dimanche 12 avril 2015

Cyberattaque TV5 Monde : premiers enseignements et recommandations

A la différence de l'affaire Sony en décembre 2014 [1] pour laquelle j'avais attendu que la poussière retombe, difficile cette fois-ci de se retenir tant l'emballement médiatique, les (sur)interventions ministérielles et l'aspect "brèves de comptoir" de certains "experts" aura consterné quelques uns d'entre vous/nous dont les camarades d'EchoRadar [2].

En quelques mois, ces trois affaires cyber majeures permettent de tracer une certaine dynamique médiatique : le piratage de Sony USA, la vague de subversion #OpFrance [3] après les attentats de janvier 2015 à Paris et l'interruption de la diffusion de TV5 Monde durant presque 20 heures la semaine dernière. Techniquement différentes, notamment parce qu'il est plus simple d'exploiter la vulnérabilité d'un site internet pour en modifier le contenu que de pénétrer un système d'information (SI). De plus, et dans ces cas d'intrusions (Sony, TV5 Monde), l'objectif final était d'exfiltrer de l'information et de déclarer son forfait (Sony) avant que l'attaque  ne soit avérée quand pour TV5 Monde l'attaque fut silencieuse, probablement coordonnée, parfaitement exécutée et revendiquée à l'issue.

De la bulle médiatique à l'écume des "experts"
On peut alors observer qu'à chaque fois, une bulle médiatique s'est formée : essentiellement internationale pour l'affaire Sony, nationale et internationale pour les cyberattaques Charlie, essentiellement nationale pour TV5 Monde même si relayée par les principaux médias internationaux. Sans tirer de conclusion hâtive, remarquons que les media nationaux s'intéressent un peu plus au cyber depuis l'année dernière. 

C'est probablement le résultat du travail de labour mené par les autorités en charge de ces questions et notamment l'ANSSI mais aussi l'explosion des cyberattaques réussies et aux conséquences de plus en plus importantes. Pour TV5 Monde, le côté nombrilo-centré est indéniable puisque c'est un media télévisuel qui s'est fait attaquer. Il y a donc une certaine surexposition par ses confrères qui, enfin, sortent de la distanciation pour se sentir directement concernés.

Pour la partie technique, aucun élément fiable et vérifiable n'a, pour le moment, été communiqué. Malgré tout, il n'aura pas fallu longtemps pour échafauder des scénarios, des commentaires et des commentaires de commentaires. On me rétorquera, à juste titre, que les médias sociaux, notamment, sont prompts à s'emballer et que tout cela fait partie du jeu (des jeux...du cirque ?). Il n'empêche qu'il était cocasse, pour rester poli, d'assister à une certaine course vers les studios de radio et de télévision, tels des papillons pris dans les phares d'un coupé italien, en plein été, sur une route de bord de mer. 

Hormis quelques experts [4] et le directeur de l'ANSSI [5], avisés et prudents, la plupart des interventions auraient mieux fait d'être diffusées sur TV5 Monde au moment de son interruption de programme. Il semble que la déontologie et, plus simplement, le bon sens soient définitivement absents du référentiel de certains. Plus directement, il me parait inconvenant sinon inacceptable d'aller commenter une affaire en cours et pour laquelle personne ne possède le moindre élément factuel. Question d'ego, sans doute. Ou pas.

Premiers enseignements
Qualifier la cyberattaque contre TV5 Monde "d'une puissance inouïe" ou de "très puissante" [6] est assurément une erreur d'appréciation que l'on oubliera vite du fait qu'Yves Bigot est le directeur d'une chaîne de télévision, pas un expert en cybersécurité. Il est pourtant indéniable que les conséquences de cette cyberattaque sont importantes en termes d'image essentiellement pour la chaîne elle-même. Elles sont même désastreuses lorsque le directeur se déclare surpris de s'être fait powner alors que la chaîne disposait de "dispositifs anti-intrusions performants" soit des...firewalls "certifiés" [7].

Un court arrêt sur image en prenant le pari que la "défense" du SI de TV5 Monde était périmétrique et que le SI est un réseau à plat. Il y a la une réflexion à mener sur le "vrai-faux" sentiment de sécurité que certains pourraient avoir en se dotant de produits qualifiés par l'ANSSI : s'ils sont nécessaires car maîtrisés et opérant dans un contexte pour lequel ils ont été conçus, ce contexte est un tout dont l'équipement n'est qu'une brique. Le risque que le firewall "ultra-puissant" et qualifié devienne l'alpha et l'oméga de la cybersécurité de certains semble exister. Souhaitant qu'il ne soit que le fait des clients, la communauté cybersécurité et les vendeurs de produits et solutions ont l'obligation morale de prévenir leurs prospects et leurs clients. A vérifier dans les clauses contractuelles sinon à corriger très rapidement avant que les procès pour "défaut de conseil" ne fleurissent !

Considérons maintenant l'affaire du mot de passe affiché dans les locaux de la chaîne durant un reportage [8] qui, si l'affaire n'avait pas été si médiatisée - souvent à tort et à travers, j'insiste - aurait pu faire sourire. Le pire, dans ce cas, est d'affirmer que ces mots de passe auraient été affichés après l'attaque. Si l'on peut éventuellement comprendre qu'il a fallu pallier à la perte de tous les moyens de communication (diffusion du signal et des réseaux sociaux) durant la crise, il y a de tout évidence une faillite en matière de communication et/ou de sûreté.

Enfin, un élément étonnamment positif apparaît : malgré l'agitation la mobilisation de certains ministres et des services associés, il semble que la mayonnaise "terrorisme" ait du mal à prendre. Même si la revendication du groupe "CyberCaliphate" a rapidement suivi l'attaque, tout lien supposé avec des jihadistes semble être passé au second plan des échanges depuis hier. Un moindre mal et une conséquence heureuse puisque l'effet recherché par les attaquants se situait principalement dans l'écho l'écume médiatique et sa capacité à s'inscrire dans la durée. Comme pour les multiples défacements de janvier 2015, le but de cette opération s'inscrit essentiellement dans une guerre de l'information et de la communication, de la subversion dans et par le cyberespace. Pour les accrocs de la "cyberguerre" et autre palimpseste abusif, merci de rester en zone blanche [9] lors de la prochaine cyberattaque d'ampleur médiatique.

Recommandations
Même si l'impression d'ânonner se confirme [10], il est nécessaire de rappeler certaines vertus cardinales afin de réduire les risques d'une cyberattaque : défense en profondeur, cloisonnement des réseaux, comptes de moindres privilèges, audits réguliers et une organisation et un budget SSI cohérents. 

Ces mesures nécessaires afin de permettre une réduction substantielle de la surface d'attaque du SI ainsi protégé, doivent impérativement s'appuyer sur un écosystème conçu pour être résilient en cas d'incident. La gestion de crise doit avoir été anticipée, testée et éprouvée même sans incident majeur jusqu'alors.

Finalement, l'incident de TV5 Monde pourrait avoir des effets positifs notamment au niveau des directions d'entreprises. Qui, en dépit d'une prise de conscience affichée ces derniers mois et de discours en apparence rassurants, n'ont assurément pas encore pris la pleine mesure des risques et des mesures à mettre en œuvre. Mais sans doute lointain est encore le jour où le responsable du patrimoine informationnel ou de la sécurité des systèmes d'information sera l'égal du directeur financier. Pourtant, l'un comme l'autre exercent dorénavant l'une des fonctions les plus stratégiques au sein de l'entreprise.


jeudi 2 avril 2015

Obama autorise les sanctions ciblées contre les cyberattaquants

Signé un 1er avril, l'ordre exécutif ("Executive Order") du président Obama permettant de sanctionner notamment financièrement "toute personne ou entité" qui portera dorénavant préjudice aux systèmes d'information d'un secteur d'infrastructure critique étasunien (1) n'est pas un poisson d'avril. Ou alors, il est sacrément bien fichu tant il est crédible et cohérent avec la stratégie générale de l'administration US en matière de lutte contre les agressions et, plus globalement, de conflictualités dans le cyberespace (2).

lundi 16 mars 2015

La culture geek est-elle soluble dans la cyberdéfense ?

Si pour les États-Unis les conséquences internationales de l'affaire Snowden [1] sont diverses mais unanimement négatives, les impacts futurs notamment en matière de géopolitique de l'Internet [2] demeurent difficiles à anticiper. En revanche, au fil des diverses révélations, les relations entre l'administration U.S. et les entreprises de la Silicon Valley se sont singulièrement compliquées. Avec pour corollaire une conséquence majeure, directe et inquiétante : une franche défiance voire de l'hostilité de la part de la plupart des entrepreneurs et des salariés de la zone la plus high-tech au monde [3]. Dans ces conditions, les difficultés actuelles de recrutement que connait l'administration américaine portent-elles à conséquence sur ses capacités cyber ? Sinon quelles solutions sont envisageables ?

lundi 23 février 2015

Affirmation de la cyberpuissance USA et ruptures stratégiques

Si depuis juillet 2013 le tsunami de l'affaire Snowden (1) nous a habitué à des révélations régulières et parfois spectaculaires, la semaine qui vient de s'écouler marque un tournant ainsi qu'une rupture. Tournant parce que de "l'affaire délicate" Gemalto (2) à Equation Group (3), l'ampleur des moyens déployés pour espionner toutes les communications électroniques de la planète permet, à ceux qui en avaient encore, de ne plus se faire aucune illusion sur l'absolue nécessité de bien protéger les informations qui le méritent. Rupture technologique mais aussi stratégique et bien-sûr politique. Comme le relève avec acuité Eric Le Boucher dans les Échos (4), les États-Unis d'Amérique "hyperpuissance" sont devenus "cyberpuissance". Y affirmant leur hégémonie dans le cyberespace tandis que leur repli des affaires du monde "réel", annoncé depuis des années par Obama et en cours de réalisation, les place dans une position de plus en plus isolationniste.

lundi 16 février 2015

Singapour crée son agence nationale de la cybersécurité

Le 27 janvier 2015, le cabinet du Premier ministre de Singapour a annoncé la création prochaine d'une agence gouvernementale dédiée à la "surveillance centralisée des fonctions nationales de cybersécurité" (1). Active à compter du 1er avril 2015, la "Cyber Security Agency (CSA) of Singapore" devrait comprendre une soixantaine de personnes.

lundi 2 février 2015

Tester son niveau de cybersécurité ? L'exemple d'Hawaii et ses vertus pour le domaine maritime

Ces derniers mois ont vu en France l'émergence d'une prise de conscience concernant la vulnérabilité aux cyberattaques notamment du secteur maritime. L'influence des travaux (1) de la loi de programmation militaire (LPM) n'y sont évidemment étrangers ainsi que certaines actions isolées mais essentielles qu'il faut saluer (2). Cependant, prudence et modestie sont de rigueur étant donné l'ampleur des chantiers qui attendent l'ensemble des acteurs quel que soit le secteur d'activités concerné. Outre-Atlantique et même plus précisément dans le Pacifique, l'île d'Hawaii vient de connaître deux jours d'intenses exercices cyber (3). Leur objectif ? Simuler des cyberattaques permanentes et d'intensité variable contre les infrastructures maritimes de l'île.

lundi 12 janvier 2015

Le Sony hack 2014 ou comment des "Gardiens de la paix" ont failli déclarer la (cyber) guerre mondiale

Environ quinze secondes. C'est la durée de l'hésitation qui s'est emparée de moi avant de débuter cet article. Allais-je commencer l'année en ânonnant fièrement une liste de prévisions (1) ressemblant à un cyber-horoscope insipide ? Ou partir d'un fait récent, aussi vite disparu des Unes qu'il s'en était emparé ? Car, tout observateur attentif a sans doute pu remarquer qu'une presque énième guerre mondiale (2) avait failli éclater juste avant Noël. Et tout cela pour une énième cyberattaque. Retour mi-sérieux mi-ironique sur le piratage de Sony.

mercredi 31 décembre 2014

Chiffres et articles 2014 avant le cap sur 2015

Après le traditionnel chapon de Noël et avant le champagne de la nouvelle année, je vous propose un rapide récapitulatif de l'activité 2014 de ce blog qui va entamer sa neuvième année d'existence. Même s'il m'arrive parfois de douter de son intérêt, l'offre "cyber" (1) étant devenue pléthorique, un lectorat fidèle et une fréquentation en hausse m'encouragent à continuer. Avec sincérité et humilité, permettez-moi de remercier chacun d'entre vous !

42
Non, ce n'est pas seulement le nom d'une école originale (2) dont l'ambition est de former les futurs développeurs logiciels de France et de Navarre mais, plus simplement, le nombre d'articles écrits cette année. Une baisse importante si on la compare à l'année précédente (64) et à 2012 (103) et surtout 2011 (105). Cette baisse est pourtant relative car je me suis attaché cette année à améliorer la qualité des articles (3) mais, surtout, j'ai cofondé EchoRadar avec mes autres camarades du collectif. Le développement de ce webzine n'est pas une mince affaire car elle réclame du temps et de l'investissement.

10
Les dix articles les plus lus cette année dans l'ordre antéchronologique.

jeudi 25 décembre 2014

Cybersécurité maritime 2014

Contacté en début d'année pour participer à un dossier "cybersécurité maritime" pour Le Marin, mon interview n'est jamais parue pour des raisons diverses. Trois ans après un article, qui fut sans doute l'un des tous premiers sur le sujet en France, il semblerait qu'une certaine attention (1) soit enfin portée sur ce domaine d'intérêt stratégique. Il m'est paru important de publier aujourd'hui cet entretien qui serait sinon resté dans les limbes de ma messagerie.

dimanche 21 décembre 2014

Armes de rupture, armes miraculeuses ? Wunderwaffen : le miracle n’est pas venu du ciel

Si le régime nazi incarne sans conteste le « mal absolu », l’histoire des sciences et des technologies pourrait cependant retenir de cette sombre période des avancées réelles et, parfois, des ruptures technologiques directement issues du conflit de la Deuxième guerre mondiale. Quelques projets emblématiques, parmi les innombrables à avoir été développés, auront durablement marqué les esprits durant la guerre et l’après-guerre. Si, presque immédiatement, les fusées V1 et V2 viennent à l’esprit, il existe pourtant une pléthore d’armes à être restées, pour la plupart, cantonnées dans quelques brillants cerveaux et aux tables à dessin.

Horten Ho IX (Source)
Pour d’autres, notamment dans le domaine aéronautique, les essais en vol voire une utilisation opérationnelle ont pu souligner la supériorité que ces armes, qualifiées de miraculeuses (“Wunderwaffen”), auraient apportées au IIIème Reich s’il ne s’était heureusement écroulé en 1945. Cet article cherche, à travers quelques exemples emblématiques, à illustrer la rupture que ces armes auraient pu entraîner dans le domaine aérien.

samedi 20 décembre 2014

Armes de rupture, armes miraculeuses ? Un dossier EchoRadar

Enfin ! La trêve des confiseurs qui débute fournit l'occasion rêvée à la plupart d'entre nous pour se poser et, mieux, se reposer, en famille et avec ses amis. Période privilégiée s'il en est, c'est aussi l'occasion de prendre un peu de temps pour changer d'horizons intellectuels et se laisser porter par une curiosité de bon aloi.

Les membres d'EchoRadar, plus que jamais actifs, ont donc décidé de mettre à profit cette période pour vous proposer un dossier thématique autour des armes de rupture aussi qualifiées "d'armes miraculeuses". Nous espérons que ce dossier vous séduira et donnera aussi l'envie à certains d'entre vous de nous proposer pensées, idées et textes ou, plus simplement, de se livrer au jeu des commentaires voire des encouragements. 

Dans l'attente du premier texte que j'aurais l'honneur de publier demain matin, je vous invite à retrouver l'article introductif du dossier, coécrit avec le Marquis de Seignelay, et l'ensemble des articles qui paraitront au rythme infernal d'un toutes les 48 heures jusqu'aux environs du 10 janvier 2015.

lundi 15 décembre 2014

Avant Stuxnet 2010 et Aramco 2012, BTC 2008 ?

La semaine qui vient de s'écouler aura particulièrement été riche en événements cyber. Pourtant, ce n'est ni la téléconférence d'Edward Snowden (1) ni la remarquable "surprise" (2) linuxienne Turla (3) qui retiennent mon attention. C'est davantage un incident qui s'est produit en août 2008 sur un oléoduc en Turquie et qui pourrait avoir été délibérément provoqué (4). En effet, des pirates informatiques utilisant une vulnérabilité logicielle des caméras de vidéosurveillance auraient réussir à s'introduire dans le système d'information, désactivé les alarmes, les communications et surtout modifié le débit du pétrole acheminé conduisant à la rupture explosive de l'une des 101 stations de vannes d'arrêt.

lundi 1 décembre 2014

LPM, cyber et OIV : nécessité des solutions et manoeuvre en terrain miné

(Source)
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements. 

mercredi 12 novembre 2014

L'actuelle bataille des câbles préfigure-t-elle le cyberespace de 2030 ?

S'il est sans doute encore un peu tôt pour vérifier que la Russie et la Chine pourraient venir concurrencer et pourquoi pas, à termes, dominer les USA dans le cyberespace, force est cependant d'observer deux faits différents mais complémentaires : la Russie dispose, dans ce domaine, de ressources techniques et humaines plus que respectables. La Chine, elle, se dote en plus de capacités technologiques et d'innovations qu'il conviendrait d'évaluer avec le plus grand respect. 

Pour cette dernière, la mise en exploitation en 2016 de la plus grande boucle de réseau de communication quantique (1) entre Pékin et Shanghai, soit tout de même plus de 2 000 kilomètres, vient illustrer une prouesse technologique indéniable. Qui illustre parfaitement les efforts scientifiques et financiers mais aussi alternatifs déployés par Pékin en matière de recherche et de développement tout azimuts depuis le milieu de la précédente décennie. Dans une volonté à peine dissimulée, ces efforts pourraient également provoquer de possibles bouleversements concernant la géopolitique de l'Internet. Soit un scénario crédible du visage que pourraient prendre certaines infrastructures de transport et de traitement des données à moyen terme.

mercredi 29 octobre 2014

L'air-gap ou (l'état de) l'art des cyberattaques

La cybersécurité n'est peut-être pas une science mais c'est sans doute un art, en particulier si l'on se place du côté de l'attaquant. Attaquant pour qui tout objet informatique, simple ou complexe, sur la route (1), dans le ciel (2), en orbite (3) voire sous les océans (4) est une cible potentielle par goût du jeu, du défi technique ou de la malveillance tactique. L'affaire Stuxnet (5) qui a souligné combien l'air-gap, c'est à dire l'utilisation d'une architecture informatique non-connectée (à Internet et/ou un autre réseau interne) et protégée à ses frontières, n'était que le symbole complexe et évolué d'un vrai-faux sentiment de sécurité. Et qu'un adversaire sérieux, c'est à dire dont le commanditaire disposait de ressources financières et techniques très importantes, pouvait se donner le temps d'atteindre une cible extrêmement protégée. A la mesure des moyens mis en œuvre pour protéger un bien dont la haute valeur est proportionnelle aux mesures de défense passives et actives mises en œuvre.