Mot-clé - cyber-guerre

Fil des billets - Fil des commentaires

20janv. 2017

2016, l'année de l'ours

La Russie a quitté cette année le club des 5 pays ayant le plus gros budget de défense. Pour autant, la Russie n'a jamais pesé autant sur la scène internationale, et a largement fait la preuve de sa puissance, y compris militaire.

depense_mondiales_defense_2016.svg

Des dépenses militaires au plus bas depuis 1990 et une influence diplomatique au plus haut

Si Janes fait état d'une Russie qui rétrograde à la 6eme place des budgets de défense mondiaux, la Russie n'a eut de cesse de gagner de nombreuses batailles sur le terrain. Après l'épisode ossète et ukrainien, succès militaires dans la zone d'influence historique, la Russie a démontré en Syrie sa capacité à soutenir et opérer avec succès au delà de son "glacis". Ces interventions sont accompagnées d'un discours politique cohérent: la priorité à la souveraineté des États devant les droits des peuples; on peut partager ou pas cette position, Vladimir Poutine avance sur l'échiquier international ses pièces avec un sans faute.

the_economist_cover.jpg

Un ascendant jusque dans la campagne américaine

Mais c'est sur le terrain idéologique, que la victoire de l'ours russe est la plus marquante, car partout dans le monde le populisme se répand comme une traînée de poudre. Jusque dans les berceaux de la pensée libérale: aux Royaume Unis et aux États-Unis, on observe de surprenants renversements illustrés par le Brexit puis l'élection de Trump - ce dernier nourrit par ailleurs une certaines sympathie pour Vladimir Poutine. Ces événements ne manquent pas de sel, et le récent discours du président chinois à Davos, louant le libre-échange[1], participe au sentiment d'un espace politique sens dessus dessous.

Ainsi Barack Obama en a appelé à une enquête sur fond de soupçons d'influence dans la campagne électorale américaine, et a demandé l'expulsion de diplomates russes, un signe fort en termes de relations internationales mais qui vient encore appuyer un peu plus fort sur cet échec de la politique américaine vis à vis de la Russie.

Le mythe du Hacker russe... et la réalité

Historiquement, la Russie est un pays au premier plan en terme d’apprentissage des mathématiques. Une étude internationale sur le niveau des élèves en mathématiques en 2015 confirme que ce fait est toujours d'actualité. Les mathématiques sont à la base de la programmation informatique, et au vu des faibles débouchés offert par le marché de l'emploi russe dans le domaine, il n'est pas étonnant de voir que la Russie est un vivier de compétence cyber, à la fois en termes de quantité et de qualité.

iSIGHT_Partners_sandworm_targets_13oct2014.jpg

Sandworn, cyber-attaque utilisée contre l'Ukraine et l'OTAN sert au passage des buts purement criminels, illustrant la porosité des deux domaines dans le paysage cyber russe. (crédit iconographie iSight)

Dès la chute du mur de Berlin, de nombreux chercheurs russes, laissés pour compte ont versé dans la cyber-criminalité , signant les premières pages de l'histoire du hacking Russe, tel Vladimir Levin. L'état russe, de par son laxisme dans la prévention et la répression de la cyber-criminalité à largement favorisé l'émergence de ce paradis pour hackers. La situation aujourd'hui, avec un appareil d'état qui bénéficie de cette expertise, n'est pas fondamentalement différente, à cela près que la frontière entre cyber-criminels et les cyber-guerriers n'a jamais été aussi poreuse, au gré des besoins de l’état russe.

Avec une Amérique en transition politique, un vaste champ de potentialités en 2017 pour la Russie

Par son utilisation de la sphère cyber ou de moyens conventionnels pour influencer; du soft power au hard power, l'ours Russe a su imposer son calendrier et défendre sa vision avec audace et un évident succès, tout cela avec peu de moyens.

A l'heure où la cible des 2% des budgets de défense est devenue une fin en soi, le retour de la Russie nous rappelle cette phrase de Raymond Aron:

J’appelle puissance sur la scène internationale la capacité d’une unité politique d’imposer sa volonté aux autres unités. En bref, la puissance politique n’est pas un absolu mais une relation humaine

Ainsi, s'il faut souhaiter que le budget de la défense français ne se voit pas amputé, il faut surtout souhaiter que les choix politiques tracent une voie ferme pour la défense, sans démagogie (Sentinelle...) ni électoralisme.

Note

[1] Cet article des Echos relate ce nouveau discours inconcevable il y a encore 10 ans.

06juin 2014

Questions sur la cyber-défense.

Un étudiant en master nous a transmis quelques questions autour de la cyber-défense pour élaborer un mémoire sur la cyber-sécurité et la cyber-défense, et nous proposons de livrer ici les réponses que nous avons apportées.

Des évolutions ont eu lieu concernant la prise en compte des menaces émanant du cyberespace. On peut noter une augmentation de l’intérêt des politiques pour ces « nouvelles » menaces (Livre Blanc de 2008 ; création de l’ANSSI en 2009 ; rapport Bockel sur la cyberdéfense en 2012 ; enfin Livre Blanc 2013). Dès lors, pensez-vous que le sujet est suffisamment traité au niveau national ?

Cyber-defense.fr: Le préfixe "cyber" apparaît 10 fois plus souvent dans le nouveau LBDSN de 2013 comparé à celui de 2008, on ne peut nier le sursaut dans la prise de conscience des pouvoirs publics pour cette thématique. Toutefois, si l'on compare les moyens français avec ceux de puissances comparables à la France (UK, Allemagne), il y a encore un effort important à faire.

Les agences de l’Etat, comme l’ANSSI, doivent-elles fixer une ligne de conduite spécifique, en matière de cybersécurité, aux entreprises du secteur privé, qui se positionnent sur des secteurs clefs relevant de l’intérêt national ?

Cyber-defense.fr: Clairement, oui. Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire »  que prônait l'ancien patron de l'ANSSI P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est en préparation (le texte de l'UE est disponible ici http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security).

Est-il nécessaire de créer des « cloud souverains » afin de préserver des données qui sont sujet aux risques d’atteinte à la confidentialité lorsqu’elles ont un caractère sensible ?

Cyber-defense.fr: Les pouvoirs publics (et de nombreux acteurs privés: Iliad, OVH...) n'ont pas attendu cette proposition pour élaborer des 'datacenter' de qualité. Selon nous le « Cloud souverain » est un concept très flou, inutile aux entités détenant des informations confidentielles qui maîtrisent déjà très bien les processus pour stocker leurs données. Comme certaines affaires l'ont montré, le maillon faible dans le stockage de données confidentielles n'est pas la solution technique, mais le facteur humain : Snowden, Manning ...

Peut-on imaginer, en cyberstratégie, une analogie avec la dissuasion nucléaire, et ainsi la création d’une cyberdissuasion ?

Cyber-defense.fr: la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Pour le premier aspect, tant qu'il n'y aura pas un « cyber Hiroshima », la menace cyber restera peu crédible face à des représailles classiques. D'autre part la certitude d'attribution (bien que prétendument maîtrisée par les US) n'est pas acquise. Par conséquent l'analogie avec la dissuasion nucléaire reste un concept selon nous très limité.

Dans ce cas-là, le futur de la cybersécurité passe-t-il par le développement de cyberarmes ?

Cyber-defense.fr: Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.

Si l’on part du postulat que le cyberespace est un nouvel espace géographique, au sein duquel s’appliqueraient des règles spécifiques, comme pour d’autres espaces, le droit de l’espace, le droit aérien, ou encore le droit de la mer: peut-on dès lors imaginer que des traités internationaux, ou régionaux, fassent leur apparition avec pour objet spécifique, la cybersécurité ou la cyberdéfense ? Peut-on espérer un droit du cyberespace ?

Cyber-defense.fr : Le cyber espace est déjà particulièrement normé (RFC, normes constructeurs...) et pour l'instant que ce soit en terme de norme comme d'administration (noms de domaines par exemple), les États-Unis sont en position de domination. Il y a eu plusieurs tentatives dans le domaine, il faut aujourd'hui d'abord retenir le débat autour de la neutralité du réseau. Pour le reste, le droit de la sphère cyber ne peut être séparé des autres disciplines du droit (relations internationales, droit commercial, propriété intellectuelle) qui sont elles, ancrées dans des limites géographiques et des sphères d'influences d’acteurs précis. Ce qui est sûr, c'est que le cyber-espace sera à l'avenir l'objet de toujours plus de normes et traités, par les États mais aussi les acteurs inter-étatiques (OTAN, UE, mais aussi consortium d'entreprises...). Dans le domaine des cyber-conflits, voir ainsi le manuel de Tallinn: http://ccdcoe.org/249.html.

Pouvez-vous me parler brièvement des principales menaces au sein du cyberespace (attaques DDOS, le virus Stuxnet…) ?

Cyber-defense.fr : Selon nous on peut les classer selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclut la coercition).

Les hackers et cyberterroristes sont les acteurs qui viennent en premier à l’esprit quand on parle de cyberattaques. Mais qu’en est-il des Etats ? Disposent-ils de moyens suffisants pour lancer ce type d’attaque (notamment la France) ? Ont-ils recours à des personnes privées afin de lancer ce genre d’attaque ?

Cyber-defense.fr : Les révélations de Snowden ont démontré que les US disposent d'un ensemble de moyens incomparablement supérieur à n'importe quel acteur privé (qu'ils « fédèrent » d'ailleurs autour de leur système de surveillance). Pour le reste des pays, il faut rester dans la supposition. En France nous disposons certainement de bonnes capacités offensives comme le montrent certaines allusions lors d'auditions parlementaires. De même nous avons quelques entreprises très bien positionnées (Par exemple Qosmos, spécialisée dans le filtrage; ou encore Vupen dans les vulnérabilités 0-days) . En revanche rien ne nous permet de penser que des entreprises françaises travailleraient uniquement pour le compte de l’État français. (Voir notre billet sur le marché cyber ).

Les nouveaux acteurs comme Wikileaks ou les Anonymous constituent-ils de réelles menaces pour la sécurité des systèmes d’informations ?  

Cyber-defense.fr: Il en sont un aspect (voir plus haut), mais certainement pas la menace principale. Pour nous, dans un sens ils participent même à l'équilibre des forces.

Peut-on imaginer un développement des cyberattaques tel que le cyberespace devienne l’espace privilégié des conflits à venir ?

Cyber-defense.fr: C'est de la prospective à très long terme et donc un sacré pari. C'est selon nous envisageable à l'horizon de la fin du siècle mais d'ici là, il faut s’attendre à d'autres ruptures technologiques qui pourraient aussi bien de nouveau ancrer la guerre dans la sphère réelle : par exemple les nano-technologies.

Au contraire la cyberstratégie restera-t-elle plus modestement un des pans de la stratégie militaire française ?

Cyber-defense.fr : Un des pans peut-être, mais un courant de pensée en pleine expansion. Toutes les potentialités sont loin d'avoir été explorées et le domaine reste en pleine évolution.

10avr. 2013

Le marché des cyber-armes: un marché gris ?

Si le marché de la cyber défense est en plein boom, comme nous le soulignions dans un précédent article, celui-ci présente une spécificité indéniable. En effet, s'il est possible de s'armer de manière conventionnelle par des circuits classiques et relativement publics, le marché de la cyber-défense rend indispensable le recours à une forme de marché obscur et confidentiel, que nous qualifierons, sans parler de marché noir, de marché gris. Parler de marché gris, c'est tempérer le terme "noir", puisque ce marché n'est pas illicite. Par ailleurs, le terme "gris" marque une forme d'absence de contrôle par le fabricant original.

Pourquoi avoir recours à ce marché gris ?

La sphère cyber a ceci de spécifique qu'elle possède une portion dématérialisée, le logiciel, sur laquelle les attaques sont les plus aisées, et bien sûr les plus répandues. Dès lors, afin de mener une attaque il est le plus souvent nécessaire d'exploiter une vulnérabilité d'un système d'information. Ces vulnérabilités, aussi appelées "exploits", sont la ressource naturelle, le nerf de la cyber-guerre, serions-nous tentés d'écrire. Lorsque ces failles sont directement exploitables et inconnues du public (et donc de l'entité en charge de les résoudre, les "patcher" dans le jargon consacré), elles sont qualifiées de "zero days"[1].

Les "exploits" ne sont pas illicites. De nombreuses entreprises en font leur commerce. Un exploit peut se vendre jusqu'à 500.000$ s'il concerne un logiciel majeur (Internet Explorer de Microsoft par exemple). Aujourd’hui ce commerce se développe et se professionnalise: plus de la moitié des exploits sont vendus par des entreprises plutôt que par des hackers isolés[2] La France possède par exemple une entreprise dont c'est la spécialité, Vupen . Pour autant, une grande partie des transactions de ces "exploits" a lieu sur internet directement ou indirectement, notamment par le biais de certains forums. De par la nature du produit, l'origine de l'exploit, même vendu par une entreprise, n'est ainsi jamais garantie.

Forum Darkode.com

Profil d'un client

Avec des prix aussi élevés, le client type d'un exploit est rarement un cyber-criminel : il s'agit d'abord et surtout des services de renseignements disposant des fonds les plus importants. L'entrée sur le marché d'acteurs au poids financier important aurait multiplié par 5 le prix moyen d'un exploit depuis 2004[3]. Des critiques s'élèvent contre ce marché de cyber vulnérabilités, pour autant toute velléité de régulation est vouée à l'échec: par l'aspect international de ce marché, mais aussi à cause de la fine frontière entre simple recherche en cyber-sécurité et les applications offensives possibles.

La France, combien d'exploits?

Dans cette tribune des Échos, Eric Filiol, ancien officier français et spécialiste en cyber-sécurité, défend l'existence d'une compétence française dans le domaine. Il y écrit ainsi:

"Le maître mot de la guerre de demain ne sera pas : « la France, combien de divisions ? » mais « la France combien de vulnérabilités peut-elle exploiter ? ».

Il est satisfaisant de constater que la France possède certaines compétences dans le domaine.

Cependant à l'heure actuelle le développement de ce marché gris pose plusieurs problèmes. En premier lieu il y a le problème moral qui est proche de celui des armes conventionnelles, l'aspect insidieux en plus: ces vulnérabilités sont susceptibles de nuire à tous; leur prolifération est incontrôlable. Ensuite, ce marché entraîne une surenchère, pour nos propres gouvernements, des crédits consacrés à l'achat d'exploits. Exploits, qui, de par la nature du marché peuvent d'ailleurs être vendus à plusieurs acheteurs différents sous couvert d'une prétendue exclusivité.

Afin de résoudre ces problèmes il est nécessaire que la recherche de ces exploits se fasse au sein même des agences "cyber" des différents gouvernements. Pour autant, on sera toujours confronté à cette forme de pouvoir égalisateur du cyber: la découverte isolée d'exploits par n'importe quel amateur éclairé ne peut être empêchée. Le marché des cyber-armes est donc condamné entre noir et gris.

Notes

[1] Puis lorsqu'elles deviennent publiques, sont appelées successivement "one day", "two days" etc...

[2] selon Roy Lindorf, chercheur à la l'université de la défense hollandaise, cité par The Economist, March 30th 2013, The digital arms trade.

[3] ibid

18janv. 2013

2013, année de transition

2012 est déjà dans nos rétroviseurs, 2013 s'avance. Voici l'occasion pour nous de tirer les principaux enseignements de l'année passée, et de tenter de scruter l'horizon qui s'ouvre devant nous.

2012, l'indétermination.

2012 a révélé que le monde était plus complexe qu'une simple convergence des intérêts mondiaux sur fond de liberté (au sens large: liberté de l'homme, libéralisation des flux et de l'économie). Les conséquences des révolutions de jasmins sont encore floues. Le dynamisme économique en Chine et plus généralement dans les pays émergents s’essouffle. La situation en Europe -mais aussi aux États-Unis; sur fond de crise budgétaire, est confuse.

Ainsi 2012 a apporté plus de questions que de réponses. Elle nous laisse cependant le sentiment que tout reste ouvert: la possibilité d'une reprise économique dans les pays occidentaux; le règlement pacifique des crises en Afrique sub-saharienne et au Moyen Orient.

Un recul de la gouvernance mondiale

2012 apporte selon nous un premier stigmate du monde de demain. D'abord nous notons un recul de la gouvernance mondiale. Aux Nations Unies mais aussi dans les domaines spécialisés comme l'internet, où le sommet de Dubaï a montré un clivage entre les pays. L’Union Européenne peine à voter un budget. Les grandes dynamiques d'intégration sont en perte de vitesses. En 2012,la problématique du droit des cyberconflit a été abordée dans le "Manuel de Tallinn", mais reste selon nous une tentative normative par l'Ontccident plus qu'un consensus général sur la question (qui aurait davantage sa place aux Nations Unies).

Comme les crises récentes le démontre (Lybie, Mali, ...) l’État reste le pivot central des initiatives de sécurité.

Physionomie des opérations militaires

Dans ce contexte, les opérations militaires ne subiront pas de révolutions. Les guerres de type asymétrique, et contre-insurectionnelles resteront la norme. Nous sommes convaincus que la probabilité extrêmement faible d'une guerre de haute intensité devrait porter d'emblée les armées occidentales vers un renforcement de la projection de puissance au meilleur coût. En effet celles-ci devrait être adaptées aux crises probables, car, comme on a pu le constater ces dix dernières années, la gamme d'outils occidentale, trop tournée vers la haute intensité, est inadaptée à la cible principale à traiter de cette décennie: le pick-up. Pour remplir ce contrat, il faudrait acquérir des vecteurs aériens adaptés au support des opérations au sol de type A10 et renforcer la capacité en hélicoptère de combat et de manœuvre.

La permanence devrait également être l'objet de toutes les intentions. En France, la capacité drone est indigente et il est urgent d'acquérir sur étagère un nombre de drones armés suffisants pour couvrir un théâtre d'opération.

Firemen Wip

2013, poursuite d'une transition vers une paix globale et l'instabilité locale

2013 nous rappelle à l'ordre, car après des réflexions sur la maritimisation, l'OTAN, la cyber-défense, nous voilà repartis dans une opération africaine, qui n'est pas sans rappeler l'opération Tacaud des années 70...

A cet égard l'année à venir nous confirmera peut être une réalité esquissée par Pierre Hasner d'une "nuit où toutes les guerres et toutes les paix sont grises". Le monde s'enfoncerait alors durablement dans ce que Frédéric Gros décrivait comme des "états de violences". Les armées occidentales avec l'aide d'acteurs locaux deviendraient alors des pompiers du monde, chargés d'éteindre ici ou là des incendies. La guerre totale, le choc inhumain et rangé de deux forces militaires, une antiquité.

Dès lors, la conflictualité entre les États se concentrerait dans la sphère cyber ou le soft-power, donnant raison à l’essai de Quiao Liang et Wang Xiangsin, la guerre hors limite. Nous ne pouvons écarter l'hypothèse selon laquelle dans un siècle, les historiens décriront notre siècle comme celui marquant la fin de la prépondérance de la chose militaire pour (re)distribuer les cartes de la puissance.

21déc. 2012

La cyberguerre, un fantasme ?

CyberWarfareLa cyberguerre fantasme ou réalité ? A l'heure où la cyber-défense revient sur le devant de la scène, dans l’actualité mais également dans le futur livre blanc, la priorité entre offensive et défensive est débattue. Finalement, la cyber-offensive est-elle utile ? La défensive ne devrait elle pas se réduire à de la simple sécurité ?

Ainsi le 20 novembre, l'Express révélait qu'une véritable cyberguerre s'était jouée derrière le piratage dit "de l'Elysée".[1].

L'exemple américain

Dans son édition du 8 décembre, The Economist publie un article sur cette "cyberwarfare" sous-titré "Hype and fear", disponible en ligne ici. Présentant l'avance majeure dont dispose les États-Unis, celui-ci conclut que l'offensive est largement sur-évaluée.

L'article rappelle qu'aux États-Unis, le spectre de cyberattaques ayant des effets dans le monde réel est largement évoqué. La notion de "Cyber Pearl Harbor", en vogue. Une politique volontaire est en place. Elle se serait traduite récemment selon l'hebdomadaire par la signature au mois d'Octobre par Obama d'une directive secrète pour des cyber-opérations. Il est clair qu'avec un budget de 3,4 milliards de dollars, le Cyber Command américain dispose de moyens importants (ce budget est quasiment celui de l'ensemble de la dissuasion nucléaire... en France).

Il faut également noter que le patron du Cyber Command US (Général Keith Alexander) est également le patron de la NSA, contrairement à un pays comme la France où le cyber possède une partie militaire (via l'OG-cyber[2], sans budgets ni moyens importants) et une partie civile distincte (l'ANSSI, mieux dotée).

L'équilibre entre offensive et défensive en débat

A propos de l'équilibre entre défense et attaque, en bon militaire, le général Alexander estime que l'offensive est primordiale. Pour autant, The Economist affirme que les défenses américaines ne sont capables d'arrêter que 3 attaques sur 10; par ailleurs, le journal cite Martin Libicki de la Rand Corporation qui prétend que la cyber-offensive ne peut jouer qu'un rôle de soutien d'opérations classiques. [3].

Selon Jarno Limmel de Stonesoft, une entreprise de cyber-sécurtié, la cyber-défense doit s'appuyer sur 3 capacités clés:

  • résilence contre une attaque majeure
  • des capacités d'attributions afin d'interdire l'impunité
  • des moyens de rétorsion pour dissuader une éventuelle attaque.

Pour autant, The Economist estime que les luttes dans le cyberespace sont principalement d'ordre économique. En effet, la Chine et la Russie sont citées pour être les spécialistes de l'espionnage industriel [4]. Surtout, l’hebdomadaire souligne ironiquement qu'avant de penser à l’attaque, les pays occidentaux et les américains les premiers devraient colmater les brèches dans leur propre logiciels (98% des failles de sécurité viendraient de logiciels produits aux États-Unis).

Le retour de la dissuasion

Finalement, on revient sur le brouillard de guerre propre au cyber-espace. En définitive la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Au mois d’Octobre le secrétaire d’État à la défense américain affirmait "les potentiels agresseurs devraient avoir conscience que les États-Unis disposent de la capacité de les localiser et les tenir responsables d'actes affectant l'Amérique ou ses intérêts". Même si cette affirmation peut paraître optimiste, elle établit une voie possible pour la dissuasion: le rôle central de capacités d'attribution permettant des représailles, y compris classiques.

Pour penser la cyber-guerre, d'abord repenser la guerre

En définitive si la cyber-guerre apparaît pour certains comme un fantasme; c'est d'abord parce que l'imaginaire collectif n'a pas encore pris conscience des changements dans la conflictualité. La guerre telle qu'elle est encore pensée n'existe plus. Comme l'a bien exprimé Bertrand Boyer dans son ouvrage Cyberstratégie, l'art de la guerre numérique[5]:

"il faut résolument aujourd'hui favoriser l'évolution de notre cadre de pensée, briser les codes qui régissent la stratégie et son rapport à la violence. Il nous faut concilier l'inconciliable, penser l'affrontement sans la guerre, la coopération sans la transparence, la paix comme un état transitoire."

Ainsi l'émergence de la cyberguerre n'est que le symptôme d'une recomposition des stratégies de puissance des États, et sans doute, de nouveaux acteurs.

Notes

[1] On peut pour étoffer le sujet lire ce point de vue, mais aussi le naturel démenti américain ici

[2] Officier Général Cyberdéfense, appartenant à l’État-major des armée

[3] "Cyber-warfare can only be a support function" for other forms of war

[4] L'article cite cet exemple où des hacker d'une agences de renseignement étranger, auraient en 2009 dérobé 24.000 fichiers confidentiels de Lockeed Martin, qui auraient permis d'espionner les réunions abordant des aspects technologiques des capteurs du chasseur J-35 Joint Strike Fighter.

[5] Paru en mai 2012, Éditions Nuvis, ISBN 978-2-36367-013-7

29mai 2012

Stuxnet, Duqu ... Flame !

208193539.png

Après Stuxnet et Duqu, un nouveau vent de panique souffle dans l'nivers de la Cybersécurité, et bien sûr de la cyber-défense. Un nouveau virus, macro-virus devrions-nous dire est apparu. Enfin apparu, c'est inexact puisque'il sévirait en toute discrétion depuis 2 ans au moins. Découvert il y a quelques jours par Kaspersky suite aux demandes d'investigation de l'union internationale des télécommunications, celui-ci possède à première vu des caractéristiques intéressantes:

  • Une remarquable furtivité donc (durée des sévices estimée à 2ans au moins), avec possibilité d'être commandé et effacé à distance
  • Mouchard complet utilisant micro-capture d'écran-keylogger[1]; les données sont envoyées ensuite par Internet.
  • Environnement de développement permettant a priori de reprogrammer à la volé n'importe quelle outil avec notamment une machine virtuelle; cela confère une évolutivité au virus.
  • Du coup le virus n'est pas très léger: il pèserait donc dans les 20Mo ! (à comparer avec les 0,5mo de Stuxnet); si la comparaison de complexité ne peut se réduire à une comparaison de taille[2], l'architecture (représentée dans le schémas illustrant ce billet) est particulièrement complexe.
  • Contamination/Propagation par phishing,Web / clé USB; réseau local
  • Enfin et surtout un contamination très ciblée géographiquement:

208193524.png

Finalement, Flame apparaît comme un cyber-mouchard particulièrement évolué.

Cette nouvelle découverte est peu étonnante, combien d'autres virus, produits de la cyber-guerre sont à découvrir ? Cette fois-ci cependant, la source paraît identifiée; en effet, le ministre israélien des affaires stratégiques Moshé Yaalon a déclaré "Il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper [...] Israël est en pointe dans les nouvelles technologie et ces outils nous offrent toutes sortes de possibilités"[3].

Laissons à présent les équipes de Kaspersky décortiquer le virus pour en savoir plus sur l'état de l'art en terme de cyber-arme. Bien que nous ne connaissions pas les données qui ont pu être extraites, et donc l'efficacité d'un tel programme, il est évident que la panoplie à disposition de la fonction "connaissance et anticipation" s'étoffe. Peut-être une leçon pour le futur livre blanc de la défense et sécurité nationale ?

NB: Les images illustrant ce billet appartiennent à kaspersky, voir ce lien pour de plus amples informations.

Notes

[1] Dispositif permettant d'enregistrer ce qui est tapé sur un clavier

[2] notamment à cause du fait que Flame contient de nombreuses librairies additionnelles lui permettant d'effectuer de la compression ou des manipulations sur les bases de données

[3] source ici

19mai 2012

Revue de presse du web

Quelques liens intéressants ce mois ci.

D'abord un article du blog d'Olivier Kempf, publiant un texte du Dr Sandro Arcioni qui donne sa vision de la cyber-sécurité de manière détaillée, notamment en proposant une segmentation des menaces suivant 4 axes: Le texte sur le site Egea.

Un excellent site sur la cyber-sécurité, tenu par Eric Freyssinet, officier de gendarmerie, polytechnicien (X92) et expert en sécurité informatique.

Un site qui traite de cyber-sécurité, principalement orienté vers l'univers civil et l'entreprise: Blog cyber-sécurité.fr.

Enfin une lecture à contre courant de ce blog, qui développe un point de vue néanmoins intéressant: la cyberguerre est un mythe.