samedi 28 mai 2011

Une guerre (ou une bataille) de l'information de retard ?

Saluons le dernier avis d'expert de Christian Harbulot sur 01net.entreprises. Deux raisons à cette opinion : la première, relativement évidente, puisque mon analyse en mars dernier quant au rôle réel et non fantasmé de l'ANSSI, à ce qu'elle parait être en train de devenir mais surtout ce qu'elle n'est pas (encore ?), n'est pas passée inaperçue et devait sûrement comporter quelques idées pertinentes.

La seconde, plus évidente encore, puisque l'analyse de C. Harbulot ne fait que renforcer l'urgence qu'il y a/aurait impérativement à traiter les problématiques de "Cyberwarfare" ou d'actions offensives dans le Cyberespace.

En particulier dans  cette dichotomie qu'il y a à laisser traiter les problèmes par des entités à vocation uniquement techniques dans l'espoir que des problématiques qui ,pour le coup,  possèdent une finalité technique seront dès lors réglées. Ce scénario ne tient pas  face à la réalité, sauf  à ne considérer que des attaques de type "Bercy", ponctuelles et en apparence complexes donc "rares".

Là où C. Harbulot, moi et tant d'autres voulons humblement mais fermement venir est qu'il est vain mais surtout dangereux de se recouvrir les yeux de la main en considérant que, de fait, les menaces n'existent plus !

C'est oublier dans quelle perspective "Clausewitzienne" se positionne la composante informationnelle, défensive et offensive : un levier supplémentaire dans la lutte inamicale que se livrent l'ensemble des acteurs majeurs et étatiques de la mondialisation. Et que sur le "Vieux Continent " une volonté politique, que dis-je, une certaine vision prospective devrait sans coup férir reprendre la main et éviter tout suivisme. Sauf à vouloir, évidemment, confier les clés de la "boutique" à d'autres nations bien plus promptes à conserver mais surtout à accroître leurs parts de marché, quel que soit celui-ci !

Il n'est pas encore trop tard même si, les mouvements actuels sur l'appréhension politique des problématiques de cybersécurité et leur traduction par des actions techniques,  organisationnelles et législatives, semblent être bien plus sérieusement traitées sur notre flanc occidental (USA) ou oriental (Chine, Inde, Israël voire Iran).

jeudi 19 mai 2011

DHS + Siemens = TakeDownCon - SCADA

C'est de nouveau grâce à Twitter qui, une fois encore prouve sa pertinence comme outil pointu de veille, que l'on a appris l'annulation d'une présentation lors des sessions Security TakeDownCon à Dallas. Il faut d'abord remercier Jason E. Street avant de se pencher sur le pourquoi du comment.
 
Deux chercheurs en sécurité, l'un semi-indépendant Dillon Beresford (déjà relayé sur ce blog), l'autre Brian Meixell travaillant pour NSS Labs devaient présenter mais surtout faire une démonstration physique aujourd'hui autour du thème "Réactions en chaîne - Hacking SCADA". L'idée semblait être de démontrer comment des attaquants motivés (et non-étatiques) pourraient pénétrer tout système industriel même le plus protégé du monde ! Et comment il serait possible d'écrire le code malveillant sans avoir accès physiquement à la cible. En clair, reprendre les principes ayant conduit à la création de Stuxnet et, a priori, sa réussite opérationnelle.
 
Mais une discussion, quelques heures avant la présentation, avec des représentants de l'ICS-CERT...du DHS (qui a préalablement discuté avec Siemens) semble avoir convaincu les deux chercheurs qu'il était dans "l'intérêt national" de ne pas se produire devant les plus de 300 participants. Les choses ne sont pas exactement dites comme cela mais il faut ainsi comprendre l'exercice "langue de bois" qui s'en est suivi. A lire ici pour quelques précisions supplémentaires et les commentaires, passablement remontés.

On notera simplement qu'il ne peut y avoir de coïncidence entre les mesures annoncées cette semaine par l'administration Obama sur la cybersécurité et cet événement, confiné au petit monde de la sécurité et de ses chercheurs. Le fait que la cybersécurité soit officiellement devenue un enjeu de sécurité nationale trouve ici sa première concrétisation. Il y en aura d'autres...

mercredi 18 mai 2011

Cybersécurité US : un exemple parmi d'autres

Depuis sa campagne présidentielle de 2008, on savait que Barack Obama était un utilisateur des technologies de l’information plutôt averti. Ce côté technoïde le rend probablement plus sensible aux problématiques bien réelles de cybersécurité que n’importe lequel de ses prédécesseurs.

Son administration fait feu de tout bois et, après avoir émis des propositions en ce qui concerne les moyens fédéraux  pour la cybersécurité (lire mon précédent billet), c’est au niveau international que les États-Unis vont tenter de structurer cette problématique. L’annonce des propositions et des initiatives, qui ne manqueront pas d’être portées dans les mois qui viennent, vient d'être faite (16 mai 2011). J’y reviendrai ultérieurement et, en attendant, un compte-rendu sans partie pris prononcé pourra être avantageusement lu ici (en anglais). On lira également avec beaucoup d'intérêt l'analyse de Cidris sur ce vaste sujet (en français).

La plupart du temps, il est vain (et parfois inutile) de comparer ce qui se fait chez l’oncle Sam avec ce qui se fait ici, en France ou en Europe, en grande partie du fait –entre autre - des écarts culturels, politiques et administratifs (le fédéralisme est le pendant du modèle jacobin et centralisateur français). Je me plais néanmoins à relayer toute initiative que j’estime intéressante et qui, moyennant des efforts d’adaptation, serait transposable et pertinente à nos contextes.

L’une d’entre elles, annoncée lundi 16 mai également, illustre le côté décentralisé (décloisonné ?) de la réponse intérieure américaine, leur ferme volonté d’avancer sur le sujet (pas d’effet d’annonce mais des mots suivis d’actions), les résultats tangibles de ces efforts engagés pour certains depuis plusieurs années. La NRECA, une association créée en 1942 qui regroupe plus de 900 acteurs de l’électricité aux USA (producteurs & municipalités de 47 états), vient de publier un outillage méthodologique unique à destination de ses membres (mais aussi au-delà).

Cette boîte à outils comprend un guide pour déployer la cybersécurité et des plans de mitigation des risques, un modèle de plan pour établir les contrôles de sécurité et une checklist de 69 questions permettant la qualification rapide des actions à mener en priorité. Ayant parcouru certains de ces documents, ils sont complets et applicables, charge seulement que ces outils soient portés et utilisés par des spécialistes de la sécurité. Pour les autres, cela demeure complexe voire compliqué (Identification des ‘assets’, analyses de risques, exigences de sécurité, contrôles, revues, etc.). Nous sommes donc en possession d'un kit outillé de description formelle et guidée de l’intégration d'un processus (cyber)sécurité au sein d’une structure industrielle de production et/ou d'exploitation.

Pour finir, on notera que ce résultat « concret » a été produit dans le cadre d’un ensemble de projets de coopération entre le CRN (Cooperative Research Network,  le département R&T de la NRECA) et le département de l’Energie (DoE). Et qu’il s’appuie sur les recommandations du NIST, en particulier une « Interagency Report » (NIST-IR 7628Strategy for improving smart grid interoperability and security’) applicable aux réseaux électriques.

lundi 16 mai 2011

Cybersécurité : les propositions d'Obama

Attendues depuis des semaines, les propositions de la Maison Blanche en matière de cybersécurité n’apportent pas de réelles nouveautés à un arsenal déjà bien fourni.

Le document s’articule autour de sept thèmes majeurs : législatif, notification de failles, autorités compétentes, infrastructures critiques, réforme de la FISMA(1), réforme du personnel et data centers. Parmi ces thèmes, j’en ai relevé trois qui me semblent mériter une attention plus particulière.

En premier lieu, le DHS se voit renforcer dans ses responsabilités et devient, au même titre que le DoD (ministère de la Défense) pour le .mil (militaire), l’autorité chargée des .gov (gouvernement). Le DHS est confirmé dans son autorité permanente du système Einstein 3 de collecte et de surveillance des incidents de sécurité (et des tentatives d’intrusion), système déjà évoqué sur ce blog. Les failles relevées dans toute infrastructure critique seront directement reportées au DHS. Les vulnérabilités de sécurité et la sûreté des infrastructures critiques sont reconnues comme un enjeu de sécurité nationale et doivent donc être protégés en conséquence. De fait, un effort supplémentaire sera fait sur le recrutement de spécialistes. En parallèle, la FISMA(1) critiquée pour être trop « basée processus papier » (= trop conceptuelle) sera réformée pour être davantage opérationnelle.

Le second thème que l’on peut considérer comme majeur dans ces propositions concerne le volet législatif. Qui sera renforcé, en lien direct avec la FISMA. Lors de la dernière session du Sénat, on a relevé le dépôt d’une cinquantaine d’amendements relatifs à la cybersécurité.

Enfin, on peut noter que l’administration Obama préfère manier la carotte envers les industriels en les incitant fortement à renforcer leurs moyens de lutte dans le cyber-espace plutôt qu’en les sanctionnant.  Cet encouragement est une conséquence directe des axes majeurs préconisés ces derniers mois : renforcer les synergies privé/public et accompagner de manière didactique l’ensemble des acteurs.

Une démarche pragmatique qui, sans révolutionner l’approche des enjeux de la cybersécurité, mériterait sûrement d’alimenter les réflexions de ce côté-ci de l’Atlantique. 

(1) La FISMA est une loi de 2002 qui régit la sécurité de l’information (référentiel, organisation, revues) de chacune des agences fédérales. La fiche Wikipedia (en anglais) est ici.

En complément et pour aller plus loin (en français)
http://www.itespresso.fr/cyber-securite-obama-veut-obliger-entreprises-a-mieux-se-proteger-42822.html
(en anglais) :

samedi 14 mai 2011

Cyber Schengen : un débat confisqué ?

En ces temps numériques troublés où les intentions (et la réalité) d'un filtrage  plus agressif de l'internet s'organise un peu partout sur la planète, il n'est pas anormal ni même inutile que les citoyens s'emparent d'un débat...qui n'a pas (encore ?) eu lieu. Débat confisqué (et donc forcément "un peu" suspect) est même le terme technique mais je ne voudrais pas me perdre dans des considérations politiques, que je laisse aux nombreux observateurs vigilants, bien plus pertinents que moi sur le sujet.

Que ces citoyens ne soient pas tous "ingénieur-informaticien" est loin d'être un inconvénient puisque, comme pour la guerre, paraît-il, il semblerait qu'il vaille mieux confier les clés d'un débat aux premiers concernés (les utilisateurs qui sont pour le coup "simples" utilisateurs, sans être péjoratif) qu'aux initiés. Même si en bon adepte de la synthèse, je suis pour mettre tout le monde autour de la table.

Une immense table où il faudrait convier, entre autre, messieurs Riguidel et Crémer en ce qui concerne la France. Douce France qui rayonne bien au-delà de nos frontières métropolitaines : c'est à Bruxelles, en passant par Budapest, qu'il faudrait également s'inviter. On lira d'ailleurs avec intérêt l'analyse succincte et percutante de l'EDRI (Association Européenne de défense des droits numériques) à propos du "Firewall européen" dont on entend causer ces derniers temps. La présentation qui vient d'être publiée semble pour le moins sujet à controverse.

Sous couvert de lutte contre la pédophilie, juste cause s'il en est, c'est un outillage complet puissant et modulaire qui se dessine. Et donc techniquement, quelle difficulté y aurait-il à augmenter le nombres de domaines (thématiques) à filtrer ? Aucune.

Aux législateurs donc de faire preuve de sagesse et d'équilibre en intégrant, par exemple, les mécanismes de contrôle citoyens (via le relais des députés européens) et de mesure de l'efficacité d'un tel outillage. Et de convier autour de cette table ronde virtuelle, les acteurs* de bon sens en France et en Europe...

* liste évidemment non exhaustive, à compléter !

lundi 9 mai 2011

Hacking SCADA en Lettonie ?


Latvenergo est la première entreprise d'électricité Lettone qui produit environ 70% de l'électricité du pays. Mélangeant énergie d'origine hydraulique et de cogénération, elle s'appuie, pour  cette dernière, sur deux unités de production : Riga TEC-1 et Riga TEC-2.

Riga TEC-2 est localisée aux abords de la ville de Salaspils, à 18km environ au sud-est de la capitale, Riga. Mise en service en 2008, elle fournit 20% des besoins électriques du pays et a été construite par l'opérateur espagnol Iberdrola. Pour un pays à l'échelle de la Lettonie, cette unité peut être qualifiée d'infrastructure critique et vitale.

Jeudi 3 mai, un hacker chinois connu (et qui serait à la tête de l'unité qui se nomme « China Youth Hackers Alliance ») a publié l'exploit de la compromission des deux routeurs de TEC-2. On notera au passage que les mots de passe sont d'origine et/ou d'une trivialité coupable : « cisco » « sunset », « henry50 » ou « henriks ». J'ignore la réaction des autorités lettones mais le CERT LV (letton) mettait, quelques jours avant,  le pays en garde contre une augmentation des attaques envers les sites de l'État et des autorités ! Qui devraient remercier l'auteur chinois de contribuer à l'amélioration du niveau de sécurité de certaines de ses installations :) et qui semble posséder quelques compétences en la matière (à moins que ce ne soit un leurre ?). D'autant plus que certains forums lettons sont, disons-le, plutôt  réservés sur l'origine et la véracité de l'exploit.

vendredi 6 mai 2011

ENISA : les pieds dans le tapis (de la souris)

On ne peut que se réjouir lorsqu'une agence comme l'ENISA souligne ses inquiétudes quant aux multiples faiblesses de l'Internet en général ("la jungle" de son infrastructure) et de ses défauts "génétiques" d'origine ("le gruyère" de ses multiples vulnérabilités - exploitables - de conception).

On se sent également moins seul dans la forêt :) lorsque le réseau des réseaux est abordé sous l'angle d'un moyen de communication devenu essentiel au commerce et, plus généralement aux activités humaines, et qu'il est de plus en plus soumis à une insécurité permanente et criminelle. Réseau dont il est salutaire de se préoccuper de sa capacité de résistance à fonctionner de manière dégradée (la fameuse résilience) afin de fournir les besoins essentiels de l'énergie, des transports, de l'économie et enfin du système de santé.

Il est bon, cependant, de s'interroger sans fausse naïveté sur ces dites inquiétudes lorsqu'elles portent aussi (et peut-être surtout ?) sur le déficit d'informations de la topologie (c'est ma traduction incertaine de "size and shape") d'Internet et de sa complexité technique liée à la multiplicité de ses couches (modèle ISO) et de ses protocoles.

Il devient peut-être également essentiel de se préoccuper de savoir pourquoi il faudrait un "centre d'opérations réseau central" qui lutterait contre les cyber-attaques et chercherait à établir des bonnes pratiques ? Surtout quand est souligné le côté décentralisé et ouvert ayant conduit à la création et au succès d'Internet ?!

L'ENISA recommande donc des mesures techniques (R&D dans les domaines de l'inter-routage, l'ingénierie du trafic et des flux, la redirection et la prioritisation), une réflexion sur les aspects légaux et juridiques et, bien-sûr, une amélioration des échanges internes à l'Union européenne et avec...les USA ("transatlantic relations") !

Enfin, l'agence européenne recommande de prendre comme socle commun le concept stratégique de cybersécurité en cours de développement au sein de l'OTAN. Ce qui, au passage, semble donner corps à mes interrogations et hypothèses ces derniers mois.

Que penser de tout cela ?
Primo que l'Union européenne confirme sa prise de conscience plutôt ancienne de la problématique insécurité dans le cyberespace et de ses possibles impacts dramatiques/désastreux dans la "vie réelle" en cas de crise ou de sinistre majeur. Il est d'ailleurs possible que des dissensions politiques internes à l'UE ou que de bien tristes considérations budgétaires n'en ont pas fait un sujet à traiter en priorité. Maintenant que l'actualité cybersécurité des derniers mois donne corps à un scénario prospectif de plus en plus anxiogène, il me semble que l'ENISA tente de donner le change (ou fait diversion ?) puisque l'OTAN s'est déjà emparée du sujet et le fait avancer dans la pénombre.

Secundo qu'il ne faut pas être nécessairement paranoïaque pour deviner qu'un contrôle total de l'Internet, via une surveillance efficace, séduit de nombreux décideurs. Qui, pensent-ils/elles à tort, régleraient du même coup cette problématique croissante.

Tertio, on nage de fait dans ces eaux troubles et orwelliennes qui me confortent dans une autre hypothèse prospective : dans une dizaine d'années, l'Internet que nous connaissons n'existera plus sous sa forme actuelle. Un ensemble de réseaux possiblement propriétaires  et à l'échelle "régionale" (au niveau planétaire s'entend) se sera développé. L'Internet initial redeviendra alors la Terra Incognita de ses débuts, ce gigantesque Far-West en devenir avec ses bons, ses brutes et ses méchants. Mais au moins, veaux, vaches et cochons seront bien gardés !

PS : un hommage appuyé et dans la même tonalité à ce billet de Sid et à cet article, point de départ de mes réflexions.
Edit : on lira avec intérêt le billet sur le même sujet de Rénald Boulestin sur ITExpresso.

lundi 2 mai 2011

Panne du cloud d'Amazon : explications et transparence ?

Le 21 avril 2011, le Cloud connaissait probablement SON incident technique et historique le plus sérieux jusqu'à lors. La plateforme EC2 d'Amazon (Elastic Compute Cloud - l'offre de service "en nuage" d'Amazone) subissait une interruption de service de plusieurs heures.  Puis de sérieux aléas techniques jusqu'au 25 avril. Ce qui représente un préjudice financier non-négligeable puisque ses clients à l'est des USA ont été touchés,  clients d'envergure nationale et parfois internationale, qui offrent certains services web via EC2 (Quorra, Redit, Foursquare).

Pour autant, on peut s'interroger sur l'explication apportée : l'infrastructure de stockage des données repose sur ce qui s'appelle l'EBS (Elastic Block Store). Ce système permet de se créer une instance de travail sur un ou plusieurs volumes (disques). La solution est donnée comme novatrice et très sûre (snapshot personnalisable) : la preuve ! (je sais elle était facile :)

L'explication donnée est qu'une opération de maintenance a mal tourné : l'un des opérateurs (?) a détourné le trafic de l'une des sections géographiques (le Nord de la Virginie en l'occurrence) du réseau primaire de l'EBS vers un réseau de secours doté de moindres de capacités de traitement des flux de données (un routeur moins performant en fait). Et l'ensemble du réseau Est des USA de l'EC2  a subi de grandes perturbations avant que l'origine de la panne ne soit identifiée et résolue.

L'étonnement est grand de s'apercevoir que ce type de routage, d'une importance opérationnelle non-négligeable, ne dispose pas de garde-fous via l'IHM comme des messages d'avertissement voire des autorisations spécifiques de validation. C'est ce point qui m'intrigue et me fait planer en tête le fameux "1% de doute". Ou alors les concepteurs système sont gravement incompétents !

Quoiqu'il en soit, Amazon dédommagera ses clients lésés et aura eu le mérite de communiquer hier dans le détail (en anglais), avec une transparence quasi-didactique. Encore heureux cependant que l'on ait cette fois-ci eu affaire à une erreur humaine,  pas à une malveillance ! Et de cela, je suis sûr à 100% !