lundi 15 décembre 2014

Avant Stuxnet 2010 et Aramco 2012, BTC 2008 ?

La semaine qui vient de s'écouler aura particulièrement été riche en événements cyber. Pourtant, ce n'est ni la téléconférence d'Edward Snowden (1) ni la remarquable "surprise" (2) linuxienne Turla (3) qui retiennent mon attention. C'est davantage un incident qui s'est produit en août 2008 sur un oléoduc en Turquie et qui pourrait avoir été délibérément provoqué (4). En effet, des pirates informatiques utilisant une vulnérabilité logicielle des caméras de vidéosurveillance auraient réussir à s'introduire dans le système d'information, désactivé les alarmes, les communications et surtout modifié le débit du pétrole acheminé conduisant à la rupture explosive de l'une des 101 stations de vannes d'arrêt.

Pour commencer, plantons la scène à l'époque de l'événement puis attardons-nous sur les révélations des derniers jours. Le 5 août 2008, la station 30 de l'oléoduc Bakou-Tbilissi-Ceyhan (BTC) explose soudainement aux alentours de 23 heures à Refahiye en Turquie. L'oléoduc BTC inauguré en juillet 2006 est, comme toute infrastructure de transport de matière fossile, critique. Pour tout dire, des considérations géopolitiques (5) le rendent même particulièrement critique puisqu'il permet de mieux sécuriser l'approvisionnement énergétique d'un certain nombre de pays occidentaux, au premier rang desquels les États-Unis. Il permet aussi de contourner l'Iran qui permettrait pourtant de raccourcir significativement le chemin de transport, transporte environ 20% du pétrole importé par Israël et, enfin, réduit l'influence russe puisque, directement importé de la mer Caspienne, cette dernière ne dispose plus de prise sur aucune des opérations (de l'extraction au transport). Enfin, il permet de rapprocher deux pays de cette zone d'influence russe vers l'Europe et les États-Unis : l’Azerbaïdjan et la Géorgie. Du fait de ces considérations géopolitiques complexes, BTC a été conçu et est opéré comme l'un des oléoducs les plus sûrs au monde.

Ce qui éclaire cet épisode d'un certain nombre de questions, c'est la tension qui règne alors dans cette région du Caucase. L'explosion qui se produit sur l'oléoduc BTC intervient exactement trois jours avant le début du conflit qualifié de deuxième guerre d'Ossétie du Sud (6) entre la Géorgie, sa province séparatiste d'Ossétie du sud et surtout la Russie qui soutient cette dernière. Par ailleurs, à cette époque les accrochages entre la guérilla kurde et la Turquie sont nombreux, ce qui complique un peu plus un échiquier où se côtoient plusieurs acteurs antagonistes, les possibles et donc les hypothèses. A ce stade, la fuite des derniers jours rend l'histoire intéressante sinon vendeuse d'autant plus qu'elle se situe deux ans avant celle de Stuxnet. C'est sans doute pourquoi il convient de s'interroger prudemment et de ne pas tomber dans les arcanes d'un monde obscur où la manipulation le dispute à la désinformation.

La première raison d'être prudent concerne la source des fuites : des "services de renseignement" notamment Américains. Difficile de faire plus flou sinon nébuleux. La deuxième raison concerne l'absence de présentation d'une preuve tangible. Les éléments cités dans les différents articles ayant relayé l'information évoquent une preuve "circonstancielle" : si une soixantaine d'heures de vidéosurveillance ont été effacées par les pirates, une caméra infrarouge isolée a néanmoins pu filmer quelques jours avant l'explosion deux hommes équipés d'ordinateurs portables et habillés de combinaisons noires militaires, sans marques ni insignes distinctifs, similaires à celles employées par les forces spéciales russes ! La troisième raison est davantage une question : "pourquoi aujourd'hui ?" En effet, l'information que les Russes auraient utilisé des moyens cyber pour paralyser cet oléoduc et, indirectement, toucher la Géorgie avant de l'affronter par des moyens cette fois-ci militaires et conventionnels n'est pas récente. Dès 2009, un expert en cybersécurité (7) s'interrogeait, se basant sur les accusations publiées sur le site internet d'une télévision publique Géorgienne. Alors que les tensions entre l'Europe et les États-Unis d'une part et la Russie d'autre part sont vives depuis plusieurs mois du fait des affrontements en Ukraine, mettre au premier plan cette information n'est évidemment pas le fait du hasard.

A ce stade, il est possible de relever une similitude entre cette cyberattaque et Stuxnet même si le niveau de complexité est sans commune mesure : la modification des données remontées au contrôle des opérations de l'oléoduc ont permis de masquer un problème qui va produire une destruction. Dans un cas, les données modifiées ont fait croire que la vitesse des centrifugeuses nucléaires Iraniennes (Stuxnet) était dans la fourchette admise, dans l'autre elles ont permis de masquer la survenance d'une (sur)pression dans l'oléoduc. De plus, l'enquête aurait révélé l'utilisation de moyens complémentaires sophistiqués étant donnée la redondance des sécurités : les communications standard désactivées, une liaison de secours satellitaire aurait dû fonctionner. Seule une technique de brouillage a pu empêcher le fonctionnement du secours. Par ailleurs, il semble que les logs ont révélé la pénétration du système d'information aux heures où les seules images des deux suspects ont pu être visionnées. 

Pour conclure, si cette histoire apparait fort à propos du fait du contexte géopolitique actuel entre la Russie et l'Europe/États-Unis, elle est parfaitement réaliste tant du point de vue technique, un mix d'actions cinétiques et non-cinétiques, que chronologique et évidemment stratégique. Dès lors, les multiples avertissements lancés depuis des années par les autorités principalement Américaines mais aussi Européennes et notamment Françaises quant à la nécessité de mieux protéger l'ensemble des infrastructures critiques contre de possibles destructions apparaissent d'autant plus crédibles. Désormais, BTC 2008 pourrait marquer l'histoire cyber au même titre que Stuxnet 2010 et Aramco 2012.

Note : lire aussi le billet d'Egéa sur ce sujet


(2) A force de taper comme des sourds sur Windows depuis des années, certains feraient bien de se poser quelques questions fondamentales concernant les distributions Linux
(5) pour aller plus loin, on lira avec intérêt http://www1.rfi.fr/actufr/articles/065/article_36409.asp et http://www.universalis.fr/encyclopedie/oleoduc-bakou-tbilissi-ceyhan/  
(6) http://fr.wikipedia.org/wiki/Deuxi%C3%A8me_guerre_d%27Oss%C3%A9tie_du_Sud
(7) Il s'agit de Robert Huber, cofondateur de la société Critical Intelligence qui est spécialisée dans la cybersécurité des systèmes industriels. Un document réactualisé et à destination des média est ici disponible.

lundi 1 décembre 2014

LPM, cyber et OIV : nécessité des solutions et manoeuvre en terrain miné

(Source)
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements. 

mercredi 12 novembre 2014

L'actuelle bataille des câbles préfigure-t-elle le cyberespace de 2030 ?

S'il est sans doute encore un peu tôt pour vérifier que la Russie et la Chine pourraient venir concurrencer et pourquoi pas, à termes, dominer les USA dans le cyberespace, force est cependant d'observer deux faits différents mais complémentaires : la Russie dispose, dans ce domaine, de ressources techniques et humaines plus que respectables. La Chine, elle, se dote en plus de capacités technologiques et d'innovations qu'il conviendrait d'évaluer avec le plus grand respect. 

Pour cette dernière, la mise en exploitation en 2016 de la plus grande boucle de réseau de communication quantique (1) entre Pékin et Shanghai, soit tout de même plus de 2 000 kilomètres, vient illustrer une prouesse technologique indéniable. Qui illustre parfaitement les efforts scientifiques et financiers mais aussi alternatifs déployés par Pékin en matière de recherche et de développement tout azimuts depuis le milieu de la précédente décennie. Dans une volonté à peine dissimulée, ces efforts pourraient également provoquer de possibles bouleversements concernant la géopolitique de l'Internet. Soit un scénario crédible du visage que pourraient prendre certaines infrastructures de transport et de traitement des données à moyen terme.

mercredi 29 octobre 2014

L'air-gap ou (l'état de) l'art des cyberattaques

La cybersécurité n'est peut-être pas une science mais c'est sans doute un art, en particulier si l'on se place du côté de l'attaquant. Attaquant pour qui tout objet informatique, simple ou complexe, sur la route (1), dans le ciel (2), en orbite (3) voire sous les océans (4) est une cible potentielle par goût du jeu, du défi technique ou de la malveillance tactique. L'affaire Stuxnet (5) qui a souligné combien l'air-gap, c'est à dire l'utilisation d'une architecture informatique non-connectée (à Internet et/ou un autre réseau interne) et protégée à ses frontières, n'était que le symbole complexe et évolué d'un vrai-faux sentiment de sécurité. Et qu'un adversaire sérieux, c'est à dire dont le commanditaire disposait de ressources financières et techniques très importantes, pouvait se donner le temps d'atteindre une cible extrêmement protégée. A la mesure des moyens mis en œuvre pour protéger un bien dont la haute valeur est proportionnelle aux mesures de défense passives et actives mises en œuvre.

mercredi 22 octobre 2014

Entretien EchoRadar avec Gwendal Rouillard (député du Morbihan et modérateur aux 2èmes rencontres parlementaires de la cybersécurité)

Partenaire média de Défense & Stratégie dans le cadre des "2èmes Rencontres Parlementaires de la cybersécurité" qui auront lieu demain, jeudi 23 octobre 2014, EchoRadar a l'honneur de vous proposer un entretien avec Gwendal Rouillard, député de la 5ème circonscription du Morbihan et conseiller municipal de Lorient. Sensible aux questions de Défense et notamment aux enjeux liés à la cyberdéfense et à la cyberdéfense, Gwendal Rouillard animera la troisième table ronde qui s'intéresse à la déclinaison du plan Défense Cyber annoncé en janvier 2014 par le ministre de la Défense. L'occasion était donc toute trouvée de poser nos questions. Un entretien à retrouver sur le site d'EchoRadar.

lundi 13 octobre 2014

Terre, Air, Mer, Cyber ? La 4ème armée entre coup de com et réalités

Le ministre de la Défense, Jean-Yves Le Drian, a récemment fait part de son sentiment quant à la création, dans un proche avenir (“demain”) d’une quatrième armée cyber. Au même titre que l’Armée de terre, la Marine nationale et l’Armée de l’air, l’Armée de cyberdéfense serait donc pourvue de structures organiques et fonctionnelles, d’un état-major et de prérogatives particulières. Une possibilité pour le moins étonnante du fait d’une distribution et d’une intégration des différents acteurs de la cyberdéfense au sein des structures militaires actuelles. Cet article cherche à comprendre la réalité d’une telle évolution ou si les propos du ministre ne sont pas, pour l’essentiel, qu’un habile “coup de com”.

La suite de cet article, rédigé avec l'auteur du blog Le Fauteuil de Colbert, est à lire sur le site d'EchoRadar.

lundi 6 octobre 2014

mercredi 1 octobre 2014

Quatrième édition du mois européen de la cybersécurité

Comme les vendanges tardives, le mois européen de la cybersécurité (1) est de retour. Une quatrième édition enfin marquée par l'essor de cette manifestation qui débute dès aujourd'hui par une conférence à Bruxelles (2). Si seuls quelques pays avaient répondu à l'invitation de l'ENISA lors des éditions 2011 et 2012 (3), 2013 avait vu l'apparition timide des grandes nations du cyber européen à l'instar de la France (4). Il faut croire que la croissance des cyberattaques, la loi de programmation militaire (LPM) 2014/2019 ou le dernier sommet de l'OTAN (5) sont enfin venus pousser les grands "timides" à participer davantage. Mais au fait, c'est quoi le mois européen de la cybersécurité ?

mardi 16 septembre 2014

Entretien EchoRadar avec Isabelle Tisserand (Sécurité alternative)

Le collectif EchoRadar, dont je suis l'un des heureux membres cofondateurs,  continue sa phase de croissance au sein de la sphère "défense et sécurité" francophone.  Ce week-end, c'est l'ouverture du site web qui est venue bousculer les activités  de certains d'entre nous. Hier matin, sur la lancée de cette naissance désirée, nous avons pu inaugurer une toute nouvelle rubrique  que nous souhaitons pérenne : l’Écho du mois.

Son principe, simple et de facture classique,  est de s'entretenir avec une personnalité "dont l’action s’inscrit dans les thèmes relatifs à  la stratégie, à ses diverses variantes, à ses évolutions technologiques et à leur influence sur celle-ci". Isabelle Tisserand, dont ce blog a récemment fait la recension de l'ouvrage "Sécurité alternative" (1) et relaté l'intervention qui  y était consacrée lors du Cercle Stratégia (2) du mois de juin, nous a fait l'amitié d'étrenner la rubrique. Un entretien frais et percutant à lire en exclusivité sur EchoRadar.


(1) http://si-vis.blogspot.fr/2014/06/recension-du-livre-dentretiens-securite.html
(2) http://si-vis.blogspot.fr/2014/06/cercle-strategia-du-25-juin-2014.html

lundi 8 septembre 2014

Quel est le seuil pour invoquer l'article 5 de l'OTAN en cas de cyberattaque ?


Crise en Ukraine, "instabilité croissante au voisinage mériodional de l'Alliance, du Moyen-Orient à l'Afrique du Nord, menaces transnationales et multidimensionnnelles" (1). C'est manier la litote et enfoncer une porte grande ouverte d'affirmer que le dernier sommet de l'OTAN qui vient d'avoir lieu au Pays de Galles était attendu. Alors que l'édition révisée de "l'OTAN au 21ème siècle" rédigée par l'allié et ami Olivier Kempf (2) est une heureuse coïncidence, cet article se focalise sur la déclaration (3) du communiqué final qui autorise dorénavant l'invocation de l'article 5 à la suite d'une cyberattaque de l'un de ses membres.

dimanche 31 août 2014

L'intéressant rapport "Atteindre la supériorité de l'information. Cinq impératifs pour la transformation militaire"

Booz & Company (1), "l'un des plus importants cabinets de conseil en stratégie dans le monde" (2), vient de publier un intéressant rapport d'une douzaine de pages (3) expliquant l'intérêt d'atteindre la "supériorité de l'information", qui est "un critère déterminant du succès d'une mission". Notons tout d'abord que l'utilisation des termes "supériorité de l'information" est très proche du concept étasunien de "domination de l'information" (information dominance) élaboré dès la fin des années 70 et qui a, depuis, structuré nombre d'innovations et de concepts U.S. en matière de "cyber warfare". Sans doute un peu moins agressif dans les termes, rechercher la supériorité de l'information peut être rapproché de la doctrine "Air dominance", chère à l'U.S. Air Force et à de nombreux officiers un peu partout dans le monde. Coïncidence, peut être, puisque l'on sait les aviateurs très en pointe sur le cyber aux USA depuis plus d'une décennie.

vendredi 15 août 2014

Protection des données "client" et "projet" : le "prestaleak" a-t-il commencé ?

J'ai récemment été interviewé par deux étudiants (1), l'un en doctorat, l'autre un master, les deux mémoires traitant notamment des "Partenariats Public Privé" (PPP) relatifs à la cybersécurité. L'une des questions à laquelle j'ai été confrontée était de savoir si "une externalisation des services et prestations de cybersécurité pourrait se poser comme solution au déficit de  moyens humains et financiers des services de l’État ?". Une interrogation qui m'a amené à souligner un risque qui semble émerger du côté du secteur privé et qui, par conséquence, pourrait aussi toucher les services de l’État. 

Ce risque concerne le vol d'informations "client" et "projet" chez certains prestataires/consultants naïfs, laxistes ou inconscients (2) du fait d'usages à risques. Qu'importe qu'ils interviennent pour le secteur public ou le secteur privé : la plupart sont des cibles potentielles privilégiées. (3)

lundi 21 juillet 2014

« Forces et illusions de la francophonie », la conférence d'Erik Orsenna aux Lundis de l'IHEDN

Les Lundis de l'IHEDN (1) ont clôturé leur belle saison 2013-2014 de conférences (2) par l'intervention enlevée, lundi 23 juin 2014, pleine de finesse et teintée d'humour, d'Erik Orsenna. Conseiller d’État, académicien et bien-sûr écrivain, c'est dans un amphithéâtre Foch plein que M. Orsenna est venu présenter sa vision de la francophonie. S'appuyant sur de nombreux déplacements internationaux depuis des décennies mais également l'expérience politique de l'exercice du pouvoir, son œil d'écrivain lui donne sans doute l'acuité nécessaire pour garder la bonne distance aux événements auxquels il a participé ou assisté.

mercredi 16 juillet 2014

1914-1918 : du sous-marin à la détection sous-marine, une guerre d’innovations

La Première guerre mondiale ne fut pas seulement le massacre de millions d'hommes, tués, blessés ou estropiés à tout jamais. C'est aussi un conflit qui permit l'émergence de nombreuses innovations scientifiques et techniques dans les domaines de la chimie, du médical, de l'ingénierie, etc. Dans le cadre du dossier commémoratif 1914-1918 réalisé au profit d'EchoRadar, je vous propose un regard sur plusieurs innovations ayant trait au domaine maritime : les sous-marins et la détection de la menace qu'ils font peser sur les navires de surface.

http://i0.wp.com/listverse.com/wp-content/uploads/2013/07/UB_148_at_sea-e1373666561558.jpg?resize=632%2C359
(Source)

La 1ère Guerre mondiale reste, dans l’inconscient collectif, marquée par de terribles combats d’infanterie et d’artillerie. Ce conflit, considéré comme le premier conflit moderne de l’ère industrielle, possède, entre autres, la caractéristique de se produire simultanément sur terre, en mer et dans les airs. A l’émergence de l’aviation, dont l’emploi deviendra stratégique trois décennies plus tard, répondirent de nombreux affrontements maritimes. Essentiellement en surface mais, fait totalement nouveau, également sous la surface grâce à l’emploi d’une nouvelle arme : les sous-marins.

dimanche 13 juillet 2014

Été 1914 : un autre monde ?

Ce blog rejoint la communauté EchoRadar () qui est une plate-forme de blogs fédérant des professionnels et des passionnés de stratégie, de sécurité et de technologie. A l'occasion du centenaire de la Première guerre mondiale, EchoRadar participe à la commémoration de cet événement tragique en vous proposant un dossier "Été 1914 : un autre monde ?".