Total Pageviews

Tuesday, November 25, 2014

Regin

Annonce du mois de novembre par Symantec[1] de la découverte d’un nouveau malware : Regin. Ce cheval de Troie, visiblement actif depuis 2008, serait, selon le site The Interceipt, l’œuvre d’agences de renseignement américaines et du GCHQ. Le malware collecte des données (« malware avancé pour espionnage de masse »[2]) et prend l’apparence d’applications Microsoft légitimes. D’après les statistiques de Symantec ses cibles sont réparties à 28% en Russie, 24% en Arabie Saoudite, puis 9% au Mexique, 9% en Irlande, 5% en Inde, 5% en Afghanistan, 5% en Iran, 5% en Belgique, 5% en Autriche, 5% au Pakistan. La seule liste de ces Etats ne permet pas véritablement d’appréhender une stratégie qui sous-tendrait la propagation du malware. L’essentiel des cibles est constitué d’individus privés, de petites entreprises (48%). Les sociétés de télécom viennent ensuite, avec 28%. Le site The Intercept affirme que le malware a été utilisé pour espionner l’Union Européenne et Belgacom, entreprise belge de télécommunications[3]. Ces opérations d’espionnage avaient été révélées par Edward Snowden en 2013 (sans que ne soit alors mentionné le malware Regit).

Comme c’est le cas lors de l’annonce de la découverte de malwares importants, les arguments développés par les médias, les commentateurs et autres experts, sont identiques :

  • La complexité du malware : impliquerait que seul un Etat soit en mesure de l’avoir développé
  • Les ressources nécessaires au développement auraient été importantes, de sorte que là encore seul un Etat pourrait se trouver derrière l’affaire
  • La divulgation est faite par une grande entreprise de cybersécurité (ici Symantec) et autres medias de forte notoriété (dans ce cas, le site The Interceipt[4])
  • Le virus est discret, son code complexe, son mode de fonctionnement encore partiellement inconnu
  • Les véritables auteurs ne sont pas connus : seules des hypothèses sont avancées
  • Le malware a fait l’objet de plusieurs versions, déployées en plusieurs vagues (ici une première version de 2008 à 2011, puis une seconde à compter de 2013)
  • Le malware a été identifié sous des versions antérieures bien avant la divulgation médiatisée (il était question pour Stuxnet également de plusieurs versions du malware)
  • Si les malwares sont l’œuvre des agences de renseignement, alors il ne faut attendre de ces dernières aucune information, précision, confirmation. Fidèles à leur fonction, les agences ne s’expriment pas sur leurs actions. Tout au plus affirment-elles agir dans le strict respect du droit[5]. Le doute plane donc toujours quant à l’identité des auteurs et leurs véritables objectifs.
  • Les commentaires peuvent enfin s’intéresser à l’origine du nom attribué au malware, ou aux liens que peut entretenir le code avec la mythologie, l’histoire, la légende. Regit pour sa part évoquerait la mythologie nordique. Stuxnet lui, enfermait dans son code des références bibliques, selon certains experts (en raison de la présence d’un fichier nommé Myrtus[6]).

Regit s’inscrit dans la chronologie de ces malwares qui prennent naissance dans l’après-Estonie (2007), période au cours de laquelle les opérations se multiplient, qu’il s’agisse de tentatives de sabotage (Stuxnet, Shamoon…) ou d’espionnage. L’histoire de la cybersécurité/défense, ou plutôt de la cyber-insécurité s’étoffe, est complétée de nouveaux éléments, de nouvelles pièces d’un puzzle qui se constitue au fil des ans, au rythme des diverses découvertes et révélations. Ce récit est celui d’un système international qui se construit - mais cela n’est pas nouveau - autour des opérations masquées, et qui teste encore et toujours les possibilités offertes par le cyberespace, ses limites et celles des acteurs qui sont victimes des actions. L’opération menée autour de Regit, si elle est bien étatique, n’est finalement qu’une de plus parmi d’autres, ajoutant à la panoplie des instruments et pratiques mise en lumière ces dernières années.




[1] http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
[2] http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-740863-regin-malware-avance-oeuvre-6-ans.html
[3] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[4] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[5] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[6] https://publicintelligence.net/stuxnet-virus-contains-biblical-reference/

Tuesday, October 21, 2014

Revue Diplomatie - Spécial Cyber


La revue Diplomatie vient de publier un numéro spécial "Cyber": cybersécurité, cyberdéfense, cyberstratégie, cybercriminalité, cyberespionnage, cyberterrorisme. 
Le numéro a été réalisé par la Chaire Cyberdéfense & Cybersécurité. On y retrouve donc de nombreux contributeurs membres de la Chaire. 

Tuesday, September 2, 2014

Book - Chinese Cybersecurity and Defense - Wiley ISTE - Edited by Daniel Ventre

Chinese Cybersecurity and Defense 
Daniel Ventre (Editor)
ISBN: 978-1-84821-614-3
320 pages

July 2014 - Wiley ISTE




Author Biographies 
Introduction by Daniel Ventre
Chapter 1 - China's Internet Development and Cybersecurity - Policies and Practices 
Xu Longdi
Chapter 2 - PLA Views on Informationized Warfare, Information Warfare and Information Operations 
Dean Cheng
Chapter 3 - China's Adaptive Internet Management Strategy After the Emergence of Social Networks 
Alice Ekman
Chapter 4 - India's Cybersecurity - The Landscape 
Cherian Samuel
Chapter 5 - China and Southeast Asia: Offline Information Penetration and Suspicions of Online Hacking - Strategic Implications from a Singapore Perspective 
Alan Chong
Chapter 6 - Impact of Mongolia's Choices in International Politics on Cybersecurity 
Daniel Ventre
Chapter 7 - China-Iran-Russia - A Cybercommunity of Information? 
Thomas Flichy De La Neuville
Chapter 8 - Discourse Regarding China: Cyberspace and Cybersecurity 
Daniel Ventre
General Conclusion - by Daniel Ventre
List of Authors 

Wednesday, May 21, 2014

Des militaires chinois recherchés par le FBI pour cyberespionnage économique

L’information n’a pas fait les grands titres en France, mais les Etats-Unis viennent de prendre une décision qui fera date dans l’histoire de l’évolution des relations avec la Chine, sur fond de lutte dans le cyberespace. Le 19 mai 2014 le FBI a ajouté à sa liste des personnes recherchées, photos à l’appui, les noms de 5 militaires chinois, officiers au sein de l’unité 61398, accusés d’opérations de cyberespionnage industriel contre des entreprises américaines menées depuis 2006.

Les militaires-hackers chinois désignés sont : 

-         Gu Chunhui (以及顾春晖, Gu Chun Hui, "KandyGoo", Gao Chunhui). Gu Chunhui aurait été identifié dès la fin des années 1990, et mentionné dans le livre de Scott Henderson (The Dark Visitor, 2007, p.12 et 49). Il aurait participé au groupe de hackers Red Hacker Alliance.  
-         Huang Zhenyu (黄镇宇, Huang Zhen Yu, “hzy_lhx”)
-         Le capitaine Sun Kailiang (孙凯良, Sun Kai Liang, Jack Sun)
-         Wang Dong (王东, Jack Wang, "UglyGorilla"). Wang Dong, qui aurait été identifié dès 2004, fut mentionné dans le rapport Mandiant publié en 2013. 
-         Wen Xinyu (文新宇, Wen Xin Yu, “WinXYHappy”, “Win_XY”, Lao Wen)

Les six entreprises américaines victimes de ces opérations sont : Westinghouse Electric Co. ; SolarWorld AG ; United States Steel Corp. ; Allegheny Technologies Inc. ; the United Steel, Paper and Forestry, Rubber, Manufacturing, Energy, Allied Industrial and Service Workers International Union ; Alcoa, Inc. Pour une analyse des entreprises victimes, nous renvoyons à la lecture de l'article publié par Jeffrey Carr

31 accusations pèsent sur chacun des 5 accusés (l'intégralité du rapport d'accusation est disponible sur le site du Département de la Justice américain). Les crimes qui leur sont reprochés sont les suivants :  
-         Tentative de fraude  (10 ans de prison) (18 U.S.C. § 1030(b))
-         Accès illicite dans des ordinateurs (5 ans de prison) (18 U.S.C. §§ 1030(a)(2)(C), 1030(c)(2)(B)(i)-(iii), and 2.)
-         Diffusion de malware (10 ans) (18 U.S.C. §§ 1030(a)(5)(A), 1030(c)(4)(B), and 2.)
-         Usurpation d’identité (2 ans) (18 U.S.C. §§ 1028A(a)(1), (b), (c)(4), and 2)
-         Espionnage économique (15 ans) (18 U.S.C. §§  1831(a)(2), (a)(4), and 2.)
-         Vol de secret industriel (10 ans) (18 U.S.C. §§ 1832(a)(2), (a)(4), and 2.)

(Pour une lecture analytique de ces textes de loi, voir l'ouvrage: Prosecuting Computer Crimes, Department of Justice, 2010, 213 pages)

Les raisons, motivations et effets attendus d'une telle procédure, du point de vue américain, sont multiples : 

- Lors d’une conférence de presse, le procureur Holder a estimé que les opérations menées par les hackers militaires chinois méritaient une réaction appropriée de la part de la justice américaine. Pour les Etats-Unis, la compétition internationale doit uniquement reposer sur les capacités d’innovation des entreprises et non s’appuyer sur la capacité des gouvernements à voler des secrets industriels. Selon James B. Comey, Directeur du FBI, le gouvernement chinois depuis trop longtemps pratique le cyberespionnage dans le but d’aider ses entreprises à obtenir un avantage économique.
La décision prise de poursuivre des généraux chinois repose donc officiellement sur cette distinction entre pratiques acceptables (l'espionnage politique, étatique, militaire, l'espionnage légitime et licite comme celui qui a pour objectif officiel la lutte contre le terrorisme par exemple) et non-acceptables (le cyberespionnage économique qui déséquilibre la compétition économique mondiale). Il n'est pas question de l'identité des cibles de l'espionnage, mais bien de le distinguer en fonction de ses finalités. Pour les américains l'espionnage des entreprises reste donc possible, tant qu'il n'est pas motivé par une finalité économique. 
- Il est évident que la procédure, sur le plan juridique, a peu voire aucune chance d'aboutir à la remise aux autorités américaines des militaires recherchés, et donc à plus forte raison à leur jugement. Il est également évident que cette procédure a peu de chances de limiter, concrètement, les pratiques chinoises (les pratiques reprochées à la NSA ont-elles d'ailleurs cessé, face à leur dénonciation par plusieurs gouvernements suite aux révélations d'E. Snowden?). 
- La justice américaine étant saisie, les cyberattaques relèvent du droit pénal, de la criminalité ordinaire dirions-nous. Il n'est pas question de "cyberguerre", d'usage de la force, ni d'espionnage militaire. Les Etats-Unis semblent dire "à méthodes de voyous, traitement de voyous" et cela peu importe que les coupables identifiés soient des militaires agissant dans le cadre de leurs fonctions, ou de simples citoyens. Voici donc l'image de ces militaires placardée sur les pages du FBI au même rang que des criminels en col blanc, des assassin, des terroristes. Il y a dans cette démarche la volonté évidente d'affecter l'image de ces militaires, et au-delà bien sûr de la Chine. Mais ce choix est-il le meilleur, le plus efficace? Pourquoi n'avoir pas plutôt choisi de porter l'affaire devant les juridictions de l'Organisation Mondiale du Commerce (en invoquant plus spécialement les TRIPS Agreement (Trade Related-Aspects of Intellectual Property Rights) qui proposent des recours spécifiques pour le vol de propriété intellectuelle ? Pourquoi les Etats-Unis n'ont-ils jamais adressé une requête auprès de l'OMC alors qu'ils dénoncent depuis plusieurs années ces atteintes à la propriété intellectuelle et les agissements spécifiques de la Chine (voir par exemple le rapport Cox de 1999 relatif au commerce avec la Chine et les enjeux de sécurité nationale)? 
- Les Etats-Unis démontrent qu'ils disposent de capacités de renseignement autorisant une identification très précise des auteurs des cyber-opérations. L'attribution est possible. Le FBI a publié des détails sur les méthodes utilisées par les hackers, ce qui pour certains est une révélation de nature à dissuader ces attaquants: This will scare the PLA hackers, at least for a few months, while they try to find out how they were detected.”
- C'est la première fois que l'on met un visage sur la cybermenace chinoise. Jusque-là elle était dans le discours, à la fois concrète (pour ceux qui l'affrontent sur les réseaux) et abstraite. Forts de cette capacité d'attribution, d'identification, les Etats-Unis démontrent qu'ils ont à la fois les moyens et la volonté de remonter la trace de leurs agresseurs. 
Cette procédure prend les autorités chinoises au pied de la lettre, à savoir leur apporter les preuves de l’implication de l’armée dans les opérations de cyberespionnage : « In the past, when we brought concerns such as these to Chinese government officials, they responded by publicly challenging us to provide hard evidence of their hacking that could stand up in court. »

La Chine, quant à elle, réagit et avance ses arguments : 
Au travers du porte-parole du Ministère desaffaires étrangères,  estimant que les accusations sont montées de toutes pièces ; qualifiant la procédure américaine de violation des normes élémentaires des relations internationales ; déplorant la dégradation des relations sino-américaines et le coup porté à la confiance ; réitérant la détermination de la Chine à lutter contre les menaces à la cybersécurité ; et réaffirmant que jamais la Chine ne s’est livrée à de l’espionnage industriel et économique ; 
- Du point de vue chinois, on rappelle que, depuis les révélations d’E. Snowden, il est notoire que ce sont les Etats-Unis qui espionnent les puissances étrangères. Les Etats-Unis ont espionné la Chine en s’introduisant dans les réseaux de ses administrations, armées, entreprises. La Chine a demandé des explications à Washington et l’arrêt de ces pratiques.
- Face à ce qu'elle considère comme un manque de sincérité dans le dialogue amorcé avec les Etats-Unis sur la cybersécurité, la Chine a décidé de suspendre les activités du groupe de travail (Sino-US Network Working Group) qui avait été mis en place pour dialoguer sur les enjeux de cybersécurité.
- Des mesures sont possibles contre les entreprises américaines présentes sur le territoire chinois ou commerçant avec la Chine, et peut-être à commencer par les 6 entreprises américaines citées dans la procédure. 

Plus largement, ce sont les relations diplomatiques, économiques, politiques, culturelles sino-américaines qui s'en trouveront perturbées. Imaginons qu'un Etat prenne l'initiative d'engager des poursuites pénales contre le directeur de la CIA ou la patron de la NSA et de ses agents et affiche sur l'un de ses sites officiels un avis de recherche similaire. Quelle seraient les réactions de l'Amérique: les relations s'en trouveraient-elles améliorées? Le comportement des autorités américaines serait-il encouragé à changer? Probablement non. 
Dans cet engagement politique entre les Etats-Unis et la Chine, quelle peut être, quelle doit être, la posture des pays tiers: doit-on considérer cela comme un duel strictement sino-américain (qui ne se terminera pas avec ce bras de fer judiciaro-politique), duquel il serait préférable de rester éloigné, ou bien faut-il prendre position pour l'un ou l'autre?  
L'efficacité de l'accusation portée par l'Amérique est largement diminuée depuis les révélations d'E. Snowden. Il est plus difficile d'accuser les autres, quand on pratique de même. La distinction que tentent d'établir les Etats-Unis entre le cyberespionnage acceptable et celui qui ne l'est pas, ne leurre personne. La puissance du discours américain souffre donc à la fois des révélations d'E. Snowden et des pratiques de l'Etat dans le cyberespace; quant aux entreprises américaines, elles continueront de souffrir du cyberespionnage étranger, contre lequel les institutions américaines ne peuvent plus lutter efficacement, et éventuellement des mesures de représailles qui seront prises par Pékin à leur encontre suite à cette récente mise en accusation.  
Rappelons enfin que la Chine connaît actuellement une campagne de lutte anti-corruption, qui se traduit par la mise en accusation et le jugement de hauts dirigeants politiques, industriels... (dernière condamnation en date, celle de l'homme d'affaires Liu Han). Les citoyens chinois sont aujourd'hui familiers de ce processus de criminalisation des agissements de leurs élites. La différence est de taille dans ce cas précis, car la mise au pilori de membres de leurs élites émane de l'étranger. On ne peut exclure une relation étroite entre cyberespionnage économique et corruption. 
Profitons également de cette analyse pour rappeler que la Chine ne construit pas son rattrapage économique à seuls coups de vols de données sensibles et de secrets; elle le fait en s'appuyant sur son propre potentiel d'ingénieurs, de créateurs, d'innovateurs, d'entrepreneurs. Et à la limite cela est encore plus inquiétant pour la fameuses compétitivité des entreprises occidentales, américaines ou autres, car il n'y a guère de parade pour freiner ce développement là.  




Wednesday, April 30, 2014

Chapitre de livre - La dimension cybernétique de la crise ukrainienne

La dimension cybernétique de la crise ukrainienne, chapitre publié dans l'ouvrage de Thomas Flichy de la Neuville, Olivier Chantriaux (Edit.), Ukraine : regards sur la crise, Editions l’Age d’Homme, Suisse, mai 2014.

Sommaire de l'ouvrage: 


Introduction, Thomas Flichy de La Neuville et Olivier Chantriaux
L’Ukraine médiévale, un espace divisé par les invasions, Olivier Hanne
Les Tatars de Crimée sont ils des russes comme les autres, Gaël Moullec
La Turquie, un positionnement difficile sur le dossier ukrainien, Alexis Guégan
L’Ukraine cristallise le duel Occident-Eurasie, Arnaud Leclercq
Un regard russe sur la crise ukrainienne, Alexandre Sergunin
La Russie prendra tout ce dont elle peut s’emparer, Keir Giles
Russie, le retour à une politique de puissance, Nikolaus Scholik
La crise russo-ukrainienne, élément de la bataille européenne du gaz,  Geoffron et Gonand
La Crimée, une source de frustration géostratégique russe en mer noire, Igor Delanoë
Sébastopol, un défi mémoriel pour la Russie contemporaine, Kevin Limonier

La dimension cybernétique de la crise ukrainienne, Daniel Ventre

Saturday, March 22, 2014

Article -01Business - Un nouveau patron pour la NSA et le Cyber Commandement

Daniel Ventre, Un nouveau patron pour la NSA et le Cyber Commandement, billet 01Business, 12 février 2014, http://pro.01net.com/editorial/613810/un-nouveau-patron-pour-la-nsa-et-le-cyber-command/

Livre - Christian Malis, Guerre et Stratégie au XXI° siècle, Fayard, 2014

Livre: Chritian Malis, Guerre et Stratégie au XXI° siècle, Fayard, 352 pages, 2014. http://www.fayard.fr/guerre-et-strategie-au-xxie-siecle-9782213670782 

Guerre et stratégie au XXIe siècle