mercredi 29 octobre 2014

L'air-gap ou (l'état de) l'art des cyberattaques

La cybersécurité n'est peut-être pas une science mais c'est sans doute un art, en particulier si l'on se place du côté de l'attaquant. Attaquant pour qui tout objet informatique, simple ou complexe, sur la route (1), dans le ciel (2), en orbite (3) voire sous les océans (4) est une cible potentielle par goût du jeu, du défi technique ou de la malveillance tactique. L'affaire Stuxnet (5) qui a souligné combien l'air-gap, c'est à dire l'utilisation d'une architecture informatique non-connectée (à Internet et/ou un autre réseau interne) et protégée à ses frontières, n'était que le symbole complexe et évolué d'un vrai-faux sentiment de sécurité. Et qu'un adversaire sérieux, c'est à dire dont le commanditaire disposait de ressources financières et techniques très importantes, pouvait se donner le temps d'atteindre une cible extrêmement protégée. A la mesure des moyens mis en œuvre pour protéger un bien dont la haute valeur est proportionnelle aux mesures de défense passives et actives mises en œuvre.

Maintenant, imaginons un bâtiment gouvernemental dans un pays moderne selon les critères communément admis. Bien protégé, il faut montrer patte blanche pour y pénétrer, les ordinateurs sont durcis et connectés à un réseau respectant l'état de l'art d'un système d'information sécurisé (6) et évidemment déconnecté d'Internet, les droits des utilisateurs sont à "moindres privilèges" et les ressources accessibles le sont en fonction du seul besoin d'en connaître. En bref, il est très difficile sinon extrêmement improbable pour un attaquant de pénétrer ce réseau. Prenons maintenant un drone Phantom 2 Vision Quadcopter et, après quelques essais, adjoignons-lui un laser bleu (7) pointé vers une imprimante multi-fonctions de type HP Officet Jet Pro 8500 à plusieurs centaines de mètres. Le laser envoie des instructions au travers d'impulsions binaires décodées par l'imprimante, instructions qui sont en réalité un code malveillant modifiant certaines fonctionnalités. Contrôlée à distance, l'imprimante est capable d'utiliser la lumière de son scanner en impulsions binaires captées par la caméra du drone. Il ne reste ensuite qu'à décoder les données envoyées pour les assembler et les transformer en information exploitable. 

Science-fiction ? Pas vraiment puisqu'il s'agit d'une présentation effectuée lors de la dernière Black Hat Europe par Adi Shamir (8), l'un des pères de l'algorithme de chiffrement asymétrique RSA (9). Au-delà du respect que peut provoquer une telle ingéniosité, que peut nous inspirer une telle cyberattaque (potentielle) ? Tout d'abord, si la problématique air-gap semble relativement récente (10), elle est en réalité plus ancienne et la protection que la coupure physique semble apporter a toujours été battue en brèche par les experts qui n'y voient qu'une "illusion" (11) dangereuse. Relevons ensuite que les attaques constatées sont, pour le moment, inexistantes (12). Car, comme le dit Bruce Schneier (13) "les air-gaps peuvent être conceptuellement simples mais difficiles à maintenir en pratique". Qu'ensuite la tendance d'une augmentation des "preuves de concept" et autres travaux de recherche sur les cyberattaques concentrés sur les air-gaps devrait se confirmer à l'avenir. Et que les Israéliens semblent plutôt en pointe sur ce sujet (14). Enfin, sur cette typologie d'attaques mais pas seulement, les attaquants ont un coup d'avance, peut-être plus. Voilà qui devrait en conforter certains (15) et en inquiéter d'autres (16). Ou l'inverse !


(9) Ronald Rivest Adi Shamir Leonard Adleman
(12) médiatiquement parlant ce qui ne veut pas dire qu'elles ne sont pas utilisées...avec un certain succès puisque non-détectées donc non-révélées (?)
(13) https://www.schneier.com/blog/archives/2013/10/air_gaps.html qui propose aussi un ensemble de mesures destinées à réaliser un "bon" air-gap

mercredi 22 octobre 2014

Entretien EchoRadar avec Gwendal Rouillard (député du Morbihan et modérateur aux 2èmes rencontres parlementaires de la cybersécurité)

Partenaire média de Défense & Stratégie dans le cadre des "2èmes Rencontres Parlementaires de la cybersécurité" qui auront lieu demain, jeudi 23 octobre 2014, EchoRadar a l'honneur de vous proposer un entretien avec Gwendal Rouillard, député de la 5ème circonscription du Morbihan et conseiller municipal de Lorient. Sensible aux questions de Défense et notamment aux enjeux liés à la cyberdéfense et à la cyberdéfense, Gwendal Rouillard animera la troisième table ronde qui s'intéresse à la déclinaison du plan Défense Cyber annoncé en janvier 2014 par le ministre de la Défense. L'occasion était donc toute trouvée de poser nos questions. Un entretien à retrouver sur le site d'EchoRadar.

lundi 13 octobre 2014

Terre, Air, Mer, Cyber ? La 4ème armée entre coup de com et réalités

Le ministre de la Défense, Jean-Yves Le Drian, a récemment fait part de son sentiment quant à la création, dans un proche avenir (“demain”) d’une quatrième armée cyber. Au même titre que l’Armée de terre, la Marine nationale et l’Armée de l’air, l’Armée de cyberdéfense serait donc pourvue de structures organiques et fonctionnelles, d’un état-major et de prérogatives particulières. Une possibilité pour le moins étonnante du fait d’une distribution et d’une intégration des différents acteurs de la cyberdéfense au sein des structures militaires actuelles. Cet article cherche à comprendre la réalité d’une telle évolution ou si les propos du ministre ne sont pas, pour l’essentiel, qu’un habile “coup de com”.

La suite de cet article, rédigé avec l'auteur du blog Le Fauteuil de Colbert, est à lire sur le site d'EchoRadar.

lundi 6 octobre 2014

mercredi 1 octobre 2014

Quatrième édition du mois européen de la cybersécurité

Comme les vendanges tardives, le mois européen de la cybersécurité (1) est de retour. Une quatrième édition enfin marquée par l'essor de cette manifestation qui débute dès aujourd'hui par une conférence à Bruxelles (2). Si seuls quelques pays avaient répondu à l'invitation de l'ENISA lors des éditions 2011 et 2012 (3), 2013 avait vu l'apparition timide des grandes nations du cyber européen à l'instar de la France (4). Il faut croire que la croissance des cyberattaques, la loi de programmation militaire (LPM) 2014/2019 ou le dernier sommet de l'OTAN (5) sont enfin venus pousser les grands "timides" à participer davantage. Mais au fait, c'est quoi le mois européen de la cybersécurité ?

mardi 16 septembre 2014

Entretien EchoRadar avec Isabelle Tisserand (Sécurité alternative)

Le collectif EchoRadar, dont je suis l'un des heureux membres cofondateurs,  continue sa phase de croissance au sein de la sphère "défense et sécurité" francophone.  Ce week-end, c'est l'ouverture du site web qui est venue bousculer les activités  de certains d'entre nous. Hier matin, sur la lancée de cette naissance désirée, nous avons pu inaugurer une toute nouvelle rubrique  que nous souhaitons pérenne : l’Écho du mois.

Son principe, simple et de facture classique,  est de s'entretenir avec une personnalité "dont l’action s’inscrit dans les thèmes relatifs à  la stratégie, à ses diverses variantes, à ses évolutions technologiques et à leur influence sur celle-ci". Isabelle Tisserand, dont ce blog a récemment fait la recension de l'ouvrage "Sécurité alternative" (1) et relaté l'intervention qui  y était consacrée lors du Cercle Stratégia (2) du mois de juin, nous a fait l'amitié d'étrenner la rubrique. Un entretien frais et percutant à lire en exclusivité sur EchoRadar.


(1) http://si-vis.blogspot.fr/2014/06/recension-du-livre-dentretiens-securite.html
(2) http://si-vis.blogspot.fr/2014/06/cercle-strategia-du-25-juin-2014.html

lundi 8 septembre 2014

Quel est le seuil pour invoquer l'article 5 de l'OTAN en cas de cyberattaque ?


Crise en Ukraine, "instabilité croissante au voisinage mériodional de l'Alliance, du Moyen-Orient à l'Afrique du Nord, menaces transnationales et multidimensionnnelles" (1). C'est manier la litote et enfoncer une porte grande ouverte d'affirmer que le dernier sommet de l'OTAN qui vient d'avoir lieu au Pays de Galles était attendu. Alors que l'édition révisée de "l'OTAN au 21ème siècle" rédigée par l'allié et ami Olivier Kempf (2) est une heureuse coïncidence, cet article se focalise sur la déclaration (3) du communiqué final qui autorise dorénavant l'invocation de l'article 5 à la suite d'une cyberattaque de l'un de ses membres.

dimanche 31 août 2014

L'intéressant rapport "Atteindre la supériorité de l'information. Cinq impératifs pour la transformation militaire"

Booz & Company (1), "l'un des plus importants cabinets de conseil en stratégie dans le monde" (2), vient de publier un intéressant rapport d'une douzaine de pages (3) expliquant l'intérêt d'atteindre la "supériorité de l'information", qui est "un critère déterminant du succès d'une mission". Notons tout d'abord que l'utilisation des termes "supériorité de l'information" est très proche du concept étasunien de "domination de l'information" (information dominance) élaboré dès la fin des années 70 et qui a, depuis, structuré nombre d'innovations et de concepts U.S. en matière de "cyber warfare". Sans doute un peu moins agressif dans les termes, rechercher la supériorité de l'information peut être rapproché de la doctrine "Air dominance", chère à l'U.S. Air Force et à de nombreux officiers un peu partout dans le monde. Coïncidence, peut être, puisque l'on sait les aviateurs très en pointe sur le cyber aux USA depuis plus d'une décennie.

vendredi 15 août 2014

Protection des données "client" et "projet" : le "prestaleak" a-t-il commencé ?

J'ai récemment été interviewé par deux étudiants (1), l'un en doctorat, l'autre un master, les deux mémoires traitant notamment des "Partenariats Public Privé" (PPP) relatifs à la cybersécurité. L'une des questions à laquelle j'ai été confrontée était de savoir si "une externalisation des services et prestations de cybersécurité pourrait se poser comme solution au déficit de  moyens humains et financiers des services de l’État ?". Une interrogation qui m'a amené à souligner un risque qui semble émerger du côté du secteur privé et qui, par conséquence, pourrait aussi toucher les services de l’État. 

Ce risque concerne le vol d'informations "client" et "projet" chez certains prestataires/consultants naïfs, laxistes ou inconscients (2) du fait d'usages à risques. Qu'importe qu'ils interviennent pour le secteur public ou le secteur privé : la plupart sont des cibles potentielles privilégiées. (3)

lundi 21 juillet 2014

« Forces et illusions de la francophonie », la conférence d'Erik Orsenna aux Lundis de l'IHEDN

Les Lundis de l'IHEDN (1) ont clôturé leur belle saison 2013-2014 de conférences (2) par l'intervention enlevée, lundi 23 juin 2014, pleine de finesse et teintée d'humour, d'Erik Orsenna. Conseiller d’État, académicien et bien-sûr écrivain, c'est dans un amphithéâtre Foch plein que M. Orsenna est venu présenter sa vision de la francophonie. S'appuyant sur de nombreux déplacements internationaux depuis des décennies mais également l'expérience politique de l'exercice du pouvoir, son œil d'écrivain lui donne sans doute l'acuité nécessaire pour garder la bonne distance aux événements auxquels il a participé ou assisté.

mercredi 16 juillet 2014

1914-1918 : du sous-marin à la détection sous-marine, une guerre d’innovations

La Première guerre mondiale ne fut pas seulement le massacre de millions d'hommes, tués, blessés ou estropiés à tout jamais. C'est aussi un conflit qui permit l'émergence de nombreuses innovations scientifiques et techniques dans les domaines de la chimie, du médical, de l'ingénierie, etc. Dans le cadre du dossier commémoratif 1914-1918 réalisé au profit d'EchoRadar, je vous propose un regard sur plusieurs innovations ayant trait au domaine maritime : les sous-marins et la détection de la menace qu'ils font peser sur les navires de surface.

http://i0.wp.com/listverse.com/wp-content/uploads/2013/07/UB_148_at_sea-e1373666561558.jpg?resize=632%2C359
(Source)

La 1ère Guerre mondiale reste, dans l’inconscient collectif, marquée par de terribles combats d’infanterie et d’artillerie. Ce conflit, considéré comme le premier conflit moderne de l’ère industrielle, possède, entre autres, la caractéristique de se produire simultanément sur terre, en mer et dans les airs. A l’émergence de l’aviation, dont l’emploi deviendra stratégique trois décennies plus tard, répondirent de nombreux affrontements maritimes. Essentiellement en surface mais, fait totalement nouveau, également sous la surface grâce à l’emploi d’une nouvelle arme : les sous-marins.

dimanche 13 juillet 2014

Été 1914 : un autre monde ?

Ce blog rejoint la communauté EchoRadar () qui est une plate-forme de blogs fédérant des professionnels et des passionnés de stratégie, de sécurité et de technologie. A l'occasion du centenaire de la Première guerre mondiale, EchoRadar participe à la commémoration de cet événement tragique en vous proposant un dossier "Été 1914 : un autre monde ?".


lundi 30 juin 2014

Fin d'AGS, articles à venir et (pas de) pause estivale

La période estivale est généralement propice à un ralentissement d'une activité quelle qu'elle soit. Ce blog, pour de nombreuses raisons, a anticipé ce ralentissement depuis plusieurs mois déjà. Pour autant, je maintiendrai une activité durant tout l'été, sur ce blog comme sur son compte Twitter associé (1). Revue sommaire des changements liés à l'arrêt de l'Alliance géostratégique, évocation des articles à venir et propositions de lectures du type "cahier de vacances" :-)

lundi 23 juin 2014

Cercle Stratégia du 25 juin 2014 - Présentation du livre d'entretiens "Sécurité alternative"

Le Cercle Stratégia recevra le mercredi 25 juin 2014 le docteur Isabelle TISSERAND, anthropologue médical, Alain JUILLET, Président du CDSE, Jean-Luc DELCROIX, Directeur de la Poste Monaco, et Jean-François CLERVOY, astronaute à l'ESA, pour un petit-déjeuner débat à l'occasion de la parution aux Éditions de L'Harmattan de l'ouvrage d'entretiens :

"SECURITE ALTERNATIVE" (Une réponse aux futures menaces ?)

Cette rencontres, qui se déroulera dans les salons du Bateau Maxim's au Port de Suffren, sera orchestrée autour des interventions suivantes :
  • le concept de sécurité alternative, par le docteur Isabelle TISSERAND
  • l'intelligence économique et l'élaboration des stratégies de protection des patrimoines vitaux, par Alain JUILLET
  • la défense des opérateurs d'importance vitale (OIV), par Jean-Luc DELCROIX
  • la protection du patrimoine humain, par Jean-François CLERVOY
En attendant ce rendez-vous exceptionnel, auquel je participerai, je vous encourage à patienter en lisant la recension récemment consacrée à cet ouvrage.