Total Pageviews

Saturday, December 27, 2014

Loi de Programmation Militaire - décret d'application

Le Décret n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion a été publié au Journal Officiel le 26 décembre 2014. 
- Avis n° 2014-1259 en date du 18 novembre 2014 sur un projet de décret relatif à l'accès administratif aux données de connexion et portant application de l'article L. 246-4 du code de la sécurité intérieure 
- Texte de la LPM

Friday, December 26, 2014

La Vanguardia: dossier spécial "Cyberguerre"

La Vanguardia du 11 décembre 2014 publie un dossier spécial (n°54) dédié à la cyberguerre (http://www.lavanguardia.com/vanguardia-dossier/index.html). Les articles sont disponibles sur le site de La Vanguardia en espagnol et en anglais. Au sommaire:

· La guerra cibernética (‘juegos de guerra’) por Walker Laqueur
· Aparición de la ciberguerra: evolución de la guerra desde hace un siglo por Daniel Ventre
· ¿Modifican las armas cibernéticas las leyes sobre la guerra? por Timothy Edgar
· Disuasión y ciberespacio por Dmitry (Dima) Adamsky
· La batalla por el ciberespacio y las armas cibernéticas por Stefano Mele
· Ciberarmas y carreras de armamentos: un análisis por Peter Warren Singer
· La capacidad de guerra cibernética de un país por Jeffrey Carr
· No es una guerra fría por Scott Borg
· La realidad operacional de la ciberguerra y de los ciberataques: cómo paralizar un país por Eric Filiol
· Hackers: antiguos enemigos, nuevos aliados por Tiffany Strauchs Rad


Tuesday, December 23, 2014

Opération Aurora: erreur de déclassification

Les Etats-Unis (Department of Homeland Security - DHS) ont déclassifié par erreur, en juillet 2014, des documents relatifs à un projet nommé Aurora[1], développé par l'Idaho National Lab (INL) en 2006, en lieu et place de la déclassification de documents concernant une autre opération nommée Aurora, désignant cette fois des cyberattaques (attribuées à la Chine) menées en 2009 contre Google et autres entreprises américaines. Les documents déclassifiés par le DHS[2] fournissent des informations sur des infrastructures critiques américaines[3]. L'INL a notamment dans ce projet développé un test de destruction de générateur électrique par cyberattaque, pour en démontrer la faisabilité[4].
La divulgation de l'ensemble des pièces relatives au projet Aurora de l'INL avait été demandée en 2011 dans le cadre de la procédure FOIA[5]. Le site Muckrock a mis les documents en ligne[6] en juilet 2014.
Le sujet refait surface, car la réponse apportée plusieurs mois après par le DHS pour expliquer cet incident, peut paraître insatisfaisante (le Département ne paraissant pas reconnaître qu'il a par erreur divulgué des informations sensibles)[7].




[1] http://www.publicpower.org/files/PDFs/Aurora%20Timeline%20--%2011-12-09.pdf
[2] http://www.securityweek.com/dhs-mistakenly-releases-840-pages-critical-infrastructure-documents-mishandled-fioa-request
[3] http://www.controlglobal.com/blogs/unfettered/aurora-and-dhs-a-misleading-response-to-a-significant-mistake/
[4] http://threatpost.com/dhs-releases-hundreds-of-documents-on-wrong-aurora-project/107107
[5] http://pbadupws.nrc.gov/docs/ML1303/ML13032A484.pdf
[6] http://news-beta.slashdot.org/story/14/07/09/1427215/dhs-mistakenly-releases-840-pages-of-critical-infrastructure-documents
https://www.muckrock.com/foi/united-states-of-america-10/operation-aurora-11765/#1212530-14f00304-documents
[7] http://www.controlglobal.com/blogs/unfettered/aurora-and-dhs-a-misleading-response-to-a-significant-mistake/

Cyberattaques: centrales nucléaires sud-coréennes

Des données concernant les centrales nucléaires sud-coréennes ont été piratées ces derniers jours. Les responsables des centrales assurent qu'il ne s'agit pas de données critiques, et affirment qu'il est impossible de porter atteinte au fonctionnement des centrales par le biais de cyberattaques, car les systèmes sont totalement isolés du net (Stuxnet démontre pourtant le contraire!) Des exercices de cybersécurité viennent cependant d'être programmés pour cette fin d'année, afin de tester la résistance des systèmes à des cyberattaques. 

Monday, December 22, 2014

Cyberattaque contre des hauts fourneaux allemands

Un récent rapport de l'Office Fédéral de la Sécurité de l'Information (BSI) révèle que des hauts fourneaux allemands ont été la cible de cyberattaques au cours de l'année 2014, causant des dommages conséquents aux installations industrielles.
- Cyber attack on German Steel Factory caused severe damage
- Cyberattack on German steel mill inflicts serious damage

L’Etat islamique. Anatomie du nouveau Califat. Olivier Hanne, Thomas Flichy de la Neuville

Olivier Hanne, Thomas Flichy de la Neuville, L’Etat islamique. Anatomie du nouveau Califat, Bernard Giovanangeli Editeur, 175 pages, novembre 2014.

Olivier Hanne, spécialiste de l’histoire de l’Islam, chercheur-associé à l’université d’Aix-Marseille,  et Thomas Flichy de la Neuville, spécialiste de l’Iran, chercheur au CREC (Saint-Cyr), proposent un ouvrage sur l’émergence de l’Etat islamique, en replaçant cette dynamique dans une perspective historique.

Les points clefs de l’argumentaire

L’émergence du nouveau Califat serait, selon les auteurs, la résurgence d’un rêve oublié, celui d’une revanche à prendre, arabe et sunnite, sur les mongols, perses et chrétiens, depuis la chute du dernier calife abbasside au 13° siècle. Le mobile de cette vague de violence serait donc, entre autre, ethnico-religieuse, et non pas seulement économique et conjoncturelle (p.6). Mais quelles que soient les raisons, les racines du mouvement, il remet en question les équilibres géopolitiques au Moyen-Orient (et sans doute même plus largement).
Pour développer leur argumentaire, les auteurs ont structuré le livre en 3 parties : l’avènement de l’Etat islamique ; le califat islamique : dynamiques d’un proto-Etat ; l’Etat islamique recompose le Moyen-Orient). La conclusion est une question ouverte : l’Etat islamique est-il réductible ? L’ouvrage est enrichi d’une quinzaine de cartes et schémas.

La création du califat doit être reliée à l’histoire. Elle est le fruit d’un ensemble de facteurs déclencheurs :

  • Les failles de la société irakienne tiraillée par des forces centrifuges ethnico-religieuses (p.9), que l’Etat islamique assure vouloir homogénéiser (y compris par l’épuration). Cette société est structurée autour de la tribu, celle sunnite ayant été renforcée sous le régime de Saddam Hussein. L’Etat islamique se revendique d’un sunnisme débarrassé du laïcisme baasiste (p.11). En Irak l’Etat islamique se traduit comme la reprise du pouvoir des sunnites contre les shiites. Il s’agit d’un projet à la fois politique, religieux, et de vengeance des sunnites se sentant opprimés.
  • Une société décomposée dans l’affrontement entre sunnites et shiites, sunnites versus Etats-Unis (car sunnites écartés du pouvoir dès 2003), shiites versus Etats-Unis  (car shiites s’opposant au projet de démocratisation conçu par les Etats-Unis). L’implantation du pouvoir shiite aurait marginalisé les sunnites et créé un fort ressentiment à l’égard des premiers (p.17). Le processus de démocratisation et la présence américaine, ont certes entraîné une réduction de la violence (diminution du nombre de victimes civiles dans les attentats), mais ne furent jamais en mesure de véritablement pacifier le pays. Les auteurs évoquent le chaos et la haine qui enflamment l’Irak (p.18), où s’affrontent groupes informels, banditisme, terrorisme, et se multiplient les groupes sunnites, les pratiques criminelles (assassinats, enlèvements). Dès 2006-2007, l’Irak devient terre de ralliement pour les djihadistes du monde entier. L’EIIL (Etat Islamique en Irak et au Levant) trouve ses origines dans l’Etat islamique d’Irak créé en 2006 par Abû ‘Umar al-Baghdadi, auto-proclamé émir. L’EIIL est créé en 2013, dans l’ombre d’Al-Qaïda, et va se renforcer en Syrie. Abû Bakr al-Baghdadi succède à Abû ‘Umar al-Baghdadi. L’Etat islamique s’est construit sur le chaos existant en Irak et en Syrie. Les auteurs décrivent également la rapidité de la montée en puissance du groupe, doté aujourd’hui d’une armée capable d’opérations militaires, et disposant depuis 2014 d’armes lourdes et de troupes motivées par leurs succès. Le Califat fut établi le 29 juin 2014, le djihadisme entrant alors en phase d’étatisation.
  • Les fondements religieux : les auteurs réfutent l’affirmation de John Kerry selon qui le proto-Etat n’aurait rien de religieux (renvoyant l’Etat islamique au rang de simple organisation criminelle).
  • La nébuleuse islamiste : l’EIIL focalise tous les regards, mais on dénombre quelques 7000 groupes en Syrie, multitude de mouvements combattants autonomes (p.19).
  • Les enjeux énergétiques (p.12). Le territoire sur lequel veut dominer l’Etat islamique est au cœur de ces enjeux, constituant l’une des plus importantes réserves de pétrole au monde. Ce territoire est lieu de concurrence entre entreprises américaines, européennes, russes, chinoises.
  • L’histoire de l’Irak : est celle de compromis impossibles entre sunnites et shiites.
  • La guerre en Syrie : a fourni à l’Etat islamique le cadre de son émergence, permettant le recrutement, la formation des hommes au combat, leur infiltration en Irak via des frontières affaiblies, poreuses (p.25). Avoir armé des rebelles en Syrie aura également contribué à armer indirectement l’Etat islamique (captures des armes de l’adversaire, combattants qui se rallient à l’Etat islamique…)
  • La faiblesse des sociétés qui seront les prochaines cibles de l’Etat islamique : l’Arabie Saoudite, la Jordanie, la Libye, pourraient être ces prochaines cibles. Par effet de contagion, des groupes en Tunisie, en Algérie, au Nigéria, pourraient se rallier au mouvement. La division du sunnisme en plusieurs réseaux concurrents, radicalement séparés (oppositions religieuses, politiques, stratégiques, financières et de prestige)[1] pourrait toutefois freiner cette expansion.
  •  L’ambiguïté de la posture de quelques Etats : tels que l’Arabie Saoudite, le Qatar, ou encore la Turquie.
  • Les choix stratégiques dangereux : notamment des Etats-Unis, qui jouent actuellement un islamisme contre un autre. Or ce choix est risqué, car en sortira nécessairement vainqueur un islamisme (p.145). Il est d’autant plus risqué, que si guerre et victoire il y a contre l’EIIL, la coalition pêche encore par absence de projet politique.
  • L’absence de coalition fondée sur des objectifs partagés : les adversaires de Daesh sont certes nombreux, mais cette opposition l’est pour des raisons différentes (la gouvernement de Bashar al Assad affronte Daesh, mais aussi la rébellion et les Etats-Unis ; l’Iran lutte contre Daesh mais y voit un pur produit des Etats-Unis, de l’Arabie Saoudite et du Qatar pour déstabiliser le régime syrien allié de l’Iran ; la Russie qui n’entend apporter qu’une seule forme de réponse au terrorisme, à savoir la force, mais qui soutient le régime syrien ; etc.)  

La dimension cybernétique

L’ouvrage propose donc une lecture, une vision très pessimiste de la situation. L’EIL se nourrit d’un contexte qui ne semble connaître d’autre scénario que la guerre ; qui mêle haines ancestrales, religion, pouvoir économique, choc de civilisations (guerre déclarée aux valeurs occidentales[2], projet d’expansion musulmane[3]...) L’Etat islamique est tout sauf une surprise stratégique. Nul ne peut présumer de l’avenir du mouvement, du Califat, mais on peut présumer qu’en son absence, d’autres acteurs poursuivront le combat, sous une forme ou une autre. La pacification paraît fort peu probable.
La poussée de l’Etat islamique démontre, s’il était besoin, que les frontières des Etats ne sont pas définies à jamais. Il peut donc encore y avoir des guerres pour l’extension de territoires, la création de nouveaux espaces de souveraineté, sur toile de fond de guerre religieuse ou de lutte pour les ressources premières.

Dans un tel contexte, quel rôle peut jouer la dimension cyber ? Les auteurs évoquent cette dimension cybernétique en insistant sur les points suivants :

  • Diffusion de vidéos d’assassinats de masse et de tortures : celles-ci visent l’opinion publique internationale (Les vidéos sont sous-titrées en anglais). Les violences qu’elles montrent contre les individus sont aussi des violences contre les valeurs, les règles, normes que se sont construits les pays modernes (droit des conflits armés, droit international humanitaire…) et sont ici ignorées. Les auteurs associent les pratiques de Daesh à la tradition médiévale.
  • Terrorisme médiatique : recrutement, campagne de terreur, publicité des exactions
  • Les contenus médiatiques appuient le message religieux
  • Le groupe terroriste lance des campagnes hashtags
  • Pour mener sa guerre de l’information, Daesh a ses propres équipes de communication, partiellement centralisées (Al-Furqan Media Production). Ces équipes permettent par exemple de produire des vidéos, de les diffuser à grande échelle. Elles prennent la main sur la diffusion et ne comptent pas seulement sur le caractère viral du net qui va naturellement relayer les données. Les équipes sont suffisamment organisées pour envoyer 40 000 tweets le jour de la prise de Mossoul. Cette communication s’appuie d’autre part sur deux revues, Dabiq et Al-Hayat.
  • Daesh investit donc le cyberespace principalement sur la couche psycho-cognitive, et ne semble pas disposer de moyens de cyberattaques
  • Daesh utilise le net mais ne peut pas le contrôler.
  • La présence de Daesh sur internet est aussi une façon pour ses adversaires de l’observer, et d’en apprendre sur l’Etat Islamique (comme par exemple géolocaliser les djihadistes qui apparaissent sur les vidéos).
  • Les réactions des Etats sont diverses. Le gouvernement irakien a bloqué Internet dans 5 provinces en juin 2014 (p.82), pour endiguer les appels à la mobilisation lancés par l’Etat islamique.
  • Les réseaux sociaux liés à Daesh sont imprégnés de références au retour messianique d’un Mahdi (imam infaillible désigné par Dieu), retour devant s’accompagner de grandes victoires remportées par une armée musulmane. Si la direction de l’Etat islamique fait usage des réseaux sociaux, l’utilisation de Facebook est interdite pour les musulmans (p.89)

La difficile si ce n’est impossible régulation des contenus djihadistes sur le net expose nombre d’Etats à des dilemmes : comment concilier liberté d’internet, libre accès, et lutte contre ces contenus ? Interdire, couper, bloquer, c’est censurer. Le terrorisme surfe sur cette vague de la liberté d’internet. La méthode qui consiste à couper internet et censurer les réseaux sociaux (comme l’a fait l’Iraq) est coutume des Etats qui sont débordés par les événements. L’exacerbation de la violence et sa mise en images (les exterminations de masse, les déplacements massifs de population, les exécutions sommaires, les tortures, photographier et filmer ces scènes de violence) nous semblent inscrire Daesh dans le prolongement des pratiques barbares qui ont touché l’humanité tout au long du 20° siècle (extermination des juifs, grandes guerres, génocides, etc.)



Les lecteurs qui s’intéressent plus spécifiquement à cette dimension cybernétique de l’émergence de l’Etat islamique pourront utilement consulter :

  • Tal Koren and Gabi Siboni, Cyberspace in the Service of ISIS, INSS Insight No. 601, September 4, 2014, 3 pages [http://mercury.ethz.ch/serviceengine/Files/ISN/183756/ipublicationdocument_singledocument/15e8131c-0714-4bc6-bb66-8df596fd8969/en/No.+601+-+Tal+and+Gabi+for+web.pdf]
  • Thomas Flichy de la Neuville, Olivier Hanne, Etat Islamique, un cyberterrorisme médiatique ?, Chaire Cybersécurité, article 3.15, décembre 2014, 4 pages  [http://www.chaire-cyber.fr/IMG/pdf/article_3_15_-_chaire_cyberdefense.pdf]
  • Steven Stalinsky and R. Sosnow, From Al-Qaeda to the Islamic State (ISIS), Jihadi Groups engage in Cyber Jihad: Beginning with 1980s Promotion of Use of  ‘Electronic Technologies’ Up to Today’s Embrace of Social Media to Attract a New Jihadi Generation, MEMRI Report, Décembre 2014,  [http://cjlab.memri.org/wp-content/uploads/2014/12/cyber-jihad-2.pdf]





[1] p.115
[2] p.47
[3] p.55

Friday, December 19, 2014

NATO Legal Gazette - Cyber

A noter la parution de la gazette juridique de l'OTAN qui dédie le numéro 35 de décembre aux questions cyber. NATO Legal Gazette. Issue 35. December 2014. Legal Issues Related to Cyber. Le numéro de 74 pages traite de la manière dont les enjeux cyber et le droit impactent l'OTAN; de la cyberdéfense active et réactive; de la notion d'attaque armée applicable aux cyberattaques; des cyber-affrontements (cyber warfare); de la notion de participation directe aux hostilités.  

Thursday, December 18, 2014

Cybersécurité: stratégie britannique

Le gouvernement britannique vient de publier (décembre 2014) un bilan de sa stratégie de cybersécurité: The UK Cyber Security Strategy. Report on Progress and Forward Plans. Le Royaume-Uni avait publié sa première stratégie de cybersécurité il y a de cela 3 ans (25 novembre 2011). Un document synthétique et graphique rappelle sur une page les 4 principaux objectifs de cette stratégie: 
  • Faire du Royaume-Uni l'un des lieux les plus sûrs de la planète pour le commerce en ligne
  • Renforcer la résilience aux cyberattaques
  • Contribuer à faire du cyberespace un espace ouvert
  • Se doter des capacités nécessaires à la cybersécurité (formation, recherche...)
Au centre de la fiche est inscrit en caractères gras le budget alloué pour la réalisation de cette politique de cybersécurité: 860 millions de £ sur 5 ans. 

Le bilan met en exergue les points suivants: 
  • Les autorités ont communiqué en direction des entreprises pour accroître leur conscience de la menace (cybercriminalité, cyberespionnage) et les encourager à adopter des pratiques de gestion du risque cyber
  • Cet effort de communication a visé les grandes entreprises, les PME, mais aussi les universités.
  • Création en mars 2013 d'une plate-forme (Cyber Security Information Sharing Partnership - CISP) visant à favoriser l'échange d'information inter-entreprises  propos des menaces. sont impliqués dans ces actions le CERT-UK, les unités régionales de lutte contre la criminalité organisée (Regional Organised Crime Units - ROCUs) 
  • Le gouvernement veut inciter les entreprises à adopter de bonnes pratiques de cybersécurité. Pour cela le GCHQ, BIS et le Cabinet Office ont lancé l'initiative Cyber Essentiels, permettant de certifier les entreprises qui adoptent les bonnes pratiques. 
  • Le gouvernement et l'industrie de l'assurance travaillent de concert pour développer un marché national de l'assurance contre les risques cyber (cyber insurance). 
  • Soutien apporté à l'industrie de la cybersécurité, notamment à l'export. 
  • La National Cyber Crime Unit (NCCU) intégrée à la National Crime Agency (NCA) poursuit son organisation (recrutements de spécialistes cyber) Des succès peuvent être mis à l'actif de la lutte contre a cybercriminalité: l'opération FALCON a permis l'arrestation de 117 individus entre août et octobre 2014. 
  • Le CERT-Uk a été créé en mars 2014. Il dirige notamment un programme d'exercices pour la protection des infrastructures critiques. 
  • Le programme Defence Cyber Protection Partnership (DCPP) a été créé pour améliorer la cybersécurité des fournisseurs/sous-traitants de la Défense. 
  • Normes: le Royaume-Uni contribue au développement de norme de comportements responsables des Etats dans le cyberesapce (pour un cyberespace ouvert, résilient, sûr) via la participation à l'UNGGE (United Nations Group of Governmental Experts), à l'OSCE, ...
  • Développement d'actions de formation, programmes de formation à la cybersécurité (à partir de l'âge de 11 ans), concours (challenges) 
  • création d'une cyber-réserve (militaire) en octobre 2013. A ce jour, toutes les unités cyber de l'armée disposent d'une cyber-réserve. 

Monday, December 15, 2014

Hacking - vols de données en Serbie

Ces derniers jours, affaire Sony en tête, les vols de données font la une de l'actualité de la cybersécurité. Dernier incident en date: le piratage de serveurs étatiques serbes, exposant ainsi les données personnelles de la quasi totalité de la population. L'opération, qui aurait été menée par cinq hackers serbes, serait motivée par des raisons politiques (dénoncer les pratiques de la cyber police serbe; démontrer la vulnérabilité des systèmes étatiques). Ce type d'incident a également touché par le passé d'autres Etats: Royaume-Uni, Corée du Sud, etc. 

Tuesday, December 9, 2014

Cybersécurité et cyberdéfense : quelles opportunités pour les entreprises ?

Matinale: Cybersécurité et cyberdéfense : quelles opportunités pour les entreprises ?
Jeudi 11 décembre 2014. 8h15 - 10h15. Bruz (DGA M.I)
Parmi les questions qui seront abordées:
- présentation du Pôle d'excellence cyber
- opportunités d'affaires pour les entreprises
- dispositifs d'aides aux PME
- ...
Programme, inscription, information

Security Affairs: vulnérabilités des sites internet étatiques chinois

93% de sites gouvernementaux chinois (sur un ensemble de 1000 sites évalués) seraient vulnérables. Le site Security Affairs reprend cette information, publiée récemment par le China Software Testing Center (Ministère de l'industrie et des technologies de l'information chinois). La situation paraît plus préoccupante aux niveaux locaux et régionaux, que nationaux, où les sites sont encore plus vulnérables (97% le seraient au niveau des gouvernements/institutions locaux). 50% des sites analysés auraient plus de 30 failles de sécurité, et 70 sites plus de 100 failles de sécurité. Ces statistiques ne remettent bien entendu pas en question le discours sur la menace que représentent les cyberopérations chinoises pour le reste de la planète, mais veulent montrer que la Chine est logée à la même enseigne que les autres: tout aussi vulnérable, tout aussi défaillante dans sa sécurité. 

Monday, December 8, 2014

Une lecture conservatrice américaine des enjeux sécuritaires et du cyberespace

Jay Sekulow est un juriste américain, conseiller en chef de l’ACLJ (American Center for Law and Justice)[1] et de l’ECLJ (European Center for Law and Justice). Il a construit partie de sa réputation (et de sa fortune) en défendant la cause de groupes religieux aux Etats-Unis[2].  Jay Sekulow vient de publier un ouvrage sur la montée en puissance du terrorisme islamiste, s’intéressant tout particulièrement à l’Etat Islamique et au Hamas[3].

1 - Une lecture des défis du terrorisme

Cet ouvrage est sans la moindre ambiguïté pro-américain, pro-israélien, anti-Obama, partisan d’un usage plus libre et radical de la force armée contre le terrorisme islamiste. Le principal message de l’ouvrage peut être résumé en quelques lignes : le terrorisme islamiste est une menace planétaire comme le fut le nazisme au 20° siècle ; face à cette menace destructrice, qui ne connaît d’autre stratégie que la guerre totale, il n’y a selon lui qu’une seule option : l’intransigeance et la force militaire. Toute hésitation pourrait être, selon lui, fatale à la paix dans le monde. Mais, poursuit-il, cette guerre nécessaire contre le Hamas et l’Etat Islamique (les deux groupes terroristes  qui sont au centre de son propos) ne peut être menée comme elle le devrait : les terroristes peuvent  compter sur des alliés un peu partout dans le monde. Il ne s’agirait pas uniquement des individus répondant à l’appel au Jihad et rejoignant les théâtres d’opération, mais d’acteurs complaisants au sein des pays européens, au sein même des Etats-Unis, d’institutions internationales comme les Nations Unies, et de toute une famille d’acteurs véhiculant une « pensée de gauche », laquelle mènerait actuellement une « bataille juridique » (titre de l’un des chapitres du livre), pour criminaliser non pas les terroristes, mais les forces qui exercent leur droit de légitime défense (Israël répondant aux attaques terroristes du Hamas). En criminalisant les forces légitimes (accuser Israël de crime de guerre), et non les véritables criminels de guerre que sont les terroristes, c’est toute l’action anti-terroriste qui est compromise. L’ouvrage énumère des arguments et des faits pour étayer ce propos : il rappelle les attaques du Hamas, son modus operandi et les horreurs perpétrées par l’EIL,  le sort réservé aux victimes, les bilans des attentats et des assassinats de masse, l’impossible dialogue entre Israël et le Hamas, entre l’EIL, les chrétiens et les juifs. Il explique pourquoi, s’en référant au droit international (par des références précises aux textes juridiques), toutes ces exactions terroristes constituent crimes de guerre. Il explique le piège dans lequel se trouve l’Etat d’Israël, qui dans un combat pour sa survie (le Hamas ayant pour objectif la destruction de l’Etat d’Israël) est contraint de répliquer mais qui, lorsqu’il tue des civils, est qualifié de criminel de guerre. Comment se peut-il, s’interroge Jay Sekulow, que les véritables assassins (les terroristes du Hamas et de l’EIL) fassent même figure de héros pour des millions d’individus dans le monde ? Il explique ensuite pourquoi, du point de vue du droit international toujours, l’action des forces qui luttent contre le terrorisme est légitime et ne peut être considérée comme crime de guerre.

Dans cet ouvrage sur le terrorisme islamiste, Jay Sekulow  fait relativement peu référence au cyberespace. Il évoque :  
  • Les vidéos de tortures (exécution de James Foley)
  • Youtube et Twitter qui censurent les diffusions des exécutions des otages américains
  • L’existence des supports (DVDs, cartes téléphoniques…) sur lesquels on retrouve des images/vidéos des attaques IED contre les américains. Ces supports (dvds, etc.) peuvent contenir des malwares
  • L’usage des médias sociaux pour diffuser images, vidéos, messages.
  • L’intrusion de messages envoyés par les terroristes dans des contenus qui touchent des masses d’internautes : les images envoyées sur Twitter avec le hashtag #WorldCup, en pleine Coupe du Monde de football.

2 - Des arguments politiques transposés au cyberespace
La lecture que fait Jay Sekulow de la situation au Moyen-Orient traduit ses idéaux politiques (conservative christian): il semble constant dans le choix de ses arguments, qu’il applique à divers objets politiques, notamment de sécurité. La réinterprétation de l’histoire pour servir ses fins lui est également reprochée par ses détracteurs[4].
De sorte que le véritable objet de son propos ne semble pas tant le terrorisme lui-même, ni la cybersécurité, que la mise en valeur de son idéal conservateur. On distinguera dans la démarche la définition de cibles et d’objectifs :

-          Cibles :
o   le terrorisme ;
o   les complices, les menaces : ceux qui se montrent trop faibles, trop bienveillants, pas assez fermes contre le terrorisme (administration Obama c’est-à-dire plus généralement la pensée de « gauche », les démocrates américains, les nations unies, l’Europe, etc.), voire perturbent l’application du droit légitime des victimes à se défendre en cherchant à les criminaliser plutôt qu’à les soutenir sans retenue)
-          Objectifs :
o   L’enjeu de sécurité/défense : défendre les intérêts légitimes des victimes ; défense d’Israël (dans la ligne de pensée des chrétiens conservateurs[5]
o   Défendre les valeurs, les droits fondamentaux (liberté de culte, etc.)
o   Promouvoir la posture conservatrice (une posture forte – Jay Sekulow est toutefois opposé à la peine de mort[6] -, des choix radicaux, rejeter toute éventualité de négociation ou compromis avec les criminels ; rejeter un dialogue avec les djihadistes dits « modérées » ; défendre les droits légitimes des victimes et les soutenir sans retenue)

Jay Sekulow utilisa précédemment des arguments similaires pour traiter des enjeux du cyberespace :

-          Cibles :
o   En mai 2014 il accusait -Obama de vouloir céder la maîtrise de l’internet à un groupe multinational, puis aux les Nation-Unies, voire à des régimes répressifs comme  la Russie, la Chine ou l’Iran[7] : « The success and freedom of the Internet would be in grave jeopardy if the Obama Administration is allowed to carry through with its plan to turn over control of the Internet to a ‘multinational’ body ». Il dénonçait donc là encore la faiblesse des démocrates.
o   Les acteurs qui de l’intérieur minent la sécurité nationale. Là encore, appel à des solutions radicales, des sanctions fermes. Ainsi déclarait-il, début 2013, à propos de fuites d’informations de l’administration Obama : « There must be a "no tolerance" policy when it comes to leaking confidential information concerning our national security. »[8]
o   La politique d’Obama : pétition contre le Cyber Security Act (2009)[9] qui met en péril la liberté d’expression ; dénoncer, anticiper les dérives possibles, car si le Cybersecurity Act est officiellement légitimé par des enjeux sécuritaires majeurs, donner les pleins pouvoirs à des dirigeants (un cercle limité) laisse les portes ouvertes à des contrôles et une censure de l’internet pour tout autre motif. Jay Sekulow n’hésite pas à comparer la possible situation américaine à ce qui se passe en Iran[10].
-          Objectifs :
o   Droits fondamentaux, constitutionnels,  libertés, sécurité :
§  s’inquiéter de ce qu’il adviendrait de la liberté de l’Eglise si le net passait entre les mains des islamistes[11].
§  S’inquiéter de ce qu’il adviendrait de la liberté d’expression si Internet était entièrement entre les mains d’Obama

La pensée de Jay Sekulow s’inscrit dans la lignée de la posture des conservateurs chrétiens. A titre d’exemple: 
  • à propos de la lutte contre le terrorisme islamiste : les conservateurs religieux américains appellent à la destruction totale de l’Etat islamique[12]
  • à propos de la dénonciation de l’administration Obama : le site « ConservativeChristian Voice » reprend le 20 juillet 2011[13] un article publié sur WND, intitulé « Look who Obama’s hired for cybersecurity team »[14], qui s’en prend à la composition des instances de cybersécurité américaines (Laura Callahan, suspectée de fraude sur ses diplômes universitaires, contrainte de démissionner du DHS en 2004, impliquée dans un scandale de « pertes » de milliers de mails ; mais considérée par certains de ses collègues comme un risque pour la cybersécurité en raison de ses pratiques et de son manque de compétences ; malgré ce passif, elle recouvre un poste au sein du nouvelle créé Cyber 
  • sur la liberté d’expression : les chrétiens conservateurs soutiennent le projet de loi déposé par Mike Kelly pour la protection de la liberté de l’Internet (Defending Internet Freedom Act 2014)[15]


[1] http://aclj.org/
[2] http://jonathanturley.org/2011/09/07/serving-mammon-and-making-millions-jay-sekulow-accused-of-funneling-millions-to-family/
[3] Rise of ISIS. A threat we can’t ignore.  Jay Sekulow, Jordan Sekulow, Robert W. Ash, David French. Howard Books, New York, 2014, 128 pages.
[4] http://www.huffingtonpost.com/chris-rodda/the-lies-used-by-jay-seku_b_4226678.html
[5] Many conservative Christians say they believe that the president’s support for Israel fulfills a biblical injunction to protect the Jewish state”. David D Kirkpatrick, For Evangelicals, Supporting Israel Is ‘God’s Foreign Policy’, 13 novembre 2006, The New York Times,
[http://www.nytimes.com/2006/11/14/washington/14israel.html?pagewanted=all]
[6] Kirsten Powers, Conservative case against death penalty, 24 juin 2014, USAToday, [http://www.usatoday.com/story/opinion/2014/06/24/kirsten-powers-conservative-death-penalty-column/11328301/]
[7] ACLJ Calls on Congress to Block Obama Adm. Move to Transfer Internet to “Multinational” Body & Maintain American Control of the Web, mai 2014, [http://aclj.org/free-speech-2/aclj-calls-on-congress-to-block-obama-adm-move-to-transfer-internet-to-multinational-body-maintain-american-control-of-web]
[8] No tolerance for Obama Leas, [http://aclj.org/us-constitution/jay-sekulow-no-tolerance-for-obamaleaks]
[9] President Obama to Control Internet?, 2009, [http://drkentshow.com/wordpress/?tag=cybersecurity-act-of-2009]
[10] Health Care and Cybersecurity Act, 2011, [http://aclj.org/obamacare/update-health-care-cyber-security-act]
[11] http://www.examiner.com/article/jay-sekulow-obama-gave-control-of-internet-to-un-will-censor-the-church
[12] David Gibson, US must ‘destroy’ Islamic State, say religious conservatives, RNS, 13 août 2014, [http://www.religionnews.com/2014/08/13/us-must-destroy-islamic-state-say-religious-conservatives/]
[13] [http://conservativechristianvoice.blogspot.fr/2011/07/look-who-obamas-hired-for-cybersecurity.html]
[14] [http://www.wnd.com/2011/07/323373/]
[15] [http://maplight.org/us-congress/bill/113-hr-5737/6109661/total-contributions.table]

Friday, December 5, 2014

La cyberdéfense: quel territoire, quel droit?

Didier Danet et Amaël Cattaruzza, La Cyberdéfense - Quel territoire, quel droit ? Economica, 286 pages, novembre 2014. 

Le programme de recherche de la Chaire Cybersécurité & Cyberdéfense  est aujourd’hui structuré autour de six thèmes directeurs : territorialité dans le cyberespace ; cyberdéfense et ressources humaines ; stratégies et politiques de cyberdéfense des grandes nations ; mesure de la cybermenace ; cyberconflictualité et forces armées ; dimension juridique de la cybersécurité et cyberdéfense. Les réflexions sont menées au travers de groupes de travail qui se réunissent régulièrement depuis la création de la Chaire en juillet 2012, ainsi que lors de colloques nationaux et internationaux organisés par la Chaire ou auxquels les membres de celle-ci sont amenés à participer.
Cet ouvrage propose les résultats de travaux menés plus spécifiquement dans deux de ces thèmes : territorialité dans le cyberespace ; dimension juridique de la cybersécurité et cyberdéfense. Rappelons également que deux journées d’études avaient été organisées, l’une à Rennes le 4 juin 2013, l’autre à Paris le 8 octobre 2013, portant respectivement sur les frontières du cyberespace et sur le droit et l’éthique face aux défis de la cyberconflictualité.
L’ouvrage offre des perspectives multiples sur ces deux objets, grâce à l’apport de spécialistes de diverses disciplines, issus des mondes académiques et non académiques, selon une logique de partage de connaissances à nos yeux indispensable pour traiter d’objets aussi complexes que ceux liés au cyberespace.

Les frontières du cyberespace
S’interroger sur la frontière dans le cyberespace c’est essayer de mieux comprendre comment le cyberespace se structure, fonctionne, comment les acteurs s’y organisent, comment …
Face à ceux qui voient dans le cyberespace la disparition des frontières, s’opposent les partisans de l’affirmation nécessaire de ces dernières, voire d’un morcellement de ce nouvel espace en autant de cyberespaces que d’Etats (on parle alors de balkanisation du cyberespace). Les réflexions sur les notions de frontière dans le cyberespace, de territoire et de ses délimitations dans le cyberespace, s’intègrent dans le cadre plus large des travaux actuels sur la nature et le rôle de la frontière au 21° siècle, sa nature, sa définition. Peuvent y contribuer des disciplines telles que la géographie, la géopolitique, la science politique, le droit, mais encore les études stratégiques ou les sciences et technologies de l’information, comme le démontre le panel des intervenants ayant participé au colloque du 4 juin 2013.
La démarche consiste ici à poser des définitions (Qu’est-ce que le cyberespace ? Qu’est-ce qu’une frontière ? Que pourrait être une frontière dans le cyberespace ?) et aborder les enjeux qui sont directement liés à la frontière dans le cyberespace : les notions de territoire, d’espace, de pouvoir, d’Etat, de souveraineté sont-elles remises en question dans le cyberespace ? Quel avenir pour la frontière ? Le cyberespace affaiblit-il les frontières ? Qu’est-ce qu’un territoire dans le cyberespace ? En crée-t-il de nouvelles ? Peut-il véritablement y avoir un espace national dans le cyberespace ? Comment assurer la souveraineté dans cette dimension ? Quels sont les enjeux en matière de cyberdéfense : comment gérer les menaces, comment sécuriser les données, les réseaux, assurer la sécurité et la défense nationale ?

Le droit et l’éthique face aux défis de la cyberconflictualité
L’une des phrases de l’article écrit par Didier Danet me semble parfaitement résumer la mission qui peut être assignée à la réflexion éthique-juridique, laquelle doit selon lui « permettre de donner aux acteurs chargés de mettre en œuvre la lutte informatique défensive et offensive un cadre d’action stable et reconnu, compatible avec les inévitables contentieux nés de la juridicisation et de la judiciarisation croissante de l’action des forces armées et de police […] Le Droit doit conduire à préciser ce que les acteurs peuvent ou ne peuvent pas faire afin de doter notre pays des moyens de sa cybersécurité». Les contributeurs s’attachent alors à soulever de nombreuses questions et tenter d’y apporter des réponses : y a-t-il aujourd’hui vide ou trop plein juridique ? Le cyberespace introduit-il de nouvelles questions éthiques ? Le droit des conflits armés est-il applicable en l’état, doit-il être modifié à la marge ou au contraire en profondeur ? Qu’en est-il de l’applicabilité des Conventions de Genève, du DIH (droit international humanitaire), du jus ad bellum, du jus in bello, de la légitime défense, ou encore de la définition du principe de proportionnalité, d’un acte de force, du combattant ? Il est indispensable de clarifier ce que les acteurs peuvent faire ou non, tenter de préciser dans quelles mesures cette forme de violence « cyber » doit ou peut être contenue. Bien évidemment les réflexions doivent envisager deux cadres : national et international, l’un des objectifs devant être la définition de normes internationales partagées. Mais aujourd’hui est-il vraiment dans l’intérêt et la volonté des Etats disposant de capacités cyber-offensives, de définir des règles contraignantes ? En effet, en l’absence d’autorités définissant quelles cyberattaques constituent des actes de force ou des agressions, ces Etats ont toute liberté d’agir, assurés que leurs actes ne pourront pas faire l’objet de sanctions, assurés de pouvoir définir eux-mêmes, à leur convenance, les règles du jeu. 

Thursday, December 4, 2014

Fiche de lecture: Big, Fast, Open Data

Big, Fast, Open Data. Sous la direction de Yannick Lejeune, EPITA Edition, Paris, 191 pages, octobre 2014. Fiche de lecture rédigée par Daniel Ventre. 3 Décembre 2014  

Sous la direction de Yannick Lejeune, 23 auteurs traitent de la notion de « données » dans un ouvrage structuré en 5 chapitres. 
  •  L’humain et ses données, le « quantified self »
  •  L’informatique des données et les mondes numériques
  • Société et gouvernance : le citoyen et la cité
  • Les entreprises et le business des données
  •  La science à l’ère des mégadonnées

Nous retenons de cette lecture quelques arguments qui nous paraissent refléter l’essentiel des principaux messages véhiculés au travers du livre. 

Sur les modifications, conséquences, voire révolutions induites par la data (big, fast, open) 
  • Les rapports qu’entretient l’homme avec ses données sont modifiés. Les big data, fast et open data, transforment le rapport à soi.
  • Le big data transforme notre manière de vivre et de penser. Il révolutionne notre rapport au monde : on ne collecte plus ni ne traite de petits échantillons, des sous-ensembles de données. Le changement d’échelle entraîne nécessairement changement de point de vue.
  •  Aujourd’hui tout autour de nous produit des données. Ces données se réfèrent aux comportements humains. Les données sont partout : directes, ouvertes, prédictives… Explosion du volume de données produites car explosion des relations individus-systèmes, du nombre de capteurs, senseurs. Cette quantité de données permet de voir le monde sous un angle nouveau : on lit le monde au travers de données. Mais davantage que la masse de données, c’est la complexité qui définit le big data (p.151). Le big data se définit grâce aux trois mots : analyser, prédire, réagir (p.137).
  • Le big data montre des corrélations (connexions apparentes entre des données) et non une relation de causalité
  • La capacité à collecter, traiter, produire des masses énormes de données nous libère des contraintes existant jusqu’alors. On peut désormais s’appuyer sur des quantités de données bien plus massives. Mais quel que soit le volume de données, celles-ci ne sont jamais le reflet de l’entière réalité, elles sont toujours incomplètes, imparfaites (p.20)
  • Les problèmes, enjeux, défis liés au Big Data sont multiples : surveillance (p.51) ; risque d’abus dans l’utilisation des approche probabilistes, prédictives ; risque de dictature de la donnée. Doug Laney a défini les problématiques propres à ces données sous le célèbre principe des 3V : volume, vélocité, variété. D’autres attributs peuvent être ajoutés : véracité, variabilité, valeur…
  • Importance de l’accessibilité à la donnée
  • Malgré le big data, les prévisions ont toujours leurs limites
  • Le problème n’est pas tant la production et la collecte des données, que leur manipulation et leur interprétation, leur utilisation.

Le point de vue du juriste
Le droit à la propriété des données n’existe pas aujourd’hui dans le monde (p.105). Or si elles n’appartiennent à personne, il ne peut pas y avoir vol. Il faut créer le droit à la souveraineté, à l’autodétermination par l’utilisateur de ses droits (p.106), c’est-à-dire droit de pouvoir contrôler ses données et décider de leur utilisation. Les défis posés par le big data du point de vue juridique sont principalement les suivants : comment appliquer la règlementation informatique et liberté ; comment faire respecter le droit à l’oubli (tout en respectant le droit à l’histoire) (p.109). Le droit des algorithmes reste à inventer (p.110).

Le point de la vue de la Défense
Ce qui intéresse l’auteur, c’est la dimension humaine du big data : la donnée personnelle, qui explose. « La mission fondamentale de l’Etat est de protéger les citoyens, ici les données des citoyens » (p.87). Il distingue 3 cercles de souveraineté : sur la donnée personnelle, des entreprises/organisations, des Etats. Globalement le chapitre dédié au point de vue de la Défense ne traite guère du big data.
D’autres parties du livre évoquent (survolent) les usages du big data à des fins de sécurité (p.51 et suiv.) : le big data contribue à la surveillance, au « cyberint » (cyber intelligence) c’est-à-dire au renseignement de masse. L’une de ses méthodes consiste à collecter massivement des données, sur une longue période, et à mesurer les différences, puis tirer des conclusions, déclencher des signaux d’alerte, dès qu’une telle différence est identifiée.

Sur la définition des concepts
Ce livre est l’occasion, pour tous ceux qui sont peu familiers de ces sujets, de découvrir quantité de concepts : bio-informatique, dataïsé, homo-data-sapiens, algorithmiste, soi quantifié (quantifier tout
ce qui se passe à propos de soi-même), médecin data-scientist … La nouveauté (la révolution de l’humanité en cours ?) se dit visiblement  mieux en anglais: big data, open data, fast data, open access, data scientist, quantified self, quantified others (données qui portent sur les autres), sport-scientist, dispractices (mauvaises pratiques), frames (images par seconde), open government, etc.
  • Open data : données ouvertes par les administrations dans un premier temps. Ce processus n’est pas lisse, homogène, n’est pas naturel. Il y a de nombreuses résistances.
  • Open access : libre accès aux publications scientifiques
  • Open science : open access + open data + logiciel open source + recherche participative et contributive
  •  Open web : considérer les connaissances comme des biens communs
  • Les fast data : celles qui arrivent en temps réel. Peu de lignes sont accordées aux fats data elles-mêmes dans cet ouvrage, qui se concentre en réalité sur le big data et l’open data.

Sur la « valeur » de la donnée 
Il est à maintes reprises dans l’ouvrage question de la « valeur » de la donnée :
  • elle ne réside plus seulement dans l’objectif pour lequel elle a été collectée, mais dans les utilisations et réutilisations possibles ultérieurement (p.19)
  • la valeur des données réside avant tout dans la capacité à les utiliser intelligemment (p.182)
  • la notion de valeur a priori des données (n’a pas) beaucoup de sens. C’est la contextualisation qui confère de la valeur aux données (p.141).

Commentaires
Les regards portés sur les transformations induites par l’explosion des données hésitent entre un solutionnisme technologique, non pas simplement webcentré tel que le décrit et critique Evgeny Morozov par exemple, mais mathématico-centré, plus précisément centré sur l’algorithme. Les algorithmes (re)deviennent centraux. Ils permettent de faire parler les données et d’en produire de nouvelles. La généralisation du big data fait émerger de nouveaux algorithmes (p.151). Exit les outils de gestion de bases de données, traditionnels (les auteurs ne vont pas jusqu’à les qualifier d’archaïques). On s’interroge sur le pouvoir qui leur est conféré : « s’oriente-t-on vers la gouvernance algorithmique ? » (p.185)

Vision technocentrée utopique : le bonheur est à portée de main grâce à cette nouvelle évolution technologique (le même discours était tenu aux balbutiements de l’internet, des autoroutes de l’information, qui devaient rendre l’humanité prospère). Grâce aux données, aux mathématiques, « nous sommes aptes à découvrir le fonctionnement réel de notre société » (p.22) Les maîtres de ces données et technologies (les data scientists) seraient donc les nouveaux maîtres du progrès, si ce n’est de l’humanité ? Le big data apparaît comme une solution à bien des problèmes : avec les objets connectés, la société deviendra intelligente (smart cities, smart cars, smart phones, …), et le big data permettra « d’améliorer l’organisation du pays… rendre le système de télécommunications bien plus efficace… le système de santé bien plus robuste… améliorer les services de transport » (p.26). Le big data peut améliorer nos sociétés (p.26). La data redéfinit les rapports de force dans le monde commercial, industriel. Le big data est l’avenir du marketing (p.143). Le bonheur, le progrès, passent par les données : « tout peut être dataïsé » (p.27), l’ouverture des données c’est la démocratie (p.75).  L’un des auteurs rêve d’une société qui sera plus quantitative (p.29). Le bonheur et le progrès par la science, et surtout par les chiffres, les mathématiques. « Nous allons construire un monde meilleur » (p.36). On a déjà entendu cela… On y lit même que les sciences humaines, de « bonne science », c’est-à-dire essentiellement qualitatives, deviendraient véritable science, parce qu’elles vont désormais utiliser les données massivement, se servir du big data, devenir réellement quantitative (p.22) Les sciences humaines seront plus précises et plus prédictives (p.29), elles « deviennent une vraie science ».

L’ouvrage se termine sur des considérations plus humbles, plus retenues. Le big data ne fait pas tout. Il produit certes de la donnée, mais « un même savoir produit des effets bien différents » (p.188), accordant encore à l’être humain le choix, le pouvoir de décision. Car les algorithmes ne sont pas des entités autonomes : les résultats qu’ils produisent sont aussi le reflet des stratégies qui ont gouverné leur conception.