Tactique, technique, et stratégie cyber
Par Olivier Kempf le dimanche 14 octobre 2012, 19:57 - Cyber - Lien permanent
L'autre jour, un de mes bons amis s'échauffe dans un de nos échanges collectifs qui font parfois mouche :
Tunnel SSH, bi-clé asymétrique, paramétrage de Cisco PIX ou de Nokia CP, .. Pas assez technique ? On peut encore descendre, au niveau filtrage des flux, analyse par paquets, positionnement de bits et autres salmigondis qui nous fait perdre environ 95% de l'auditoire. On peut passer à de l'organisationnel et de la certification avec du "bateau" : ISO 27k, ISO13335, Critères Communs/ITSEC. Ou de l'architecture. Pas trop mon domaine, mais je suis prêt à jouer sur les principes d'architecture, la résilience, de la HA (Haute-dispo) avec du load-balancing, VPN, VLAN i tutti quanti. Plutôt Infosec ? : de la PSSI, de la sensibilisation / des recommandations, du consulting RSSI voire DSI.
Bon. Évidemment, je n'ai pas compris une goutte de tout ce qu'il disait, mais j'ai bien compris qu'il y avait une énorme couche technique dans le cyber, et surtout qu'il lui paraissait essentiel de la dominer pour en tirer une réflexion stratégique.
Aïe ! me suis-je dit. Donc, je n'ai rien à dire sur le sujet ? la cyberstratégie serait réservée aux geeks et aux nerds ?
1/ A tout seigneur tout honneur, poursuivons la citation de notre interlocuteur, cela n'en sera que plus juste :
- Ça n'invalide pas mais il me parait pertinent que s'attaquer au cyberespace et, de surcroît aux aspects défensifs et offensifs, nécessite à tout le moins un minimum de connaissances techniques, organisationnelles voire normatives.
- Déjà, au minimum, c'est de comprendre ce que sont les réseaux de transports de données. La base est là.
- Ensuite, il faut connaître quels sont les équipements qui participent à ce transport, comment ils communiquent et sur quelles normes ils se basent. Lire régulièrement Stéphane Bortzmeyer est "bon pour la santé" (cyber-mentale et réseaux, dans ce cas :). Car de là on peut commencer à comprendre certaines faiblesses de protocoles et d'architectures, matérielles et logicielles.
- Ensuite, on s'attaque au concept des données et je renvoie avantageusement à l'un des articles de la série AGS "La Sécurité de l'Information est-elle un échec ?" :)
- Après il est bon de comprendre les techniques permettant d'exploiter des vulnérabilités et, plus largement, de hacking. De là, je pense que l'on peut se forger une image un peu plus précise des possibles. Ensuite il faut intégrer les enjeux, les rapports de force, la politique, bref "la stratégie".
- Et j'ai beaucoup de mal à comprendre la cohérence qu'il y aurait à vouloir (à espérer, à croire ?) maîtriser un domaine tandis que les penseurs, ceux qui ne traitent que de statégie au sens où tu l'entends et l'exprimes, n'appréhenderaient pas les possibilités et les limitations techniques, la caractérisation technique des acteurs (niveau d'expertise, moyens associés, capacités réelles) ou les subtilités d'un bon flooding ? Ce n'est juste pas possible et c'est pourquoi les cyber-stratèges (de demain) devront nécessairement posséder la double culture.
2/ Revenons toutefois à ce qu'est la "stratégie" : "l’art de la dialectique des volontés employant la force pour résoudre les conflits". La dimension technique inférée par cette définition n'entre que dans l'emploi de la force. On remarquera en effet que Beaufre parle d'art et non pas de science : cette "conduite" stratégique résulte de la dialectique des volontés, de cette opposition entre acteurs qui réagissent l'un à l'autre.
3/ Qu'est-ce alors que la cyberstratégie ? Est-ce une méta-SSI ? (SSI pour Sécurité des systèmes d’information). Non, ce serait une vision trop restrictive du domaine. Une définition de la cyberstratégie pourrait être alors : il s'agit de la partie de la stratégie propre au cyberespace, considéré comme un espace conflictuel où s'opposent, avec des techniques et des intentions variables, des acteurs différents (États, groupes plu s ou moins organisés, individus).
4/ Tout ceci ne minore pas la connaissance technique de cet espace. En effet, il présente la particularité d'être un espace artificiel. Anthropogène. Si la cyberstratégie ressemble en quoi que ce soit à la stratégie nucléaire, ce n'est certainement pas par la doctrine de la dissuasion, mais bien parce qu'il s'agit de sphères stratégiques créées par l'homme. Et possédant donc une épaisse couche technique. D'ailleurs, c'est à cause de la radicale innovation technique du nucléaire que les stratégistes ont développé une stratégie autonome, donnant d'ailleurs naissance à ces théories de la dissuasion. Certes, la notion de dissuasion a toujours existé peu ou prou dans la stratégie. Il reste que le nucléaire lui a donné une nouvelle acception et qu'on ne peut plus, aujourd’hui, parler de la dissuasion comme on le faisait naguère.
5/ Le cyberespace est conditionné par la technique et il faut, effectivement, en connaître les principes de fonctionnement : tout d'abord sa division en plusieurs couches (on ne peut réduire le cyber à la seule couche logicielle, ne vous en déplaise monseigneur), et à l'intérieur de la couche logicielle, apercevoir la différence entre les codages (propres au dialogue homme machine) et les protocoles (propres aux dialogues entre machines au travers des réseaux). Comprendre aussi, par un dialogue avec les spécialistes, les limitations actuelles de sécurité liées aux conditions techniques (matérielles et logicielles) qui régissent actuellement le cyberespace.
6/ Faut-il pour autant connaître les détails du tunnel SSH ou de la bi-clef asymétrique (tiens, ça me rappelle mes cours de SSI, il y a trois fois 33 ans à Rennes) ? en fait je n'en suis pas si sûr. Revenons à Luttwak qui distingue un certain nombre de niveaux stratégiques : tout en bas gît la technique, puis la tactique, puis l'opératique puis le stratégique (avant de poser la question des relations entre stratégie militaire et grande stratégie). La technique est importante, puisqu'elle constitue le soubassement au système stratégique. Mais elle n'est pas aussi déterminante que bien des techniciens le croient.
7/ J'apporte aussitôt une nuance : il y a bien des considérations de stratégie technologique. D'ailleurs, quand j'évoquais cette proposition devant le même cénacle, que n'ai-je entendu ? Précisons donc les choses : le passage de l'IPv4 à l'IPv6 constitue un saut technologique : il a des conséquences stratégiques, et il n'est pas anodin que ce soient surtout les Chinois qui promeuvent cet IPv6. Et il n'est pas anodin non plus que les Américains développent un nouveau protocole Internet "sécurisé", pour eux et, sous conditions (!!!), pour leurs "amis". Autre exemple : quand le rapport Bockel recommande de ne pas prendre les routeurs Huawei, c'est bien parce que dans les configurations techniques, on incorpore désormais des backdoors physiques qui entravent la sécurité. On pourrait à l’évidence multiplier les exemples. Mais ce ne sont que des exemples, des applications de considérations stratégiques. La recommandation de Bockel est "stratégique", parce qu'il a écouté des techniciens et qu'il en a été convaincu. Mais sa recommandation est sous-tendue par un diagnostic stratégique (pour faire simple "méfions-nous des Chinois").
8/ Bref : le cyberstratège doit bien sûr poser des questions, s'intéresser aux aspects techniques (et aller un peu plus loin que le seul DDOS, je vous l'accorde). Mais ne vous en déplaise, la cyberstratégie n'est pas réservée aux seuls spécialistes techniques de la chose.
O. Kempf
Commentaires
Que voilà des réflexions intéressantes ! Continue comme cela et je vais te harponner pour intervenir dans mon séminaire EHESS. Tu n'y couperas pas et je n'accepterai aucune dérobade...
Plaisanterie mise à part, je commence à réfléchir à l'architecture (!) d'une séance entièrement consacrée à l'exploration d'une possible définition de l' "éther", dont je pense que le cyberespace fait partie.
A suivre ?
egea à suivre
Bonsoir,
Intervertissez donc les places du stratège d'entreprise et du stratège militaire à la tête de leur structure propre, je doute d'un succès systématique.
Vos interlocuteurs et vous-même, parlez-vous de stratège ou de stratégiste ?
J'aurais tendance à penser que le cyberstratégiste peut être tout y compris un non spécialiste technique issu du giron.
Mais que le cyberstratège, lui, le conducator ou dux cyberbellorum, devra bel et bien être issu d'une la double culture.
PS : il est surprenant de voir que les machines communiquent mieux entre elles que les humains entre eux. L'épure du protocole ou du codage semble supérieure à la complexité de la communication humaine et ses toujours possible arrière-pensées et autres non-dits.
Au point que nous devons nous défier de ces machines naïves qui acceptent de parler par leur ports ouverts dans ce but au premier codon qui passe.
Si les Lois d'Asimov doivent un jour prendre "corps", il faudra penser à éveiller-éduquer nos innocents robots au risque de la cyberprédation.
Bien à vous,
Cl'H
Oui, au-delà du : « ne vous en déplaise, la cyberstratégie n'est pas réservée aux seuls spécialistes techniques de la chose. » Ne voyez là aucune malice de ma part, cela me renvoie à Pierre Dac et à quelques-unes une de ses pensées qui ne sont pas si éloignées de cette réflexion. Ainsi : "La véritable modestie consiste à ne jamais se prendre pour moins que ce qu'on estime qu'on croit qu'on vaut " ce qui vous en conviendrez encourage à parler de choses que l’on ne maitrise pas forcément.. D’ailleurs il faut reconnaitre que rarement les ministres, supposés compétents dans une technique, réussissent dans un ministère de leur compétence supposée. Ce qui est un grand encouragement pour les réputés incompétents.
« Quand ça ne tourne pas rond dans le carré de l'hypoténuse, c'est signe qu'il est grand temps de prendre les virages en ligne droite » me renvoie à quelques idées lumineuses et récentes de stratégies où on mêle allègrement asymétrie et dissymétrie et quelques inventions de type « Green cell » outil génial mis à la disposition du chef pour lui permettre de mieux comprendre l’environnement de l’engagement, les données du problème, le tout dans le respect des valeurs, croyances ou perceptions de la population locale. Ce qui est censé lui permettre de concevoir le mode d’action le plus pertinent sur le milieu tout en atteignant les objectifs militaires assignés. Bref on a bâti des outils de préparation divers et variés en constituant des bases de données fiables et claires pour élaborer une matrice baptisée ASCOPE/PMESII, du genre usine à gaz dont l’avantage est d’expliquer les échecs et surtout de se donner bonne conscience.. Pour finalement avoir un TIC en ayant la connaissance profonde de la culture des agresseurs.. L’Afghanistan en est un exemple. Mais il est vrai que : « Dans la connaissance du monde, ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux ».
Bonjour,
Comme tu ne le sais que trop bien j'ai été amené à me plonger plus en avant dans la théorie générale du cyber récemment. Et j'ai été aussi confronté à cette question.
Après réflexion, j'en suis parvenu à la conclusion qu'un bagage technique minimum était nécessaire, sans quoi le propos en viendrait à être confus, ou pire, erroné. Sans compter le fait que celui qui tenterait de masquer sa méconnaissance du sujet se réfugierait dans les analogies boîteuses et les paralogismes (ex. la dissuasion nucléaire comme je ne le lis que trop souvent).
Le strategos (n'oublions pas que cybernétique vient aussi du grec ancien) doit connaître la technique à un seuil respectable, pas en détail car ce n'est aucunement son rôle, mais de manière suffisante pour savoir coordonner les éléments, les acteurs et les idées pour en faire aboutir un schéma d'ensemble destiné à l'action.
De ce fait, je m'oppose à la cybersécurité comme à la cyberdéfense (tiens d'ailleurs les Russes joignent les deux à ce propos) comme synonymes de la cyberstratégie. Il y a un niveau technique comme un niveau de vision du champ d'activité qui n'est pas le même du tout.
Maintenant pour ma part je commence à me poser la question de la cyberopératique. Pure spéculation intellectuelle? Je ne sais trop encore, j'amorce seulement cet axe de réflexion.
Cordialement
Reconnaître son ignorance en la matière est en tout cas un premier pas dans la bonne direction pour échafauder une stratégie viable.
Le prochain pas serait de déterminer qui peut proposer des conseils. J'observerais qu'en se posant la question, on y répond à moitié: pas forcément les grands génies de Polytechnique et Co, car si la réponse était si évidente, on ne se poserait pas la question.
Ensuite, on constatera que le détail du cyber restera toujours du chinois tant qu'on ne se sera pas initié á l'apprentisssage d'un langage informatique. Pour cela, il existe de nombreux sites proposant des tutoriels pour tous les niveaux et tous les langages informatiques. On pourra s'initier avec Qt (www.qt.digia.com), qui est un EDI gatuit, pour apprendre le C/C++ entre autres. Ou alors le html, un des langages pour la programmation d'une page internet. De manière générale, on peut demander conseil à un informaticien, par exemple celui du service info de sa boîte; en général, ses compétences dépassent le champ du rechargement des cartouches de la photocopieuse. Sinon, aller sur developpez.com.
Quant au sujet, est-ce qu'un ébéniste ferait un bon garagiste sous prétexte qu'il a déjà l'habitude d'utiliser un marteau et un tournevis?
cybersalut
égéa : ouarf à la suite de la dernière question. Mais on m'a aussi dit qu'il y avait des marteaux de mécano, qui n'étaient pas les mêmes que les marteaux de menuisiers....
Bonjour OK,
Je crains fort que votre bon ami ait raison : la cybersécurité, quel que soit le domaine où on la décline "Défense, Sécurité intérieure, SAIV, etc", est un sujet hypertechnique. Il me semble d'ailleurs que les véritables spécialistes sont très rares ...et qu'il ne suffit pas d'être geek ou nerd pour y exceller.
Comme le dit Colin L'hermet, "le cyberstratège, lui, le conducator ou dux cyberbellorum, devra bel et bien être issu d'une la double culture ...".
Le sénateur Bockel me fait de la peine : "Se méfier des chinois !" C'est court comme axe stratégique. De plus, je ne pense pas qu'il ait la formation et le niveau pour dégager des orientations stratégiques sur la base de sa compréhension technique du sujet ...et de ce que peuvent lui murmurer des experts voire des pseudo-experts. A mon avis, il serait plus urgent de se méfier des USA, d'Israël, pays à forte dimension patriotique où les services secrets sont à même d'influencer très fortement les constructeurs nationaux. Je soupconne nos services d'en faire autant en ce qui concerne nos fabricants d'équipements de chiffrement.
Ce que je trouve le plus affligeant, c'est de lui donner crédit en écrivant : "le passage de l'IPv4 à l'IPv6 constitue un saut technologique : il a des conséquences stratégiques, et il n'est pas anodin que ce soient surtout les Chinois qui promeuvent cet IPv6...".
Selon moi, ce n'est pas un saut technologique (simple évolution du protocole IP avec la généralisation d'IPSEC ...) et si les Chinois s'y intéressent, c'est surtout parce qu'ils n'ont pas le choix et qu'ils souffrent (Eux en particulier mais l'Asie en général) des limitations de l'adressage IPV4. Je n'y vois aucun machiavélisme !
Dans l'état actuel, les systèmes informatiques sont réalisés sur des bases de deux types: 1) les bases propriétaires telles que Windows 2) les bases "libres" telles que Linux.
De plus, la complexité des logiciels (dont un bon paquets de fonctions ne servent d'ailleurs à rien) fait qu'on ne développe plus en "parlant" au processeur, mais via des compilateurs.
Bon, j'explique: un ordinateur c'est un processeur et ce processeur ne connait QU'UN langage: l'assembleur (ou "langage machine"). Quand on programme en langage machine, une ligne de code = une instruction pour le processeur. Grosso modo, pour afficher coucou à l'écran, ça demande quelques dizaines de pages de code. Comme c'est pas pratique, on a inventé les langages évolués: Pascal, Basic, Fortran, Modula, Lisp, Prolog, C, C++, C# etc... TOUS opèrent de la même manière: on a un langage "un peu humain", on tape donc des ordres dans ce langage (print "coucou"), puis un "compilateur" transforme ça en langage machine (puisque de toutes façons c'est le SEUL langage que comprend le processeur).
A partir de là, on se dit "ben oui, mais je peux taper ce que je veux, je vais toujours passer par le compilateur donc ce traducteur?" La réponse est OUI. Or le code généré par le compilateur oscille entre bon et "tout pourri". Et surtout, avec un peu d'habitude, on sait le reconnaitre. Donc dés le départ on peu "craquer" le code, mais surtout, on est tributaire du compilateur: s'il est buggué, on aura du code buggué et juste nos yeux pour pleurer.
Alors comment faire? l'idéal serait de faire tourner les outils "sensibles" sur des systèmes ouverts que l'on modifie et de réaliser les briques directement en assembleur.
Mais bon juste pour le fun, ça, c'est 4 lignes d'Assembleur PPC:
lhz r22,0(r20) // je lis un Half-Word ( 16 bits )
not r22,r22 // un coup de not
sth r22,0(r20) // etje reecrit
addi r20,r20,2 // et on inc le pointeur
Donc c'est pas gagné. L'ASM Intel c'est un plus facile, le plus accessible restant celui de la famille des 68k de chez Motorola. L'ASM sur les processeurs ARM, c'est également assez bizarre.
Ah, pour finir: html n'est pas un langage de programmation. C'est un langage de description, comme Postscript.
Pour répondre à OK: les marteaux de mécano ne sont effectivement pas les mêmes que ceux de menuisier. Je m'en souviens bien parce que mon petit papa chéri me tirait les oreilles que j'utilisais un marteau de mécano (carrossier plutôt) pour enfoncer des clous....
"Farpaitement, Machin a raison !"
Prosaïquement, on ne peut être dans et hors à la fois.
L'absence de connaissance du dedans permet d'être spectateur, de procurer un recul.
Mais le strategos se doit de savoir de quoi meurent ses troupes.
Sans la compréhension de la tekne mise en oeuvre à la fois par et contre ses rangs, il ne peut rien comprendre du schéma global.
Lorsque surviennent ces échecs, c'est le temps de l'effroi, de la panique, de l'impression d'une frappe invisible. Voyez les dégâts occasionnés par l'incompréhension des phénomènes, vite palliés par la superstition ou la vulgate.
Les gaz, insidieux. Les agents bactériologiques, délétères. Les shutdown, paniquants. L'immatériel est cause d'effroi.
"Toute technologie qui serait suffisamment avancée serait indiscernable de la magie" (Arthur Charles Clarke, in Profiles of the Future, rééd.1973)
Donc, comment diriger ses troupes si l'on ne comprend pas la =matérialité vraie= du théâtre ?
Cela exclut le pur innocent.
Reste le néophyte ?
Vous avez montré que le champ informationnel cyber est anthropogène, et qu'une part non négligeable de sa composition est une couche matérielle et un interfaçage de communication codifiée pour ne pas dire codée. Sa 3eme composante, sémantique, est plus volatile, c'est d'ailleurs la seule.
Donc la préhension du champ informationnel cyber dépend majoritairement de la tekne.
Apporter une vision-réflexion atechnique n'est pas interdit, il est même bénéfique en ce que ce serait un apport d'une vision épurée à un bon sens étranger aux modes de fonctionnement, et donc non prisonnier de leurs usages.
C'est un inducteur de rupture stratégique.
Pas un élement de continuum stratégique.
Or on attend du strategos la gestion d'un continuum stratégique. Il ne peut être un stratège brownien, un vibrion libre qui inventerait à chaque fois.
Ce rôle de disrupteur, occasionnel, appartient à un conseiller, à un séide un tant soit peu indépendant, à un beau-frère qui passe par là.
Donc, oui, docteur, il semble se dégager que la menée stratégique dans le champ informationnel cyber serait bel et bien réservée à ceux qui ont =un minimum= de base lexicale et cognitive commune avec les geeks et autres nerds ; l'affinité avec eux ne suffit pas.
Sinon on est "simplement" socio-anthropologue.
Ce qui n'est pas si mal, déjà.
Puisque l'on est de ce fait contributeur à une réflexion stratégique.
Sans pourvoir en être Le stratège.
Bien respectueusement,
Colin./.
Un peu de lecture
http://www.shervinemami.info/armAss...
Bonjour,
J'ajoute un élément à mon babil.
Etre stratège : une qualité ou une fonction ?
Votre réflexion porte souvent sur la stratégie et parfois sur le(s) stratège(s).
Mais dans le cas de la venue d'un cyberstratège, vous n'avez somme toute cerné que ses capacités-qualités.
Mais il y a un type de stratège que vous n'abordez pas. Le stratège coopté. Celui qui fait l'objet d'une acceptation-désignation par a) ses pairs b) ses adversaires et c) le public, qui tous s'accordent à lui reconnaître la qualité stratégique.
Et il est compréhensible que vous n'abordiez pas cette figure, car elle peut être, majoritairement, celle du faux stratège : un virtuose de l'opératique, les pieds et les mains dans le concret du théâtre, et qui a mené de telle façon que des gains ont été notables à l'échelon stratégique.
Or le stratège dont on parle pour le champ informationnel cyber, est encore autant en gestation que son champ d'action.
La stratégie y est encore collective, protéiforme sinon sans forme aboutie.
Le strategos du champ informationnel cyber sera pour l'heure un cador de l'opératique. Et pas un gars issu du rang, dans un mouvement bottom-up.
Le stratège désigné le sera selon une méthode up-down qui portera un haut cadre ou un haut fonctionnaire à la tête de sa cellule stratégique.
Pour l'heure, le cyber est suffisamment en friche pour permettre, soyons clair, à des petits fretins de se hisser dans les sphères opératiques voire stratégiques.
Mais la finalité de la réflexion, à laquelle néophytes, sociologues et débiteurs de sornettes comme moi s'invitent pour l'heure, sera de fermer-figer l'exercice et de poser le verrou de l'autorité sur le chmap de la réflexion.
Qui aujourd'hui peut dire qu'il contribue à la doctrine atomique, pardon, nucléaire, de la France, sans faire partie d'un cercle de happy-few ?
Il en sera de même pour le champ informationnel cyber : s'il se comprend (enfin !) stratégique au sens des intérêts vitaux de la Nation, =et au sens des moyens à y allouer, (c'est pas le CNN !)=, il deviendra inaccessible et imperméable à la réflexion stratégique telle que vous la professez sur ce blog, car il sera préempté par des structures étatiques d'élaboration et de conduite de cette cyberstratégie. On sera peut-être même plus dans cette fameuse opératique (gérer du concret-matériel avec une forte composante de sémantique).
Avec un X-Ponts-Supelec-IGA à sa tête, qui en saura "très beaucoup" (mais pas tout, c'est évident) sur la technique.
Pourquoi pas SD ou PP ?
Bien à vous,
Colin./.
egea : Moui. L'hypertechnicien ne sera pas un informaticien cyberprogrammeur, mais le polytechnicien qui appartient à l'aristocratie de l'Etat. Or, les dernières productions stratégiques des polytechniciens ne m'ont pas enthousiasmé, c'est le moins qu'on puisse dire. D'ailleurs, je n'en ai pas parlé : un voile pudique dont le silence contrastait avec la prétentieux de celui qui expliquait que depuis Clausewitz et Galula (élevé, rien que moins, au rang de grand penseur, c'est dire la fatuité de notre auteur), il n'y avait plus eu de pensée stratégique. Castex, Beaufre et Gallois se sont retournés dans leurs tombes.
Cela étant, il est assez amusant de constater que tous les techniciens qui commentent ce billet tiennent pour acquis qu'eux sauront, sans difficulté, faire de la stratégie. Fichtre : le bagage technique cyber est indispensable, mais le bagage technique stratégique est de na gnognote, à la portée de n'importe quel quidam venu (on en revient un peu à ce que je disais du précédent, d'ailleurs). Éternel morgue des sciences dures envers les sciences molles. D'autant que la stratégie n'est pas uen science mais un art, cf. la citation de Beaufre, qui parle en outre de dialectique. Mais la dialectique ne se met pas en équations, messeigneurs !
re:
Comme quoi même ceux qu'on croirait cousins ne sont en tout cas pas voisins. C'en est à devenir marteau.
C'est quoi le CYBER,
l’Afghanistan en pire, un endroit en guerre depuis sa création, avec ses zones pacifiées mais jusqu'à quand ou "l'homme en tant que genre humain" reste le maillon faible ou l’ennemi.
Y a t il eu une stratégie qui a marché en Afghanistan, pas vraiment a ma connaissance sur une longue durée.
on aura beau créé une stratégie de toute beauté, on trouvera toujours quelqu'un pour penser autrement ou utiliser nos faiblesses(le couillon derrière le clavier en premier lieu)pour nous mettre sur le dos.
l'Afghanistan quoi.
Technique pas technique, pour faire la guerre ou pour se protéger il faut au moins connaitre le langage utilisé pour se faire comprendre de ses soldats ( Vous voyez,le compilateur pour dialoguer avec le processeur).
al
Un petit truc oublié dans les précédents messages: on parle de "cyber" donc dans un certain sens de "piratage" des données. Mais le gentil qui a les données, cherche à les protéger (normal). Pour cela, il va tenter de sécuriser son système mais il va aussi tenter de tester la vulnérabilité de son système. Pour cela il va utiliser des outils de tests.
Le premier a avoir été développé réellement pour ça, avec une grande diffusion, c'est SATAN. Cherchez "SATAN Admin" sur Google et vous trouverez pas mal d'info. Depuis, des versions plus performantes ont été développées (SAINT par exemple, ou Nessus ou SARA), mais le texte sur la page officiel de SATAN donne une bonne idée des dangers.
Surtout qu'il y a un point assez vicieux: SATAN et pas mal d'autres outils de ce genre sont en licences libre. En clair, vous administrateur, allez utiliser SATAN pour tester votre système, mais le pirate va également utiliser SATAN, à des fins différentes. Et comme chacun peut avoir les sources de ces outils, c'est facile de savoir comment ça marche (SATAN c'est écrit en Perl).
Amitiés
Pierre-Louis