Egeablog - Cyber2023-06-28T12:43:19+02:00Olivier Kempfurn:md5:fc9dfa5de5fd9856c4c7bdd45e8ff3c1DotclearLa cybermenace, jusqu’au cœur des territoires (Guy-Philippe Goldstein)urn:md5:248a8157596c75fafd40c6139f73a89b2021-03-29T18:17:00+01:002022-03-15T12:23:50+00:00Olivier KempfCyberCyberentretienTerritoires<p>J'ai eu le plaisir de répondre aux questions de Guy-Philippe Goldstein sur la question de la cybersécurité des territoires. IL a publié cet entretien sur son blog de l'usine nouvelle (<a href="https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324" target="_blank">https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324</a>). Mille mercis à lui. OK</p>
<p> </p>
<p> </p>
<p style="text-align: justify;"><img alt="https://www.usinenouvelle.com/mediatheque/2/3/4/000156432_image_896x598.jpg" src="https://www.usinenouvelle.com/mediatheque/2/3/4/000156432_image_896x598.jpg" /></p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"> </p> <p style="text-align: justify;">Au cours des douze derniers mois, le nombre, mais aussi le montant des rançongiciels a augmenté [1]. Cette chasse à l’entreprise qui peut payer le plus aurait-elle épargné les entités plus petites et plus désargentées, ou celles du public ? Non. Les collectivités territoriales sont également devenues des proies de choix. En France, la mairie de Toulouse et celle de Marseille et sa métropole ont été victimes de rançongiciels en mars et avril 2020. Après de nombreuses autres victimes, au mois de mars 2021, c’est au tour de la communauté de communes de l’Est lyonnais d’être frappée, avec une demande de rançon de 200 000 euros [2].</p>
<p style="text-align: justify;">Parfois les conséquences dépassent les simples aspects monétaires. Nous avions évoqué sur ce blog la cyberattaque contre l’usine de retraitement d’eaux de la petite ville d’Oldsmar [3], dans la grande banlieue de Tampa, en Floride, gérée par la commune du même nom, et dont le niveau de soude caustique dans l’eau avait été manipulé à distance. Julien Mousqueton, le directeur technique de Computacenter, une entreprise britannique de services du numérique, évoque le cas emblématique de la petite ville d’Aulnoyes-Aymeries (Nord), 9 000 habitants, rançonnée pour 150 000 euros [4]. Entre autres effets, le système informatique du centre administratif de la mairie et de ses satellites (Ehpad, résidence de services, centre aquatique, école maternelle…) se sont retrouvés sans accès téléphonique, le système dédié permettant le lien téléphone étant géré par la mairie [5]. Avec des conséquences sérieuses : le système servait à relayer les appels des malades de l’Ehpad vers les téléphones mobiles des soignants. Comme le remarque Julien Mousqueton, <em>« on ne prend pas toujours en compte tous les risques possibles. Or même une mairie peut gérer les alertes médicales d’un Ehpad. »</em> Et c’est bien un risque tangible, <em>« même s’il s’agissait probablement là d’un dommage collatéral, qui n’avait peut-être même pas été imaginé par l’assaillant ».</em></p>
<p style="text-align: justify;">L'Institut national pour la cybersécurité et la résilience des territoires (IN.CRT) [6] a été créé en 2020 pour essayer de répondre à cette nouvelle menace. Son vice-président et fondateur, le général de brigade Olivier Kempf, également auteur d’une étude de la Fondation pour la recherche stratégique sur ce sujet (FRS) [7], a répondu à quelques-unes des questions de ce blog sur cette menace grandissante.</p>
<p style="text-align: justify;"><strong>Quel est l’état de la menace ? </strong></p>
<p style="text-align: justify;">Une hausse s’est amorcée en 2019, a explosé en 2020 et se poursuit en 2021. Les cibles sont les collectivités territoriales [communes, communautés de communes, communautés d’agglomération, etc., ndla], mais aussi tous les autres acteurs des territoires, des professionnels et artisans aux PME. Ce sont bien les territoires au sens large qui sont attaqués.</p>
<p style="text-align: justify;"><strong>Les rançongiciels semblent se focaliser de plus en plus sur les proies qui peuvent payer le plus. Pourquoi alors ces attaques sur de petites cibles ? </strong></p>
<p style="text-align: justify;">Dans les territoires, nous sommes confrontés à une massification, une « fordisation », du rançonnage. Cette industrialisation est d’autant plus rendue possible que la revente de l’information est facile : on la revend directement au propriétaire initial [plutôt que sur des marchés noirs de l’exploitation de la donnée pour d’autres opérations, ndla] ! À côté de l’industrialisation, il y a également une adaptation de la grille tarifaire. Si je m’attaque à une fromagerie de l’Aubrac, je ne demande « que » 2 000 euros. C’est peu, mais multiplié par 10 000 grâce à l’industrialisation, cela permet au groupe criminel d’atteindre des chiffres intéressants.</p>
<p style="text-align: justify;"><strong>Cela traduit-il l’existence de groupes cybercriminels qui se spécialiseraient dans ces cibles faciles, avec gain unitaire minime mais hauts volumes ? </strong></p>
<p style="text-align: justify;">Il y a en gros deux types de groupes qui pratiquent cette activité. Les premiers sont les groupes cybercriminels qui, à côté des opérations contre des cibles « riches », vont s’occuper de manière opportune des cibles dans les territoires – parce qu’après tout, si c’est facile, pourquoi ne pas en profiter ? Et puis il y a un deuxième phénomène, celui d’une grande criminalité classique qui se dit que là, il y a un marché pas compliqué, accessible techniquement et avec très peu de risques. Donc autant s’y mettre. Si on considère les attaquants comme des commerciaux qui cherchent de nouvelles cibles, on a d’un côté des spécialistes de niches qui veulent, sous la pression de la concurrence, étendre leur marché, de l’élitisme au « mass market ». Et on a de « grands distributeurs » traditionnels qui veulent faire « un peu de technologie » et élargissent leur gamme de prestations.</p>
<p style="text-align: justify;"><strong>Avez-vous également observé une exploitation politique ? </strong> </p>
<p style="text-align: justify;">Il existe de rares exemples d’effacement de site, de rumeurs sur les maires [avec quelques campagnes d’infox locales – par exemple à Crozon (Finistère), Saint-Maur-des-Fossés (Val-de-Marne) et Metz (Moselle). À ce sujet, lire l’étude FRS [8], ndla]. Mais il s’agit là de manœuvres de subversion au niveau local, par des acteurs locaux. Nous n’avons pas encore vu d’actions organisées comparables, par exemple, à l’ingérence de la Russie dans l’élection présidentielle américaine. Les quelques cas identifiés concernent des initiatives très locales. D’ailleurs, on n’a pas, à ma connaissance, documenté d’actions significatives lors des élections municipales de 2020.</p>
<p style="text-align: justify;"><strong>Une récente étude du Club de la sécurité de l’information français (Clusif) [9] note que 35 % seulement des collectivités utilisent le chiffrement des données. Comment expliquer ces efforts encore faibles ? </strong></p>
<p style="text-align: justify;">Élargissons à toutes les cibles dans les territoires. Bien souvent, elles pensent qu’elles sont trop petites pour intéresser les groupes cybercriminels. Donc elles ne font rien, elles se font agresser et elles paient. L’explosion est d’autant plus forte que le phénomène a été renforcé par le choc pandémique, qui a forcé ces acteurs à une transformation numérique brutale. Il faut bien comprendre que pour nombre de ces acteurs, penser cybersécurité s’arrête souvent avec l’achat d’un antivirus. La prise de conscience est encore très très faible, y compris auprès de nombre d’édiles, même dans les villes moyennes, voire assez grandes. La prise de conscience du sujet et des actions à mener n’est pas encore réalisée chez la plupart des responsables des territoires.</p>
<p style="text-align: justify;"><strong>Quels sont les risques pour les administrés ? </strong></p>
<p style="text-align: justify;">À force de taper de manière massifiée sur toutes ces cibles, on risque de toucher à des données sensibles. Les données du cadastre, l’état civil, les registres de la cantine (y compris qui mange quoi), les données de l’expert-comptable, celles du médecin : tout ceci constitue un ensemble de données sensibles. Par exemple, imaginez un cadastre ou les registres d’un notaire sans redondance : cela serait extrêmement problématique !</p>
<p style="text-align: justify;"><strong>Les réponses actuelles sont-elles adaptées ?</strong></p>
<p style="text-align: justify;">Le terrain n’a pas encore effectué sa prise de conscience. D’un autre côté, certaines organisations centrales pourraient avoir une approche trop jacobine. Des actions pourraient avoir lieu au niveau des régions, par exemple, au niveau des 13 régions métropolitaines françaises. Mais cela risque d’être encore trop élevé par rapport à des situations très locales. Les grands groupes industriels risquent quant à eux d’avoir des réponses technologiques trop sophistiquées. D’autant que le budget cyber d’une agglomération de taille significative, voire d’une métropole régionale, ne dépasse parfois pas les 10 centimes par habitant et par an (quand il y a un budget !). Dans tous les cas, nous n’avons pas de réponse efficace sur le premier enjeu, qui n’est pas une histoire de moyens ou de technologies, mais de prise de conscience. Et pour cela, il faudrait une réponse au plus près du terrain.</p>
<p style="text-align: justify;"><strong>Quel(s) type(s) de réponses développer ? </strong></p>
<p style="text-align: justify;">On peut saluer les ambitions de sensibilisation contenues dans le nouveau plan cyber du gouvernement français [10]. Ce qui est important pour la suite, c’est de construire des initiatives locales pour combler certains trous et de les élargir par contagion. Par exemple, l’IN.CRT va mettre en place, avec un partenaire local qui partage ses valeurs, un bachelor de cybersécurité des territoires, avec une première promotion à la rentrée 2021. Les Britanniques offrent d’autres exemples intéressants, avec des initiatives très décentralisés établies sur la base de vrais partenariats public-privé locaux. De manière générale, il faudrait compléter la décision d’en haut en encourageant une diffusion locale par une stratégie en peau de léopard.</p>
<p style="text-align: justify;"> </p>
<div>
<p style="text-align: justify;"> </p>
<hr align="left" size="1" width="33%" />
<p style="text-align: justify;">[1] <a href="https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/cybersecurite-2021-pire-que-2020.N1056369" target="_blank">https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/cybersecurite-2021-pire-que-2020.N1056369</a></p>
<p style="text-align: justify;">[2] <a href="https://francenewslive-com.cdn.ampproject.org/c/s/francenewslive.com/le-hacker-reclame-une-rancon-de-200-000-e/184653/amp/" target="_blank">https://francenewslive-com.cdn.ampproject.org/c/s/francenewslive.com/le-hacker-reclame-une-rancon-de-200-000-e/184653/amp/</a></p>
<p style="text-align: justify;">[3] <a href="https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324" target="_blank">https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324</a></p>
<p style="text-align: justify;">[4] <a href="https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-les-communes-de-plus-en-plus-victimes-du-ranconnage_4192985.html" target="_blank">https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-les-communes-de-plus-en-plus-victimes-du-ranconnage_4192985.html</a></p>
<p style="text-align: justify;">[5] <a href="https://www.canalfm.fr/news/aulnoye-aymeries-un-mois-apres-la-cyberattaque-33559" target="_blank">https://www.canalfm.fr/news/aulnoye-aymeries-un-mois-apres-la-cyberattaque-33559</a></p>
<p style="text-align: justify;">[6] <a href="https://www.cyberterritoires.fr/" target="_blank">https://www.cyberterritoires.fr/</a></p>
<div id="edn2">
<p style="text-align: justify;">[7] <a href="https://www.frstrategie.org/publications/notes/cybersecurite-resilience-grandes-oubliees-territoires-2020" target="_blank">https://www.frstrategie.org/publications/notes/cybersecurite-resilience-grandes-oubliees-territoires-2020</a></p>
<div id="edn2">
<p style="text-align: justify;">[8] Id.</p>
</div>
</div>
<div id="edn3">
<p style="text-align: justify;">[9] <a href="https://clusif.fr/publications/restitution-de-letude-mips-2020-collectivites/" target="_blank">https://clusif.fr/publications/restitution-de-letude-mips-2020-collectivites/</a></p>
</div>
<div id="edn5">
<p style="text-align: justify;">[10] <a href="https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/le-plan-cyber-pour-la-france-un-nouvel-elan-sur-une-route-encore-inachevee.N1069304" target="_blank">https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/le-plan-cyber-pour-la-france-un-nouvel-elan-sur-une-route-encore-inachevee.N1069304</a></p>
</div>
</div>http://www.egeablog.net/index.php?post/2021/03/29/La-cybermenace%2C-jusqu%E2%80%99au-c%C5%93ur-des-territoires-%28Guy-Philippe-Goldstein%29#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2313Quelles postures des services Cyber israéliens dans la lutte contre le COVID-19 ?urn:md5:a80b963cc4fee9c80b7b95ddd25eaaa32020-04-21T14:08:00+01:002020-04-21T14:08:00+01:00Olivier KempfCyberAuteur invitéCovid-19CyberISrael<p>''Je suis heureux de publier un texte d'un jeune directeur pays au sein d'une grande société de Défense européenne et officier de réserve au sein des Armées, Romain Queïnnec. Mille mercis à lui. O. Kempf</p>
<p><img src="https://media-exp1.licdn.com/dms/image/C5612AQG6LDKjsfO7gw/article-cover_image-shrink_600_2000/0?e=1593043200&v=beta&t=qiF5nZgVbvRzTSJMKO_U_6VIo0ZQAeYXZoh4vqX0Qpw" alt="" /></p>
<p>Le directeur général de l'INCD (comparable à l'ANSSI en France) - Igal Unna - a passé en revue la posture Cyber d'Israël dans le contexte de la crise du COVID-19, à l'occasion du CyberTechLive d'avril 2020</p>
<p>La crise sanitaire mondiale et la course au vaccin que nous vivons actuellement fait naître une crise Cyber aux multiples facettes. D'une part, le contexte est particulièrement favorable aux agresseurs : explosion et déploiement anarchique du télétravail, sécurité affaiblie par la gestion à distance/délais de réactions/procédures non-maîtrisées, utilisateurs stressés moins vigilants, etc. Et, d'autre part, les mobiles d'agressions, quant à eux, sont nombreux et variés : rançons, hacktivisme, espionnage économique, pré-positionnement de dispositifs pour actions ultérieurs, etc.</p> <p>L'INCD distingue 4 profils rencontrés par leurs équipes lors de la gestion de cette crise Cyber :</p>
<ul>
<li>Cybercriminalité : profiter de la tension liée à la crise sanitaire pour obtenir des rançons.</li>
<li>Scriptkiddies et étudiants : "joue" au hacking ou passe-temps pour s'occuper en confinement.</li>
<li>Hacktivistes : activités de militantisme politique, religieux, etc.</li>
<li>Etatique (direct ou indirect) : espionnage économique, pré-positionnement de dispositifs.</li>
</ul>
<p>Les 7 missions de l'INCD durant la crise du COVID-19</p>
<p>Bien que déjà en posture d'alerte dans le contexte des élections israéliennes, l'INCD a cependant orienté spécifiquement une partie de ces missions dans le cadre de la crise sanitaire actuelle. Cette posture est doublement renforcée par la célébration par les juifs israéliens de "Pessah" début avril, période habituelle d'attaques Cyber importantes pour ce pays.</p>
<h5>Les 7 missions principales que l'INCD a identifiées sont les suivantes :</h5>
<ul>
<li>Cybersécurité et continuité d'activité complète du secteur Santé.</li>
<li>Cybersécurité des chaînes d'approvisionnements maritimes et aériennes.</li>
<li>Cybersécurité des accès à distance aux services "e-Gov".</li>
<li>Un accès fluide et continu à Internet malgré le télétravail de masse et l'explosion de la consommation des loisirs numérique durant le confinement.</li>
<li>Cybersécurité de la production et de la distribution alimentaire et médical.</li>
<li>Assurer une industrie Cyber parfaitement opérationnelle pour soutenir les secteurs publics et privés.</li>
<li>Cybersécurité de la R&D autour de l'étude de solutions contre le COVID19 (vaccins et solutions technologiques). Autrement dit, protection contre l'espionnage (y compris économique) des éventuelles découvertes israéliennes.</li>
</ul>
<h5>Les mesures prises par l'autorité Cyber Israélienne</h5>
<p>L'INCD a mis en place 8 mesures cyber :</p>
<ul>
<li>Mise en place d'un "Command & Control" dédié à la crise COVID-19 en partenariat avec les "agences habituelles".</li>
<li>Alertes et conduites à tenir Cyber publiées sur les sites gouvernementaux (ex: collaboration sur Zoom, télétravail, Vishing et Phising, etc). L'INCD a publié 17 alertes et conseils de conduite à tenir depuis le début de la crise.</li>
<li>Conseil et audit de l'application de backtracking "Hamagen" (c.a.d "le bouclier") à destination de la population locale.</li>
<li>Coopération internationale : webinar thématique (50 pays, 220 participants, 4 sessions).</li>
<li>Mise en place d'un market-place rassemblant environ une centaine de produits/services/solutions Cyber israéliens.</li>
<li>La hotline "119" pour signaler les incidents Cyber.</li>
<li>Sécurisation des laboratoires liés aux tests ou recherche du coronavirus. Actuellement, 29 laboratoires ont reçu l'aide de l'INCD.</li>
<li>Renfort des services et audits ciblés : 136 nouvelles institutions inscrites sur l'outil de scan et d'analyses des risques cyber, 52 organisations passées en niveau "infrastructure critique" (équivalent en France des OIV), 4 audits conjoints menés avec d'autres services, 7 opérations de réponses à incidents menés par les équipes de l'INCD.</li>
</ul>
<h5>Anticipation - Quelles leçons pour demain ?</h5>
<p>L'ANSSI israélienne déclare également travailler sur le "day after" et a identifié 6 leçons qui peuvent déjà être retenues de l'expérience de la crise Cyber en cours :</p>
<ul>
<li>Augmenter la capacité de fonctionnement à distance : télétravail, télémedecine, e-learning, service e-gov.</li>
<li>Déploiement de la 5G et du cloud pour faire face à la tension sur les infrastructures de télécommunication.</li>
<li>Un engagement et une sensibilisation plus large sur la Cyber en cas de crise.</li>
<li>Réouverture des discussions concernant la vie privée VS le bien public : géolocalisation, medical, données.</li>
<li>Redéfinition de la Cybersécurité comme fournisseur de services critiques.</li>
<li>Maitriser des TTP (Tactique, Technique et Procédure) en cas de fonctionnement massif des organisations à distance.</li>
</ul>
<h5>COVID-19 - Opportunité pour notre souveraineté Cyber ?</h5>
<p>La posture Cyber israélienne menée par l'INCD est irriguée par la tradition du pays à naviguer entre la gestion de crise et le "day-after", c'est à dire entre l'innovation de contrainte et l'innovation d'anticipation. Bien que temporellement situé au coeur de la crise, il y a un vrai challenge stratégique dans cette innovation d'anticipation, en ce qu'elle est une opportunité de prise de leadership pour demain. Le "chaos fertile" de Sun Tzu.</p>
<p>Pour renforcer et conclure mon propos, je ne peux pas m'empêcher de vous partager cette citation de Mike Rogers (ancien directeur de la NSA américaine) qui répondait à Nadav Zafrir (ancien général de l'unité 8200 - Renseignement militaire Israélien), tous deux participants au CyberTechLive, et liés par leurs activités au sein du think-tank Cyber Team8.</p>
<p>Nadav Zafrir de demander "Les gens sont en train de perdre leurs jobs, comment pouvons-nous penser au futur ?"</p>
<p>Et Mike Rogers de répondre : "Conduisez le changement, ne le subissez pas ! Conduire le changement, c'est sécuriser son futur. Tirez avantage de cette crise et saisissez l'opportunité de créer un monde meilleur".</p>
<p>Meilleur pour qui ?</p>
<h5>Conclusion</h5>
<p>Au-delà de la pensée "américaine" de Mike Rogers, pour laquelle je laisse chacun avoir son avis, je me demande si effectivement en France et en Europe nous ne sommes pas dans un effet tunnel de gestion de la crise. Mobilisé (à juste titre) sur la continuité d'activité, ne manquons-nous pas des opportunités de conduire activement le changement à court terme ("prendre la main"), et donc des opportunités de prise de leadership à moyen-long terme face à nos challengers stratégiques Cyber ? La crise du COVID-19 n'est-elle pas une opportunité pour le déploiement offensif d'une souveraineté Cyber pour la France et l'Europe ?</p>
<p>Romain QUEINNEC</p>
<p><strong></strong><strong></strong><strong></strong><strong></strong><strong></strong><strong></strong><strong></strong><strong></strong><strong></strong>__</p>
<p>Merci à Bernard Barbier, Jean-Noël de Galzain et Julien Provenzano pour leurs relectures et conseils.</p>http://www.egeablog.net/index.php?post/2020/04/21/Quelles-postures-des-services-Cyber-isra%C3%A9liens-dans-la-lutte-contre-le-COVID-19#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2285La nouvelle doctrine de Lutte Informatique Offensive (LIO)urn:md5:798771ba257cbb49ea47cb9857aad2242019-01-18T17:17:00+00:002019-01-18T17:22:26+00:00Olivier KempfCyberCYberCyberdéfenseEMALIO<p>Une nouvelle doctrine "cyber" a été rendue publique aujourd'hui : il s'agit en fait d'une doctrine d'emploi de la Lutte Informatique Offensive, (LIO dans le jargon). Un petit billet pour mieux comprendre l'enjeu.</p>
<p><img src="https://pbs.twimg.com/media/DxMNhumWkAEJO3T.jpg" alt="" /></p> <p>Qu'y a-t-il de nouveau avec cette doctrine cyber qui a été rendue officielle aujourd'hui. Plus exactement : dont l'existence a été annoncée, même si la doctrine demeure "secrète", dixit le CEMA.</p>
<p>D'abord, cela fait longtemps que la France a admise le principe de la LIO (Lutte informatique offensive). Elle était déjà annoncée brièvement dans le LBDSN de 2008 (même si peu l'avaient remarqué à l'époque) et plus explicitement évoquée dans le LBDSN de 2013.</p>
<p>Le MINDEF (comme on disait à l'époque), JY Le Drian, avait d'ailleurs exposé quelques mois plus tard les principes de mise en œuvre de cette #LIO : riposte et proportionnalité. Pour le reste, on était resté très discret.</p>
<p>Du coup, on ne savait pas trop comment ça se conduisait, qui le conduisait. On en déduisait que c'étaient des services spéciaux (chut, ne pas prononcer le nom, c'est une légende de bureau). Mais finalement assez loin de l'emploi opérationnel des armées.</p>
<p>La nouveauté du jour, annoncée donc par la ministre et le CEMA, c'est l'emploi opérationnel de cette #LIO. Autrement dit, elle n'est pas seulement mise en œuvre par une instance où il y a beaucoup de militaires, mais au profit des armées et de leurs opérations
Donc, alors que la #LIO suivait un régime spécial (afférent aux services spéciaux), désormais elle entre dans un cadre plus commun, celui des opérations militaires (mais toujours exceptionnel du droit commun).</p>
<p>De plus, cet appui opérationnel présente une autre particularité qui mérite d'être dûment relevée : le bénéficiaire opérationnel est du niveau stratégique ou tactique (et en fait, comme on le comprend, opératif). Il y a donc une réelle déconcentration de cette #LIO , que ce soit pour des missions de renseignement, de neutralisation ou de déception (action dans la couche sémantique).</p>
<p>On n'en saura pas plus, ce qui est normal. Mais cela traduit une réelle évolution de la doctrine qui n 'est plus seulement la doctrine étatique mais désormais une doctrine opérationnelle, donc militaire, de la #LIO.</p>
<ul>
<li>Quelques commentaires <a href="https://www.numerama.com/politique/456551-la-france-a-sa-doctrine-pour-operer-militairement-dans-le-cyber.html">ici</a>, ou <a href="http://lignesdedefense.blogs.ouest-france.fr/files/E%CC%81le%CC%81ments%20publics%20de%20doctrine%20militaire%20de%20lutte%20informatique%20offensive%20%20.pdf">ici</a> ou encore <a href="https://www.numerama.com/politique/456551-la-france-a-sa-doctrine-pour-operer-militairement-dans-le-cyber.html">ici</a>.</li>
<li>Le discours de la ministre <a href="https://twitter.com/Defense_gouv/status/1086213588057055233">ici</a></li>
</ul>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2019/01/18/La-nouvelle-doctrine-de-Lutte-INformatique-Offensive-%28LIO%29#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2230Comment traduire "stager" ?urn:md5:9c2c4da076e608be9924053870e58fc22018-11-14T09:10:00+00:002018-11-14T09:13:20+00:00Olivier KempfCyber<p>Je reçois l'autre jour ce mail :</p>
<p>Bonjour, Je suis terminologue au service de traduction de XXX et je me permets de vous contacter concernant un point terminologique relatif à la cyberdéfense, que nous n’arrivons pas à élucider.</p>
<p><img src="https://media.latulippe.com/Content/Produits/290111.jpg?width=600&height=600&mode=pad&scale=canvas&quality=100&bgcolor=fff&metadata=false" alt="" /> <a href="https://latulippe.com/fr/produit/290111/appelant-motorise-mojo-mallard-hen-telecommande">source</a></p>
<p>Dans l’un de nos textes, qui fait mention d’une cyberattaque utilisant un code malveillant, nous devons traduire le terme « <em>stager</em> ». Nous essayons de comprendre de quoi il s’agit et s’il existe un terme consacré en français.</p>
<p>Je trouve notamment cette définition : "s<em>mall stubs of code which exist to reach out and retrieve a larger, more fully-featured piece of malware which is then used to accomplish whatever the attacker has in mind now that they control the system". Je crois comprendre que le "larger, more fully-featured piece of malware</em>" est le payload (appelé en français charge utile ou charge active, d'après mes recherches ?).</p>
<p>Existe-t-il à votre connaissance un terme en français pour « stager » ?</p>
<p>Après avoir consulté, voici les deux réponses de bons spécialistes :</p> <p>1/ La définition qu'elle donne correspond à un “<em>stage one</em>” : le premier étage d’une fusée.</p>
<p>Quand on attaque avec un mail contenant une pièce jointe piégée, quand l'humain clique sur la PJ et l’exécute, le code piégé rajouté à la PJ s'exécute aussi. Ce code est est le <em>stage one</em>. C’est un code simple de reconnaissance et de téléchargement de la <em>payload</em> (le <em>stage two</em>). Le <em>stage one</em> a pour fonction de faire un bref état des lieux de la cible (version anti-virus, sécurité, os, logiciel, etc.) et télécharge le <em>stage two</em>, la <em>payload</em>, la charge utile correspondant réellement à la cible (le bon code qui fonctionne sur la cible). Le <em>stage two</em> est un plus gros code qui interagit avec l’attaquant et qui a plus de fonction. Le <em>stage one</em> est plus discret car plus petit.</p>
<p><em>STAGER</em> est un terme que l’on retrouve dans metasploit : https://www.offensive-security.com/metasploit-unleashed/payloads/#Stagers ou https://blog.cobaltstrike.com/2013/06/28/staged-payloads-what-pen-testers-should-know/</p>
<p>2/ A ma connaissance il n'y a pas d’équivalent. En revanche l'hameçon ou le harpon est me semble-t-il une fausse bonne idée. On est plus dans l’idée d'un “initiateur” que d'un hameçon qui donne l'impression d'un piège.</p>
<p>Ici, le <em>stager</em> est simplement un code qui va appeler d'autres codes qui eux vont constituer la charge utile.</p>
<p>Je pense plus du coup au terme d'appeau ou de <em>chilet</em>, mais finalement le plus simple serait peut-être de parler de “code appelant”</p>
<p><ins>Conclusion</ins> (ma réponse) : Appeau est très imagé. Code appelant plus descriptif. J'espère que cela répond à votre besoin.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2018/11/14/Comment-traduire-stager#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2225Bug Bounty et Transformation digitaleurn:md5:7030850bd750666028a6ae6dc533ae772018-05-19T15:28:00+01:002018-05-19T15:28:00+01:00Olivier KempfCyberBug BountyCybersécuritéDéfensiveManoeuvreYes we hack<p>J'ai rencontré l'autre jour Guillaume Vassault-Houlière, patron de Yes We hack (<a href="https://yeswehack.com/fr/index.html">site</a>), et j'en suis sorti enthousiaste. Voici en effet une société française de <em>Bug bounty</em>. Selon Wikipedia : "Un <em>bug bounty</em> est un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus".</p>
<p><img src="http://www.egeablog.net/public/Yes_we_Hack.jpg" alt="Yes_we_Hack.jpg" style="display:table; margin:0 auto;" title="Yes_we_Hack.jpg, mai 2018" /></p>
<p>Cliquez pour lire la suite</p> <p>Or, ces programmes sont habituellement lancés par de grandes sociétés, notamment les GAFA. Là, il s'agit d'avoir une communauté de hackers (chapeau blanc) sélectionnés et qui offrent des services à différentes entreprises.</p>
<p>D'accord, me direz-vous, mais pourquoi cet enthousiasme ?</p>
<p>Parce qu'il me paraît annonciateur du changement de paradigme de la cybersécurité.</p>
<p>Il se trouve que je conduis depuis deux ans un gros programme de transformation digitale et que je constate à quel point il entre en contradiction avec la cyber traditionnelle et son paradigme, celui du château fort.</p>
<p>Prenons justement cette image : pour protéger la place (devenue forte), on a installé murailles, échauguettes, créneaux, escarpes et contrescarpes, patrouilles et sentinelles (<em>firewall</em>, antivirus, SOC, défense dans la profondeur...). On est passé de la motte féodale au château-fort, de la citadelle de Vauban à la ligne Serré de Rivière (1885), dernière forteresse physique construite en France. Et puis on a abandonné ces fortifications. Parce qu'on a inventé l'arme à feu, la mobilité (la manœuvre), le couple char-avion et la dissuasion nucléaire. Bref, la logique de forteresse a eu du sens stratégique (je reste un admirateur de la poliorcétique) mais finalement, on est passé à autre chose. Cela étant, en Afghanistan ou dans la BSS, dans les FOB, on met toujours du <em>bastion wall</em> autour des garnisons, tout comme les Romains le faisaient en leur temps.</p>
<p>Autrement dit, une approche stratégique peut être désuète mais conserver des vertus tactiques. Ou encore : ne pas jeter le bébé avec l'eau du bain. Bref, je ne suis pas dire qu'il faut mettre à la poubelle toutes nos bonnes pratiques de cybersécurité. Mais...</p>
<p>Mais donc ? Donc, <em>yes we hack</em> peut enthousiasmer tout d'abord par son modèle économique (une plateforme, des contrats juridiquement béton , etc.). Et vraiment, je les en félicite. Mais là n'est pas le plus important : ils ont juste inventé une plasticité de cybersécurité qui me semble parfaitement adaptée aux conditions de la transformation digitale en cours, 4ème vague de la révolution informatique que nous vivons depuis 35 ans.</p>
<p>En effet, celle-ci est caractérisée par son ultra décentralisation, sa mobilité, son rythme. Quand les grands éditeurs de logiciels mettent en ligne des mises à jour toutes les dix heures, quel est le sens d'un audit de sécurité à la papa ? Voici en quoi les bugs bounty répondent au sujet : permanence, décentralisation, réactivité, agilité. En cela, ils ouvrent la voie à une autre approche cyber. Et ça, c'est une sacrément bonne nouvelle.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2018/05/19/Bug-Bounty-et-Transformation-digitale#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2185IA et cyberurn:md5:0671d98b32d3f5f8f1d0629a544617502018-05-02T21:50:00+01:002018-05-02T21:50:00+01:00Olivier KempfCyberCYbersécuritéHub France IAIAIntelligence artificielle <p>Cyber et Intelligence artificielle ...</p>
<p><img src="https://cdn.idropnews.com/wp-content/uploads/2017/09/13095106/Artificial-Intelligence-Cyber-Attacks.jpg" alt="" /> <a href="https://www.idropnews.com/news/fast-tech/artificial-intelligence-will-make-cyber-criminals-efficient/49575/">source</a></p>
<p>Le sujet émerge à peine. Tout juste lit-on partout que l'IA est un enjeu de souveraineté (j'y reviens dans un prochain article dont je vous reparlerai à sa parution) : mais ensuite ?</p>
<p>C'est pourquoi, sous la houlette de mon compère Thierry Berthier (blog <a href="http://cyberland.centerblog.net/">cyberland</a>), j'ai participé avec quelques autres à la première réunion du groupe Cybersécurité du <a href="http://hub-franceia.fr/">hub France IA</a>.</p>
<p>Beaucoup de choses intéressantes pour un beau programme de travail, sur lequel je reviendrai. Mais déjà, notons deux approches : ce que change l'IA à la cybersécurité, mais aussi quelle cybersécurité de l'IA ?</p>
<p>La forme des chiasmes n'est pas qu'une figure de style. Cela permet déjà de poser deux bonnes questions. Et bien formuler les questions, c'est déjà trouver une partie de la réponse.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2018/05/02/IA-et-cyber#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2181Cyberespace (Gibson)urn:md5:053a7e9b7eafd64accb52aa22c8791a42016-12-30T12:21:00+00:002016-12-30T12:21:00+00:00Olivier KempfCyber <p style="text-align: justify;">Ai lu le Neuromancien, de William Gibson, l'inventeur du cyberespace. Si le livre n'est finalement pas convaincant (trop compliqué à mon goût, pas assez envolé, on s'y perd constamment :bref, peu de plaisir de lecture), on retiendra cette définition du cyberespace, p. 64 de l'édition J'ai lu :</p>
<p style="text-align: justify;"><img alt="Couverture Neuromancien" class="pvi-hero-poster" height="275" itemprop="image" src="https://media.senscritique.com/media/000006396317/160/Neuromancien.jpg" title="Couverture Neuromancien" width="189" /> <a href="http://www.senscritique.com/livre/Neuromancien/370187">Source</a></p>
<p style="text-align: justify;">"Le cyberespace. Une hallucination consensuelle vécue quotidiennement en toute légalité par des dizaines de millions d'opérateurs, dans tous les pays, par des gosses auxquels on enseigne des concepts mathématiques... Une représentation graphique de données extrautes des mémoires de tous les ordinateurs du système humain. Une compleité impensable. Des traits de lumière disposés dans le non-espace e l'esprit, des amas et des contellations de données. Comme les llumières de villes, dans le lointain..."</p>
<p style="text-align: justify;">C'est écrit en 1984 ! Visionnaire, incontestablement. Une forme de "data viz" et en même temps, une sorte de drogue hallucinatoire. A la fois représentation et système complexe de données.</p>
<p style="text-align: justify;">O. Kempf</p>http://www.egeablog.net/index.php?post/2016/12/30/Cyberespace-%28Gibson%29#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2120Actualité de la cyberconflictualité (été 2016)urn:md5:ef2c5e4521b8abbb37fa5dcc1c5a4f942016-08-19T11:54:00+01:002016-08-20T09:05:58+01:00Olivier KempfCyberChineCyberNSAQuantiqueRUssieSatellite<p style="text-align: justify;">Cet été a connu pas mal d'animation sur le cyberfront. De Sauron à Shadow brokers, des mails hackés du parti démocrate aux satellites quantiques, une petite revue commentée paraît nécessaire.</p>
<p style="text-align: justify;"><img alt="See original image" height="394" id="il_fi" src="http://coinjournal.net/wp-content/uploads/2016/08/696x492xThe-Shadow-Broker-696x492.jpg.pagespeed.ic.8sJOEuoG_v.jpg" style="padding-right: 8px; padding-top: 8px; padding-bottom: 8px;" width="546" /> <a href="http://coinjournal.net/shadow-brokers-want-crown-king/">Source</a></p> <p style="text-align: justify;"><u>1/ L'affaire Sauron</u></p>
<p style="text-align: justify;">Sauron est le nom d'un logiciel d'espionnage qui a été mis à jour par Kaspersky (<a href="http://www.kaspersky.com/about/news/virus/2016/ProjectSauron">ici</a>) et Symantec (<a href="http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets">là</a>) le 7 août dernier. On relève un haut niveau technologique et des cibles qui seraient la Russie ou l'Iran, voire la Belgique ou la Chine selon Symantec. De même, il y aurait des similitudes techniques avec des maliciels (Duqu, Flame) attribués en leur temps aux Etats-Unis. Bref, même si les éditeurs d'antivirus ne vont pas jusque là, le groupe Strider à l'origine de ce projet Sauron serait gouvernemental et américain.</p>
<p style="text-align: justify;">Mais alors, posons l'indispensable question de tout analyste de cyberstratégie : à qui profite la révélation ? On ne voit pas l'intérêt du gouvernement américain (et ici, probablement de la NSA) de faire étalage aujourd'hui de ses compétences. Kaspersky est un éditeur russe. Peut-être peut-on voir derrière cette révélation un signal russe à l'attention des dirigeants américains. Cela obéirait à la même logique que l'affaire Equation (voir infra). Notons ici que les autorités russes, par la voix du FSB, ont déclaré le 30 juillet avoir été d'un cyberespionnage massif qui visait des "infrastructures importantes" (voir <a href="http://www.numerama.com/politique/187013-la-russie-se-dit-victime-dune-cyberattaque.html">ici</a> et <a href="https://fr.sputniknews.com/international/201607301027082612-russie-fsb-attaque-informatique/">ici</a>).</p>
<p style="text-align: justify;"><u>2/ Le hack du parti démocrate</u></p>
<p style="text-align: justify;">Il semble en effet que cette déclaration du FSB (une première, à notre connaissance) réponde à une polémique qui avait enflé depuis une semaine aux Etats-Unis (<a href="http://www.numerama.com/politique/184856-la-russie-accusee-daider-donald-trump-a-travers-wikileaks.html">voir ici</a>). Le 22 juillet, en effet, Wikileaks mettait en ligne des email du DNC (Congrès National Démocrate) qui montraient la partialité de celui-ci en faveur d'Hillary Clinton et en défaveur de Bernie Sanders. Cela provoqua la démission de la dirigeante du DNC, Debbie Schultz. Mais le camp Clinton a aussitôt accusé la Russie d'être la source de Wikileaks, suggérant que Moscou soutenait par là Donald Trump. Comme toujours dans ces cas là, on invoquait des "experts" et une société de cybersécurité, Crowdstrike, mettait en cause (sans preuve tangible) la Russie.</p>
<p style="text-align: justify;">Du coup, les Clintoniens repassaient à l'attaque au lieu d'être sur la défensive, susurrant que Trump et Poutine étaient alliés. Une affaire cyber prenait une double dimension de politique intérieure mais aussi de politique étrangère. Si la Russie a bien évidemment démenti le hack, on peut comprendre qu'elle cherche à ne pas être impliquée dans la campagne hors norme (et souvent de caniveau) qu'est actuellement la campagne présidentielle américaine. En montrant que la Russie elle-même était la cible de cyberagressions, puis en laissant peut-être fuiter l'affaire Sauron (qui intervient "comme par hasard" une semaine après), Moscou voudrait faire redescendre la pression. D'ailleurs, l'affaire des mails est passée à la trappe, d'autres déclarations fracassantes ayant animé la vie politique américaine.</p>
<p style="text-align: justify;">Les choses auriaent pu en rester là. Jusqu'à ce qu'apparaisse l'affaire Shadow brokers, mettant en scène le groupe Equation..</p>
<p style="text-align: justify;"><u>3/ L'affaire Shadow brokers</u></p>
<p style="text-align: justify;">Le 13 août, un mystérieux collectif "Shadow brokers" met en ligne sur un réseau social un dossier avec tout un tas d'outils exploitant des failles d'équipements de sécurité de réseau (trois constructeurs américains, un chinois) (<a href="http://www.liberation.fr/futurs/2016/08/17/la-nsa-dans-le-viseur-des-shadow-brokers_1473072">voir ici</a> et <a href="http://www.numerama.com/politique/189923-rapport-entre-mass-effect-hack-de-nsa.html">ici</a>). Or, il semble qu'il s'agisse d'outils utilisés par la NSA, rendue célère par E. Snowden. Des hackers auraient-ils hackés la NSA et notamment son groupe "Equation" ? Equation a été révélé en 2015 par Kaspersky (encore ui) qui a montré ses liens avec la Nsa.</p>
<p style="text-align: justify;">Les plus récents programmes de Shadow brokers datent de 2013 ce qui laisse supposer que d'anciens membres de la NSA, qui avaient accès aux produits internes jusqu'à cette période là, les ait subtilisés alors : du vol interne, non du hack externe à proprement parler. Pourtant, certains n'hésitent pas à mettre en cause la Russie, à la lumière des affaires précédentes que nous venons d'évoquer. Le seul problème, c'est que rien ne vient appuyer cette idée. Même si E. Snowden lui-même la suggère également, dans une série de tweets. Selon lui, <em>«les éléments circonstanciels et la sagesse populaire suggèrent une responsabilité russe».</em> Au fond, il s'agirait pour Moscou de montrer ses ressources de façon à favoriser la désescalade ("<em>nous avons un niveau technique que vous ne soupsconniez pas, faites attention à ne pas aller trop loin car nos prochaines révélations pourraient être beaucoup plus dérangeantes</em>"). Pour l'instant, rien ne vient appuyer ces conjectures. Il reste que le cyberclimat américano-russe est assez couvert, en ce moment.</p>
<p style="text-align: justify;"><u>4/ Le satellite quantique</u></p>
<p style="text-align: justify;">Sur ces entrefaits, une nouvelle fracassante se diffusait sur les réseaux : le 16 août, la Chine envoyait un satellite particulier, destiné à tester des options de chiffrage quantique. La plupart des commentateurs (<a href="http://www.usine-digitale.fr/article/pourquoi-le-satellite-de-communication-quantique-que-la-chine-s-apprete-a-tester-est-si-strategique.N422937">ici </a>et <a href="http://abonnes.lemonde.fr/asie-pacifique/article/2016/08/17/la-chine-fait-un-saut-quantique-dans-le-cryptage-de-ses-communications_4983720_3216.html?xtmc=quantique&xtcr=2">ici</a>) insistaient sur la rivaltié américano-chinoise et sur les moyens "pharamineux" (<em>phorcément</em>) engagés par la Chine pour ce sujet. Moui. Voyons plutôt autre chose : pourquoi cette ambition, pourquoi cette voie technique ?</p>
<p style="text-align: justify;">L'ambition est due à la nécessité de garantir le secret des communications. Aujourd'hui, pas de souveraineté, pas d'indépendance sans secret. Celui-ci passe aujourdhui par le chiffrage. La Chine qui a montré d'énormes efforts pour construire une filière complète de cybersécurité n'a pas dû être très contente lorsqu'elle a appris, il y a quelque mois, que ses propres routeurs de réseaux (Huawei) avaient été piratés par la NSA. Elle n'a pas fait de bruit (et il y a une grande part de vérité quand elle dit qu'elle est tout autant cyberespionnée que les autres) mais a retenu la leçon. Son indépendance passe par une voie nationale de chiffrage.</p>
<p style="text-align: justify;">Or, la voie quantique semble prometteuse. En clair (!) si on modifie un photon on touche immédiatement son jumeau, signalant par là une intervention extérieure. La technologie date deplus de vingt ans mais elle souffre d'un grave défaut : elle n'est testée que sur de très courtes distances. Passer par l'espace pour la tester sur de très longues distances est de ce point de vue une bonne idée. Qui justifie la voie chinoise. Même si on reste très incertain envers la capacité de Pékin à maîtriser des flux de photons...</p>
<p style="text-align: justify;">Bref, pour l'instant, il s'agit plus de faire savoir que de savoir faire. Mais le message n'est pas anodin.Car là est aujourd'hui le succès principal : faire savoir au monde (et au Monde) que la Chine est à la pointe de la technologie, y comrpis en matière cyber.</p>
<p style="text-align: justify;"><u>Conclusion</u></p>
<p style="text-align: justify;">Comme toujours en matière de cyberstratégie, il y a ce qui se passe en vrai et qui est caché, et il y a ce qui crève la surface et attire l'attention : c'est aussi "vrai" mais cela emporte également d'autres dimensions que le simple acte technique. Quand cela dépasse le simple cercle des spécialsites pour atteindre le grand public, ce qui est le cas de toutes les affaires évoquées ici, on se trouve à n'en pas douter dans des actions qui touchent la couche sémantique : elles servent de moyen pour faire passer des messages.</p>
<p style="text-align: justify;">Que Sauron soit rendu public une semaine après les déclarations du FSB se déclarant victime de cyberespionnage, qui interviennent elles-mêmes une semaine après l'affaire du hack du parti démocrate, et nous voici en présence d'une belle séquence sémantique. L'affaire Shadow brokers demeure à ce jour difficile à interpréter mais pourrait, selon certains, se rattacher à la lignée précédente : à confirmer. Enfin, le tir chinois est aussi un message de Pékin, principalement à l'endroit de Washington, à la fois sur ses capacités technologiques mais aussi sur sa volonté de cyberindépendance.</p>
<p style="text-align: justify;">O. Kempf</p>http://www.egeablog.net/index.php?post/2016/08/19/Ev%C3%A9nements-cyber-de-l-%C3%A9t%C3%A9#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2114Active LIOurn:md5:9d7b3f40977bc5c334366bc9c90fd0422015-04-27T22:13:00+01:002015-04-27T22:13:00+01:00Olivier KempfCyber<p>Il y a quelques années, les choses étaient simples. Les spécialistes parlaient entre eux et inventaient des catégories qui avaient le mérite d'être claires. Ainsi, on parlait de Lutte informatique défensive (LID) et de Lutte Informatique Offensive (LIO). Tout le monde voyait à peu près ce dont il s'agissait. D'ailleurs, la LID demeure puisqu'il y a toujours un CALID.</p>
<p><img src="http://www.penseemiliterre.fr/ressources/10153/79/350_999_-linformatique_est_une_arme_4.jpg" alt="" /> <a href="http://www.penseemiliterre.fr/l-informatique-est-une-arme-j-utilise-mon-arme_1015368.html">source</a></p> <p>Et puis les esprits se sont échauffés, le cyber est devenu à la mode, c'était l'affaire Stuxnet, tout le monde fantasmait sur la doctrine offensive américaine, tout le monde pressait les responsables : "mais nous, qu'est-ce qu'on fait en offensif ?". D'accord, ils n'avaient pas lu le LBDSN de 2008 qui en affirmait déjà le principe mais voilà, vous n'allez pas demander aux journalistes de tout lire, non plus. Ça coûte cher, des journalistes spécialistes défense, d'ailleurs il n'y en a quasiment plus dans les rédactions. Passons.</p>
<p>Bref, observant ça, un brillant esprit a pensé que le mot offensif n'était pas assez pudique et qu'il fallait trouver autre chose.</p>
<p>Du coup, on a inventé la LIA. Lutte informatique active. Vous savez, le genre de truc qui permet de ne pas dire qu'un aveugle est aveugle mais qu'il est mal voyant. Politiquement correct, ça passe bien sur les plateaux télé. Bon, LIA, après tout, pourquoi pas, ça ne mange pas de pain ...</p>
<p>Le problème c'est que c'est intraduisible. Et qu'en ce moment, dans les débats anglo-saxons, on discute beaucoup d<em>'active cyberdefense</em>. Quelque chose qui est entre la <em>cyberdefense</em> (comprendre : cyberprotection) et la <em>cyberoffensive</em>. Et quand vous vous mettez à discuter avec eux, vous n'essayez même pas de dire que la LIA c'est de la LIO et qu'on ne sait pas traduire <em>cyberdefense active</em>. Là, votre interlocuteur nous prendrait pour encore plus fou que notre réputation.</p>
<p>Bref, nos pudeurs nous compliquent la vie. Et si on revenait à la LIO ?</p>
<p>O Kempf</p>http://www.egeablog.net/index.php?post/2015/03/26/Active-LIO#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2015APT : non pas quoi mais quiurn:md5:168426ddbaa07493fd1010e6517058102015-02-20T10:06:00+00:002015-02-20T10:06:00+00:00Olivier KempfCyber<p>Il y a trois ans, le mot APT (<em>Advanced Persistent Threat</em>) était le plus tendance du milieu cyber. Tout le monde le prononçait d'un air entendu, expliquant qu'il s’agissait d'un nouveau type de menaces. Les spécialistes d'entreprises de cybersécurité montraient leurs "solutions", les revues de directeurs de SSI ou de sécurité s’interrogeaient gravement, les journalistes faisaient leur travail en répercutant ce souci général.</p>
<p><img src="http://cusin.ca/wp-content/uploads/2011/04/advanced_persistent_threat.jpg" alt="" /> <a href="http://cusin.ca/?p=1144">source</a></p> <p>A l'époque, comme tout le monde, j'avais essayé de comprendre : voici donc des menaces : bien ! Rien de bien nouveau. Elles sont persistantes : j'en déduis donc que par rapport à ce qu'il y avait "avant", celles-ci s'inscrivaient dans une plus longue durée. Soit ! Enfin elles étaient "avancées". Fichtre ! là, il fallait écouter les informaticiens et autres hommes de l'art pour nous expliquer en quoi c'était vraiment "avancé" et donc à la pointe de l'innovation, donc de la menace. S'agissait-il d'une nouvelle technique ? de procédés inédits ? Malheureusement, on obtenait des réponses évasives qu'on mettait sur le compte de la complication inhérente à ces suites de zéros et de uns, indicibles au vulgum pecus.</p>
<p>Peu à peu, j'eus l'impression qu'en fait, il s'agissait d'opérations combinées mettant en œuvre une longue phase d’espionnage, utilisant de l’ingénierie sociale pour profiler les cibles, leur lancer des pièges personnalisés afin d'insérer, plus ou moins automatiquement, des logiciels espions ou autres softs furtifs de commande à distance. Riez donc ! mais c'est ce que j'avais plus ou moins compris des explications qu'on m'avait données.</p>
<p>Aussi progressivement, le mot disparut pourtant des écrans radars et par exemple, au dernier FIC, nul n'y fit allusion, même pas Bruce Schneier qui cependant nous confia, sur le ton de la découverte la plus avancée, qu'il fallait réfléchir à la boucle OODA. Là, au passage, c'est le côté sympa quand on voit des informaticiens venir sur le domaine de la stratégie, subitement on se sent plus à l'aise et les rires changent de camp.</p>
<p>A bien y réfléchir, la dernière allusion aux APT fut l'équipe APT1, mentionnée par le rapport Mandiant pour l'unité 68193267830 9881 890 du côté de Shanghai et dépendant de l'armée chinoise. Depuis, le mot s'est évanoui et nous sommes tous passés à autre chose. D’une certaine façon, l'imprécision ressentie et l'absence de définition agréée ont suscité l'abandon de l'expression. Sans le dire, chacun délaissait le mot car on ne voyait pas précisément à quoi ça correspondait.</p>
<p>Aussi est-ce avec grand intérêt que j'ai lu cet article, récemment signalé par l'ami L. Guillet : <a href="http://sroberts.github.io/2015/02/16/apt-is-a-who-not-a-what/">APT is a who and not a what</a>. On y apprend qu'en fait, la dénomination APT était utilisée par un service officiel de cybersécurité (de l’Armée de l'air US). Quand elle devait transmettre des informations classifiées au secteur privé sans pouvoir citer ses sources ni mettre un État en cause, elle utilisait un nom de code. APT désignait la Chine. Ainsi, APT n'est pas un quoi mais un qui, non un procédé mais un acteur. Menaçant, persistant, pas forcément très avancé.</p>
<p>Mais comme les destinataires ne le savaient pas vraiment, le sigle APT s'est diffusé et est devenu un produit marketing. Bref, si on vous dit que vous risquez une APT, ne tremblez pas et n'allez pas chercher de défibrillateur...</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2015/02/19/APT-%3A-non-pas-quoi-mais-qui#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/2009Il y a deux affaires Sonyurn:md5:b3a3aaa56a91f2042630b87f12486e512014-12-31T07:23:00+00:002014-12-31T09:51:58+00:00Olivier KempfCyber<p>L'affaire Sony Picture Entertainment (SPE) constitue probablement sinon un tournant, du moins un de ces grands marqueurs historiques qui font date, du moins dans la petite histoire de la cyberconflictualité. Pour deux raisons : la première tient à la cyberstratégie d'entreprise, puisque désormais les PDG ne pourront plus déléguer la cybersécurité à un vague sous-collaborateur du DSI. Avec Sony, chaque dirigeant prend conscience que la seule valeur de son entreprise (ou presque...) ce sont les informations. Et que le cyber, c'est d'abord une affaire d'information. La seconde raison tient à la couche géopolitique qui très rapidement fut ajoutée par le gouvernement américain, mettant en cause, de façon peu convaincante, la Corée du Nord. Ces deux caractéristiques exceptionnelles donnent à l'affaire SPE une notabilité qui restera.</p>
<p><img src="http://www.wired.com/wp-content/uploads/2014/12/AP809914660283.jpg" alt="" /> <a href="http://www.wired.com/2014/12/evidence-of-north-korea-hack-is-thin">source</a></p> <p>Les "preuves" de l'implication nord-coréenne restent peu convaincantes, ainsi que les spécialistes de sécurité informatique l'ont tous affirmé et tout d'abord l'ami <a href="http://electrosphere.blogspot.fr/2014/12/laffaire-sony-pictures-vscoree-du-nord.html">d'EchoRadar, Charles Bwele</a>. Par exemple, <a href="https://krypt3ia.wordpress.com/2014/12/20/fauxtribution/">Fauxtribution ?</a>, <a href="http://reflets.info/piratage-de-sony-pourquoi-est-il-tres-peu-probable-que-la-coree-du-nord-soit-a-lorigine-de-lattaque/">Piratage de Sony : pourquoi est-il très peu probable que la Corée du Nord soit à l’origine de l’attaque ?</a>, <a href="http://www.wired.com/2014/12/evidence-of-north-korea-hack-is-thin/">The Evidence That North Korea Hacked Sony Is Flimsy</a> par Wired ou encore le fameux analyste Bruce Schneider, <a href="https://www.schneier.com/blog/archives/2014/12/reacting_to_the.html">Reacting to the Sony Hack</a>. Mais cela, un analyste comme Fred Kaplan s'en fiche qui affirme dans Slate que <a href="http://www.slate.fr/story/95971/sony-picture-cyberguerre">L'attaque de Sony Pictures illustre le nouvel âge de la cyberguerre</a>. Pas totalement faux, mais avec beaucoup d'approximations.</p>
<p>Le virus utilisé, Festoyer, aurait déjà été employé par exemple pour l'affaire Dark Seoul en 2013 ou pour Shamoon, en 2013 également, qui visait cette fois la compagnie saoudienne Aramco (<a href="http://www.egeablog.net/index.php?post/2014/12/24/SPE victime d'un logiciel malveillant déjà connu[http://www.lemagit.fr/actualites/2240236335/Sony-Pictures-victime-dun-logiciel-malveillant-deja-connu" title="SPE victime d'un logiciel malveillant déjà connu[http://www.lemagit.fr/actualites/2240236335/Sony-Pictures-victime-dun-logiciel-malveillant-deja-connu">SPE victime d'un logiciel malveilla...</a>). Selon K. Baumgartner, cité dans le billet, il s'agit à chaque fois de groupes « sans histoire ou réelle identité » qui ont « tenté de disparaître après leur acte ». Autrement dit, il semble que nous soyons en présence d'une équipe qui a récupéré un virus déjà existant, l'a un peu adapté et transformé et l'a utilisé contre Sony. Certes, il est possible que la Corée du Nord ait "commandité" l'affaire, mais ce n'est qu'une possibilité et en tout cas, on n'en a pas la preuve. Il faut ainsi distinguer le plausible du probable. De là à estimer que la Corée du Nord a fait exprès d'utiliser un maliciel simple (<a href="http://arstechnica.com/security/2014/12/state-sponsored-or-not-sony-pictures-malware-bomb-used-slapdash-code/">comme par exemple ici</a>), c'est tiré par les cheveux. Ainsi, <a href="http://38north.org/2014/12/jalewis121214/">rien n'est prouvé</a> dit avec justesse 38° nord.</p>
<p>Les <a href="http://www.europe1.fr/high-tech/piratage-de-sony-la-piste-nord-coreenne-s-eloigne-2331003">rapports les plus récents</a>, dont on a pris connaissance le 30 décembre, suggèrent que loin d'être commis par des pirates étatiques, le vol des données de SPE serait le fait de hackers privés, probablement nord-américains voire russes, et mettant probablement enjeu un complice, ex agent de Sony qui aurait été renvoyé au début d'année et en aurait conçu un grand ressentiment. La thèse du complice interne prend du corps, elle qui avait toujours eu une certaine faveur, tout simplement parce qu'on ne pique pas des téra-octets de données en un weekend sans être parfaitement au courant de l'architecture interne de la cible... Souvenez vous de Stuxnet : il semble probable que ls auteurs (qui, déjà ?) avaient répliqué le SCADA de Siemens pour tester leur charge en laboratoire....</p>
<p>A côté de cette affaire de piratage s'est ajouté une deuxième affaire, celle du discours de la Maison Blanche et du FBI. En ce sens, si on ne peut parler de hacking d’État (<a href="http://www.lejdd.fr/International/Sony-pirate-Il-s-agit-bien-de-hacking-d-Etat-pour-le-consultant-Nicolas-Caproni-707864">là, Nicolas s'est fait piéger</a>), il s'agit désormais d’une affaire d’État. En effet, le gouvernement américain a nommément accusé la Corée du Nord et l'a menacée de représailles. On a failli entendre "par tous les moyens". Certains voient dans les pannes à répétition de l’Internet nord-coréen la preuve de cette riposte américaine.</p>
<p>Les autorités américaines se sont un peu précipitées. D'une part, la désignation du coupable par le FBI a été très rapide. Or, normalement les enquêtes Forensic prennent du temps, ensuite on ne savait pas que la FBI disposait de telles capacités. D'autre part, entre avoir l'intime conviction et désigner publiquement le coupable, il y a une marge. Celle-ci a été franchie peut-être sous le coup de l'émotion, peut-être par calcul.</p>
<p>On imagine bien ainsi que les États-Unis ne craignent pas vraiment la Corée, croquemitaine pratique pour justifier tout un tas de programmes militaires (DAMB...). Mais en l'accusant, ils rendent service à leurs alliés régionaux (Corée du sud, Japon) et mettent la pression sur la Chine qui contrôle l'accès à l'Internet chinois. Voici pour l'extérieur. A l'intérieur, l'affaire est fort utile pour peser sur les grandes compagnies américaines qui estiment depuis fort longtemps ne pas avoir besoin de l'intervention de l’État dans leurs affaires. Le précédent Sony permettra certainement à l'administration d'avancer ses pions en faveur de la cyberprotection accrue des entreprises.</p>
<p>Ainsi, il y a deux affaires Sony. Une dans la couche logique, qui semble l'effet de hackers voulant soit rançonner, soit nuire à Sony : elle aura des conséquences pour la prise de conscience des déficiences des cyberstratégies d’entreprise. L'autre dans la couche sémantique, mise en œuvre par le gouvernement américain pour des objectifs principalement géopolitiques.</p>
<p>Sur l'aspect sémantique, je vous fait grâce de la guerre de l'information autour du tournage du film <em>The Interview</em>, navet de la propagande hollywoodienne (pardon, on dit soft power maintenant), de la soi-disant colère de Kim, de sa non diffusion puis finalement de sa distribution, du succès d'estime patriotique (pardon, on dit qu'il s'agit de défendre la liberté d'expression), etc. : cela vaudrait un billet à soi tout seul, nous n'avons pas le temps...</p>
<p>Constatons un dernier point : les affaires augmentent en nombre, leurs cibles se diversifient (on est passé d'entreprises de la défense, de l'énergie ou des hautes technologies à une gamme beaucoup plus large : finances, distribution, industrie culturelle), et les ripostes se durcissent (inculpation d'officiers Chinois à la suite de l'affaire Putter Panda, accusation américaine dans la présente affaire). On n'a pas fini de parler de la cybersécurité....</p>
<p>PS : j’avais pensé intituler ce billet : Sony soit qui mal y pense...
PPS : Bonne année si je ne commets pas un billet d'ici demain...</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/12/24/Sony-soit-qui-mal-y-pense#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1988Explosion d’un oléoduc turc en 2008 : en fait, une cyberattaque !urn:md5:f274e4da1e855a20bf1c628bce871f862014-12-16T20:34:00+00:002014-12-16T21:36:41+00:00Olivier KempfCyberCyberdéfenseEnergieRussie<p>Bloomberg a <a href="http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html">publié la semaine dernière une enquête passionnante</a> sur une explosion qui s’est produite en 2008 sur l’oléoduc TBC, reliant l’Azerbaïdjan, la Géorgie et la Turquie jusqu’au port de Ceyhan. Or, cette explosion qu’on avait initialement attribuée au PKK (qui l’avait revendiquée) semble avoir été causée par une cyberagression, ce qui ouvre beaucoup de perspectives.</p>
<p><img src="http://img.20mn.fr/lrLHYpP-TLy8xeQt-eI-2w/648x415_enorme-nuage-fumee-eleve-17-aout-2003-au-dessus-oleoduc-reliant-turquie-irak.jpg" alt="" /> <a href="http://www.20minutes.fr/monde/982195-20120806-explosion-paralyse-oleoduc-entre-irak-turquie">source</a></p> <p>En effet, il semble que le système de surveillance et de recopie des sondes ait été piraté. Ainsi, le centre de surveillance technique du pipeline n’a été averti de l’explosion que 40 minutes après celle-ci, lorsqu’un travailleur l’a appelé pour signaler le dommage : aucun senseur n’avait signalé quoi que ce soit.</p>
<p>Il semble que l’opération ait été complexe : Les pirates ont d’abord eu accès au réseau de caméras de surveillance, ce que <a href="http://informatiques-orphelines.fr/">Philippe Davadie désigne comme une informatique orpheline</a>. Grâce à cet équipement de sécurité, ils ont pu entrer peu à peu dans tout le système de contrôle technique du tube. Après une longue phase d’observation, ils ont alors débranché le système de caméra, déconnecté les sondes, agi sur un des connecteurs de façon à augmenter la pression interne dans le tube (sans que les signaux d’alarme se déclenchent) : cette augmentation de pression aurait suffi à elle seule à provoquer l’explosion.</p>
<p>L’enquête révélera qu’une caméra indépendante n’avait pas été déconnectée : elle montre deux hommes, en tenue noire, s’approcher avec des PC portables sur le lieu de l’explosion.</p>
<p>Cela pose la question de l’attribution. Certes, le<a href="http://tempsreel.nouvelobs.com/monde/20081122.OBS2228/les-rebelles-kurdes-revendiquent-le-sabotage-d-un-oleoduc.html"> PKK a revendiqué l’attentat</a>, très rapidement d’ailleurs. Toutefois, il n’a jamais montré de capacités cyber évoluées et ses modes d’action sont d’habitude frustres. Autrement dit, il paraît plus un paravent qu’autre chose. Dès lors, à qui profite le crime ? Probablement à la Russie. L’opération est déclenchée le 5 août 2008, <strong>deux jours avant la guerre contre la Géorgie</strong>… En coupant le réseau de distribution de pétrole (et donc une ressource économique cruciale), il s’agissait d’affaiblir l’ennemi géorgien.</p>
<p>On fera plusieurs commentaires.</p>
<p>Si cette hypothèse est exacte, cela vient renforcer l’analyse déjà faite par ailleurs de la Géorgie comme première guerre où le cyber constitue une ligne d’opération à part entière. On l’avait déjà observé au travers de la mobilisation des réseaux sociaux, mais la combinaison avec un attentat à plusieurs dizaines de kilomètres de là serait autrement significative. Surtout, l’attentat précède le déclenchement de la guerre. Beaucoup s'affairent en ce moment sur la notion de "guerre hybride", qui serait une découverte à la suite de l'affaire ukrainienne cette année. L'affaire de 2008 montre que c'est bien plus ancien : la guerre de Géorgie est une "guerre hors-limite" ...</p>
<p>De même, cela signifie un lien évident entre les questions de sécurité énergétique, la conflictualité et les actions dans le cyberespace : le grand thème à la mode du débat cyberstratégique est aujourd’hui celui de la protection des réseaux d’énergie (smart grids, infra vitales, ...), cette enquête vient à point nommer l’accréditer.</p>
<p>Au passage, on ne s’étonnera guère de la voir publiée une dizaine de jours après l’accord entre V. Poutine et R. Erdogan sur l’énergie… Cela fait partie aussi de la guerre de l’information.</p>
<p>Enfin, on remarquera l’importance des informatiques orphelines. Beaucoup a été dit sur les SCADA, ces logiciels industriels (utilisés par exemple pour l’affaire Stuxnet). Ici, on a utilisé l’informatique périphérique, dite de sécurité, celle à laquelle les responsables prêtent le moins d’attention. L’attentat de l'oléoduc turc change désormais la donne. Il faut lire Ph. Davadie.</p>
<p>(voir aussi l<a href="http://si-vis.blogspot.fr/2014/12/avant-stuxnet-2010-et-aramco-2012-btc.html">e billet de si vis sur la question</a>)</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/12/16/Explosion-d%E2%80%99un-ol%C3%A9oduc-turc-en-2008-%3A-en-fait%2C-une-cyberattaque-%21#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1986Cyberconflictualitéurn:md5:01323f077cfeb0e31f2695ebc14849352014-09-27T20:56:00+01:002014-09-27T20:56:00+01:00Olivier KempfCyberCyberconflit<p>L'autre jour, un étudiant américain débarque dans mon bureau. L'avantage avec les Américains, c'est qu'ils sont directs et francs, dans leurs méconnaissances comme dans leurs questionnements. Bref, l'entretien roulait, la cyberstratégie, l'inattribution, le rubik's cube, tout ça. A la fin de l'entretien, il me dit "<em>Donc, je comprends bien quand vous me dites qu'il n'y a pas de cyberguerre mais une cyberconflictualité ; mais quelle définition donnez-vous à cyberconflictualité ?</em>".</p>
<p><img src="http://owni.fr/files/2012/11/630x430xCLEF-cyber-et-guerre-definition-2bis-2-2.jpg.pagespeed.ic.KyCHKEcmwq.jpg" alt="" /> <a href="http://owni.fr/2012/11/29/dans-cyberguerre-il-y-a-guerre/">source</a></p>
<p>J'en suis d'abord resté interdit. J'ai noté la question, réfléchi. Et puis je lui ai proposé cette définition. Dites moi ce que vous en pensez.</p> <p><em>Un cyberconflit est l'échange d'actions ou de groupes d'actions qui utilisent des outils cyber ou des agressions cyber pour aider chaque partie à obtenir un avantage sur l'autre dans le cadre de la rivalité qui les oppose.</em></p>
<p>Bon, c'était donné comme ça, à la volée. Il faudrait préciser ce que j'entends par "actions ou groupes d'actions" (en fait, je pensais à simplement à un des trois types de cyberagression ou à une combinaison de deux ou trois d'entre elles : agressions simples ou combinées), mais aussi par "outil cyber ou agressions cyber" (là, je ne me souviens plus de ce que j'avais à l'esprit).</p>
<p>En revanche, la définition a l'avantage d'être valide pour le privé comme pour le public, pour la cyberdéfense comme pour la cybersécurité.</p>
<p>J'attends vos commentaires, objections, suggestions.</p>
<p>(Réf : on lira ce billet intéressant qui a donné l’illustration d'aujourd'hui : <a href="http://owni.fr/2012/11/29/dans-cyberguerre-il-y-a-guerre/">Dans cyberguerre il y a guerre</a></p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/09/27/Cyberconflictualit%C3%A9#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1955Cyberdéfense et article 5urn:md5:2fc1d309dc0b0baa6fd87599086ff49a2014-09-22T22:25:00+01:002014-09-24T20:49:42+01:00Olivier KempfCyberCyberL’OTAN au 21ème siècleOTAN<p>La <a href="http://www.societestrategie.fr">société de stratégie</a> se rénove. Ainsi, la revue <ins>Agir</ins> passe désormais à un format exclusivement électronique avec des articles plus courts. Pour le premier opus, voici un <a href="http://www.societestrategie.fr/cyber-et-article-5-questions-soulevees-par-olivier-kempf/">petit texte</a> sur l'interprétation du dernier sommet de Galles où les Alliés annoncent avoir placé la cyberdéfense sous le couvert de l'article 5. Connaissant un peu l'OTAN et un peu le cyber, voici une petite analyse de la chose...</p>
<p><img src="http://ds2.ds.static.rtbf.be/article/image/624x351/5/9/2/0392b038ccce021eb34cd38506b64523-1394470395.jpg" alt="" /> <a href="http://www.rtbf.be/info/medias/detail_dans-le-cyber-monde-on-lance-des-cyber-attaques-pas-encore-de-cyber-guerre?id=8219330">source</a></p> <p>Lors du récent sommet de l’OTAN, les Alliés ont placé la cyberdéfense sous le couvert de l’article 5 du traité : « <em>Nous affirmons dès lors que la cyberdéfense relève de la tâche fondamentale de l'OTAN qu'est la défense collective. Il reviendrait au Conseil de l'Atlantique Nord de décider, au cas par cas, des circonstances d'une invocation de l’article 5 à la suite d'une cyberattaque</em> » (art. 72 de la déclaration finale du sommet). Cette décision soulève un certain nombre de questions (<a href="http://si-vis.blogspot.com/2014/09/quel-est-le-seuil-pour-invoquer.html">voir par exemple ici</a>).</p>
<p><strong>Qu’est-ce qui est réellement protégé ?</strong></p>
<p>En fait, il s’agit simplement des réseaux de l’Alliance (et leurs connexions nationales) : mais il ne semble pas qu’une attaque contre des infrastructures propres à un pays déclenche automatiquement l’appel à l’article 5. Toutefois, un pays qui serait frappé pourrait probablement juger politiquement adéquat d’invoquer l’article 5. (Art 72 : « <em>la responsabilité fondamentale de l’OTAN en matière de cyberdéfense est de défendre ses propres réseaux et l'assistance aux Alliés doit être envisagée dans un esprit de solidarité, en soulignant la responsabilité des Alliés qui est de développer les capacités appropriées pour la protection des réseaux nationaux</em> »).</p>
<p><strong>Quel est le seuil de déclenchement ?</strong></p>
<p>Cette question était déjà pertinente lorsqu’on considérait les cyberstratégies nationales : elle prend encore plus d’acuité dans le cadre allié. Ainsi, un pays qui serait attaqué pourrait tout à fait considérer que l’agression est insupportable quand ses alliés seraient moins sensibles au niveau de dommage. Une autre question cruciale, valable là aussi pour des stratégies nationales, prend un relief nouveau dans le cadre allié : qu’est-ce qu’une infrastructure critique ? Prudemment, la déclaration n’utilise pas l’expression.</p>
<p>On peut également se référer à un certain nombre de précédents. Ainsi, lors de la campagne aérienne au Kossovo en 1999, les sites Internet de l’OTAN avaient été attaqués par des patriotes serbes et russes, au point qu’à l’époque on avait évoqué une « Web war one ». Pourtant, il ne s’agissait que des sites publics et les réseaux internes, notamment les réseaux opérationnels et les réseaux classifiés, n’avaient pas été touchés. En 2007 en Estonie, le pays avait eu d’énormes problèmes de fonctionnement de son Internet, l’accès à des sites publics et privés étant durablement affecté par des DDOS massives. Toutefois, si le pays avait été ralenti pendant quelques jours, si un ministre estonien avait comparé cela à une sorte de blocus, si l’opération avait incontestablement revêtu une grande ampleur, on n’avait déploré aucun décès ni dommage grave. Certes, les Alliés avaient alors pris conscience de la potentialité des agressions cyber mais s’agissait-il réellement d’infrastructures « critiques » ? Des infrastructures privées (le réseau bancaire) ont elles la même signification stratégique que des infrastructures publiques (le réseau du ministère des finances) ? Surtout, cela entraînait-il forcément le déclenchement d’une riposte ?</p>
<p><strong>Quelle attribution ?</strong></p>
<p>Supposons résolue la question du seuil, une autre question surgit alors : contre qui ? En effet, l’inattribution constitue un des principes stratégiques du cyberespace. Les acteurs, pour peu qu’ils prennent des précautions suffisantes, réussissent assez facilement à camoufler leurs actions. On ne réussit pas à désigner « scientifiquement » l’auteur d’un acte, même si des méthodes de faisceaux d’indices permettent de l’identifier. L’agressé subodore mais il a toujours une marge d’incertitude pour déterminer à 100 % l’auteur de l’agression. Pourtant, cela suffit en général pour emporter la décision, du moins dans un système assez centralisé comme celui d'un État. Or, l’organe de décision de l’Alliance s’appelle le Conseil de l’Atlantique Nord où les 28 Alliés ont la même voix. L’établissement d’une vue commune est difficile à établir et on peut imaginer que tel ou tel allié, s’il y trouve un intérêt politique, prendra appui sur l’incertitude de la désignation de l’agresseur pour ralentir la prise de décision.</p>
<p>Surtout, il faudra établir la communication associée : convaincre un décideur est une chose, convaincre l’opinion publique en est une autre. Or, autant un État peut prendre certaines mesures et agir discrètement, autant cette discrétion est difficile à tenir à 28. Aussi toute action de l’OTAN (surtout si elle était prise sous couvert de l’article 5) devrait bénéficier d’une action de communication portant notamment sur la désignation de l’ennemi.</p>
<p><strong>Quelle riposte ?</strong></p>
<p>À supposer toutes les difficultés surmontées et les décisions prises, que pourrait faire l’OTAN ? En fait, pas grand-chose. Beaucoup de journalistes mentionnent le Centre de Tallinn mais cet organisme n’appartient pas à la structure intégrée de l’Alliance et n’a pas de compétences opérationnelles (pour plus de détail, voir le chapitre 15 consacré à la cyberdéfense de mon ouvrage <a href="http://www.egeablog.net/index.php?post/2014/08/21/L-OTAN-au-21%C3%A8me-si%C3%A8cel-est-paru-%21">L’OTAN au 21ème siècle</a>, Éditions du Rocher, 2014). Il y a bien quelques équipes techniques travaillant à Mons et à Bruxelles mais elles ne paraissent pas taillées pour répondre à une crise de grande ampleur : elles sont en fait dimensionnées pour protéger les réseaux de l’OTAN, comme on l’a déjà dit.</p>
<p>Surtout, l’Alliance n’aurait pas de capacités offensives, ainsi que l’a déclaré le Secrétaire Général Adjoint Ducaru ([voir ici|http://abonnes.lemonde.fr/europe/article/2014/09/07/l-otan-se-lance-officiellement-dans-la-cyberguerre_4483314_3214.html?) : « <em>Il n'est pas du tout question de se lancer dans des opérations cyberoffensives, qui restent du ressort de chaque État membre</em> ».</p>
<p>Dès lors, la capacité de riposte ne constituerait pas une capacité partagée à 28 (« commune », dans le jargon allié) mais elle dépendrait du bon vouloir d’un des Alliés qui en disposerait. Cela fait immédiatement penser, toutes choses égales par ailleurs, au nucléaire : l’Alliance n’est nucléaire que parce qu’un des Alliés - les États-Unis - met à disposition de l’Alliance sa garantie nucléaire. Celle-ci a d’ailleurs été un peu partagée au moyen de certaines bombes qui seraient emportées par des avions alliés non américains, avec un système de double clef de mise à feu. Il reste que la capacité de dissuasion nucléaire alliée repose essentiellement sur les Américains et leur décision autonome (la capacité nucléaire de la France et du Royaume-Uni est ainsi reconnue).</p>
<p>Ce modèle pourrait donc être reconduit : toutefois, aucun détail, aucune allusion n’ont été donnés. Nous sommes ici dans de la spéculation pure. Personne ne sait si aujourd’hui les États-Unis accepteraient de mettre à disposition une arme de leur panoplie cyber à disposition de l’Alliance, dans le cas où les Alliés déclareraient l’article 5.</p>
<p>D’autres difficultés opérationnelles et politiques pourraient également être détaillées. Il reste cependant à constater qu’au-delà de la déclaration de principe, qui constitue à l’évidence un signal politique et symbolique important et non négligeable, la mise en œuvre d’une riposte cyber sous le couvert de l’article 5 paraît aujourd’hui délicate à mettre en œuvre. Mais de toute façon, toute mise en œuvre de l'article 5 serait délicate.</p>
<p><ins>Références</ins>:</p>
<ul>
<li><a href="http://www.forbes.com/sites/federicoguerrini/2014/06/10/cyberspace-real-wars-and-natos-role/">What NATO Is Doing To Improve Cyber Defence</a></li>
<li><a href="http://www.zdnet.com/nato-updates-cyber-defence-policy-as-digital-attacks-become-a-standard-part-of-conflict-7000031064/">NATO updates cyber defence policy as digital attacks become a standard part of conflict</a> avec cette citation de J. Shea : "<em>For the first time we state explicitly that the cyber realm is covered by Article 5 of the Washington Treaty, the collective defence clause. We don't say in exactly which circumstances or what the threshold of the attack has to be to trigger a collective NATO response and we don't say what that collective NATO response should be."This will be decided by allies on a case-by-case basis, but we established a principle that at a certain level of intensity of damage, malicious intention, a cyber attack could be treated as the equivalent of an armed attack</em>."</li>
</ul>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/09/22/Cyberd%C3%A9fense-et-article-5#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1954Description de la couche logiqueurn:md5:08a8db4c8198d388b38409d88ebe99b62014-09-09T21:06:00+01:002014-09-09T21:06:00+01:00Olivier KempfCyber<p>Bonjour à tous, I need your help.</p>
<p><img src="http://pirastim.files.wordpress.com/2014/02/netrunner__grimore_by_leejj-d67t9vf.jpg?w=300&h=240" alt="" /> <a href="http://pirastim.wordpress.com/2014/02/28/singularity/">source</a></p>
<p>J'essaye de reprendre la description de la couche logique du cyberespace car à la relecture de mes écrits passés, je m'aperçois que c'était imprécis. Ce qui est mis ci-dessous est-il exact, dans l'état actuel des connaissances ? Je vous suis reconnaissant d'une réponse rapide en utilisant la fonction "commentaire". Soyez simple si c'est "good", pointez les lacunes là où il y en a. Attention au capcha, réponse 4. Merci.</p> <p>La deuxième couche c’est la couche logicielle celle à laquelle nous pensons tous intuitivement.</p>
<p>Les codes de la machine</p>
<p>Elle est d’abord composée des éléments nécessaires pour transformer ce que je pense en quelque chose qui est compris par la machine indépendamment des connexions avec les réseaux : de l’informatique « pure », en quelque sorte. Cela comprend d’une part le système qui permet de traduire notre pensée en quelque chose de compréhensible par la machine. Ainsi, si nous utilisons un clavier, chacune des touches sur lesquelles nous appuyons est transformée en un « code » qui est accessible, après transformation, au cœur de la machine, c’est-à-dire au microprocesseur. Mais outre l clavier, il existe tout un tas d’autres systèmes qui permettent de s’adresser à un ordinateur : la souris avec son système de pointage ou même la voix pour les commandes vocales etc. Il reste qu’un ordinateur a besoin d’autre chose que ce de « simple » système opératoire (operating system). C’est pourquoi on y implante aussi des « logiciels » qui sont dédiés à des tâches bien déterminées. Si beaucoup de logiciels sont livrés avec la machine (un éditeur de texte très simple, un visionneur de photos, un écouteur audio), la plupart du temps vous allez « installer » des logiciels qui répondent à vos besoin : une suite bureautique, un visionneur de film un peu évolué, un retoucheur de photo.</p>
<p>Autrefois, on achetait les produits soit sur disquettes soit sur CD ROM puis DVD ROM. Désormais, on les télécharge. L’évolution en cours consiste même à ne plus les télécharger mais à les louer en ligne. Cette évolution nous mène à l’autre sous-couche logique, celle nécessaire au fonctionnement du réseau.</p>
<p>Les protocoles du réseau</p>
<p>En effet, la couche logique est également composée des dialogues des machines entre elles puisqu’elles sont en réseau. Il existait à l’origine plusieurs « protocoles » permettant aux machines de communiquer entre elles et de s’envoyer des « fichiers » capables de « naviguer » sur le réseau en sachant s’orienter pour rejoindre l’ordinateur de destination. Un protocole de communication permet ainsi de fixer les règles d’émission et de réception d’un paquet de données.</p>
<p>Le protocole le plus connu est le protocole TCP/IP (Transmission ControlProtcol/Internet Protocol) qui comprend quatre « couches » (physique, liaison de données, transport, application) mais on peut aussi citer le protocole SNA (System Network Architecture) d’IBM (avec les étapes suivantes : jonction physique, liaison, acheminement, transmission, flux, présentation et application) ou le modèle OSI (Open system interconnection) construit en sept couches (physique, liaison, réseau, transport, session, présentation, « application »). S’il y a donc une variété de protocoles, le TCP/IP est devenu un standard de fait. Cela présente des avantages certains (simplification du système) mais aussi des inconvénients : quand on trouve une faille, on peut l’utiliser contre beaucoup plus de cibles.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/09/09/Description-de-la-couche-logique#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1949Gouvernance d'Internet : est-ce le bon mot ?urn:md5:8236272c215f79d46c33beb1c1b40d332014-08-28T20:32:00+01:002014-08-28T20:32:00+01:00Olivier KempfCyber<p>Je suis mal à l’aise avec cette notion de "gouvernance d'Internet" que je trouve trop « politique ». C’est d’ailleurs l’ambiguïté du mot « gouvernance » qui est problématique. Mais le débat s'est trop focalisé sur la question de la tutelle de l'ICANN.</p>
<p><img src="http://www.ouest-france.fr/sites/default/files/styles/image-640x360/public/2014/04/23/un-sommet-extraordinaire-pour-desamericaniser-internet.jpg" alt="" /> <a href="http://www.ouest-france.fr/netmundial-le-sommet-extraordinaire-pour-la-gouvernance-dinternet-2313169">source</a> (cliquez sur le titre pour lire la suite)</p> <p>En l’occurrence, d’une part le DOC (Department of Commerce) effectuait une tutelle très légère de l’ICANN : celle-ci avait largement pris son envol, notamment en élargissant les noms de domaine mais surtout en commercialisant ceux-ci. Du coup, il ne s’agit plus vraiment d’un organisme à but non lucratif.</p>
<p>Ce n’est pas un hasard si il est coorganisateur du Net Mundial et si « l’indépendance » de l’ICANN ne vise pas à le placer sous tutelle internationale mais à lui donner les coudées franches pour une exploitation commerciale.</p>
<p>Alors, la tendance serait non « politique » mais « économique » : soit tendancielle, soit hypothèse supplémentaire, celle d’un non contrôle de l’ICANN qui devient de facto un opérateur économique commercialisant des noms de domaine. Dans ce cas, il s’agit d’une tendance à la dérégulation publique et à la régulation « par le marché ». Ce qui expliquerait in fine l'accord des autorités américaines.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/08/28/Gouvernance-d-Internet#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1944UA et cyberurn:md5:4a80cddb8846198d0b84d8742d780b7b2014-08-20T21:15:00+01:002014-09-25T20:50:17+01:00Olivier KempfCyberAfriqueCyber<p><em>Le cyber et l'Afrique</em> constitue un sujet largement ignoré du public et, disons le aussi, des spécialistes. J'avais un peu travaillé sur le sujet à l'occasion d'une conférence il y a un an. Je tente ici de poser la question des dispositifs régionaux sur la question. Constatons qu'ils relèvent au mieux de la cybersécurité et non de la cyberdéfense. D'ailleurs, reprenant l'historique de l'affaire Snowden, je me suis aperçu que l'Afrique n'était pas citée à la seule exception de l'observation du Kenya. Tout ça pour aller fureter un peu hors des sentiers battus.</p> <p>Si beaucoup de cyberfraudeurs agissent en Afrique (ceux du Nigeria ont longtemps été légendaires, remplacés depuis peu par les Ivoiriens), les questions de cybercriminalité et de cybersécurité ont été tôt appréhendées.</p>
<p>Ainsi, les ministres des Télécommunications de la CEMAC (Communauté Économique et Monétaire de l’Afrique centrale) prônèrent dès décembre 2008 à Brazzaville l’élaboration d’une directive sur la cybercriminalité et la cybersécurité. Des initiatives similaires ont été adoptées par les autres communautés régionales africaines, ce qui a conduit, de 2009 à 2014, à l’élaboration d’un projet de convention pour la mise en place d’un « <a href="http://www.osiris.sn///IMG/pdf/draft-convention-cybersecurity-3.pdf">cadre juridique de confiance pour la cybersécurité en Afrique</a> » (texte en lien non daté : je ne sais pas la version). Il a été discuté lors des sommets d’Addis-Abeba de janvier 2014 et de Malabo de juin 2014.</p>
<p>Les travaux trainent pour plusieurs raisons (outre l’intérêt porté à d’autres questions) : manque de perception de l’urgence du sujet, manque de spécialistes compétents, diversité des besoins et des attentes, absence de pays leader qui tirerait le continent en la matière. Certains suggèrent même que des États africains seraient réticents à adopter des normes qui viendraient des États-Unis ou d’Europe, y voyant une sorte de colonisation cybernétique (<a href="http://www.osiris.sn///IMG/pdf/draft-convention-cybersecurity-3.pdf">voir ici la citation de l'expression</a>).</p>
<p>Constatons que le projet se préoccupe surtout de cybersécurité et n’évoque pas la notion de cyberdéfense.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/08/20/UA-et-cyberd%C3%A9fense#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1942Y a-t-il une cybercoopération russo-chinoise ?urn:md5:3c91e1894ee811bbf4c8ee9321a9f4972014-08-07T19:26:00+01:002014-08-08T21:04:37+01:00Olivier KempfCyberChineCyberstratégieRussie<p>Depuis une dizaine d'années, deux nations jouent le rôle de grand méchant du cyberespace : ce fut au début la Russie (Estonie 2007, puis Géorgie 2008). A partir des années 2010, ce fut plutôt la Chine (Aurore, Ghostnet, ...). Or, on &évoque rarement la possibilité d'une collaboration entre ces deux puissances. Ce billet s'essaye à imaginer si elle est possible et quelle tournure elle pourrait prendre.</p>
<p><img src="http://www.itespresso.fr/wp-content/uploads/2013/01/kaspersky-cyberespionnage-malware-roca-octobre-rouge-287x331.jpg" alt="" /> <a href="http://www.itespresso.fr/wp-content/uploads/2013/01/kaspersky-cyberespionnage-malware-roca-octobre-rouge-287x331.jpg">source</a></p> <p>L’Organisation de coopération de Shanghai inclut deux acteurs majeurs, la Chine et la Russie. Personne ne doute que ces deux nations soient des cyberpuissances importantes. La question se pose alors d’une coopération plus active, dans le domaine technique.</p>
<p>Deux arguments viennent à l’appui d’une telle hypothèse. D’une part, les deux pays émergents ont adopté la même lecture de l’actuel désordre international : une situation chaotique où les intérêts des nations doivent s’exprimer et où il faut lutter contre l’hégémonie américaine (le ressentiment contre les États-Unis ayant des causes différentes : pour Pékin, il s’agit de reprendre le contrôle de ses marges maritimes quand pour Moscou, il s’agit de revenir à une certaine parité telle qu’elle existait du temps de la guerre froide). D’autre part, les deux pays sont des puissances émergentes qui entendent défendre leur intérêt dans le cyberespace lui aussi émergent, ce qui impose là aussi de défier les Etats-Unis.</p>
<p>Toutefois, de nombreux facteurs militent contre une telle proposition : cette alliance serait circonstancielle car au fond, Chine et Russie seraient également rivales (en Sibérie ou en Asie centrale) ; l’histoire ne milite pas pour une grande collaboration stratégique (on se souvient des différends entre l’URSS et la Chine maoïste, même si les Soviétiques fournirent au départ l’essentiel des connaissances technologiques pour permettre à la Chine de devenir une puissance nucléaire en 1964, après donc la rupture sino-soviétique).</p>
<p><ins>Le cas Octobre rouge</ins></p>
<p>Rien ne permet de trancher. Examinons alors un cas, baptisé « Octobre rouge » et révélé en janvier 2013 par la firme russe d’antivirus Kaspersky. Octobre rouge est un logiciel espion, actif pendant cinq ans, qui visait des cibles préalablement identifiées (centres de recherche, ambassades, entreprises de souveraineté), et qui copiait de nombreuses informations, y compris cryptées. Il visait principalement le monde russe et son « étranger proche » (Russie, Europe de l’Est, ex-républiques soviétiques d’Asie centrale : Russie 35 infections, Kazakhstan 21 infections, Azerbaïdjan, France 5 infections), accessoirement l’Europe de l’ouest et les Etats-Unis, la Chine n’ayant pas été touchée.</p>
<p>Octobre rouge a suscité deux types de débats : le premier concerne l’implication étatique, le second la nationalité des auteurs.
En effet, il est possible qu’il y ait un Etat commanditaire (« Le scénario le plus probable est que le commanditaire soit un Etat-Nation », selon Le Monde informatique du 15 janvier 2013), mais il n’a pas directement mis en œuvre le virus, et l’a sous-traité au « privé ». Pour un autre analyste (Costin Raiu, chercheur à Kaspersky, cité par Slate, 15 janvier 2013), l’attaque ne vient pas d’un Etat mais « de cybercriminels et d’espions free lance qui chercheraient à vendre des informations de valeur à des gouvernements ou d'autres acteurs sur le marché noir ». Au fond, il y aurait collaboration entre des acteurs étatiques et des acteurs privés, l’incertitude venant de celui qui a l’initiative de l’opération.</p>
<p>S’agissant de la nationalité, plusieurs hypothèses ont été exprimées. En effet, l’exploit initial aurait été conçu par des pirates chinois (Kaspersky : As a notable fact, the attackers used exploit code that was made public and originally came from a previously known targeted attack campaign with Chinese origins. The only thing that was changed is the executable which was embedded in the document; the attackers replaced it with their own code). Mais l’utilisation de cet exploit aurait été le fait de pirates russes, puisqu’une commande de code se réfère à une page contenant des caractères cyrilliques et que par ailleurs, des mots d’argot russes auraient été retrouvés dans les écritures du maliciel.</p>
<p>Dès lors, on peut émettre plusieurs hypothèses : celle d’une initiative russe récupérant un travail préalablement effectué par des Chinois, celle d’une collaboration russo-chinoise pour conduire toute l’opération, celle enfin d’une opération chinoise camouflée en opération russe. Sans pouvoir conclure définitivement, il semble toutefois probable qu’il y ait des liaisons entre Russes et Chinois.</p>
<p><ins>Quel type de collaboration ?</ins></p>
<p>Si une telle collaboration est possible (dans le cas présent selon un partage simple entre conception et exploitation, voire entre commanditaire public exécutant privé), sur quels domaines pourrait-elle s’exercer ? Il convient ici de s’intéresser aux points forts des deux pays. Les Russes bénéficient ainsi de spécialistes de très haute volée grâce à leur système de formation en mathématique et en cryptologie, héritage de l’URSS. Ce n’est pas un hasard si après les premiers agissements contre l’Estonie et la Géorgie (2007 et 2008), on n’ait quasiment plus entendu parler des Russes depuis. Cette discrétion suggère une maîtrise du camouflage exceptionnelle. Les Chinois, quant à eux, n’ont pas la réputation d’une grande expertise technique (même s’il ne faut pas les sous-estimer, si on regarde qu’ils sont aujourd’hui parmi les premiers déposeurs de brevets en technologies de l’information). Toutefois, ils impressionnent par leur capacité à développer un système autonome et notamment la partie industrielle du cyberespace, tant en petits systèmes, en réseaux ou en gros serveurs.</p>
<p>Il y aurait donc un intérêt partagé entre les deux puissances à collaborer afin que chacun comble ses lacunes. Mais une fois encore, rien ne permet d’accréditer cette hypothèse.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/08/07/Y-a-t-il-une-cybercoop%C3%A9ration-russo-chinoise#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1938Alliance et cyberurn:md5:ada9eef0352bdcedd4fa4c0644897d992014-05-05T21:32:00+01:002014-05-05T21:32:00+01:00Olivier KempfCyberAllianceCyberOTAN<p>Voici un entretien que j'ai accordé à une jeune étudiante en master 1 de Sciences Po Aix, MS. Cela pose la question des alliances dans le cyber, mais aussi des rapports avec le nucléaire. Quelques considérations bien en ligne avec mes travaux du moment.</p>
<p><img src="http://www.ncfta.net/images/global-cyber-crime-fighters.jpg" alt="" /> <a href="http://www.ncfta.net/">source</a></p> <p><strong>Pour commencer, pensez-vous que la cyberstratégie otanienne soit une forme de stratégie nouvelle ?</strong></p>
<p>Je ne sais pas si vous vous adressez au spécialiste du cyber ou au spécialiste de l’OTAN parce qu’il se trouve que je suis les deux. Mais en la matière, l’OTAN ou plutôt l’Alliance atlantique – je préfère commencer à parler de l’objet politique – est une organisation internationale résultant d’un consensus politique entre des États souverains. Chacun de ces États a des stratégies qu’il décide ensuite de mettre en commun pour un certain nombre de desseins. Ce partage peut concerner l’article 5 (celui qui régit la défense collective).</p>
<p>Dans le même temps, on voit apparaître une volonté pas simplement d’élargissement des missions de l’alliance mais surtout d’adaptation au monde contemporain. Parmi cette adaptation il y a ce qu’on appelle les défis de sécurité émergents, bien qu’ils ne soient pas tous forcément émergents : la lutte contre le terrorisme ou la prolifération des armes nucléaires sont des choses assez anciennes. Cela étant, ce n’est pas forcément le cœur de métier de l’OTAN au départ. Parmi ces nouveaux défis, il y a le cyber récemment pris en compte, qui fait partie d’une adaptation de l’Alliance à un nouvel environnement. Donc, l’Alliance s’intéresse au cyberespace.</p>
<p>Par ailleurs, vous avez ce qu’on appelle l’OTAN : l’organisation militaire intégrée, donc une structure spécialisée à distinguer de l’alliance politique. La distinction est utile parce que lorsque vous posez la question de la stratégie de l’OTAN… le mot est ambigu ! Le mot est ambigu parce que l’Alliance n’est pas un acteur étatique qui va avoir une stratégie en soi ; mais en revanche elle a une stratégie dans la mesure où il s’agit de faire des choses en commun. En fait, la vraie question est de savoir ce que l’on met en commun à 28 entre des États qui sont très forts – les États-Unis mais aussi les trois grands européens –, des États qui font des efforts, puis des États qui ne font presque pas d’efforts. Ici réside l’ambigüité politique. Elle s’est révélée très tôt, dès l’affaire de l’Estonie en 2007 où certains commentateurs estoniens avaient suggéré de faire appel à l’article 5. Le gouvernement estonien ne l’a pas fait et n’a mentionné que l’article 4 du traité. La conclusion est limpide : les Alliés ne sont pas prêts à étendre l’article 5 au cyberespace. L’attaque cyber de l’un d’eux n’entraîne pas la défense collective des 28. C’est fondamental. Il y a donc des cyberstratégies nationales et un domaine partagé. A cause de ces limitations, la cyberstratégie de l’OTAN, pour reprendre votre expression, est forcément beaucoup moins large et ambitieuse que celle des Etats les plus avancées.</p>
<p>Le tournant fut manifesté à la suite du Sommet de Lisbonne en 2010 (avec le nouveau concept et les décisions prises ensuite aussi bien dans les sommets que dans les réunions ministérielles). Les Alliés ont affirmé le principe selon lequel l’OTAN doit se défendre elle-même en tant qu’organisation. La principale stratégie, c’est donc d’abord de défendre l’organisation elle-même et l’agression (le 16 mars 2014) de pirates slaves contre le site internet de l’OTAN en fait partie. Cela étant, les systèmes de communication de l’OTAN sont plus divers et nombreux que le seul site Internet, il y a de nombreux systèmes de communication sécurisés internes à l’organisation et c’est cela qu’il faut aussi protéger.</p>
<p>Enfin, l’OTAN est faite pour conduire des opérations militaires. Il faut réfléchir sur la manière de prendre en compte l’aspect cyber dans les opérations militaires. Nous y reviendrons.</p>
<p>On ne va pas tellement plus loin. Donc je reviens à votre première question : est-ce que c’est original ? En tout état de cause c’est différent de la stratégie souveraine des États les plus motivés sur la question qui ont des stratégies complètes, qui passent à la fois par des doctrines, par des dispositifs organiques, par des dispositifs humains, par des ressources, par des moyens, par des grosses sociétés… Tout ça, l’OTAN n’en a pas les capacités.</p>
<p><strong>La cyberdéfense et l’utilisation de moyens pour se défendre sont pleinement assumées par l’OTAN. Pour autant, l’utilisation d’armes informatiques offensives ne l’est pas. Pourquoi ?</strong></p>
<p>Il n’y en n’a pas dans l’OTAN. Vous ne trouverez aucun document de l’OTAN qui vous le dira pour la bonne et simple raison que déjà un certain nombre d’États n’ont convenu que très récemment qu’ils en développaient. Je pense aux États-Unis qui l’ont pleinement officialisé en 2011, je pense à la France qui l’avait annoncé dans le Livre blanc de 2008 mais qui l’a réaffirmé dans le Livre blanc 2013. C’est une prise de conscience récente de la part de certains États mais de certains États seulement et l’Alliance n’a certainement pas fait une déclaration en ce sens… et à ma connaissance ce n’est pas à l’ordre du jour.</p>
<p><strong>Mais quels seraient les enjeux d’une telle utilisation si jamais on passait d’une stratégie défensive à une stratégie offensive ? L’Alliance peut-elle s’orienter vers une telle stratégie ?</strong></p>
<p>C’est une bonne question. Personnellement ça me semble difficile parce que vous avez besoin d’un consensus politique qui n’est pas acquis parce que certains États ne sont pas prêts à ce genre de déclaration. Pensez à certains pays européens : ils sont d’accords pour se défendre mais si vous leur dites d’être plus offensifs, ils vont dire « dans quel cadre ? » et « contre quel ennemi ? ». Il n’y a pas de consensus politique.
Et puis il est question de moyens techniques. Or, on a beaucoup de difficultés à partager des niveaux techniques dans le cyber. En effet, dans le cyber, paradoxalement on ne partage pas réellement des forces : quand on partage, on partage surtout des faiblesses avant de partager des forces. Quand on est en petit comité, on a une certaine confiance qui permet de compenser les faiblesses par un renforcement mutuel. Mais c’est uniquement avec très peu d’acteurs, le plus souvent en bilatéral, pour éviter au maximum les fuites. Et une alliance à 28, ce n’est clairement pas le lieu optimal pour ce partage technique et informatif. Aussi bien pour des raisons politiques que pour des raisons techniques et stratégiques, le cadre allié paraît inadéquat.</p>
<p><strong>Une question concernant la dissuasion : peut-on arriver un jour à mettre en place une dissuasion cyber qui soit équivalente à la dissuasion nucléaire ?</strong></p>
<p>Non. Au jour d’aujourd’hui et dans les conditions actuelles, le parallèle entre la dissuasion nucléaire et la dissuasion dans le monde cyber ne tient pas vraiment la route. D’ailleurs, les Américains dans leur doctrine stratégique de 2011 se contorsionnent en expliquant qu’il y a d’une part une « <em>deterrence</em> » et d’autre part une « <em>dissuasion</em> » qui combinaient à la fois des pratiques défensives et offensives. C’est spéculatif et ce n’est pas vraiment convaincant. Ce n’est pas convaincant pour plusieurs raisons.</p>
<p>La première, c’est qu’on n’a pas d’arme absolue. Dans le cyber, il n’y a pas d’arme absolue comme vous en avez dans le nucléaire. Dans le nucléaire quand vous tirez une bombe, tout le monde le voit, tout le monde voit où elle est tombée et tout le monde sait qui l’a lancée. Donc on sait immédiatement où, quand et quels sont les deux acteurs. Dans le cyber le « où » reste aléatoire, le « quand » reste très aléatoire aussi parce qu’on peut s’apercevoir d’une attaque mais longtemps après qu’elle ait réellement commencé ; enfin, il y a la question de connaître aussi bien la victime que l’agresseur … on le sait pour la victime en général, surtout si elle le fait savoir mais ce n’est pas toujours le cas, mais c’est toujours très compliqué de connaître l’agresseur.</p>
<p>Qu’est-ce que la dissuasion ? C’est une menace de riposte à une agression. Dans le cyber, l’identification de l’agression est difficile et donc la menace de riposte est elle aussi difficile. Je ne dis pas que ça ne peut pas se faire, je dis que c’est aléatoire et que c’est moins solide que dans le nucléaire.</p>
<p>La deuxième raison tient à l’inattribution – principe fondateur de la cyberstratégie. Elle rejoint le système international contemporain qui ne fait pas système, qui est extrêmement déstructuré, « post-hobbesien » dans mon vocabulaire, c’est-à-dire marqué par la lutte de tous contre tous. On le voit dans la vie réelle où on a peu de phénomènes de structuration d’alliance. On a au contraire des acteurs qui ne cessent de jouer selon leurs intérêts au gré des circonstances. C’est également valable dans le monde cyber, particulièrement à cause de la règle de l’inattribution. Personne ne fait réellement confiance à personne. La NSA nous l’a bien montré.</p>
<p>La combinaison des deux (particularité du cyber et conditions de l’environnement géopolitique) fait qu’on a une indétermination absolue : voici la différence essentielle avec le schéma bipolaire tel qu’il existait pendant la Guerre froide. Il était bien évidemment durci par la bombe nucléaire mais il venait couronner un affrontement politique et géopolitique évident. Politique parce qu’on avait deux idéologies qui se faisaient face à face et géopolitique parce qu’on avait deux blocs. Donc même s’il y a eu à l’époque des tentatives de Troisième monde, de Tiers monde, de monde non-aligné etc. on avait une structuration du monde en deux blocs. Aujourd’hui on ne l’a pas. On a un monde post-hobbesien, apolaire, sans pôle donc non structuré et le cyber par lui même n’est pas structurant : donc le phénomène de dissuasion, la pratique stratégique de dissuasion s’adapte très mal à ces conditions.</p>
<p><strong>Si la dissuasion est difficile à mettre en œuvre, comment arriver à un contrôle du cyberespace ? Est-ce que cette idée même de contrôle est envisageable ?</strong></p>
<p>Non <a href="http://www.egeablog.net/index.php?post/2014/05/04/rire" title="rire">rire</a>. Je ne crois pas.</p>
<p>Je crois que nous vivons dorénavant et pour une longue durée dans un monde marqué par l’incertitude et l’indétermination. On doit donc adopter des stratégies individuelles et composites. Individuelles c’est-à-dire qui reviennent paradoxalement aux États et aux acteurs ou éventuellement à un groupe très proche d’acteurs. On va vers un émiettement des dispositifs. Composites dans le sens où chaque acteur doit se durcir et pour cela adopter trois types d’actions : des mesures à la fois purement défensives, des moyens offensifs et des moyens « d’<em>awareness</em> » c’est-à-dire de connaissance, ce que la doctrine française désigne par « renseignement d’intérêt cyber ».</p>
<p><strong>Et pour l’OTAN plus spécifiquement, quels seraient les perspectives ? On parle beaucoup de coopération avec le secteur privé mais est-ce que cela ne risque pas de complexifier davantage les accords de coopération ?</strong></p>
<p>Oui effectivement. L’Alliance atlantique n’est pas la plus adéquate pour faire de la vraie coopération avec le secteur privé. Il faut qu’elle laisse cela à l’Union Européenne qui est tout à fait légitime en ces domaines. C’est d’ailleurs dans la stratégie de cybersécurité de l’Union Européenne. L’OTAN est une alliance militaire voire spécialisée dans la défense militaire, elle doit donc se concentrer sur la force militaire.</p>
<p>Elle doit faire deux choses… : tout d’abord, réfléchir au cyber dans les opérations (comment est-ce qu’on intègre le fait cyber dans les opérations ? comment développer l’interopérabilité ?). Ensuite, envisager de partager le renseignement d’un point de vue cyber parce que c’est profitable à tous. Ceux qui savent inciteront ceux qui font peu d’efforts à élever leur défense. Donc l’OTAN doit être un moyen d’élévation du niveau des plus faibles, de prise de conscience et de partage à la fois de l’information, de l’éducation et de l’entrainement. Il faut rester réaliste et regarder l’objet social de l’Alliance. C’est une Alliance spécialisée dans les affaires militaires donc elle doit se concentrer sur les affaires militaires.</p>
<p><strong>L’OTAN a été beaucoup critiquée ces dernières années – notamment depuis son intervention en Libye. Peut-elle regagner en légitimité grâce à sa cybestratégie ?</strong></p>
<p>Oui ça a fait très certainement partie des considérations qui ont mené au nouveau concept en 2010 où il s’agissait de dire qu’il y avait de nouveaux types de menace à prendre en compte. A ce titre, il a d’ailleurs été créé une Division chargée des défis de sécurité émergents au Secrétariat International à Bruxelles. Parmi ces nouveaux défis il y a le cyber. Le cyber fait partie depuis maintenant quatre ou cinq ans des instruments par lesquels l’Alliance atlantique à la fois s’adapte et montre son adaptation au nouvel environnement. C’est incontestable, mais cela ne peut pas non plus devenir l’alpha et l’oméga de l’Alliance atlantique. Ce sera forcément quelque chose qui sera subordonné au reste.</p>
<p><strong>Pour finir, vous soulignez dans un article de votre blog l’idée que toute guerre aura désormais une part de cyber tout en vous demandant si « une guerre cyber pourrait déborder en guerre classique ». Pourriez-vous apporter une réponse préliminaire à cette interrogation ?</strong></p>
<p>Une telle ascension aux extrêmes, pour reprendre le vocabulaire clausewitzien, est-elle possible ? En tout état de cause et théoriquement, oui, c’est possible. Mon métier de stratégiste me force à le considérer. J’essaie de préciser l’appellation « cyberguerre » qui ne me plaît pas. Il faut distinguer le « cyber dans la guerre » où, à l’évidence, cette escalade est possible et où l’OTAN a clairement quelque chose à faire ; et puis « la guerre dans le cyber » – le mot est inadapté mais passons – où l’OTAN n’a pas forcément grand chose à faire. Cela explique, aussi pour revenir à une de vos précédentes questions, pourquoi la notion d’armes offensives n’apparaît pas dans la panoplie alliée.</p>
<p>Est-ce qu’un cyberconflit peut servir de détonateur à quelque chose de plus large ? Techniquement oui. L’escalade de la violence est un phénomène que l’on peut envisager : on peut tout à fait envisager que deux adversaires qui s’opposent, s’efforcent de maintenir la violence à un niveau minimal. Pour cela ils s’affrontent dans le cyberespace. L’un porte une agression ressentie par l’autre comme insupportable, l’autre peut alors répondre dans la vie réelle. C’est techniquement envisageable. Quand vous lisez la doctrine américaine qui dit « nous répondrons à des agressions cyber par tout type de réponse y compris hors du cyber », cela signifie qu’ils envisagent, en théorie, de riposter « y compris par du nucléaire ». Si un des acteurs principaux affirme cette escalade de la violence il faut la considérer comme plausible, bien qu’il faille faire la part de la rhétorique, nécessaire ici à crédibiliser la doctrine américaine de cyberdissuasion.</p>
<p>Après vient la question de la probabilité de cette escalade. C’est une autre affaire qui tient à deux choses : il faudrait que la cyberagression soit d’une très grande magnitude – c’est l’hypothèse du « Cyber Armageddon », « Cyber Pearl Harbor »… tout ce que l’on entend sur les infrastructures vitales. Cela étant, on ne l’a aujourd’hui pas observé et l’analyste est aussi obligé de regarder ce qui se produit dans la réalité. La non-survenance d’un événement ne signifie pas que cet événement ne va pas advenir dans le futur mais comme on ne l’a pas encore observé, on ne peut pas trop modéliser sur des cas d’expérience. La deuxième chose est que certes on peut en émettre l’hypothèse mais quelles seraient les conditions de sa réalisation ? On a une escalade de la violence quand on a deux acteurs qui s’opposent. Cela veut dire que dans ce cas, les conditions préalables à l’affrontement existent ; mais ce n’est pas le fait qui provoque l’escalade, il n'en est pas la cause première, seulement la cause incidente, le déclencheur qui vient catalyser une situation conflictuelle préexistante. L’événement, ici un incident cyber, ne fait que déclencher l’escalade mais cette escalade vient sanctionner et matérialiser (« réaliser », au sens premier) une opposition, une rivalité, un conflit qui existe préalablement. Donc peu importe l’incident, qu’il soit cyber ou non, l’affrontement était déjà là. Quand les adversaires veulent en découdre, peu importe le détonateur. Ce qui est important, c’est de vérifier les situations géopolitiques qui peuvent laisser la place à des affrontements de ce type et donc à la possibilité d’escalade de la violence. Mais il ne s’agit là que de réflexions initiales, car la théorie stratégique a encore peu discuté ces questions de cyberescalade.</p>
<p>En deux mots, la cyberescalade est théoriquement possible mais elle semble aujourd’hui peu plausible.</p>
<p><strong>Je vous remercie d’avoir pris le temps de répondre à mes questions.</strong></p>
<p>Merci de les avoir posées.</p>
<p>O. Kempf</p>http://www.egeablog.net/index.php?post/2014/05/04/Alliance-et-cyber#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1896Intéressantes analyses de l'affaire Snowden et de ses conséquences.urn:md5:83e13f98da7c46c2b6ab0827850c785b2014-03-18T20:05:00+00:002014-03-18T21:34:05+00:00Olivier KempfCyber<p>La chaire Castex a organisé les 3 et 14 mars un colloque sur le thème de l'affaire Snowden. Philippe Davadie a assisté aux échanges et nous en donne ce compte-rendu. Merci à lui. O. Kempf</p>
<p><img src="http://www.cyberstrategie.org/sites/default/files/styles/slideshow/public/frontpage-slideshow/img_0389.jpg?itok=SRFQw7bn" alt="" /> <a href="http://www.cyberstrategie.org/">source</a></p> <p>La chaire Castex a organisé ces derniers jours un colloque sur l'affaire Snowden. Un de ses intérêts était d'avoir des orateurs étrangers et de préoccupations interneto-politiques différentes.</p>
<p>Quelques points glanés au cours de ces deux jours :</p>
<ul>
<li>- un orateur (US) déclara que tant qu'on n'empêche pas la libre expression, les libres manifestations et la possibilité de remplacer le gouvernement par une élection, il n'y a rien à craindre de la surveillance du net.</li>
<li>- l'Internet a été conçu pour être surveillé.</li>
<li>- supprimer l'héritage (µsoft, Cisco, etc.) et réinventer à la fois des hard et softwares.</li>
<li>- la confiance a beaucoup été abordée, mais personne n'a expliqué comment la (re)gagner, comme si elle était un dû envers les gouvernements et les opérateurs.</li>
<li>- la conservation et surtout la publication des données par les journaux n'a été qu'abordée.</li>
<li>- un autre orateur (F) déclara que la surmédiatisation de cette affaire caricaturait le sujet en se focalisant sur les données personnelles, alors que celles de l'entreprise étaient au cœur du sujet.</li>
</ul>
<p>Avec, du coup, des questions incidentes surgissent :</p>
<ul>
<li>- le captage massif des données ne montre-t-il pas la défaite de l'intelligence ? Plutôt que de cibler la collecte, on récolte tout en espérant que la machine fera le tri.</li>
<li>- cette récolte massive n'est-elle pas comparable à la torture : on viole les consciences (les corps) en espérant un gain hypothétique ?</li>
<li>- si les fichiers dits de police doivent être régulièrement purgés, ceux des journaux ne sont soumis à aucune obligation (ceux des supermarchés avec leur cartes de fidélité idem d'ailleurs...) Du coup, les journalistes deviennent des juges incontrôlés des données publiables sur le net.</li>
<li>- quel type d’État peut décider de "nationaliser" la vie de chacun ?</li>
<li>- comment se soucier de la confidentialité des données d'une entreprise si les données personnelles ne font l'objet d'aucune attention ?</li>
<li>- si le comportement de chacun est prédictible par des algorithmes, n'est-ce pas le signe d'un formatage des esprits ?</li>
</ul>
<p>Philippe Davadie</p>http://www.egeablog.net/index.php?post/2014/03/15/Int%C3%A9ressantes-analyses-de-l-affaire-Snowden-et-de-ses-cons%C3%A9quences.#comment-formhttp://www.egeablog.net/index.php?feed/atom/comments/1883