Total Pageviews

Monday, March 23, 2015

Chine – forces de cyberdéfense

La Chine parle de l’existence de ses unités dédiées à la cyberdéfense (les médias anglo-saxons retiennent le vocable « cyberwarfar »). Selon McReynolds[1], chercheur au CSIS (Washington),  la reconnaissance officielle de l’existence de ces unités serait contenue dans la dernière version de « The Science of Military Strategy » (décembre 2013). On y apprendrait que les forces de cyberdéfense sont de trois types :
- les forces militaires spéciales de guerre sur les réseaux (specialized military network warfare forces) qui sont des unités militaires opérationnelles 
- des équipes de spécialistes du monde civil (le ministère de la sécurité publique, le ministère de la sécurité d’Etat…) autorisées par l’armée à mener des opérations de cyberdéfense ;
- et des entités extérieures au gouvernement, qui peuvent être mobilisées, organisées pour de telles opérations.
Toujours du point de vue de McReynolds, cette reconnaissance officielle :
- vient conforter les Etats-Unis et nombre d’autres nations qui ont depuis plusieurs années mené des enquêtes sur les cyberattaques et concluant souvent à l’implication des acteurs étatiques chinois.
- vient mettre un terme à des années de déni de la part de la Chine, qui a toujours jusque-là refusé de reconnaître à la fois l’existence de structures de type cybercommandement ou le soutien des forces armées dans de quelconques cyberattaques, notamment à des fins d’espionnage industriel.
- Nécessite de repenser les coopérations engagées par la Chine en matière de lutte contre la cybercriminalité (on apprend au passage que la Chine aurait collaboré avec près de 50 pays dans le cadre d’enquêtes sur des milliers de cas de cybercriminalité au cours des 10 dernières années ; et conclu une trentaine d’accords bilatéraux, dont des accords avec les Etats-Unis et le Royaume-Uni). On ne saurait en effet, selon lui, faire confiance à des institutions étatiques chinoises qui d’un côté prétendent lutter contre la cybercriminalité, mais de l’autre soutiennent des opérations de hacking contre les intérêts des Etats avec lesquels elles coopèrent…
Cette analyse appelle des commentaires. La « révélation » de l’existence d’unités de cyberdéfense chinoises n’est pas véritablement un scoop.  Les Etats modernes se dotent de capacités cyber, et la Chine a fait du cyberespace, on le sait depuis longtemps, l’un de ses domaines stratégiques. Que cela soit écrit dans un document officiel est certes important. Mais reconnaître l’existence de structures de cyberdéfense n’est pas l’aveu des cyberattaques qu’on leur attribue.
De l’organisation décrite, il ressort que se multiplient, comme ailleurs, les acteurs de la cyberdéfense. Et même si le tout peut paraître parfaitement hiérarchisé, des tensions au sein même des institutions étatiques pourraient gripper la machine. McReynolds évoque ce risque lorsqu’il affirme que des signes de tensions sont apparus, pour savoir qui de l’armée ou des institutions sécuritaires civiles doit assurer le leadership sur les cyber-opérations.




[1] http://www.thedailybeast.com/articles/2015/03/18/china-reveals-its-cyber-war-secrets.html

Monday, March 16, 2015

USA - emails et sécurité, suite

Dans un post récent nous commentions les récents déboires d'Hillary Clinton, à qui l'on reprochait d'avoir utilisé ses boîtes e-mail personnelles en lieu et place d'un service conforme, fourni par son Département, sécurisé. Comme nous le pressentions, il était probable que des pratiques similaires seraient rapidement reprochées à d'autres responsables. C'est aujourd'hui au tour de Jeb Bush de se voir accusé d'usage de son adresse e-mail privée pour discuter d'affaires officielles, notamment liées à la sécurité nationale, alors qu'il était gouverneur de Floride. Jeb Bush est l'un de ceux qui s'étaient montrés les plus critiques envers Hillary Clinton il y a de cela quelques jours seulement...

Les réseaux (systèmes de mail) non-classifiés du Département d'Etat ont été fermés ces derniers jours (information datant du 13 mars) suite à une cyberattaque jugée très sérieuse, émanant, semblerait-il, de Russie.  Une attaque similaire aurait été subie en novembre 2014 pa rle même Département. 

Thursday, March 5, 2015

USA - Stratégie et lois pour le renseignement

James R. Clapper, directeur du renseignement national (Director of National Intelligence - DNI), a rendu public en septembre 2014[1] le rapport intitulé « The National Intelligence Strategy of the United States of America. 2014 »[2].

Le « cyber » y est bien sûr omniprésent :
  • Le cyber-renseignement est l’une des missions centrales du renseignement (avec le contre-terrorisme, la contre-prolifération…)
  • L’objectif du cyber-renseignement est de fournir du renseignement sur les cyber-menaces (p.6)
  • Le cyber-renseignement est « la collecte, le traitement, l’analyse et la diffusion d’information de toutes les sources de renseignement sur les cyber programmes d’acteurs étrangers, leurs intentions, leurs capacités, leurs activités de recherche et développement, leurs tactiques, leurs activités opérationnelles et indicateurs ; leur impact ou effets potentiels sur la sécurité nationale, les systèmes d’information l’infrastructure, les données ; la caractérisation des réseaux, ou une analyse des composantes, structures, usages et vulnérabilités des systèmes d’information étrangers » (p.8)

En 2014, deux lois ont été votées aux Etats-Unis, sur le renseignement :
  • L’Intelligence Authorization Act (IAA) FY 2014 (P.L. 113-126), votée en juillet 2014[3]
  • L’IAA (FY2015), P.L. 113-293, votée en décembre 2014[4].

Du texte voté en juillet 2014, nous retiendrons le Titre VI, sur les donneurs d’alerte et notamment la section 601, qui prévoit d’accorder une protection aux donneurs d’alerte dans la communauté du renseignement (question déjà prise en compte dans le Whistleblower Protection Act – ICWPA[5]) de 1998)[6]. Celle-ci prévoit qu’aucune sanction, forme de représailles ne peut être prise à l’encontre d’un employé qui aura signalé, dans le respect du cadre réglementaire, une information au DNI (Director of National Intelligence), ou à l’inspecteur général de la communauté du renseignement (Inspector General of the Intelligence Community). Le texte énumère la liste des personnes autorisées à recevoir les alertes. Pour autant, ces assurances accordées aux lanceurs d’alertes empêcheront-elles que de nouveaux individus ne volent des informations classifiées ?  

Du texte voté en décembre 2014 nous retiendrons la section 309, sur la conservation des données de citoyens américains, acquises dans la cadre d’enquêtes menées auprès de personnes étrangères. Le texte prévoit que les données des communications interceptées ne pourront pas être conservées plus de 5 ans, sauf dans certains cas :
  • si la communication constitue un acte d’espionnage, ou si elle est nécessaire pour comprendre ou évaluer le renseignement étranger ;
  • si la communication est un élément de preuve de crime ;
  • si la communication est chiffrée ;
  • si on peut raisonnablement penser que l’information a un sens secret ;
  • s’il y a de bonnes raisons d’estimer que toutes les parties de la communication sont non-américaines ; 
  • si la conservation est nécessaire à la protection contre des menaces imminentes 

La section 312 de cette loi traite de la coopération avec l’Ukraine en matière de cybersécurité et lutte contre la cybercriminalité. Elle prévoit d’aider l’Ukraine à développer ses capacités de lutte contre la cybercriminalité, y compris renseignement et justice, et de rapprocher les procédures et outils américains et ukrainiens, notamment pour faciliter l’extradition de cybercriminels ukrainiens vers les Etats-Unis lorsque des citoyens américains en sont victimes.

La dernière section du texte, section 331, demande la publication d’une étude afin d’envisager la formation à la cybersécurité de vétérans et retraités des agences de renseignement américaines.

Une analyse de ces deux textes de loi est proposée par Anne Daugherty Miles, dans un rapport publié par le Congrès en janvier 2015[7].




[1] http://www.dni.gov/index.php/newsroom/reports-and-publications/204-reports-publications-2014/1114-dni-unveils-2014-national-intelligence-strategyDNI%202014
[2] http://www.dni.gov/files/documents/2014_NIS_Publication.pdf
[3] https://www.congress.gov/bill/113th-congress/senate-bill/1681/text
[4] https://www.congress.gov/113/bills/hr4681/BILLS-113hr4681enr.pdf
[5] https://www.law.cornell.edu/topn/intelligence_community_whistleblower_protection_act_of_1998
[6] Ce texte définit la procédure que doivent suivre les employés de la DIA, NGA, NRO et NSA pour rapporter des faits qu’ils jugent importants, au comité du renseignement du Congrès. Cette loi a été complétée par la Presidential Policy Directive 19 (PPD-19) de B. Obama en 2012.
[7] Anne Daugherty Miles, Intelligence Authorization Legislation for FY2014 and FY2015 : Provisions, Status, Intelligence Community Framework, Congressional Research Service, January 14, 2015, http://fas.org/sgp/crs/intel/R43793.pdf

Wednesday, March 4, 2015

Hillary Clinton, ses e-mails, la cybersécurité

La maîtrise des données est un art difficile. Les Etats-Unis nous en apportent de nouveau l’exemple.
Dans les prochains jours devrait être connu le sort du général David Petraeus - figure emblématique de l’armée américaine aujourd’hui partie faire carrière dans le secteur privé -  accusé de divulgation de documents classifiés alors qu’il était à la tête de la CIA.

L’information qui retient notre attention a été rendue publique dans l’article publié le 2 janvier 2015 par le New York Times[1]. Hillary Clinton, durant son mandat à la tête du Département d’Etat (de 2009 à 2013), aurait utilisé son adresse e-mail personnelle (ou même plusieurs adresses)[2] pour ses correspondances professionnelles (comprenant donc des échanges avec les membres du Département, les corps diplomatiques, des gouvernements étrangers, des industriels, etc.) Pas moins de 55000 pages de courriers électroniques seraient concernées.

Cette affaire soulève plusieurs problématiques et les griefs sont nombreux, à l’encontre d’Hillary Clinton mais pas seulement :

  • La fonction exercée impose confidentialité, secret et sécurisation des échanges. L’usage de mails personnels fait peu de cas de ces contraintes.
  • La cybersécurité est la priorité numéro un du gouvernement Obama, une véritable obsession cyber-sécuritaire pourrait-on dire. Hillary Clinton s’est d’ailleurs elle-même faite porte-parole sur la scène internationale de ces discours à la fois alarmistes et de nécessaire défense des intérêts de la société américaine face aux risques cyber. Ses actes ne sont donc pas en phase avec ses pratiques.
  • Il est essentiellement reproché à Hillary Clinton, pour l’heure, d’avoir par cette pratique contourné la loi fédérale sur l’archivage des données, qui contraint les membres du gouvernement à reverser la totalité de leurs mails dans un but de transparence.
  • L’usage d’adresses e-mail personnelles n’est semble-t-il pas un cas isolé au sein de l’administration américaine. Le secrétaire d’Etat Colin L. Powell (2001-2005) en aurait fait de même. Mais cet usage serait généralement occasionnel. L’article du New York Times assure que la pratique serait acceptée, dans des cas exceptionnels (pannes des systèmes gouvernementaux  par exemple). Ce qui choque dans le cas Clinton, c’est l’usage exclusif du mail personnel.
  • Jamais un compte officiel du gouvernement ne lui aurait été attribué. Il est probable que dans cette affaire des responsabilités devront être recherchées, au-delà d’H. Clinton.  Personne, aucun responsable, n’aura été alerté par la situation ?
  • Les courriers électroniques de la Secrétaire d’Etat ont-ils été interceptés, piratés ? Par qui ? En 2013 des contenus de mails ont circulé sur le net, piratés par un hacker nommé Guccifer[3], se rapportant à des échanges entre un conseiller d’Hillary Clinton et cette dernière.
  • Le comité de la Chambre des Représentants qui mène une enquête sur l’attaque du consulat américain à Benghazi, a récemment obtenu copie de plusieurs centaines de mails d’Hillary Clinton. Mais très probablement beaucoup de pièces manquent encore au dossier. Le comité est déterminé à faire pression pour que l’ex-secrétaire d’Etat fournisse la totalité de ses e-mails. La question est : comment l’y contraindre ?

Le respect des règles applicables à la gestion du secret, de la transparence et de la sécurité de l’information, des données, des communications, n’est généralement pas sans poser de problèmes. Mais dans ce cas précis il sera difficile à Hillary Clinton de plaider l’ignorance des normes ou la négligence. Un problème en cachant souvent bien d’autres, il serait étonnant que d’autres cas similaires ne soient révélés très prochainement. «Nous avons de nombreux outils que nous n’utilisons pas aussi bien que nous le devrions », déclarait Hillary Clinton en 2013, en référence aux médias mis au service de la cyber-diplomatie américaine.

Cet article est repris sur: 45°nord.ca ; GlobalSecurityMag ; Enjeux.org ; Cyber Risques ; European Security and Defence



[1] http://www.nytimes.com/2015/03/03/us/politics/hillary-clintons-use-of-private-email-at-state-department-raises-flags.html?_r=0
[2] http://www.theblaze.com/stories/2015/03/03/trey-gowdy-says-hes-going-after-hillary-clintons-personal-emails-on-benghazi/
[3] http://rt.com/usa/complete-emails-guccifer-clinton-554/

Monday, March 2, 2015

Evaluation des cybermenaces par le renseignement américain

Le 26 février 2015, la communauté du renseignement américain (US Intelligence Community) a proposé son évaluation de la menace, par le biais d’un rapport signé James R. Clapper (Director of National Intelligence)« Worldwidethreat Assessment of the US Intelligence Community ».

Ce document relativement court (25 pages) identifie et analyse les principales menaces à la sécurité nationale américaine. Il classe ces dernières en deux grandes catégories : les menaces globales et les menaces régionales.

La cybermenace vient en premier rang des menaces globales (devant le renseignement, le terrorisme, les armes de destruction massive, l’espace, le crime organisé transnational, les ressources économiques et naturelles, la sécurité humaine). De ces cybermenaces il est dit :
  • Qu’elles pèsent sur la sécurité nationale et la sécurité économique
  • Qu’elles ne cessent de croître (en fréquence, échelle, sophistication, sévérité d’impact, nombre d’acteurs impliqués, variété de méthodes d’attaques, de systèmes ciblés, en nombre de victimes)
  • Les réseaux qui traitent l’information non classifiée du gouvernement, de l’armée, mais aussi de l’industrie et plus largement de la société, demeurent fragiles, vulnérables, notamment à l’espionnage et aux perturbations
  • De plus en plus d’Etat attaquent le secteur industriel américain pour soutenir leurs propres objectifs économiques
  • Qu’elles ne peuvent pas être éliminées, car trop nombreuses. Il faut donc apprendre à gérer le risque. Les méthodes de calcul et gestion des risques utilisés par certaines entreprises doivent être redéfinies pour prendre en compte des variables telles que la cybermenace étrangère (entendre ici provenant directement de gouvernements étrangers) ou les interdépendances systémiques entre secteurs d’infrastructures critiques.
  • Les cyberattaques à des fins politiques sont un phénomène croissant.
  • Parmi les Etats acteurs de la cybermenace, sont aux premiers rangs la Russie (qui crée son cyber commandement), la Chine (espionnage économique), l’Iran (pour exercer des représailles contre ses ennemis politiques), la Corée du Nord (à des fins politiques) et le terrorisme (avec des attaques menées par des sympathisants des groupes terroristes, pour attirer l’attention des médias).

Plus intéressants toutefois sont les  arguments suivants :
  • La probabilité d’une attaque majeure (« catastrophic attack ») est faible. Cette vision est assez différente des discours officiels sur la menace (gouvernement, NSA, industriels, etc.) Il réfute l’hypothèse d’un très prochain Cyber Armageddon et propose d’autres scénarios plus probables selon lui. Il envisage plutôt des séries d’attaques de niveau faible à modéré, provenant de multiples sources, qui vont finir par coûter cher  (« will impose cumulative costs ») à l’économie américaine, sa compétitivité, et sa sécurité nationale. Car c’est cette multiplication des sources, des moyens, des cibles, qui va contraindre l’Amérique à sécuriser, défendre tous ses systèmes, et non pas quelques-uns en particulier.  
  • La non attribution sera de moins en moins la règle. Gouvernement et entreprises font des progrès importants en matière de détection et attribution, et il semblerait que ce point technique, qui accordait à l’attaquant un avantage considérable, soit en passe d’être remis en cause. Les hackers ne peuvent plus s’estimer intouchables, indétectables, non identifiables (p.2 du rapport).
  • Le cyberespace restera encore assez longtemps un espace permissif. Jusqu’alors les victimes de cyberattaques ont répondu timidement, confortant les agresseurs dans la possibilité d’utiliser le cyberespace à des fins coercitives.
  • Le cyberespionnage porte atteinte à la confidentialité ; les attaques DDoS portant atteinte à la disponibilité des données ; mais à l’avenir nous pourrions voir davantage d’actions qui modifieront, manipuleront l’information, compromettant cette fois l’intégrité de l’information