Cybertactique
Par Olivier Kempf le lundi 3 décembre 2012, 20:38 - Cyber - Lien permanent
J'ai écrit, quelque part, "dans le cyberespace, il n'y a pas d'armes universelle". Une discussion avec SG m'amène à préciser ma pensée.
1/ Pensez à la notion de "pouvoir du chef". Un général peut avoir du pouvoir ur un nombre très grand de personnes, mais il aura peu d’effet sur chacun d'eux pris individuellement. En revanche, un sergent aura un pouvoir sur un faible nombre d'hommes (dix) mais il peut leur pourrir la vie (c'est le cas bien connu du "petit chef".
2/ Le nucléaire est une arme "universelle" en ce qu'elle peut pourrir la vie d'un très grand nombre de gens : c'est d'ailleurs cet aspect exceptionnel qui en fait sa nouveauté.
3/ Dans le cyber, comme dans le pouvoir des chefs, vous pouvez avoir des armes qui affectent un très grand nombre de personnes, mais avec peu d'effet. Ainsi, une DDOS peut mettre HS un serveur Internet, mais en général, cela dure un ou deux jours et tout revient dans l'ordre. En revanche, pour avoir un grand effet, il faut sélectionner et doc réduire la taille de la cible : au fond, il faut l'individualiser dans une sorte de processus de ciblage (tiens, il faudra qu'on réfléchisse à la notion de ciblage dans le cyberespace).
4/ Et les cibles les plus rentables sont, comme par hasard, les plus défendues. Dès lors, il faut fabriquer la cyberarme en fonction de la cybercible, selon le processus mis en évidence par Stuxnet. En ce sens, il 'y a pas de cyberarme universelle.
5/ Autre point, un peu connexe, celui de l'incertitude.
6/ De l’opacité du cyber, j'ai déduit un principe d'inattribution qui redonne place à des manœuvres stratégiques. Mais il faut aussi noter un autre principe (et je ne suis pas sûr qu'il soit relié à l'opacité : là encore, point à creuser), celui de l'incertitude.
7/ Dans les autres sphères stratégiques, j'ai une bonne estimation du niveau des forces de l'adversaire : je ne connais pas forcément son ordre de bataille en détail, mais j'ai des estimations sérieuses de on niveau : c'est d'ailleurs sur ces estimations que je vais fonder mon calcul stratégique, reposant à la base sur un rapport de force. Ce processus est forcément imprécis et laisse place à de nombreuses surprises stratégiques, dues à la distance entre l'estimation et la réalité (sans même introduire le facteur de la manœuvre de l'autre).
8/ En revanche, dans le cyberespace, j'ai de bien plus grandes difficultés à estimer l'ordre de bataille et les performances technologiques de l'adversaire. Ainsi, je sais que le Bénin n'a pas de porte-avion, que la Chine en a un mais pas encore opérationnel, etc.... Je peux donc classer ls flottes de combat. Dans le cyberespace, ce classement est moins évident, même si j'ai proposé des gammes stratégiques.
9/ Il s'ensuit une "incertitude stratégique" propre au cyberespace ! Cette incertitude affecte les calculs stratégiques.
O. Kempf
Commentaires
Bonjour,
au sujet de surprise, les trois notions décrites par le général DESPORTES dans "Décider dans l'incertitude" sont donc très pertinentes dans le cyberespace :
- Épaissir le brouillard protecteur (et dans le Cloudcomputing, il n'est pas très difficile d'installer un brouillard efficace).
- Développer l’expectative adverse
- Diminuer la capacité adverse de réduction de l’incertitude et de réaction ( mais là, il faut mettre en place des systèmes offensifs...)
Encore merci pour votre blog.
Pas d'arme universelle, certes, mais des armes à effet universel, oui.
- Le DOS est à mon avis le mauvais exemple, car même si c'est celui que tout le monde comprend, il n'a que des effets limités. Des effets gênants, retardateurs, oui, mais pas destructeurs.
- Stuxnet n'a pas pénalisé les Iraniens, mais juste le pouvoir iranien. C'était l'effet recherché, et cela prouve juste (à mon avis) qu'on peut avoir des cyber armes ciblées. Même si ce n'est pas forcément l'avis d'Air Liquide...
- Réduire la taille de la cible pour obtenir un grand effet, je serais prudent à ce sujet. La semaine dernière, j'ai parlé à des équipes R&D d'un fournisseur d'énergie, et il s'avère que les interconnexions entre fournisseurs sont telles que si l'un d'eux tombe, l'Europe chute (pour faire bref).
- D'où je déduirais que les cibles les plus rentables sont celles dont leur interconnexion (conçue comme un gage de retour rapide à la normale et qui constitue donc une vulnérabilité intrinsèque) augmente fortement les effets domino d'une attaque. Mais il faut alors viser plusieurs cibles simultanément pour éviter que la dite interconnexion ne contrecarre la manœuvre de destruction entreprise.
- Mais demeure l'intérêt à agir, car l'attaquant peut être une victime collatérale de son attaque (un peu comme pour le nucléaire avec l'indiscipline du nuage radioactif). On pourrait alors penser qu'un attaquant Amish (oui je les aime bien) pourrait mettre à genoux notre monde, mais comme ils sont Amish, ils n'ont pas d'ordinateurs, et le monde respire ;-)
Bonjour,
Je m'exprime là dessus Olivier car je m'oppose frontalement à la vision de Luttwak quant à la place du technique dans la hiérarchie de l'échelle des opérations. Selon moi, il n'est pas possible d'intégrer son schéma au milieu cyber : le technique n'est pas un niveau mais un facteur (non exclusif) déterminant l'échelle.
Ce qui rejoint le fait que plus une cible est stratégique, plus elle est difficile d'atteinte et plus elle réclame une accumulation de moyens humain, financier... et technique! Et bien entendu, une coordination et logistique de premier ordre.
La réflexion est ouverte, je continue de plancher dessus...
Cordialement
égéa : lis Luttwak. C'est toute la question de la stratégie des moyens. Mais c'est aussi toute la question des sphères artificielles et anthropogènes. Elles sont structurellement "techniques". Toutefois, l'air est ausi structurellement technique, et pourtant, sa stratégie ne dépend pas (que) de la technique. Autrement dit : facteur important, certes. Mais la stratégie est au dessus... Puisqu'elle est dialectique des volontés (Beaufre).
Merci pour cette toile très éclairante.
Et à bientôt pour le cyber-ciblage; les actions de son paramétrage doivent a priori y inclure aussi les protections nécessaires à diminuer l'effet boomerang, le retour de Flame...
Les spécialistes pourront infirmer ou confirmer!
Bonsoir à tous,
Je viens de parcourir votre billet, et je réagis à chaud, notamment par manque de temps, sur divers points. Aussi mon propos sera-t-il fort peu raffiné :
3/ : le ciblage et la réduction de la cible.
Il me semble que le jargon usité est pour cela "surface d'attaque". Et tout le ciblage, d'infrastructure comme de personne, emprunte très largement aux méthodes de rens' : environnement et criblage.
Si pour l'individu c'est évident (savoir le maximum de lui afin de lui envoyer un courriel forgé qu'il aura tendance à ouvrir car le jugeant fiable sur cet habillage de morceaux de vérité), il convient de se dire qu'une plage IP ne s'invente pas non plus, que le type d'OS (OperatingSystem) à cibler-attaquer ne se décrète pas, que le format de data souhaitées est d'ores et déjà figée chez la cible.
Aussi le ciblage de structure passe-t-il par un ENORME travail de profilage en amont. Une OS (OpérationSpéciale) se monte sur les mêmes fondements : reconnaissance jusqu'à connaissance du terrain, adaptation, camouflage, traitement, exfiltration des équipes et/ou des cibles. Autre objectif possible, plutôt emprunté aux CRAPS, c'est l'enfouissement sur place et la collecte temps réel et émettant par paquets diffus et concentrés, on est ici dans les APT.
Donc le ciblage dans le cyber emprunte plus au recueil du rens' ; c'est de l'analyse de cet environnement que naissent les choix tactiques de recourir à telle ou telle charge et forger tel ou tel ensemble vecteur-ogive-empaquetage.
C'est également de la qualité et du délai de ce ciblage que dépend le temps de conception de la cyberarme.
Quant au ciblage, dans une acception plus d'artillerie, il convient d'observer que le vecteur empaqueté pour être furtif n'est pas un Tomahawk. Il ne décide pas de son chemin avec une centrale inertielle pour rejoindre son objectif en radada.
Il emprunte les flux logistiques existant comme tout bon paquet qui se respecte. Par exemple il part vers une messagerie en empruntant au moins un SMTP classique pour arriver "le plus classiquement du monde" dans la boîte courrier de la cible, recouvert des oblitérations et contremarques attendues d'un courrier classique.
Donc pour moi, à ce jour et en l'état de l'art, le ciblage dans le cyber repose encore majoritairement sur des canaux humains et des procédures balisées : on n'en est pas encore à des process qui s'autorouteraient intelligemment. Et pour cause : tout programme ne réalise que ce qu'on lui a incluqué-appris-programmé. Or personne ne sait (à mon humble connaissance) cartographier indépendamment ni le cyber ni une route dans le cyber. Un expéditeur-sherpa est tributaire des séquences d'ouverture/fermeture des canaux de routage, redondants et démultipliés, qui font que plusieurs chemins mènent à la même destination.
6/ 7/ & Ph.Davadie : incertitude et connaissance des dispositifs et états adverses.
L'incertitude peut aller plus loin que la fixation ante bellum des forces adverses. Elle peut aller jusqu'à la teneur des effets obtenus.
Outre les effets de bords et autres collatéraux type AirLiqu., en allant jusqu'au cybernuagedérivant, se pose la question de la connaissance des dégâts-éléments de victoire.
J'aime à imaginer une APT, identifiée et "retournée" par les cibles, qui renvoient alors du baryum aux attaquants. Un peu de retroengineering, l'identification du protocole d'exfiltration des données, et son emploi pour intoxiquer l'assaillant. Le rêve.
Donc une incertitude ante bellum et également in bello.
En conclusion, je tendrais à considérer que toute cyber-arme-de-guerre est conçue-forgée pour une action définie. Son cahier des charges correspond à une étude d'armement avec ses critères décisifs et hiérarchisés.
Sa mise en oeuvre reprend une grande part des critères contextuels qui ont présidé au cahier des charges, c'est bien la moindre des efficacités attendues. Mais si l'équipe est très forte et bien financée (20 failles 0-Day à 150k$ pièce) on peut avoir une modularité de canif suisse et une relative capacité d'adaptation.
Tiens, en parlant de canif suisse :
Quant aux kits ridiculement peu sophistiqués qui pullulent sur le net, ils se rangeraient dans la 6e ou la 7e catégorie.
Vous pouvez vous faire trucider par une arme blanche comme par du 7,62 OTAN. Cela ne fait pas de Pierrot La Lame l'équivalent opérationnel d'un sniper.
L'expression d'une cyber conflictualité est accessible à tout un chacun par les lots de coutelas et canifs, c'est le DDoS ; l'attaque en bande armée de coutelas, gourdins, battes, et autres armes contondantes, c'est le ZomBotNet ; la cyber attaque sophistiquée ressortit du tueur à gages pour les méchants ou du Jason Bourne pour les gentils./.
"A l'affût sous les arbres, ils auraient eu leur chance, seulement de nos jours il y a de moins en
moins de techniciens pour le combat à pied, l'esprit fantassin n'existe plus ; c'est un tort."
"Dis donc je le connais pas celui-là. Il est nouveau ?
- C'est le petit dernier de chez beretta. J'te le conseille pour le combat de près, et puis pour les
coups à travers la poche, ou le métro ou l'autobus. Mais, note hein ? Faut en avoir l'usage, sans ça, au prix actuel, on l'amortit pas.
- Le prix passe, la qualité reste, c'est pas l'arme de tout le monde, ça !"
(M.Audiard, in Les Tontons Flingueurs, 1963)
Bien à vous,
CL'H./.