Total Pageviews

Wednesday, May 30, 2012

News - Senate version of defense bill tackles cyber workforce, procurement

Senate version of defense bill tackles cyber workforce, procurement (via FCW)

The Senate Armed Services Committee has approved its version of the National Defense Authorization Act, giving the green light for the bill to head to the upper chamber’s floor sometime in June or July. At $631 billion, the budget includes $3 billion more than President Obama’s original request…

News - New Cyber Czar

The next cyber czar: Who is Michael Daniel? (via FCW)

As might be fitting considering he comes from an intelligence role, Michael Daniel is something of a mystery to the wider federal IT community. Daniel, who joined the Office of Management and Budget in 1995, currently heads the agency’s intelligence branch in the National Security Division. That…

News - Flame

Un nouveau malware a été signalé par Kaspersky. Nom de code: Flame. S'il retient l'attention c'est pour plusieurs raisons:
- parce que Kaspersky a communiqué dessus
- parce que l'attaque semble viser plus particulièrement l'Iran (même si d'autres pays dans le monde semblent touchés), ce qui oriente les regards vers Israel et les USA (potentiels agresseurs)
- parce qu'un nouveau saut qualitatif semble effectué
- parce que les capacités de programmation semblent hors de portée de simples hackers et que des moyens importants auraient été nécessaires au développement du malware

Nous avions avec Stuxnet les mêmes "ingrédients" (Kaspersky + cible iranienne + gap technologique + supposées capacités étatiques + soupçons portant sur Israel/USA).

Nous avons surtout le problème non résolu de l'attribution.

Flame, diffère toutefois de Stuxnet : ce dernier visait les systèmes SCADA; Flame semble formaté pour le vol d'informations, l'espionnage.

Si les deux malwares étaient issus de la même source et visaient bien la même cible (Iran), nous aurions donc avec Stuxnet et Flame les deux facettes de l'exploitation agressive du cyberespace: déstabiliser/paralyser/détruire des systèmes (Stuxnet) + vol de données (renseignement).

Dans le principe, Flame n'a rien d'innovant: des intrusions, des malwares, sont utilisés depuis des années par des acteurs d'horizons divers pour voler de l'information, espionner, surveiller, intercepter des communications (système Echelon; capacités chinoises de cyberespionnage; etc.) Ce qui doit donc être souligné ce n'est pas le principe, mais la dimension technique (ie. que peut faire le malware?). Sur ce point, les capacités de l'agresseur sont tout aussi intéressantes que celles de la victime. Si l'Iran est la cible, si l'Iran est réellement en mesure de contrer les cyberattaques, si ces agressions sont détectées, bloquées, cela en dit long sur les progrès réalisés par la cyberdéfense iranienne (et donc potentiellement sur ses capacités de cyberattaque?) Peut-être le pays subit-il davantage qu'il ne maîtrise et les déclarations de ses autorités ne sont-elles que du bluf. Les interrogations peuvent donc porter sur la nature du rapport de force: y a-t-il montée en puissance des capacités de deux côtés (agresseurs / cibles); réduction de la dissymétrie; maintien d'un avantage à l'agresseur...?

On peut bien sûr voir dans Stuxnet et Flame des armes nouvelles, des capacités high-tech impressionnantes. Mais impressionnant ne veut pas dire efficace. L'efficacité se mesure à l'aune des résultats obtenus. Or quels effets et objectifs auraient permis d'atteindre les deux outils? En quoi les agresseurs ont-ils pris un avantage? En quoi la cible est-elle véritablement affaiblie?

Les questions sont à ce jour plus nombreuses que les certitudes.

Wednesday, May 16, 2012

News - North Korean GPS blocking sparks cyber war fears

North Korean GPS blocking sparks cyber war fears. Phil Muncaster. 11th May 2012.

"South Korea will lodge an official complaint with the UN over its reclusive neighbour after GPS-blocking by the North for over a week disrupted hundreds of flights, in what some officials are worried could be the first signs of a looming cyber war [...] Over 500 aircraft flying to or from South Korea’s main airports of Incheon and Gimpo reported GPS signal failures from 28 April to 6 May, with the government tracing the blocking signals to the North Korean border city of Kaesong. Over 120 shipping vessels reportedly also had their signals jammed...."

Article - New NDAA Would Give the Military Clandestine Cyberwar Powers



‘‘SEC. 954. MILITARY ACTIVITIES IN CYBERSPACE.
‘‘(a) AFFIRMATION. - Congress affirms that the Secretary of Defense is authorized to conduct military activities in cyberspace.
‘‘(b) AUTHORITY DESCRIBED. - The authority referred to in subsection (a) includes the authority to carry out a clandestine operation in cyberspace -

...

Saturday, May 12, 2012

Article - Chine, Philippines, Vietnam : (cyber)relations sous haute tension

Chine, Philippines, Vietnam : (cyber)relations sous haute tension. Daniel Ventre. 12 mai 2012.

Le 27 septembre 2011 le quotidien chinois Global Times publiait un article appelant la Chine à entrer en guerre contre le Vietnam et les Philippines, les deux pays remettant violemment en cause la souveraineté maritime de l’empire du milieu dans la mer de Chine. Selon l’auteur de l’article, la Chine n’a pas à craindre la réaction des Etats-Unis qui n’ont plus les moyens de s’engager dans un nouveau conflit, car déjà trop investis dans la lutte contre le terrorisme au Moyen-Orient.

La tension s’est accrue le 10 avril 2012 après qu’un navire de guerre philippin ait tenté d’arrêter un bateau de pêche chinois dans la zone maritime du Scarborough Shoal (îles Huangyan).  En mai 2012 la plupart des agences de voyage chinoise auraient suspendu les séjours aux Philippines. Un appel à la prudence a été lancé aux ressortissants chinois présents aux Philippines, en raison des manifestations populaires hostiles à leur égard. La tension qui porte sur les îles Spratley n’est pas nouvelle. Aujourd’hui la tension monte d’un cran parce que la Chine revendique ces parties de la mer de Chine en raison de leurs ressources premières (pétrole), et parce que les Philippines bénéficient de ventes d’armes accrues de la part des Etats-Unis.  

Comme c’est désormais souvent le cas lors de tensions internationales, l’affaire a son versant « cyber ». Une chronologie des quelques attaques recensées, opposant hackers chinois et philippins est proposée sur le site Hackmageddon. Il ressort de ce court recensement que les cyberattaques se limitent à des défigurations de sites, souvent officiels, et pour la plupart a priori imputables à des citoyens-hackers davantage qu’à des organisations étatiques. Comme toujours, il s'avère difficile en la matière de différencier attaques étatiques et non étatiques sur la seule base de l’identité des sites touchés et des messages postés qui tous expriment les mêmes sentiments (antichinois, anti-philippin). Attaques DDoS, publications sur des sites (Facebook notamment) de mots de passe d’administrateurs de sites du camp adverse font partie de la panoplie des moyens de l’affrontement. Les quelques appels à la retenue lancés aux hackers par le gouvernement philippin notamment, sont sans effets. Les attaques sont imputées a priori à des hackers des pays qui s’affrontent (c’est ainsi que côté chinois on voit réapparaître la signature Honker Union, groupe qui se fit connaître en 1999 après le bombardement de l’ambassade de Chine à Belgrade).

Des hackers chinois et vietnamiens s'opposent également. En 2011, environ 200 sites vietnamiens auraient été défigurés. Le Vietnam semble occuper une place particulière dans l'opposition à la sinisation de la région (voir à ce sujet l'article publié dans la revue Recherches Internationales d'avril 2009).  

Les capacités de contrôle du cyberespace tant en Chine qu'au Vietnam sont telles que l’on peut toutefois admettre que les autorités, même si elles ne prennent pas directement part aux opérations, ne font pas vraiment grand-chose pour les empêcher. L’éventualité d’une intervention de hackers externes, c’est-à-dire n’appartenant pas aux pays en crise, n’est pas particulièrement évoquée dans les divers articles publiés sur le net. Il est vrai que les pays impliqués n’ont guère besoin de ressources externes pour s’exprimer dans le domaine : selon une étude de Kaspersky, les Philippines et le Vietnam font partie des 23 pays d’où partaient en 2011 la majorité des attaques DDoS. Les Philippines faisaient également partie du top 20 des pays ayant la plus forte activité cybercriminelle.

Plus importante sans doute, d’un point de vue stratégique et politique, est la position prise par les Etats-Unis début mai 2012 : Leon Panetta (Secrétaire à la Défense) affirme que les USA travaillent à l’amélioration des capacités d’ISR (Intelligence, Surveillance, Reconnaissance) et de réaction aux cyberattaques dont disposent les Philippines. Cette démarche est un volet de la coopération militaire entre les deux Etats.
Les coups portés contre les sites chinois démontrent une nouvelle fois que l’infrastructure internet du pays est tout aussi vulnérable que celles des autres nations. Il n’a pas été fait mention, tant aux Philippines qu’en Chine ou au Vietnam, de mise en péril des infrastructures critiques du fait des cyberattaques. Celles-ci se limitent donc à des défigurations de sites (comme cela se pratiquait déjà voici plus de 10 ans), des attaques DDoS (méthode médiatisée depuis les attaques contre l’Estonie en 2007), et l’utilisation de la blogosphère pour exprimer verbalement son hostilité. Les blogueurs chinois appellent Pékin à boycotter les Philippines ou à faire la guerre. Il ne faut bien entendu pas assimiler les propos tenus sur la blogosphère aux postures et intentions réelles des gouvernements. Certains observateurs estiment par contre que l’incident vient fort à propos pour les autorités chinoises, car il détournerait l'attention de la population des problèmes politiques actuels (Chen Guangcheng, Bo Xilai).