mercredi 30 mars 2011

Chine - USA : la cyber-partie d'échecs

La blogosphère et certains média spécialisés en Security sont traversés ces derniers mois par un véritable intérêt pour les infrastructures critiques et les SCADA. Un article paru il y a une dizaine de jours dans le Washington Times n'était pas passé sous mon radar mais je n'avais pas eu le temps de le "traiter".

De mon point de vue, cet article est un véritable avertissement à peine voilé des USA à la Chine !

L'article attaque fort puisqu'on y apprend que les barrages - on pense d'ailleurs à celui des Trois-Gorges, le plus grand au monde, dont d'ailleurs on aperçoit une photo sur la 1ère page de l'article - les pipelines (pétrole et gaz), les usines et toute infrastructure "ordi-pilotée" en Chine seraient encore plus vulnérables à des cyber-attaques que dans n'importe quel autre pays !

Sous couvert de rendre service à la communauté en signalant des vulnérabilités trouvées et en s'étonnant "naïvement" de l'absence de réponse de l'entreprise chinoise citée (WellinTech, 1er éditeur chinois d'applications SCADA), il faut comprendre que les enjeux mondiaux de cybersécurité voient s'affronter deux blocs principaux (USA/Chine ou USA+OTAN/Chine ?) et quelques blocs pas moins compétents mais avec des stratégies sensiblement différentes (Russie, Israël). J'ai malheureusement beaucoup de mal à citer l'Union Européenne (ou l'un de ses pays) du fait de son silence (coupable ?) ou plutôt de l'absence d'actions concrètes (je parle ici du concret, du réel, pas de concepts, de marketing ou d'intentions). On me rétorquera que l'OTAN travaille sérieusement sur le sujet mais je me suis déjà exprimé par ailleurs.

Pour revenir à l'opinion exprimée par des "spécialistes de la sécurité", il faut  surtout regarder du côté de ces spécialistes : le premier, Dillon Beresford, est un chercheur en sécurité de NSS Labs qui a découvert une belle vulnérabilité exploitable dans l'outil Kingview Scada. On lira plus en détail cette affaire sur NanoJV, affaire qui date déjà de quelques mois et ressort de manière fort opportune.

Le second spécialiste, James A. Lewis, est le marqueur du message (relativement) discret adressé à la Chine. Cet expert fait partie d'un des think-tank des plus discrets mais aussi des plus côtés et influents, le CSIS. On y retrouve la fine fleur de Washington, des plus grandes entreprises américaines (dont secteur de la Défense) en passant par le monde politique et des généraux du Pentagone. Évidemment, les principales agences du renseignement sont représentées par ce biais, de manière plus ou moins explicite.

Pour revenir à ce que dit M. Lewis, on pourrait sourire si l'on ne comprenait pas  LE message pas du tout subliminal : la vulnérabilité accentuée de la Chine est particulièrement due au fait que les "études" montrent que l'immense majorité des logiciels (systèmes d'exploitation et applications bureautiques) utilisés sont contrefaits. Contrefaçons dont la provenance n'est pas claire mais qui s'avère dangereuse car beaucoup de celles-ci viennent de la mafia...russe. Le risque de backdoors s'avère donc important. CQFD.

Enfin, je ne résiste pas au plaisir de traduire sa conclusion : "les Chinois n'ont pas les mêmes problèmes que nous. Mais ils ont les leurs, qui sont parfois pires". Ou pourraient l'être ?

lundi 28 mars 2011

Libye : une première cyber-offensive de Serbie ?!

A tout Seigneur, tout honneur ! Comme l'avait si justement prévu Daniel Ventre, émérite spécialiste de la guerre de l'Information, il semble que les premières cyber-offensives  d'envergure soient venues d'un groupe de pirates Serbes.

Pourquoi la Serbie, qui d'ailleurs semble disposer d'un réservoir important de soutiens virtuels (l'article évoque 50 000 personnes) ? Parce que Kadhafi dispose encore de moyens financiers importants et sait utiliser les média, quels qu'ils soient, depuis de nombreuses années. Ensuite parce qu'une partie de la population serbe doit probablement se sentir solidaire d'un pays subissant également les frappes aériennes de l'OTAN depuis maintenant 10 jours. 


Rappelons simplement qu'en 1999, Milosevic avait tenu 78 jours avant d'accepter le plan de paix pour le Kosovo.

PS : rien à voir mais je relaie l'un des derniers billets de S. Bortzmeyer, clair et net et précis. En saluant sa position courageuse tout en souhaitant qu'elle ne soit pas téméraire ?!

vendredi 25 mars 2011

SCADA : jusqu'ici tout va bien

En quelques mois, les problématiques de sécurité liées au cyberespace auront franchi un pas médiatique "historique". Les média et les individus ayant été majoritairement bercés par les images d'Épinal de type War Games (le film) ou 24H Chrono (la série), les rapprochements vers les frontières geekiennes ont pu ponctuellement se faire avec Die Hard 4 ("Piège de Cristal n°4" avec Bruce "Moumoutte" Willis) voire en regardant un reportage techno-utile sur Arte avec Kevin Mitnick ou Bruce Schneier en guests-star !

En 2010, on aura eu droit aux divers épisodes de Stuxnet, un "code" mystérieux qui semble avoir ciblé principalement le programme nucléaire iranien. Une certaine course aux scoops s'étant déroulée, on a assisté à des analyses de départ prudentes et factuelles pour terminer par un festival de thèses non-validées (le virus fut d'abord américain, puis chinois, et enfin israélien et pourquoi pas les trois à la fois ?) où l'on annonçait même une possibilité de Tchernobyl ou un projet de variante par les Anonymous, histoire de renforcer leur arsenal offensif.

Las, il faut une fois encore raison garder. Et essayer de poser les perspectives de la problématique "infrastructures critiques" (SCADA) qui vont des unités de productions électriques (de l'hydraulique au nucléaire), en passant par les infrastructures de transport terrestre, maritime ou aérien.

Les enjeux sous-tendus sont connus depuis plus d'une décennie et quelques spécialistes et experts en sécurité ont sérieusement étudié le sujet tant en France qu'à l'étranger. Les divers gouvernements et les grandes entreprises concernées disposent d'un ensemble d'éléments significatifs pour savoir que s'il n'y a pas péril en la demeure, les mesures à prendre ne sont pas de l'ordre de simples travaux de ravalement.

Lundi 21 mars, 34 exploits (de niveau PoC) ont été publiées sur Bugtraq ! Ceux-ci concernent des applications de Siemens, Iconics, 7-Technologies, Datac et Control Microsystems, toutes SCADA. Évidemment, d'intenses débats ont (eu) lieu, la plupart à propos du péché originel du full disclosure : publish or not publish, that is the question.

Il est difficile d'avoir une opinion tranchée sur un sujet qui dépasse largement le seul cadre de la technique (psychologie, morale/éthique, sociologie, etc.) mais je me rangerai plutôt à l'opinion de Roel Schouwenberg : on peut être contre la divulgation complète de vulnérabilités mais les entreprises concernées (éditeurs comme clients) ainsi que les pouvoirs publics doivent regarder les choses en face : les systèmes SCADA deviennent un sujet de plus en plus attractif d'une perspective "malveillances". Que ce soit pour de l'argent, du seul exploit technique ou de la valorisation de l'ego (et de son "image de marque").

On sait que la France ou l'Union Européenne s'intéressent de près à la protection des infrastructures critiques. Mais le font-elles sérieusement ? Ne vont-elles pas trop lentement ? Quelles actions concrètes pour quels résultats tangibles au bout de tant d'années ? Ces questions méritent d'être posées, il ne s'agit plus d'afficher ses bonnes intentions ou de publier des décrets qui demeurent, au mieux, des suites de caractère ! Aux acteurs concernés par ce sujet de premier plan de maintenant communiquer sur le sujet pour annoncer un plan d'actions.  Dans Paris Match ou ailleurs ! ;)

Edit : complémentaires à ce billet, je recommande sans réserve l'article de ZDNet et celui de Bluetouff.

mercredi 23 mars 2011

Einstein 3 : après le DHS, le DoD

Il ne faut pas compter sur le hasard ou une merveilleuse coïncidence que d'apprendre que le DoD (U.S. Department of Defense - Ministère américain de la Défense), quelques jours après le DHS, annonce l'activation d'un système de défense cybernétique analogue à celui que le DHS aimerait activer prochainement (lire mon billet sur le sujet). C'est le patron du Cyber Command (et de la NSA), le général Keith Alexander, qui est passé devant la sous-commission de la Chambre des Représentants chargée des menaces émergentes et des réponses capacitaires (Ouf !).

Au passage, on y apprend qu'un budget est aussi demandé pour faire du SaaS, en mode forcément ultra-protégé, probablement pour des histoires de coûts d'infrastructure et d'efforts portés vers d'autres activités en période de contraintes budgétaires.

Le système parent d'Einstein 3 va faire l'objet d'un test prévu sur 90 jours et, d'après ce que l'on peut extrapoler, ce système militaire (par opposition au système fédéral), s'appuie également sur des sous-traitants de la Défense et des FAI. C'est une originalité qui permet d'estimer que ce système sera bien plus puissant en terme de détection et de traitement des attaques car plus dans la profondeur et dans une philosophie typiquement réseau centrée. Les capteurs sont mathématiquement plus nombreux et l'on peut poser l'hypothèse assez sérieuse que l'on entre davantage dans un schéma de défense en profondeur avec les FAI en première ligne de défense (détection) avec, éventuellement, des dispositifs intermédiaires en coupure permettant de ralentir l'attaque ainsi détectée, le temps de protéger efficacement les systèmes critiques (en supprimant les liens indirects entre ces systèmes et l'Internet).

Cette approche collaborative entre les militaires et le secteur privé est une piste qui pourrait (devrait) être explorée en Europe et en particulier en France, sachant que du point de vue législatif, la France possède un coup d'avance depuis la parution du décret du 11 février au profit de l'ANSSI. Ce point est important puisqu'il permettrait aux Américains de légitimer juridiquement (donc de se protéger de plaintes éventuelles) une coordination entre des entités voire des juridictions extrêmement différentes (et bien séparées légalement, justement) : le ministère de la Défense, le DHS et le secteur privé. Qui ne se contenteraient plus de réagir après coup mais bien durant - ou aux premiers signes - d'une cyber-attaque.

C'est dans ce sens que la Maison Blanche semble travailler et pourrait prochainement proposer les modifications législatives adéquates. Les incidences de considérer les menaces durant leur survenance (ou les présomptions de réalisation) en termes techniques, organisationnels et juridiques sont passionnantes mais complexes. Elles mériteront une attention particulière dans le futur, sur ce blog ou ailleurs.

Edit : je souligne le billet du jour connexe au sujet sur le blog de Cidris.

mardi 22 mars 2011

Attaque APT/RSA : la piste chinoise ?

ATTENTION : le titre de ce billet et son contenu sont à prendre au second voire au troisième degré et ne peuvent être considérées comme réellement sérieux ! Quoique...

Pour celles et ceux qui sont des couches-tards/lève-tards comme moi, n'avez-vous jamais remarqué le pic d'activité neuronale que votre cerveau atteint en (fin de) soirée ? C'est donc quelques instants avant d'aller me coucher hier soir, qu'une idée saugrenue m'a traversé l'esprit. 

Revenant sur la journée écoulée, je repensais à l'attaque RSA qui, comme à Fukushima (je regrette le parallèle mais d'un côté comme de l'autre c'est loin d'être glorieux - Fin de la parenthèse), est officiellement sous contrôle.

On sait que la tribune - risquée - d'Art Coviello, le patron de RSA, ne comporte aucun élément technique et n'évoque aucune piste. Ce qui peut se comprendre si l'enquête est toujours en cours (avec le FBI en cyber-limier*) mais il devient étonnant de n'avoir lu aucun article qui ferait intervenir la puissance cyber-démoniaque* : la Chine !

Alors, disons que par goût du jeu et d'une certaine provocation, j'associe ces mots-clés et j'attends de voir ce que va devenir ce billet emporté par des robots vers les confins buzzesques*.

* entre l'association à toute les sauces du préfixe "cyber" et le néologisme tout pourri, vous me pardonnerez ces chinoiseries ! :)

lundi 21 mars 2011

Attaque APT chez RSA : des millions de clients vulnérables ?

Toute personne intéressée par les problématiques de sécurité (de l'information), a entendu parler ou entendra un jour parler des conférences RSA (RSA Conference). Si l'actualité ne la mettait pas en lumière ces derniers jours, on aurait tendance à oublier que RSA est la division sécurité d'EMC commercialisant, entre autre, un système mondialement réputé (et répandu) d'authentification forte par token, SecurID. Les utilisateurs de cette solution se comptent en dizaines de millions.

C'est ce produit qui semble avoir été particulièrement ciblé par une attaque sophistiquée de type APT (Advanced Persistent Threat), révélée la semaine dernière par Art Coviello, le directeur de RSA, dans une lettre où la transparence le dispute à la confiance dans un produit "qu'il_est_super_et_qui_continue_à_l'être".

Tout d'abord, notons le "ton" calme, professionnel et pour tout dire rassurant d'Art Coviello. Dans le fond, impossible de connaître la gravité du risque mais l'on sait que RSA a confiance dans son produit et que les équipes sont mobilisées. Un (énorme) bémol cependant quand je lis "Nous sommes convaincus que les informations extraites ne permettent pas une attaque réussie directement sur l'un de nos clients RSA SecurID".
Question : si ce n'est pas directement, est-ce qu'une attaque peut réussir indirectement ?

"Ces informations pourraient être utilisées pour réduire l'efficacité d'une mise en œuvre d'authentification à deux facteurs en cours dans le cadre d'un vaste attaque".
Réponse : malheureusement on sent bien que la belle confiance affichée en toute "transparence" est bien de l'ordre de la méthode Coué

Un dernier mot sur la partie technique de l'attaque : elle a réclamé beaucoup de patience, de savoir(s)-faire et de ressources (compétences et financières). C'est donc le marqueur d'une attaque professionnelle menée par des personnes ayant des objectifs précis...ou une commande précise.
Edit : sur ce dernier point, il faut lire l'hypothèse du lien avec la directive FFIEC. C'est loin d'être idiot !

L'attaque ayant réussi, pourquoi alors l'avoir communiquée ? Une théorie intéressante est que l'affaire HBGary/Anonymous a marqué les esprits et qu'il vaut mieux prendre les devants afin de piloter la communication. Communication ou pas, rien qu'en France, l'Education nationale utilise SecurID pour la saisie des notes et à travers le monde, ce sont des sites de banque à distance. Souhaitons qu'Art Coviello ait raison et que l'un de mes prochains billets ne traite pas d'une attaque reliée directement à cette affaire ! En attendant, le lecteur attentif ira lire le (bon) billet sur le même sujet publié ce matin par Sid.

PS : à propos des APT, je me permets la reproduction d'un de mes échanges avec Nico "News0ft", histoire d'illustrer le recyclage marketing de cet acronyme. "Quant aux "APT", ça existe bel et bien ... mais ce sont juste des "gens" qui font du test d'intrusion récurrent sans l'accord du client et sans aucun cadre déontologique ... et ça donne les mêmes résultats qu'un test d'intrusion classique: 100% de succès".

mardi 15 mars 2011

Vulnérabilité Adobe publiée : la cyber-attaque Bercy révélée?

Adobe a publié hier un bulletin d'alerte concernant une faille commune aux produits Flash Player, Player et Reader.

La vulnérabilité, dont un correctif ne devrait sortir qu'en début de semaine prochaine, permet l'exécution de code arbitraire à distance. D'après le CERT A qui, rappelons-le est le CERT dépendant de l'ANSSI, cette faille est activement exploitée en ce moment sur Internet par le biais de fichiers Excel spécialement conçus.

Tout cela ne vous rappelle pas une affaire ayant fait grand bruit la semaine dernière ? Moi si.

De là à penser qu'il s'agit de la faille utilisée pour compromettre la centaine de machines à Bercy, il y a un pas que je franchis : l'affaire est révélée, on colmate les brèches, on analyse post-mortem puis on diffuse l'alerte. Le faisceau de présomptions parait suffisamment fort pour faire le rapprochement.

lundi 14 mars 2011

DHS 2012 = Einstein 3

Le DHS (Department of Homeland Security - Ministère américain de la Sûreté intérieure) recherche 233,6 millions $ pour son budget 2012 afin de déployer son système fédéral Einstein 3.

Ce système est la 3ème génération de systèmes de détection et de prévention des intrusions réseaux de niveau fédéral (techniquement et financièrement, on n'est plus du tout au niveau de la petite sonde sur un réseau d'entreprise).  Il doit permettre de réagir automatiquement en proposant la réponse adéquate face à une tentative d'accès non autorisé dans les réseaux du gouvernement américain (ministères et agences fédérales). Il s'interface également avec l'US-CERT en automatisant le processus d'alerte aux vulnérabilités.

On notera que c'est la NSA qui a conduit les développements de cette version alors qu'Einstein 1 et Einstein 2 étaient le résultat du travail en commun de l'US-CERT et du NCSD (National Cyber Security Division - La division cybersécurité du DHS). La controverse n'a pas manqué et porte en particulier sur les craintes d'atteinte aux libertés individuelles et à la collecte d'informations personnelles pour des usages détournés.

Il faut également souligner que le DHS réclame également :
- 40,9 millions $ pour conduire 66 audits de sécurité sur les réseaux fédéraux;
- 24,5 millions $ pour les besoins de formation;
- 18 millions $ pour la partie R&D.

Pour mémoire le budget de l'ANSSI en 2012 (prévu mais pas encore validé) sera de 90 millions d'euros (un peu plus de 125 millions $) tandis que celui de son homologue au DHS sera de 328,3 millions $ (389 millions $ en 2011). Si l'on regarde les chiffres bruts, le différentiel n'a pas de quoi faire rougir les autorités françaises (1 pour 3). 

Mais cet effet en trompe l'œil occulte la réalité des choix politiques et des efforts consentis aux États-Unis : tout pour le DoD (Ministère de la Défense). Les budgets alloués à la cybersécurité se chiffrent, eux, en milliards : rien que pour 2011, le Pentagone a prévu de dépenser 1/2 milliard de $ uniquement en R&D sur les nouvelles technologies au profit de la cybersécurité. Sur un budget total supérieur à 2 Milliards $ !

Edit : je signale le billet complémentaire sur CIDRIS/Cyberwarfare.

dimanche 13 mars 2011

Cyber-défense de l'OTAN : ça progresse

Les ministres de la Défense des pays membres de l'OTAN se sont réunis les jeudi 10 et vendredi 11 mars à Bruxelles. Ont été confirmées la poursuite des discussions quant à la défense anti-missiles (balistiques) et la volonté réaffirmée de quitter l'Afghanistan à l'horizon 2014.
 
Le plus intéressant, de mon point de vue, ne se trouve  cependant pas là et découle directement du sommet de Lisbonne en novembre 2010. Les ministres  réunis à Bruxelles  semblent avoir principalement travaillé sur les capacités de l'Alliance en terme de cyber-défense en approuvant les points suivants :
- Protection des réseaux et des systèmes d'information de l'Alliance en tant qu'élément fondamental de la cyber-défense;
- Mise à jour du concept et de la politique afférente datant de  janvier 2008; établissement d'une stratégie, ces deux points devant être approuvés en juin lors de la prochaine réunion des ministres de la Défense;
- Prise de conscience de la rapidité d'évolution des menaces et de ses dangers croissants;
- Importance de la coopération entre membres et avec les organisations internationales spécialisées;
- Nécessite d'intégrer les cyber-menaces à l'ensemble des projets de l'OTAN.

Alors que le sommet de Lisbonne m'avait laissé sur ma faim en raison des intentions affichées plus que des décisions réelles, il faut croire que les cyber attaques incessantes (et médiatisées) menées contre les Etats-Unis, le Canada, la France, le Royaume-Uni ou la Corée du Sud (la liste n'est évidemment pas exhaustive) font que l'insécurité globale  et les risques encourus nécessitent un traitement adapté et une accélération des mesures de défense.

Concrètement, des actions à court et moyen terme  ont été décidées : publication d'un appel d'offres de 30 millions €, dont on ne connaît pas encore le contenu, mais qui devrait sortir début mai et sera dédié à la cyber-défense. Enfin à l'horizon 2012, l'OTAN sera dotée d'un centre opérationnel de type CERT, probablement  basé sur le NCIRC mais doté de moyens et de capacités bien plus importants.

jeudi 10 mars 2011

HBGary/Anonymous : nouvelles révélations

L'information a surgi hier de l'autre côté de l'Atlantique et semble être relativement passée inaperçue de ce côté-ci. Tout du moins en Gaule, se pâmant peut-être devant le suspense Hitchcockien de l'affaire dite de Bercy (se pâmant...ou pas ! :).

Début février 2011, et entrant dans le champ des mesures de rétorsion dans l'affaire Wikileaks, des pirates (qualifiés à tort ou raison de l'étiquette Anonymous)  pénètrent le Système d'Information d'HBGary, une société spécialisée dans la...sécurité de l'Information (les cordonniers, toussa) et récupèrent des dizaines de milliers de courriels confidentiels et sensibles pour la plupart d'entre eux.

L'information du jour concerne les attaques, apparemment réussies, dont ont été la cible des entreprises d'envergure mondiale : DuPont, Johnson & Johnson, Walt Disney, SonyCorp ou encore General Electric. L'affaire ou plutôt les affaires, ne s'arrête(nt) pas là puisque c'est le FBI qui est sur la brèche et révèle que DuPont subit là sa deuxième série d'attaque en moins d'un an ! La première série d'attaques ayant été du type Google,  affaire largement médiatisée et ayant donné lieu à des frictions certaines entre le géant de Mountain View, le gouvernement chinois mais aussi américain (même si moins médiatisé).

Au-delà de l'importance économique et concurrentielle de ces affaires, on découvre à travers les mails dérobés le portrait d'un espionnage élevé au niveau industriel dont les pirates opèrent à partir de la Chine, de la Russie et d'autres pays. Les autorités américaines poussent évidemment un énième cri d'alarme en soulignant que les dangers de ces cyber-attaques sont sous-estimés. L'affaire DuPont le prouve d'une certaine manière mais il est difficile de réduire une douzaine d'attaques forcément d'importance puisque touchant de grandes entreprises tandis que c'est toute l'industrie qui subit en permanence ces  cyber-assauts. 

C'est ce que dit Steven Chabinsky, l'un des responsables de la cyber division du FBI qui s'inquiète de la permanence et de l'augmentation incroyable de ces attaques. On apprend d'ailleurs, sans surprise d'ailleurs, que tous les secteurs sont visés : l'énergie, l'industrie pharmaceutique, les entreprises de défense, etc. 

Que dire de plus si ce n'est que l'article* d'où j'ai extrait ces informations recèle d'informations très intéressantes. On y apprend, entre autre, comment la 2ème attaque sur DuPont a pu fonctionner : les ordinateurs portables de certains de ses cadres  avaient été "piégés" lors d'un voyage d'affaires en...Chine. Sans forcément les partager, on comprend aussi les silences de nombreux responsables du fait des contraintes légales américaines mais aussi de l'atteinte en terme d'image de marque vis à vis de leurs clients.

Cet article met davantage en lumière, puisqu'il semble que c'est nécessaire, la réalité d'une guerre qui se déroule dans l'ombre depuis des décennies mais franchit un nouveau palier par l'usage des technologies de l'information : la guerre économique mondiale où le cyberespace semble avoir atteint sa "taille d'adulte" dans les échanges d'informations et les transactions dématérialisées. Et il ne faudrait pas croire que cette guerre ne concerne que les États-Unis, la Russie ou la Chine : les nations dites moyennes, font aussi partie du jeu. Sous-estimer la réalité stratégique des enjeux ou balayer les conséquences sous couvert de restrictions budgétaires n'est plus de l'ordre de la légèreté ou de l'inconscience : c'est celui de l'irresponsabilité** politique, économique et technologique.

* Pour les non-anglophones, la traduction Google devrait suffire.  
** Le lecteur, dans sa bienveillance, reconnaîtra que si je me montre offensif sur ce sujet (une fois encore), veillera également à noter la constance de mes propos en cohérence avec le titre de ce blog :) Si tu veux la paix... 

mardi 8 mars 2011

G20 : les Chinois débarquent à Bercy

Titre volontairement ironique, médias et blogosphère s'étant évidemment emparés du sujet de ce qu'il convient dorénavant d'appeler "le cyber-raid sur Bercy" ;) la nuit portant toujours conseil, il faut rester prudent et circonspect.

Comme le relève Sid à propos de ce qu'écrit Daniel Ventre sur cette attaque, la France est un pays qui subit des attaques quotidiennes, au même titre que ses voisins européens et probablement sans commune mesure avec ce que subissent les États-Unis...et même la Chine !

Ce qui ne lasse pas de (me) surprendre, c'est la soudaine médiatisation de l'affaire et, disons-le clairement, "l'effet loupe" : médiatisation via l'interview du directeur général de l'ANSSI dans Paris Match ("le poids des mots, ..."). Effet loupe par son traitement médiatique et un certain sensationnalisme quant à une affaire "classique" d'espionnage et sa présentation en "cyber-attaque de grande ampleur". Ce dernier point est tout bonnement consternant car il s'agit bien d'une technique de hacking relativement classique pour récupérer illégalement de l'information mais on est loin d'une attaque distribuée (ou pas) par déni de service qui aurait une toute autre signification. Et puis, une centaine de postes infectés sur les 10 000 et quelques localisés à Bercy, ça reste en-dessous du pic épidémiologique.

Je n'épiloguerai pas sur les chemins menant à Pékin ou Shangai, ils me paraissent secondaires voire abscons car les enjeux et problématiques du G20 étaient connus des protagonistes et négociés en coulisse sans que des éléments sis à Bercy aient pu en changer radicalement la tendance. Je vous invite à lire le billet "vitriolesque" de Kitetoa et de garder à l'esprit l'hypothèse intéressante d'Eric Filliol.

lundi 7 mars 2011

Cyber attaque sur Bercy : questions et réponses

Après quelques heures d'hésitations liées au fait que l'affaire de la Cyber attaque sur Bercy fait du bruit buzz (notez l'étrange anagramme !) et n'a pas besoin de mon relais comme combustible, essayons quand même de comprendre ce qui s'est passé.

S'agit-il d'une attaque délibérée ? 
En l'occurrence oui car la cible est l'une des 3 grandes directions de Bercy, pas n'importe laquelle justement : la Direction générale du Trésor.

L'attaque est-elle sophistiquée ?
Difficile à le déterminer pour le moment, les éléments techniques restent (et resteront probablement) soumis à une discrétion légitime. Pour autant, j'ai tendance à penser que l'attaque n'est pas forcément d'une grande complexité technique. Elle a nécessité une préparation discrète et importante (ingénierie sociale, peut-être aussi de la reconnaissance technique (balayage discret voire furtif de réseau[x],  d'hôtes, de ports, etc.). C'est en cela qu'il faut comprendre la phrase du patron de l'ANSSI : "Indéniablement, cette attaque est l'œuvre de professionnels qui ont agi avec des moyens importants nécessitant préparation et méthode".
 
Quel type d'attaque alors ?
On sait que le début de l'attaque a commencé de manière presque triviale (ce qui en soi peut prouver le défaut ou l'absence de sensibilisation aux risques informatiques malveillants de tout ou partie du personnel de Bercy)  : une personne reçoit un courriel probablement assez crédible qui lui fait cliquer sur la pièce jointe (Edit 8 mars : au format PDF, très difficile voire impossible à déceler). Le mal est fait car il s'agit d'un cheval de Troie qui va, probablement, chercher immédiatement à collecter les adresses électroniques des contacts  de l'ordinateur corrompu pour se propager rapidement (c'est une hypothèse. Edit : qui se confirme).
Autre hypothèse : le troyen a été spécialement conçu pour s'appuyer sur des faiblesses protocolaires ou logicielles relevées durant la phase préparatoire (l'absence de mise à jour des correctifs du système d'application, par exemple, est une plaie d'Égypte depuis presque deux décennies mais toujours d'actualité). 

L'attaque était-elle de grande ampleur ? 
Oui si l'on considère qu'une partie des machines compromises l'ont été durant plusieurs jours ou plusieurs semaines. Il faudrait ensuite savoir quelles informations ont été illégalement détournées et si leur exploitation est un réel préjudice.
Non car il est abusif de parler d'attaque de grande ampleur du point de vue quantitatif : rappelons qu'environs 150 ordinateurs ont été touchés sur les 170 000 que comptent Bercy. De plus, il semble qu'aucun autre ministère n'ait été touché, ce qui restreint drastiquement la portée de l'adjectif "grande".
Edit : d'autant plus quand on a l'exemple de la Corée du Sud qui, dans la nuit de jeudi à vendredi dernier, a vraiment subi des attaques de grande ampleur.

Le rôle de l'ANSSI.
Son expertise a permis d'empêcher une possible contagion au sein de Bercy en établissant un périmètre technique hermétique, en déverminant l'ensemble et en traitant de manière préventive une grande partie du S.I. de Bercy (Patch management probablement).

Quelles leçons tirer ?
Il est certainement présomptueux de tirer quelques conclusions pour le moment mais cette affaire met en lumière un certain nombre d'éléments encourageants mais aussi plus inquiétants.
Peu importe le ministère frappé, les réelles motivations ou l'origine de la menace, la France n'est pas la première nation ayant subi une attaque informatique (ciblée ou non). Ce qui est nouveau c'est sa médiatisation (notons d'ailleurs l'interview donnée par P. Pailloux dans...Paris Match, drôle de choix). Relevons également que l'attaque, bien préparée, a fonctionné mais qu'elle a pu être détectée, ce qui est heureux.
 
Enfin, l'ANSSI a mobilisé plusieurs dizaines de spécialistes durant quelques semaines mais son rôle renforcé d'acteur majeur de la cybersécurité demeure uniquement curatif. Illustration bien à propos de ce que j'en disais déjà la semaine dernière : "l'ANSSI aura un rôle de gestion de crise, ni plus ni moins [...]; au mieux elle coordonnera les quelques moyens mobilisables et tentera de limiter une attaque éventuelle".

C'est ce qui vient de se passer et il est plus que probable que l'actualité à venir n'a pas fini d'alimenter le sujet. Ici ou ailleurs...

mercredi 2 mars 2011

Non : l'ANSSI n'est pas le "French" Cyber Command !

PC Inpact a publié la semaine dernière une interview intéressante de Patrick Pailloux, Directeur Général de l'ANSSI. Intéressante parce ce qu'elle permet, à mon sens, d'illustrer la façon dont chacun peut percevoir la place de la cybersécurité dans les Nations développées, en particulier en France et en Europe mais aussi aux Etats-Unis qui en sont le fer de lance. D'illustrer mais aussi d'essayer d'en comprendre les rouages visibles, moins visibles voire invisibles et de venir les communiquer pour informer, transmettre et parfois en débattre.

Depuis sa création, ce blog essaie modestement de poser les problématiques  qui me tiennent à cœur ainsi que les bonnes questions (on peut toujours rêver, non ?). Tout cela de manière sûrement imparfaite, parcellaire mais enthousiaste (quand ce n'est pas passionnée). Ce qui me fait singulièrement réagir, sans lassitude aucune (ou presque :), c'est de noter dans certains médias  (institutionnels mais aussi sur la blogosphère) le traitement partiel (et parfois partial) quant aux nouvelles attributions confiées à l'ANSSI (le décret du 11 février 2011). A l'aune d'un précédent billet, j'aurais pu intituler celui-ci "ANSSI : 1 - Médias : 0" mais il est à craindre qu'ANSSI et Stuxnet puissent être remplacés à l'infini. Ce n'est donc plus du jeu mais du systématisme doté d'une certaine arrogance dont j'essaye de préserver mon ego (ni démesuré, ni dégradé).

Ceci étant dit sur un ton badin, redevenons sérieux quelques instants : certains médias clament et déclament ces dernières semaines que l'ANSSI serait devenue le Cyber Command (il faut être ambitieux mais le pas franchi mérite que l'on s'y intéresse) , sorte d'agence de choc à la française dans la lutte contre les cyber-menaces.

Je pense pourtant que l'on est (très) loin du compte et Patrick Pailloux ne me semble pas dire autre chose quand il explique que :
- ce décret permet avant tout de donner une assise juridique donc un gain de temps (2 à 3 heures) en terme d'autorité légale identifiée quant aux éventuels "ordres" de déconnexion que les FAI pourraient recevoir des autorités françaises en cas de cyber attaque majeure;
- l'ANSSI aura un rôle de gestion de crise, ni plus ni moins, et j'aime beaucoup la métaphore filée quant à la gestion des incendies l'été; au mieux elle coordonnera les quelques moyens mobilisables et tentera de limiter une attaque éventuelle;
- pour le reste, il ne faut pas oublier que l'agence a d'abord un rôle de conseil et de support en direction des administrations (voire des entreprises) et consacre une partie importante de son activité à travers la certification de produits et de solutions de sécurité.

Il faut donc raison garder et considérer que l'attribution étatique de la cybersécurité vers l'ANSSI pourrait être une solution transitoire en attendant que :
- Soit le champ du cyberespace devient un axe stratégique à moyen terme (donc politique ce qui sous-tend une vision prospective et d'anticipation...I have a dream) et l'agence pourrait se voir doter de moyens en conséquence; le rôle de "Nation leader en cybersécurité"  dans l'Union européenne pourrait être l'une des conséquences - raisonnable et intéressante;
- Soit elle conserve ses "modestes" attributions et participera de manière complémentaire ou intégrée à une future autorité Otanienne ou Européenne (l'ENISA ? Face à l'OTAN, le "match" me semble joué d'avance...);
- Enfin, la 3ème voie : une nouvelle agence est créée, entièrement dédiée à la cybersécurité et intégrant, pourquoi pas, les CERT avec des interfaces fortes vers le monde militaire (la DRM aurait dès lors un rôle à jouer) mais aussi vers les grandes entreprises.

En fait cette dernière voie ressemble furieusement à celle empruntée par les États-Unis, toute proportion gardée : une autorité centralisatrice dotée de moyens de surveillance de la menace dans le cyberespace (avec sa Common Operational Picture, j'y reviendrai une autre fois) en liaison permanente avec toutes les entités étatiques occupée par la cybersécurité ainsi que l'ensemble des département sécurité des plus grandes entreprises.