[2], l'architecture (représentée dans le schémas illustrant ce billet) est particulièrement complexe.
  • Contamination/Propagation par phishing,Web / clé USB; réseau local
  • Enfin et surtout un contamination très ciblée géographiquement:

208193524.png

Finalement, Flame apparaît comme un cyber-mouchard particulièrement évolué.

Cette nouvelle découverte est peu étonnante, combien d'autres virus, produits de la cyber-guerre sont à découvrir ? Cette fois-ci cependant, la source paraît identifiée; en effet, le ministre israélien des affaires stratégiques Moshé Yaalon a déclaré "Il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper [...] Israël est en pointe dans les nouvelles technologie et ces outils nous offrent toutes sortes de possibilités"[3].

Laissons à présent les équipes de Kaspersky décortiquer le virus pour en savoir plus sur l'état de l'art en terme de cyber-arme. Bien que nous ne connaissions pas les données qui ont pu être extraites, et donc l'efficacité d'un tel programme, il est évident que la panoplie à disposition de la fonction "connaissance et anticipation" s'étoffe. Peut-être une leçon pour le futur livre blanc de la défense et sécurité nationale ?

NB: Les images illustrant ce billet appartiennent à kaspersky, voir ce lien pour de plus amples informations.

Notes

[1] Dispositif permettant d'enregistrer ce qui est tapé sur un clavier

[2] notamment à cause du fait que Flame contient de nombreuses librairies additionnelles lui permettant d'effectuer de la compression ou des manipulations sur les bases de données

[3] source ici

24mai 2012

La cyberdéfense, un marché en plein boom?

cyberboomHabituellement -et comme le fiasco de l'introduction en bourse de Facebook le démontre, il faut se méfier des annonces tonitruantes concernant l'économie numérique. Pour autant, dans la foulée de l'essor que la cyberdéfense connaît aux Etats-Unis, le marché semble bouger. Différentes estimations l'évaluent à une cinquantaine de milliards de dollars, avec un taux de croissance à deux chiffres[1]. Dans un contexte économique déprimant, ces perspectives apparaissent rafraîchissantes. Le marché de la cyberdéfense, vraie opportunité ou trompe-l’œil ?

Note

[1] Une étude assez complète de l'état du marché et de ses perspectives est disponible en anglais ici par un célèbre cabinet de consultants.

Lire la suite

- page 1 de 2