Mot-clé - Snowden

Fil des billets - Fil des commentaires

06juin

Questions sur la cyber-défense.

Un étudiant en master nous a transmis quelques questions autour de la cyber-défense pour élaborer un mémoire sur la cyber-sécurité et la cyber-défense, et nous proposons de livrer ici les réponses que nous avons apportées.

Des évolutions ont eu lieu concernant la prise en compte des menaces émanant du cyberespace. On peut noter une augmentation de l’intérêt des politiques pour ces « nouvelles » menaces (Livre Blanc de 2008 ; création de l’ANSSI en 2009 ; rapport Bockel sur la cyberdéfense en 2012 ; enfin Livre Blanc 2013). Dès lors, pensez-vous que le sujet est suffisamment traité au niveau national ?

Cyber-defense.fr: Le préfixe "cyber" apparaît 10 fois plus souvent dans le nouveau LBDSN de 2013 comparé à celui de 2008, on ne peut nier le sursaut dans la prise de conscience des pouvoirs publics pour cette thématique. Toutefois, si l'on compare les moyens français avec ceux de puissances comparables à la France (UK, Allemagne), il y a encore un effort important à faire.

Les agences de l’Etat, comme l’ANSSI, doivent-elles fixer une ligne de conduite spécifique, en matière de cybersécurité, aux entreprises du secteur privé, qui se positionnent sur des secteurs clefs relevant de l’intérêt national ?

Cyber-defense.fr: Clairement, oui. Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire »  que prônait l'ancien patron de l'ANSSI P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est en préparation (le texte de l'UE est disponible ici http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security).

Est-il nécessaire de créer des « cloud souverains » afin de préserver des données qui sont sujet aux risques d’atteinte à la confidentialité lorsqu’elles ont un caractère sensible ?

Cyber-defense.fr: Les pouvoirs publics (et de nombreux acteurs privés: Iliad, OVH...) n'ont pas attendu cette proposition pour élaborer des 'datacenter' de qualité. Selon nous le « Cloud souverain » est un concept très flou, inutile aux entités détenant des informations confidentielles qui maîtrisent déjà très bien les processus pour stocker leurs données. Comme certaines affaires l'ont montré, le maillon faible dans le stockage de données confidentielles n'est pas la solution technique, mais le facteur humain : Snowden, Manning ...

Peut-on imaginer, en cyberstratégie, une analogie avec la dissuasion nucléaire, et ainsi la création d’une cyberdissuasion ?

Cyber-defense.fr: la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Pour le premier aspect, tant qu'il n'y aura pas un « cyber Hiroshima », la menace cyber restera peu crédible face à des représailles classiques. D'autre part la certitude d'attribution (bien que prétendument maîtrisée par les US) n'est pas acquise. Par conséquent l'analogie avec la dissuasion nucléaire reste un concept selon nous très limité.

Dans ce cas-là, le futur de la cybersécurité passe-t-il par le développement de cyberarmes ?

Cyber-defense.fr: Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.

Si l’on part du postulat que le cyberespace est un nouvel espace géographique, au sein duquel s’appliqueraient des règles spécifiques, comme pour d’autres espaces, le droit de l’espace, le droit aérien, ou encore le droit de la mer: peut-on dès lors imaginer que des traités internationaux, ou régionaux, fassent leur apparition avec pour objet spécifique, la cybersécurité ou la cyberdéfense ? Peut-on espérer un droit du cyberespace ?

Cyber-defense.fr : Le cyber espace est déjà particulièrement normé (RFC, normes constructeurs...) et pour l'instant que ce soit en terme de norme comme d'administration (noms de domaines par exemple), les États-Unis sont en position de domination. Il y a eu plusieurs tentatives dans le domaine, il faut aujourd'hui d'abord retenir le débat autour de la neutralité du réseau. Pour le reste, le droit de la sphère cyber ne peut être séparé des autres disciplines du droit (relations internationales, droit commercial, propriété intellectuelle) qui sont elles, ancrées dans des limites géographiques et des sphères d'influences d’acteurs précis. Ce qui est sûr, c'est que le cyber-espace sera à l'avenir l'objet de toujours plus de normes et traités, par les États mais aussi les acteurs inter-étatiques (OTAN, UE, mais aussi consortium d'entreprises...). Dans le domaine des cyber-conflits, voir ainsi le manuel de Tallinn: http://ccdcoe.org/249.html.

Pouvez-vous me parler brièvement des principales menaces au sein du cyberespace (attaques DDOS, le virus Stuxnet…) ?

Cyber-defense.fr : Selon nous on peut les classer selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclut la coercition).

Les hackers et cyberterroristes sont les acteurs qui viennent en premier à l’esprit quand on parle de cyberattaques. Mais qu’en est-il des Etats ? Disposent-ils de moyens suffisants pour lancer ce type d’attaque (notamment la France) ? Ont-ils recours à des personnes privées afin de lancer ce genre d’attaque ?

Cyber-defense.fr : Les révélations de Snowden ont démontré que les US disposent d'un ensemble de moyens incomparablement supérieur à n'importe quel acteur privé (qu'ils « fédèrent » d'ailleurs autour de leur système de surveillance). Pour le reste des pays, il faut rester dans la supposition. En France nous disposons certainement de bonnes capacités offensives comme le montrent certaines allusions lors d'auditions parlementaires. De même nous avons quelques entreprises très bien positionnées (Par exemple Qosmos, spécialisée dans le filtrage; ou encore Vupen dans les vulnérabilités 0-days) . En revanche rien ne nous permet de penser que des entreprises françaises travailleraient uniquement pour le compte de l’État français. (Voir notre billet sur le marché cyber ).

Les nouveaux acteurs comme Wikileaks ou les Anonymous constituent-ils de réelles menaces pour la sécurité des systèmes d’informations ?  

Cyber-defense.fr: Il en sont un aspect (voir plus haut), mais certainement pas la menace principale. Pour nous, dans un sens ils participent même à l'équilibre des forces.

Peut-on imaginer un développement des cyberattaques tel que le cyberespace devienne l’espace privilégié des conflits à venir ?

Cyber-defense.fr: C'est de la prospective à très long terme et donc un sacré pari. C'est selon nous envisageable à l'horizon de la fin du siècle mais d'ici là, il faut s’attendre à d'autres ruptures technologiques qui pourraient aussi bien de nouveau ancrer la guerre dans la sphère réelle : par exemple les nano-technologies.

Au contraire la cyberstratégie restera-t-elle plus modestement un des pans de la stratégie militaire française ?

Cyber-defense.fr : Un des pans peut-être, mais un courant de pensée en pleine expansion. Toutes les potentialités sont loin d'avoir été explorées et le domaine reste en pleine évolution.

03fév.

Rétrospective 2013

2013, Snowden, An 1

2013 restera d'abord à jamais marquée par l'affaire Snowden. Même si les révélations faites par Snowden n'ont rien eu de révolutionnaires - après tout on se doutait que les services secrets menaient des actions clandestines y compris dans la sphère cyber; elles ont permis de donner un contour aux fantasmes et allégations auxquels ont pouvait se laisser aller. L'ampleur et la sophistication du système NSA dépasse largement ce à quoi on pouvait s'attendre: en terme d'échelle mais aussi de sophistication. Comme les États-Unis savent le faire dans le domaine de certains projets restés secrets (comme leurs avions furtifs...) ils ont su conserver une longueur d'avance dans le domaine.

Reste que globalement, ces révélations ont surtout régalé les spécialistes du secteur et n'ont pas changé grand chose à la conscience collective. Et ce n'est pas la fuite de plus de 800.000 comptes-client d'abonnés Orange, information passée presque inaperçue à côté d'une vidéo de chat se faisant maltraiter qui viendra nous faire mentir.

Aujourd'hui, la protection de la vie privée dans le cyber espace n'est pas une préoccupation de la majorité des citoyens.

Edward_Snowden-2.jpg

Edward Snowden (credit photo Wikipedia)

La cyber défense entre incantation et opacité

2013 c'est aussi l'année du nouveau Livre Blanc sur la Défense et la sécurité. Celui-ci a laissé transparaître une volonté forte d'investir dans la cyberdéfense. A ce jour toutefois il n'y a pas eu de grandes manœuvres, tout au plus quelques annonce du ministre Jean Yves le Drian qui a placé la Bretagne au centre de ses efforts en renforçant des structures déjà existantes à Bures.

Aussi dans son discours prononcé à Rennes le ministre avait détaillé 5 "axes d'effort":

  • Le développement d'une capacité offensive au niveau de l'Etat
  • 350 personnels d'ici 2019 et un effort au sien du ministère de la défense en partenariat avec nos alliés
  • la colocalisation des centres de surveillance relevant de l’ANSSI et de la chaîne cyber des armées, avec une nouvelle doctrine "de cyberdéfense militaire" à paraître
  • le renforcement de la base industrielle de technologies de défense et de sécurité nationale en encourageant la R&D
  • Le développement de la réserve citoyenne et opérationnelle

Naturellement eut égard au caractère toujours très confidentiel des attaques informatiques et des moyens pour les contrer, il ne faut pas s'attendre à voir, comme dans d'autres domaines, tous les efforts du ministère rendus publics.

Un effort de long terme

Bien sûr, dans le domaine il ne fallait pas s'attendre à une révolution. D'abord parce que l'investissement est en partie "virtuel" et fait bien moins de bruit qu'un Rafale pleine post-combustion, mais surtout parce que c'est un travail de longue haleine qui repose d'abord sur les compétences et expertises de spécialistes qui sont très demandés sur un marché concurrentiel.

Finalement, si l'investissement français dans la cyber défense est aussi faible, c'est d'abord parce que nos choix reposent sur des grands projets portés par des grands groupes de défense et d'armement. Le produit précède la mission. Le besoin passe au second plan devant la nécessité de remplir les carnets de commande des industriels du secteur (A400M, Rafale, Leclerc etc. ...). Si ces programmes -qui sont souvent de vraies réussites technologiques et industrielles permettent en plus de remplir la mission, tant mieux. Mais clairement, ces grandes directions dessinées 20 à 30 ans avant la mise en service sont de vrais paris sur l'avenir, qui se révèlent, trop souvent être perdants.

Cette situation n'est pas complètement scandaleuse. Avoir un tissu industriel et de défense dynamique présente aussi un intérêt majeur pour la défense française: elle représente un enjeux de souveraineté et participe au dynamisme global de l'économie qui est indirectement dans l’intérêt de la défense.

catia-3ds.jpg

Logiciel Catia 3D de Dassault Systèmes (credit photo DS - 3ds.com)

Avec ces données structurelles, il faut donc souhaiter que l'offre en matière de cyber défense et cyber sécurité s'étoffe au niveau national et européen. Tous les géants de la défense américaine ont pris ce tournant vers la cyber défense au début de la décennie. La France qui possède un beau potentiel en la matière (nombreuses SSI, écoles d'ingénieurs de haut niveau), doit s'engager sur la même voie. Dassault, dont la filiale Dassault systèmes spécialisée dans le logiciel de conception 3D est une belle réussite, est par exemple le grand absent de ce marché prometteur.

23sept.

Peut-on encore avoir confiance dans la cryptographie ?

Elle protège les transactions entre les banques, les données confidentielles de toute sorte et est à la base d'un secteur de l'économie qui pèse près de 1000 milliards d'euros: la cryptographie a envahi notre quotidien, et en est devenue un élément essentiel. La plupart des utilisateurs de ces services ont confiance dans le chiffrement sans vraiment en connaître le principe de fonctionnement. La cryptographie pour la majeure partie de la population, c'est d'abord une question de confiance.

Pour les 0,1% restant, elle est la base de la sécurité de la sphère cyber.

La cryptographie a transformé les chiffres en armes[1]et certains mathématiciens en combattants. Pourtant il a fallu longtemps à ces premiers cyber-guerriers pour être reconnus. Ceux-ci ont connu leur première victoire majeure lors de la seconde guerre mondiale avec Enigma. C'est à Betchley Park qu'une légion d'anonymes scientifiques déchiffrèrent ainsi les communications allemandes, mais aussi italiennes et japonaises; avantage décisif réputé pour avoir écourté de deux ans le second conflit mondial. Dans cet univers du secret, il fallut attendre les années 70 pour que dans un livre intitulé The ultra Secret , toute la lumière soit faite sur ces héros de l'ombre[2]. Désormais, la maîtrise du chiffrement conditionne une grande part des capacités offensives mais aussi les vulnérabilités d'un acteur du domaine cyber.

Machine Enigma H Exemplaire de machine Enigma H (source cryptomuseum)

Les révélations de Snowden

Le monde de la cryptologie se divise en deux catégories : ceux qui font passer des messages cryptés avec le maximum de sécurité, les cryptographes ; et ceux qui s’acharnent à les déchiffrer : les cryptanalystes. Au cours des années certains procédés cryptographiques réputés sûr (d'où le terme de confiance toujours connexe de la notion ...) ont été cassés, ou bien sont devenus moins sûrs. Parfois grâce à des vulnérabilités théoriques, parfois aussi à cause de certains biais d'utilisation, et enfin grâce au progrès dans la puissance de calcul des ordinateurs. Si on s'en remet à l’histoire, on peut en déduire qu'aucun procédé de chiffrement ne peut être sûr à 100%.[3].

Dans ces conditions les documents révélés par Edward Snowden viennent apporter deux éclairages différents sur cette lutte entre cryptographes et cryptanalystes. Le premier évoque la possibilité que la NSA puisse jouir d'une relative avance en terme de recherche dans le domaine de la cryptographie; en ne publiant pas les vulnérabilités sur différents procédés cryptographiques, elle obtient donc un avantage. Cet aspect était déjà soupçonné, et somme toute assez évident, même s'il peut être choquant que des découvertes mathématiques puissent rester confidentielles (mais cependant, la gloire de la médaille Fields représente peut-être pour certains mathématiciens une récompense moins intéressante que les dizaines de millions de dollars qu'une avancée sur le logarithme discret pourrait rapporter). Le deuxième aspect, plus inquiétant, est que la NSA ne se contente pas de casser les procédés de chiffrements mais les sabote en amont.

Le risque de la "backdoor"

Comment la NSA saboterait t-elle les procédés cryptographiques ? De plusieurs manières si on en croit cet article du Guardian. Ainsi la NSA aurait imposé des procédés de cryptage volontairement vulnérables via les autorités de standardisation, et aurait même influencé ou infiltré les acteurs majeurs du secteur IT. Ces révélations permettent de comprendre plusieurs soupçons passés, notamment cet article de Bruce Schneier en 2007, qui faisait l'hypothèse d'une porte dérobée dans un procédé de chiffrement proposé par la NSA à l'office de standardisation US[4]. La NSA est en effet un acteur majeur de la capacité normative[5] américaine.

Au delà de cette capacité à façonner la norme à son avantage la NSA a poursuivi une véritable campagne pour introduire des portes dérobées dans des logiciels commerciaux. On peut notamment lire dans des présentations qui ont fuité, que la NSA "se mobilisait auprès des entreprises américaines et étrangères du secteur IT pour influencer secrètement et/ou ouvertement tirer parti des procédés de leurs produits commerciaux (...) et insérer des vulnérabilités dans les systèmes de cryptographie commerciaux". Apparemment, le nom des sociétés concernées serait couvert par un niveau de secret encore plus élevé que celui des documents dévoilés par Snowden.

Extrait d'une présentation par le GCHQ Les cyber-espions se réjouissent des vulnérabilités du net ... (source: The Guardian)

Faut-il céder à la paranoïa ?

Certes pas. D'ailleurs Snowden lui-même reconnaissait:

"les systèmes cryptographiques correctement élaborés sont une des rares choses dans lesquels vous pouvez avoir confiance"

Tout l'enjeu se situe donc autour du terme "correctement élaboré". Pour le grand public, il est évident que se soustraire à la surveillance des gouvernements requiert un excellent niveau d'expertise. Pour les États et en particulier l’État français, la problématique est tout autre. On se rappelle en effet l'audition de l'officier général cyber devant l'assemblée nationale[6] l'Amiral Coustillère s'était peu ému des risques de portes dérobés dans les logiciels utilisés au sein des forces armées[7]. On espère sincèrement que ces déclarations édulcorées par le devoir de secret, ne cachent pas un trou béant de sécurité au niveau de notre cyber-défense.

En tout état de cause ces révélations devraient stimuler l’intérêt pour la cryptographie. Ainsi de nombreux procédés de communication sécurisés ont vu leur usage augmenter depuis les révélations de Snowden. On peut citer ainsi la tentative du Français Eric Filiol pour proposer un système de messagerie sécurisé sur les terminaux mobiles, SMS Perseus.

Des retombées négatives pour l'industrie informatique américaine

Finalement, comme le souligne The Economist dans cet article les conséquences les plus néfastes de cette crise de confiance, se situent au niveau des grands groupes américains. En Allemagne, l'affaire qui fait grand bruit a conduit à l'appel au boycott par certains hommes politiques des géants du web américains; en Inde le gouvernement envisagerait d'interdire la messagerie de Google pour tout usage officiel. Ainsi un rapport publié par un think-tank spécialiste du domaine des communications et nouvelles technologies, chiffre entre 22 et 35 milliards de dollars US, les pertes dues à cette crise de confiance d'ici 2016. Au États-Unis la classe politique a réagi en voulant interdire par la loi, certaines pratiques à la NSA.

En définitive, la mise à nu du système de cyber-surveillance américain, en affectant les géants du secteur, porte un coup à sa base industrielle et technologique. Aussi ce pilier qui porte en grande partie la cyber-puissance américaine, s'en trouve ébranlé.

Notes

[1] Aux Etats-unis certains procédés cryptographiques sont des armes de 11eme catégorie.

[2] On peut toutefois rappeler que cette entreprise fut facilité par la capture d'une machine et de ses livrets de code à bord du sous marin U110.

[3] Même le chiffrement par clés asymétriques sur lequel repose une grande partie du chiffrement aujourd'hui, pourrait être percé à l'horizon de quelques années; il est amusant de noter qu'Antoine Joux, mathématicien français à l'origine de cette remise en question, travaille dans un laboratoire français du nom de PRISM.

[4] le dénouement de l'affaire évoqué ici.

[5] Dans son ouvrage intitulé "Cyber stratégie l'art de la guerre numérique", Bertrand Boyer cite à raison la capacité normative comme un des piliers de la cyber-puissance. Envisagée seulement dans son livre comme une "nouvelle forme de diplomatie et d'influence" il faut voir même au delà un véritable moyen de contrôle clandestin.

[6] Et notamment ce passage "Le ministère de la Défense a fait le choix d’un accord-cadre avec Microsoft, ce qui, de mon point de vue, ne présente pas un risque de sécurité supérieur par rapport à l’utilisation de logiciels libres."audition devant l'assemblée nationale, le 12 juin 2013

[7] Lire ici le débat qu'avait déclenché l'offre dite "open bar" de Microsoft pour le ministère de la défense française.

02sept.

EDITO: Syrie - acte 2.0

L'été fut riche en actualités cyber et défense. La présentation de la Loi de Programmation Militaire a confirmé l'importance de la cyber-défense tout en diminuant les ambitions globales de la France dans le domaine de la défense. Les documents dérobés par Edward Snowden, ancien consultant pour la NSA, apportent chaque semaine un nouveau lot de révélations sur le système de cyber-surveillance américain. En cette rentrée, l’actualité internationale la plus bruyante est bien évidement la Syrie. Quelques articles que nous avons mentionnés sur notre Twitter offrent une analyse selon nous assez fine et objective des événements de ces dernières semaines.

A la veille de possibles frappes punitives, puisque c'est le terme employé par le président Hollande, nous sommes convaincus que les bruits de bottes autour de la Syrie ne résoudront rien. En effet, une fois dépassées les premières salves punitives sur des sites supposés fidèles à Assad que restera t-il ? Dans le meilleur des cas un chaos et un protagoniste (Assad) plus acculé et désespéré à commettre des exactions, peut-être aussi des images montrant de nouvelles victimes de ces frappes "chirurgicales" qui radicaliseront de nouveaux combattants. Dans le pire des cas: un embrasement du Liban et des effets néfastes sur la stabilité d'autres voisins (Israël, Sinaï, Turquie, Jordanie ...). Ainsi, si l'on raisonne en terme d'effet final recherché, une frappe, même massive n'apporte rien de plus finalement que ce qu'avance le président Hollande: "une punition". Cette punition est forcément aveugle car on ne va pas punir les responsables d'un massacre chimique à coup de tomahawk et de scalp EG. Surtout, l'après-frappe laisse planer une nouvelle question, et si Bachar Al Assad recommence: on fait quoi ? La même aventure qu'en Irak ?

sea.png

Du côté cyber, la crise Syrienne continue de confirmer que la sphère cyber supprime le filtre des appareils d'Etat entre les peuples et les acteurs du terrain. Avec la transmission des photos et des vidéos en instantané, internet donne potentiellement une tribune internationale à chaque combattant. Si une cyber armée syrienne s'en est prise au site du New York Times ou à Twitter, ces représailles quoique spectaculaires restent limitées. Mais la sphère cyber est un moyen vital pour l’opposition syrienne, même avec des moyens rustiques, pour à la fois se coordonner et communiquer. De notre côté, le renseignement qu'elle nous apporte permet de chercher des preuves accusatoires d'un camp ou de l'autre. Cela nous laisse entrevoir un futur à un horizon de dix ans dans lequel une multitude de capteurs connectés et des constellations de micro satellites rendraient difficile toute dissimulation.

En dernier lieu et on le voit dans les hésitations au Royaume-Unis ou en Italie, la véritable guerre de communication que se livre chaque camp peux faire penser la balance de la légitimité d'une intervention.

Toutefois, l'actualité c'est aussi la rentrée scolaire. Rappelons-nous que la guerre -même au travers de machines - reste une dialectique des volontés, et est donc par essence une activité humaine. Une population bien éduquée, curieuse et exerçant ses capacités de réflexion reste une composante majeure de la puissance d'un pays. Dans un monde toujours plus technique, face à une crise qui est aussi une mise à l'épreuve de notre compétitivité, notre niveau d'éducation est aussi une question de sécurité nationale.