Total Pageviews

Sunday, November 15, 2015

Data Warfare

"Data Warfare?" sera le titre de l'un des principaux chapitres de mon prochain livre, seconde édition de "Information Warfare", à paraître chez Wiley fin 2015. 

Nous introduisons cette notion de "Data Warfare", afin d'en discuter à la fois la pertinence, l'opportunité, et les éventuelles implications, sur les plans conceptuels et stratégiques. 

La notion de "data" est de plus en plus présente dans les documents de doctrine militaire, notamment américaine. L'autre raison motivant l'introduction de cette nouvelle formulation, qui s'appuie sur la distinction entre "information" et "donnée", vise à compléter la suite "signal - donnée - information - connaissance", qui a vu toutes ses composantes jusqu'ici déclinées en "warfare" (electronic warfare / guerre électronique pour le spectre électromagnétique; information warfare / guerre de l'information pour le domaine informationnel et "guerre de la connaissance" pour l'ultime niveau de la suite). Ne manquait plus, en quelques sortes, que la prise en compte du niveau de la donnée. 

Nous nous intéressons dans le chapitre de notre livre les relations qui s'établissent entre espace/domaine informationnel, environnement d'information, information, spectre électromagnétique, données et cyber: quelles notions sont contenues dans les autres, comment se croisent les domaines, etc. 

Une approche data-centrée, au sein des questionnements sur la cybersécurité, suppose des différences par rapport à une approche info-centrée. 

A suivre... 

Tuesday, October 13, 2015

Colloque Cybersécurité des Villes Intelligentes

La Chaire Cybersécurité & Cyberdéfense organise à Paris ce jeudi 15 octobre 2015, un colloque sur le thème "Cybersécurité des villes intelligentes". Hotel des Invalides, Paris. 9h13 - 17h. 
Programme en ligne.  Inscription obligatoire. 

Monday, September 7, 2015

La cyberguerre des gangs aura-t-elle lieu? IFRI - Focus Stratégique n°60

Daniel Ventre, La cyberguerre des gangs aura-t-elle lieu?,  IFRI - Focus Stratégique n°60, Août 2015, 37 pages. 

Friday, August 14, 2015

Tianjin - High Performance Computer

L'un des plus performants supercalculateurs mondiaux (Tianhe-1) se trouve à Tianjin, en Chine (au sein de la National Defense Science and Technology University). Les calculateurs eux-mêmes ne semblent pas avoir été directement touchés par l'explosion qui a endommagé une partie de la ville. Seuls les bâtiments abritant les calculateurs auraient été affectés par l'onde de choc. Quelques médias rapportent que les calculateurs ont été arrêtés pour raison de sécurité. Le site internet du site a lui aussi été rendu inaccessible après l'explosion. Le calculateur est notamment utilisé pour le programme spatial chinois, qui pourrait s'en trouver affecté. L'explosion aura donc des conséquences stratégiques importantes.

Rappelons que d'autres explosions importantes ont eu lieu ces derniers mois dans des lieux que l'on peut considérer comme stratégiques (usines de produits chimiques, industries, localisation des villes...): dans une usine pétrochimique à Rizhao le 16 juillet (des vidéos de l'explosion circulent sur la toile, qui rappellent d'ailleurs celle de Tianjin) où a explosé de l'hydrogène liquide, et dans la ville de Zhangzhou (explosion d'une usine de para-xylenele 7 avril 2015; à Foshan en décembre 2014; à Kunshan en août 2014 (explosion qui serait due à la concentration de poussière d'aluminium. La production des iPhone6, Xiaomi4 et MX4 aurait été perturbée par cet accident); à Qingdao en novembre 2013; à Zhangzhou en juillet 2013; à Dalian en juin 2013; à Caofan en mai 2013...

Thursday, July 23, 2015

Les évolutions de la cybersécurité: contraintes, facteurs, variables... Etude pour la DGRIS

Daniel Ventre, Les évolutions de la cybersécurité: contraintes, facteurs, variables... , DGRIS, Ministère de la Défense, Etude Prospective et Stratégique, Juin 2015, 38 pages, 

APT et questions juridiques - revue MISC n°80

APT et questions juridiques, Daniel Ventre, revue MISC n°80, pp.64-67, juillet-août 2015. 

Wednesday, July 22, 2015

Cybersécurité et cyberdéfense chinoise: évolutions

"Cybersécurité et cyberdéfense chinoise: évolutions", Daniel Ventre, article publié dans la revue Penser les Ailes Françaises: Réflexions sur le cyber: quels enjeux?, n°32, juillet 2015. Article pages 128-133. 

Tuesday, June 23, 2015

The Defender's Dilemma - Rand Report 2015

The Defender's Dilemma, by Martin Libicki, Lillian Ablon, Tim Webb, Rand Corporation, 162 pages, 2015. The report may be downloaded on the website of the Corporation. 
http://www.rand.org/pubs/research_reports/RR1024.html 

Cyberattack against Warsaw's Chopin airport systems?

Last Sunfay, the Warsaw's Chopin airport systems have been victim of a DDoS attack. According to international media, "the flight plan system went down for around five hours on Sunday"http://africa.chinadaily.com.cn/world/2015-06/23/content_21075104.htm 

Friday, May 29, 2015

Chine - OceanLotus

L'entreprise chinoise Qihoo 360's SkyEye Labs accuse une organisation de hackers qu'elle nomme Ocean Lotus d'avoir piraté les serveurs du gouvernement. L'entreprise précise que cette organisation est soutenue par un gouvernement hostile à la Chine. Les attaques, menées depuis avril 2012 (attaque de type APT donc), ont visé des agences maritimes chinoises et des institutions de recherche. Le cheval de Troie utilisé pour cette attaque s'est propagé à 36 pays, mais 92% des ordinateurs touchés sont chinois. Plus de détails sur le site de Xinhua

Wednesday, April 29, 2015

USA - Décret Présidentiel – cyberattaques

Le 1° avril 2015, le Président Obama a signé un nouveau décret présidentiel ( « executive order ») 13694, intitulé « Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities »[1]. Ce décret vise à apporter une réponse aux cybermenaces, plus particulièrement aux cyberattaques menées depuis l’étranger ou dirigées par des personnes situées à l’étranger.  
- Les cyberattaques sont de plus en plus nombreuses et puissantes. Elles constituent une menace inhabituelle et extraordinaire,  à la fois pour la sécurité nationale, la politique étrangère, et l’économie des Etats-Unis. La réponse à apporter revêt un caractère prioritaire, d’urgence « I hereby declare a national emergency to deal with this threat »).
 Les biens qui se trouvent sur le territoire américain, appartenant à des personnes (terme comprenant les individus et les entités. Section 6.a) qui sont responsables ou complices de cyberattaques menées depuis l’étranger contre des intérêts américains, seront bloqués, sur décision du Secrétariat au Trésor, du Secrétariat d’Etat et du Procureur Général (Attorney General).  Ces cyberattaques devront avoir représenté une menace à la sécurité nationale, à la politique étrangère, à l’économie et à la stabilité financière des Etats-Unis. 
- Sont particulièrement concernées les attaques visant ou affectant les infrastructures critiques (section 1, al. (i) A, B) et les opérations à des fins d’espionnage économique (section 1, al. D ; secton 1, al. (ii) A) La liste des infrastructures concernées est inscrite dans la Presidential Policy Directive 21.
- Les mesures s’étendent à l’interdiction d’entrée sur le territoire américain, des personnes visées par les sanctions prévues dans ce décret (« I hereby suspend entry into the United States, as immigrants or nonimmigrants, of such persons »).
- Il est interdit à tout individu ou entreprise américaine de faire commerce avec les personnes sanctionnées

Cette décision a pour ambition de renforcer l’arsenal répressif/dissuasif américain contre la cybermenace. Elle fournit aux Etats-Unis un moyen coercitif qui permet désormais de viser les individus et les entités. Son objet est de dissuader[2] en imposant un coût prohibitif aux cyberagresseurs.  Le principe ne dissuadera donc, dans le meilleur des cas, que les seuls acteurs ayant des actifs sur le sol américain. Ce qui n’est probablement pas le cas de tous les attaquants, qui restent donc pour leur part en dehors du périmètre prévu par la décision.  La notion de menace ou attaque d’importance « significative » reste indéterminée, et donc laissée à l’appréciation des trois organes désignés (Secrétariat d’Etat, Trésor, Procureur)  pour décider de l’application des mesures. La certitude de l’attribution conditionne également l’application de cette mesure.

Informations complémentaires sur les conditions d’application de la décision : site du Département au Trésor[3].




[1] https://www.whitehouse.gov/the-press-office/2015/04/01/executive-order-blocking-property-certain-persons-engaging-significant-m
[2] http://www.federaltimes.com/story/government/cybersecurity/2015/04/01/obama-executive-order-sanctions-cyber-criminals/70770684/
[3] http://www.treasury.gov/resource-center/faqs/Sanctions/Pages/answers2.aspx#444

Friday, April 24, 2015

The U.S. Department of Defense Cyber Strategy 2015

Le Département de la Défense américain vient de publier une nouvelle cyberstratégie (23 avril 2015) (The Department of Defense Cyber Strategy 2015, 17 avril 2015, 33 pages)[1]. Le précédent document de ce type datait de 2011.
Le DoD a trois missions principales dans le cyberespace: défendre les réseaux, les systèmes et l'information du Département de la Défense, défendre le territoire américain et les intérêts nationaux contre toute forme de cyberattaque importante, soutenir les projets opérationnels.
Le document propose 5 objectifs stratégiques principaux:
- Construire et maintenir des forces et capacités pour mener des opérations dans le cyberespace
- Défendre le réseau du Département de la Défense
- Sécuriser les données du Département et réduire les risques
- Se tenir prêt à défendre le territoire américain et les intérêts vitaux du pays contre des cyberattaques perturbatrices ou destructrices, aux conséquences majeures
- Elaborer et préparer des options cyber viables, et planifier leur mise en application, pour contenir l'escalade du conflit et maîtriser l'environnement du conflit à tous les niveaux
- Construire et maintenir des alliances et partenariats internationaux solides, pour dissuader les menaces communes et accroître la sécurité et stabilité internationale.  

Cette nouvelle stratégie ne nous surprend pas: les Etats-Unis sont déterminés à se protéger des cyberattaques, et à faire de l'armée l'un des acteurs de la défense dans le cyberespace des intérêts de la nation, tout en poursuivant le développement capacitaire, matériel (avec notamment une amélioration de la coordination des politiques d'acquisition et développement, pour l'heure non coordonnées, et laissant à chaque branche la responsabilité de ses acquisitions, de ses choix en matière de plates-formes cyber) mais aussi humain (6200 cyber-opérateurs composeront cette force cyber, organisés autour de trois mission: la défense des réseaux du département; la protection du territoire américain et de ses intérêts vitaux; le développement de cybercapacités pour les opérations militaires)[2], utile à toutes ces missions, et à l'intégration totale des cyber-capacités dans les opérations militaires. La dissuasion et l'attribution, la prévision, la détection anticipée des menaces, la résilience des réseaux,  restent des objectifs majeurs, tout comme la coopération, les alliances, les partenariats internationaux. La stratégie désigne plus précisément le Moyen-Orient, l'Asie Pacifique, et les alliés de l'OTAN. Ce vaste programme supposera des investissements sur le long terme importants, et des efforts en R&D mobilisant industrie, monde académique, et défense.



[1] http://www.defense.gov/home/features/2015/0415_cyber-strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf
[2] http://csis.org/publication/2015-dod-cyber-strategy

Wednesday, April 22, 2015

Article Le Point. Cybersécurité: une faille reste toujours possible.

Cybersécurité: une faille reste toujours possible. Le Point. 22 avril 2015. Entretien accordé par Daniel Ventre à Jean Guisnel., à propos des cyberattaques subies par TV5 Monde. 

Appel à contribution pour un numéro thématique de la revue Réseaux : Le crime en ligne

Appel à contribution pour un numéro thématique de la revue Réseaux: Le crime en ligne. 
Bilel Benbouzid et Daniel Ventre (coordonnateurs). 
Les propositions de textes sont à envoyer avant le 15 novembre 2015. Texte de l'appel à contribution. 

Sunday, April 12, 2015

Cyberstratégie

"Cyberstratégie", chapitre rédigé par Daniel Ventre, contribution (pages 333-348) à l'ouvrage collectif "Guerre et Stratégie. Approches, Concepts", publié sous la direction de Stéphane Taillat, Joseph Henrotin, Olivier Schmitt, aux éditions PUF, avril 2015, 530 pages. 

Thursday, April 9, 2015

State, Society and Information Technology in Asia: Alterity between Online and Offline Politics

State, Society and Information Technology in Asia: Alterity between Online and Offline Politics, edited by ALAN CHONG and FAIZAL BIN YAHYA. UK: Ashgate, January 2015). ISBN: 978-1-4724-4380-9

Many maintain that the arrival of computers networked across sovereign borders and physical barriers is a liberating force that will produce a global dialogue of liberal hues but this book argues that this dominant paradigm needs to be supplemented by the perspective of alterity in the impact of Information Technology in different regions. Local experts draw upon a range of Asian cases to demonstrate how alterity, defined here as a condition of privileging the hitherto marginal and subterranean aspects of a capitalist world order through the capabilities of information and communications technologies, offers an alternative to the paradigm of inevitable material advances and political liberalization.
Calling attention to the unique social and political uses being made of IT in Asia in the service of offline and online causes predominantly filtered by pre-existing social milieus the contributors examine the multiple dimensions of Asian differences in the sociology and politics of IT and show how present trends suggest that advanced electronic media will not necessarily be embraced in a smooth, unilinear fashion throughout Asia. This book will appeal to any reader interested in the nexus between society and IT in Asia.
About the Editor: 
- Alan Chong is Associate Professor at the S. Rajaratnam School of International Studies in Singapore. 
Faizal Bin Yahya is a Research Fellow at the Institute of Policy Studies, Lee Kuan Yew School of Public Policy, National University of Singapore

Who is the ISIS group "Cyber Caliphate"?

It is a group which claims affiliation to the Islamic State.  It has already led a few remarkable actions: 
  • It hacked the Twitter and YouTube accounts of the US Central Command in January of 2015.  Media insisted, back then, on the American Defense system's vulnerabilities (« it shows the sorry state of cyber security in the US government »), but also on the hackers' level [1].  Messages aired by the hackers were, in substance, the same as those spread today in the TV5 attack: threats to individuals, against soldiers (« American Soldiers, We are Coming, Watch your back ») [2]. Still  in January of 2015, these hackers posted pro-ISIS messages on the Twitter feeds of Fox, CBS and local media [3].
  • Attacks on media are therefore part of a group strategy.  Ian Amit, vice-president of Zero-Fox, declared in January of 2015 that the group probably had a long list of media it intended to attack [4].   
  • Hacking of the Newsweek Twitter account, in February of 2015 [5]
  • In September 2014, articles described development strategies for the Islamic State offensive cyber-capacities, the movement wishing to extend its reach within cyberspace.  The name of a British national was even mentioned, as one of the leaders of the cyber-project [6].  For instance, hackers sign website defacing with the name ISIS [7]. In 2013, website defacing were signed « The Caliphate » [8].




Cyberattacks against TV5

In the night between April 8 and 9, 2015, TV5 was the target of a large cyberattack.  The channel's emitting capacity was impaired for several hours, and its websites, Facebook and Twitter accounts were also targeted.  The attack is signed by agents claiming affiliation to the Islamic State.  This event, which will necessarily receive wide media coverage, given the nature of the target, calls for several immediate comments.
  • The number of cyberattacks hitting various targets in the world has not stopped growing the past decades.  The network implantation accelerated at the turn of the 90s, as society becomes more and more interconnected, computerized and dependant on these systems.  Computerization of our societies has opened breaches hackers haven't stopped using.  The attack suffered by the TV5 channel is therefore surprising, no doubt by its amplitude, its effects, but isn't so much when taken within its context.  Potentially, any connected and computerized system is exposed to such actions. 
  • Is it a first? No. Many media have suffered these past few months cyberattacks, claimed by Cyber Caliphate, pro-ISIS hacker groups (Fox, CBS, Newsweek).
  • Cyberattacks are rarely improvised.  To attack a system, it must be tested, assayed, and such an attack requires preparation.  Unless all of TV5's systems were so fragile that a lucky find opened all the gates.  If the operation was prepared, it may have included a discrete and undetected intrusion beforehand.  The technical investigation will establish whether the hackers left traces and if these traces can talk, provide sufficient clues to ascertain the modus operandi, or even the authors of the attacks.
  • Facing a cyberattack, the stakes are always the same:
    • To whom will the attack be attributed, how will the authors be identified?  Claims and messages posted on hacked websites point towards the Islamic State.  But this isn't enough : where did the authors operate from?  Who are they really?  Are these sympathisers, or are we outright dealing with the Islamic State?This phase of the investigation is no doubt the most difficult, because cyberspace allows for track covering, and trace dissimulation.  Several hypotheses will be looked into : did the hackers act from abroad?  From France?  Should the assailants be sought outside the company?  Did they extensively prepare their operation, did they leave traces, clues?
    • How will we act, or react?  This is a terrorist act (defined as any action  linked to a terrorist movement): which response is appropriate?
    • Which breaches were used by the assailants?  Are there others?  Could the assailants repeat the feat against other media, other companies?  If TV5 was hit, how do we ensure other media aren't hit in hours, days or weeks to come?
  • "Cyber" is part of societies, therefore it is also part of conflicts, and a key part at that.  No doubt has the public been made more aware of this with the media coverage given to the Islamic State on social media (execution footage, namely, but also calls for djihad and recruitment).  The phenomenon was broadly visible when thousands of French websites were hacked the day after the Paris terrorist attacks.  But cyberterrorism, agressive cyber-operations, cyberspace exploitation by terrorists, belligerants and fighters, also extends to operations capable of paralysing systems.  Potentially, the number of targets is infinite.  In this case, media were hit, and the action was engineered to carry a message.  But it can be expected that other types of systems, industrial and critical, may be targeted later on.
  • In cyberspace, adversaries are the same as in the tangible world.  We are not dealing with two worlds, two disconnected spaces, with each their realities, logics, balances and strength ratios.

Qui est le groupe ISIS « Cyber Caliphate » ?

Il s’agirait d’un « groupe » revendiquant son attachement à l’Etat Islamique. A son actif il compte quelques coups d’éclat :
  • A piraté les comptes Twitter et Youtube de l’U.S. Central Command en janvier 2015. Les médias insistaient alors sur la vulnérabilité des systèmes de la Défense américaine (« it shows the sorry state of cybersecurity in the US government ») mais aussi sur le haut niveau des hackers[1]. Les messages diffusés par les hackers reprenaient, en substance, les mêmes arguments que ceux développés aujourd’hui dans l’attaque contre TV5 : menaces contre les individus, contre les militaires (« American Soldiers, We are Coming, Watch your back »)[2]. Toujours en janvier 2015, ces hackers ont publié sur les flux twitter de Fox, CBS et médias locaux du Maryland, des messages pro-ISIS[3].  
  • Les attaques contre les médias sont donc inscrites dans la stratégie de ce groupe. Ian Amit, vice-président de ZeroFox, déclairait en janvier 2015 que le groupe avait probablement une longue liste de médias qu’il planifiait d’attaquer[4].  
  • Piratage du compte twitter de Newsweek, en février 2015[5] 
  • En septembre 2014 des articles faisaient état des stratégies de développement de cyber-capacités offensives de la part de l’Etat Islamique, mouvement désireux d’étendre son pouvoir dans le cyberespace.  Le nom d’un britannique était même évoqué, comme étant l’un des leaders de ce projet cyber[6].
S’agit-il toujours des mêmes acteurs ? D’acteurs distincts mais signant tantôt sous la même bannière (Cyber Caliphate) tantôt sous d’autres ? Des hackers signent par exemple des attaques de sites (défiguration) du nom d’ISIS[7]. En 2013 des défigurations de sites étaient signées « The Caliphate »[8]. Rappelons qu'au début de l'année 2015, le groupe de hackers Lizard Squad défigurait le site de la Malaysian Airlines et signait aussi "Official Cyber Caliphate". 



[1] http://techcrunch.com/2015/01/12/cyber-caliphate/
[2] https://tctechcrunch2011.files.wordpress.com/2015/01/screen-shot-2015-01-12-at-10-21-37-am.png?w=680&h=412
[3] http://www.scmagazine.com/pro-isis-group-hijacks-twitter-accounts-of-local-media-outlets/article/391900/
[4] http://www.scmagazine.com/pro-isis-group-hijacks-twitter-accounts-of-local-media-outlets/article/391900/
[5] http://www.lesechos.fr/tech-medias/hightech/0204150231350-sanglante-saint-valentin-le-cybercaliphate-pirate-newsweek-1092008.php
[6] http://securityaffairs.co/wordpress/28300/cyber-crime/isis-cyber-caliphate.html
[7] http://www.zone-h.org/mirror/id/23148463
[8] http://www.zone-h.org/mirror/id/19514497

Cyberattaques contre TV5

Dans la nuit du mercredi 8 au jeudi 9 avril 2015, TV5 a été victime d’une cyberattaque importante. La capacité de la chaine à émettre a été paralysée plusieurs heures, ses sites internet, comptes Facebook  Twitter ont également été visés. L’attaque est signée par des acteurs se revendiquant de l’Etat Islamique. Cet incident, qui sera nécessairement fortement médiatisé en raison de la cible qui a été touchée, appelle à chaud plusieurs commentaires.
  • Le nombre de cyberattaques qui touchent des cibles de natures très diverses dans le monde n’a cessé de croître au cours de ces dernières décennies. La mise en réseau s’est accélérée au tournant des années 1990, la société est de plus en plus informatisée, connectée, dépendante de ces systèmes. L’informatisation de la société a ouvert des brèches que n’ont cessé d’exploiter les hackers.  L’attaque subie par la chaine TV5 est donc surprenante sans doute par son ampleur, ses effets, mais ne l’est pas quand on considère le contexte dans son ensemble. Potentiellement, tout système informatisé et connecté est exposé à de tels actes.
  • S’agit-il d’une première ?  Non. De nombreux médias ont fait les frais ces derniers mois de cyberattaques revendiquées par le Cyber Caliphate, groupe de hackers pro-ISIS (Fox, CBS, Newsweek, etc.)
  • Les cyberattaques s’improvisent rarement. Pour attaquer un système il faut le tester, le connaître, et une attaque comme celle-ci doit être préparée. A moins que l’ensemble des systèmes informatiques de TV5 n’aient été à ce point fragiles que la découverte, un peu par hasard, d’une faille n’ait ouvert toutes les portes. Si l’opération a été préparée, elle aura peut-être fait l’objet d’une intrusion préalable dans les systèmes, discrète, indétectable. L’enquête technique permettra de dire si les hackers ont laissé des traces, et si ces traces peuvent parler, fournir des indices suffisants pour reconstituer le mode opératoire, et éventuellement sur les auteurs de l’attaque.
  • Face à une cyberattaque les difficultés et enjeux sont toujours les mêmes :
    • Comment va-t-on attribuer l’attaque, identifier les auteurs de l’agression ? Les revendications, les contenus affichés sur les sites piratés, orientent vers l’Etat Islamique. Mais cela n’est pas suffisant : d’où ont agi les attaquants ? qui sont-ils véritablement ? S’agit-il d’un acte mené par des hackers non étatiques sympathisants de l’Etat Islamique, ou doit-on voir derrière l’acte la main d’un Etat ? Cette phase de l’enquête est probablement la plus difficile, car le cyberespace permet de brouiller les cartes, effacer les traces. Plusieurs hypothèses vont être formulées : les hackers ont-ils agi de l’étranger ? Depuis la France ? Faut-il chercher les attaquants à l’extérieur de l’entreprise ? Ont-ils préparé l’attaque de longue date, ont-ils pu laisser des traces, des indices ?
    • Comment va-t-on agir, réagir ? Il s’agit ici d’un acte terroriste (désignant toute action en lien avec une organisation terroriste) : quelle peut être la réponse adéquate ?
    • Quelles failles ont été exploitées par les attaquants ? En existe-t-il d’autres ? Les attaquants peuvent-ils réitérer leur exploit contre d’autres médias, d’autres entreprises ? Si TV5 a été touchée, comment s’assurer que les autres médias ne puissent l’être dans les heures, jours ou semaines à venir ?
  • Le « cyber » fait partie de la société, la dimension cyber fait donc aussi partie des conflits, elle en est l’un des éléments clefs. Sans doute le grand public en a-t-il pris davantage conscience ces derniers mois avec la médiatisation faite des pratiques de l’Etat Islamique sur les médias sociaux (diffusion de vidéos d’exécution notamment, mais aussi appels au djihad, recrutements…) Le phénomène fut également médiatisé lorsque des milliers de sites internet français ont été victimes de cyberattaques au lendemain des attentats menés dans Paris. Mais le cyberterrorisme, les cyberopérations agressives, l’exploitation du cyberespace par des terroristes/combattants/belligérants, s’étend aussi à ces attaques capables de paralyser des systèmes. Et potentiellement le nombre de cibles est infini. Ici des médias ont été touchés, et l’acte s’inscrit bien dans une volonté de médiatisation des revendications. Mais on peut envisager que d’autres types de systèmes, industriels, critiques, soient visés par la suite.
  • Dans le cyberespace, les adversaires sont les mêmes que dans le monde physique/réel. Il n’y a pas deux mondes, deux espaces déconnectés, avec chacun leurs réalités, leurs logiques, équilibres, rapports de force. 


Saturday, April 4, 2015

Chine, banques, cybersécurité

La Chine vient de lancer l'initiative d'une nouvelle banque internationale d'investissement, l'AIIB (Asian Infrastructure Investment Bank), qui a pour objectif de financer des projets d'infrastructures en Asie. Par ce projet le Chine souhaite affirmer sa vision de la gouvernance mondiale, alors qu'elle se sent écartée des grandes institutions que sont le FMI, la Banque Mondiale , ou encore la Banque Asiatique de Développement (Asian Development Bank), dominées par les Etats-Unis, l'Europe et le Japon.
De nombreux pays (une quarantaine à ce jour), malgré les fortes réticences des Etats-Unis, ont exprimé leur souhait de rejoindre le projet chinois: la France, l'Allemagne, l'Italie, le Royaume-Uni, Israël, Taïwan, le Japon, Singapour, l'Australie, la Russie, les Pays-Bas (la liste ne cesse de s'allonger)[1] ...

L'opposition américaine se justifie par l'évident coup porté à son pouvoir hégémonique, l'AIIB étant une nouvelle formalisation de la croissance de la puissance chinoise sur la scène mondiale. Et l'on constate qu'assez peu d'alliés des Etats-Unis se rallient à la position américaine, radicale, hostile à l'initiative chinoise. Par cette adhésion au projet, les nations espèrent sans doute renforcer leurs liens avec la Chine et se voir ouvrir de nouveaux marchés.

Ce projet s'inscrit dans le même temps que les tensions générées par les nouvelles règles imposées par la Chine aux entreprises étrangères, notamment au secteur bancaire: les banques chinoises doivent limiter leur recours à des technologies IT étrangères, et toutes les entreprises étrangères qui s'installent en Chine doivent utiliser des systèmes de sécurisation (crypto) approuvés par Pékin, et fournir les codes sources des applications aux autorités chinoises pour vérification[2]. La Chine met en application le concept de souveraineté technologique, idée selon laquelle ce qui est développé par une industrie "nationale" procure plus de garanties de sécurité que les solutions étrangères (Pékin a ainsi demandé aux banques chinoises de ne plus utiliser de machines IBM, et d'adopter des produits chinois). Ce débat est loin d'être typiquement chinois, mais sa mise en œuvre et son affirmation suscitent des réactions. Les enjeux sont multiples:
- la sécurité: la Chine, comme bien d'autres nations, préfère maîtriser les solutions technologiques qu'elle utilise, et imposer les siennes aux autres. La Chine préfère voir ses flux de données financiers et industriels maîtrisés par elle-même, qu'exposés à la maîtrise des nations étrangères.
- le commerce: quand la Chine devient autonome sur le plan technologique (et qui plus est exporte ses technologies), ce sont autant de marchés potentiels qui échappent aux géants des industries du monde entier
- la politique: la Chine impose ses règles sur la scène internationale, en restreignant l'accès à son marché. Avec le projet AIIB on peut estimer que plus nombreux seront les pays adhérant, plus la Chine devra respecter les normes internationales. Mais on peut aussi considérer que cette initiative n'est qu'un acte de plus, avec les contraintes imposées au secteur bancaire, démontrant non seulement la volonté de la Chine d'affirmer sa puissance comme acteur de la scène internationale, mais aussi de sa capacité à imposer des règles du jeu.




[1] Voir la cartographie des pays adhérant au projet: http://qz.com/372326/all-the-countries-that-are-joining-chinas-alternative-to-the-world-bank/
[2] http://rt.com/business/244589-usa-china-wto-cybersecurity/

Monday, March 23, 2015

Chine – forces de cyberdéfense

La Chine parle de l’existence de ses unités dédiées à la cyberdéfense (les médias anglo-saxons retiennent le vocable « cyberwarfar »). Selon McReynolds[1], chercheur au CSIS (Washington),  la reconnaissance officielle de l’existence de ces unités serait contenue dans la dernière version de « The Science of Military Strategy » (décembre 2013). On y apprendrait que les forces de cyberdéfense sont de trois types :
- les forces militaires spéciales de guerre sur les réseaux (specialized military network warfare forces) qui sont des unités militaires opérationnelles 
- des équipes de spécialistes du monde civil (le ministère de la sécurité publique, le ministère de la sécurité d’Etat…) autorisées par l’armée à mener des opérations de cyberdéfense ;
- et des entités extérieures au gouvernement, qui peuvent être mobilisées, organisées pour de telles opérations.
Toujours du point de vue de McReynolds, cette reconnaissance officielle :
- vient conforter les Etats-Unis et nombre d’autres nations qui ont depuis plusieurs années mené des enquêtes sur les cyberattaques et concluant souvent à l’implication des acteurs étatiques chinois.
- vient mettre un terme à des années de déni de la part de la Chine, qui a toujours jusque-là refusé de reconnaître à la fois l’existence de structures de type cybercommandement ou le soutien des forces armées dans de quelconques cyberattaques, notamment à des fins d’espionnage industriel.
- Nécessite de repenser les coopérations engagées par la Chine en matière de lutte contre la cybercriminalité (on apprend au passage que la Chine aurait collaboré avec près de 50 pays dans le cadre d’enquêtes sur des milliers de cas de cybercriminalité au cours des 10 dernières années ; et conclu une trentaine d’accords bilatéraux, dont des accords avec les Etats-Unis et le Royaume-Uni). On ne saurait en effet, selon lui, faire confiance à des institutions étatiques chinoises qui d’un côté prétendent lutter contre la cybercriminalité, mais de l’autre soutiennent des opérations de hacking contre les intérêts des Etats avec lesquels elles coopèrent…
Cette analyse appelle des commentaires. La « révélation » de l’existence d’unités de cyberdéfense chinoises n’est pas véritablement un scoop.  Les Etats modernes se dotent de capacités cyber, et la Chine a fait du cyberespace, on le sait depuis longtemps, l’un de ses domaines stratégiques. Que cela soit écrit dans un document officiel est certes important. Mais reconnaître l’existence de structures de cyberdéfense n’est pas l’aveu des cyberattaques qu’on leur attribue.
De l’organisation décrite, il ressort que se multiplient, comme ailleurs, les acteurs de la cyberdéfense. Et même si le tout peut paraître parfaitement hiérarchisé, des tensions au sein même des institutions étatiques pourraient gripper la machine. McReynolds évoque ce risque lorsqu’il affirme que des signes de tensions sont apparus, pour savoir qui de l’armée ou des institutions sécuritaires civiles doit assurer le leadership sur les cyber-opérations.




[1] http://www.thedailybeast.com/articles/2015/03/18/china-reveals-its-cyber-war-secrets.html

Monday, March 16, 2015

USA - emails et sécurité, suite

Dans un post récent nous commentions les récents déboires d'Hillary Clinton, à qui l'on reprochait d'avoir utilisé ses boîtes e-mail personnelles en lieu et place d'un service conforme, fourni par son Département, sécurisé. Comme nous le pressentions, il était probable que des pratiques similaires seraient rapidement reprochées à d'autres responsables. C'est aujourd'hui au tour de Jeb Bush de se voir accusé d'usage de son adresse e-mail privée pour discuter d'affaires officielles, notamment liées à la sécurité nationale, alors qu'il était gouverneur de Floride. Jeb Bush est l'un de ceux qui s'étaient montrés les plus critiques envers Hillary Clinton il y a de cela quelques jours seulement...

Les réseaux (systèmes de mail) non-classifiés du Département d'Etat ont été fermés ces derniers jours (information datant du 13 mars) suite à une cyberattaque jugée très sérieuse, émanant, semblerait-il, de Russie.  Une attaque similaire aurait été subie en novembre 2014 pa rle même Département. 

Thursday, March 5, 2015

USA - Stratégie et lois pour le renseignement

James R. Clapper, directeur du renseignement national (Director of National Intelligence - DNI), a rendu public en septembre 2014[1] le rapport intitulé « The National Intelligence Strategy of the United States of America. 2014 »[2].

Le « cyber » y est bien sûr omniprésent :
  • Le cyber-renseignement est l’une des missions centrales du renseignement (avec le contre-terrorisme, la contre-prolifération…)
  • L’objectif du cyber-renseignement est de fournir du renseignement sur les cyber-menaces (p.6)
  • Le cyber-renseignement est « la collecte, le traitement, l’analyse et la diffusion d’information de toutes les sources de renseignement sur les cyber programmes d’acteurs étrangers, leurs intentions, leurs capacités, leurs activités de recherche et développement, leurs tactiques, leurs activités opérationnelles et indicateurs ; leur impact ou effets potentiels sur la sécurité nationale, les systèmes d’information l’infrastructure, les données ; la caractérisation des réseaux, ou une analyse des composantes, structures, usages et vulnérabilités des systèmes d’information étrangers » (p.8)

En 2014, deux lois ont été votées aux Etats-Unis, sur le renseignement :
  • L’Intelligence Authorization Act (IAA) FY 2014 (P.L. 113-126), votée en juillet 2014[3]
  • L’IAA (FY2015), P.L. 113-293, votée en décembre 2014[4].

Du texte voté en juillet 2014, nous retiendrons le Titre VI, sur les donneurs d’alerte et notamment la section 601, qui prévoit d’accorder une protection aux donneurs d’alerte dans la communauté du renseignement (question déjà prise en compte dans le Whistleblower Protection Act – ICWPA[5]) de 1998)[6]. Celle-ci prévoit qu’aucune sanction, forme de représailles ne peut être prise à l’encontre d’un employé qui aura signalé, dans le respect du cadre réglementaire, une information au DNI (Director of National Intelligence), ou à l’inspecteur général de la communauté du renseignement (Inspector General of the Intelligence Community). Le texte énumère la liste des personnes autorisées à recevoir les alertes. Pour autant, ces assurances accordées aux lanceurs d’alertes empêcheront-elles que de nouveaux individus ne volent des informations classifiées ?  

Du texte voté en décembre 2014 nous retiendrons la section 309, sur la conservation des données de citoyens américains, acquises dans la cadre d’enquêtes menées auprès de personnes étrangères. Le texte prévoit que les données des communications interceptées ne pourront pas être conservées plus de 5 ans, sauf dans certains cas :
  • si la communication constitue un acte d’espionnage, ou si elle est nécessaire pour comprendre ou évaluer le renseignement étranger ;
  • si la communication est un élément de preuve de crime ;
  • si la communication est chiffrée ;
  • si on peut raisonnablement penser que l’information a un sens secret ;
  • s’il y a de bonnes raisons d’estimer que toutes les parties de la communication sont non-américaines ; 
  • si la conservation est nécessaire à la protection contre des menaces imminentes 

La section 312 de cette loi traite de la coopération avec l’Ukraine en matière de cybersécurité et lutte contre la cybercriminalité. Elle prévoit d’aider l’Ukraine à développer ses capacités de lutte contre la cybercriminalité, y compris renseignement et justice, et de rapprocher les procédures et outils américains et ukrainiens, notamment pour faciliter l’extradition de cybercriminels ukrainiens vers les Etats-Unis lorsque des citoyens américains en sont victimes.

La dernière section du texte, section 331, demande la publication d’une étude afin d’envisager la formation à la cybersécurité de vétérans et retraités des agences de renseignement américaines.

Une analyse de ces deux textes de loi est proposée par Anne Daugherty Miles, dans un rapport publié par le Congrès en janvier 2015[7].




[1] http://www.dni.gov/index.php/newsroom/reports-and-publications/204-reports-publications-2014/1114-dni-unveils-2014-national-intelligence-strategyDNI%202014
[2] http://www.dni.gov/files/documents/2014_NIS_Publication.pdf
[3] https://www.congress.gov/bill/113th-congress/senate-bill/1681/text
[4] https://www.congress.gov/113/bills/hr4681/BILLS-113hr4681enr.pdf
[5] https://www.law.cornell.edu/topn/intelligence_community_whistleblower_protection_act_of_1998
[6] Ce texte définit la procédure que doivent suivre les employés de la DIA, NGA, NRO et NSA pour rapporter des faits qu’ils jugent importants, au comité du renseignement du Congrès. Cette loi a été complétée par la Presidential Policy Directive 19 (PPD-19) de B. Obama en 2012.
[7] Anne Daugherty Miles, Intelligence Authorization Legislation for FY2014 and FY2015 : Provisions, Status, Intelligence Community Framework, Congressional Research Service, January 14, 2015, http://fas.org/sgp/crs/intel/R43793.pdf

Wednesday, March 4, 2015

Hillary Clinton, ses e-mails, la cybersécurité

La maîtrise des données est un art difficile. Les Etats-Unis nous en apportent de nouveau l’exemple.
Dans les prochains jours devrait être connu le sort du général David Petraeus - figure emblématique de l’armée américaine aujourd’hui partie faire carrière dans le secteur privé -  accusé de divulgation de documents classifiés alors qu’il était à la tête de la CIA.

L’information qui retient notre attention a été rendue publique dans l’article publié le 2 janvier 2015 par le New York Times[1]. Hillary Clinton, durant son mandat à la tête du Département d’Etat (de 2009 à 2013), aurait utilisé son adresse e-mail personnelle (ou même plusieurs adresses)[2] pour ses correspondances professionnelles (comprenant donc des échanges avec les membres du Département, les corps diplomatiques, des gouvernements étrangers, des industriels, etc.) Pas moins de 55000 pages de courriers électroniques seraient concernées.

Cette affaire soulève plusieurs problématiques et les griefs sont nombreux, à l’encontre d’Hillary Clinton mais pas seulement :

  • La fonction exercée impose confidentialité, secret et sécurisation des échanges. L’usage de mails personnels fait peu de cas de ces contraintes.
  • La cybersécurité est la priorité numéro un du gouvernement Obama, une véritable obsession cyber-sécuritaire pourrait-on dire. Hillary Clinton s’est d’ailleurs elle-même faite porte-parole sur la scène internationale de ces discours à la fois alarmistes et de nécessaire défense des intérêts de la société américaine face aux risques cyber. Ses actes ne sont donc pas en phase avec ses pratiques.
  • Il est essentiellement reproché à Hillary Clinton, pour l’heure, d’avoir par cette pratique contourné la loi fédérale sur l’archivage des données, qui contraint les membres du gouvernement à reverser la totalité de leurs mails dans un but de transparence.
  • L’usage d’adresses e-mail personnelles n’est semble-t-il pas un cas isolé au sein de l’administration américaine. Le secrétaire d’Etat Colin L. Powell (2001-2005) en aurait fait de même. Mais cet usage serait généralement occasionnel. L’article du New York Times assure que la pratique serait acceptée, dans des cas exceptionnels (pannes des systèmes gouvernementaux  par exemple). Ce qui choque dans le cas Clinton, c’est l’usage exclusif du mail personnel.
  • Jamais un compte officiel du gouvernement ne lui aurait été attribué. Il est probable que dans cette affaire des responsabilités devront être recherchées, au-delà d’H. Clinton.  Personne, aucun responsable, n’aura été alerté par la situation ?
  • Les courriers électroniques de la Secrétaire d’Etat ont-ils été interceptés, piratés ? Par qui ? En 2013 des contenus de mails ont circulé sur le net, piratés par un hacker nommé Guccifer[3], se rapportant à des échanges entre un conseiller d’Hillary Clinton et cette dernière.
  • Le comité de la Chambre des Représentants qui mène une enquête sur l’attaque du consulat américain à Benghazi, a récemment obtenu copie de plusieurs centaines de mails d’Hillary Clinton. Mais très probablement beaucoup de pièces manquent encore au dossier. Le comité est déterminé à faire pression pour que l’ex-secrétaire d’Etat fournisse la totalité de ses e-mails. La question est : comment l’y contraindre ?

Le respect des règles applicables à la gestion du secret, de la transparence et de la sécurité de l’information, des données, des communications, n’est généralement pas sans poser de problèmes. Mais dans ce cas précis il sera difficile à Hillary Clinton de plaider l’ignorance des normes ou la négligence. Un problème en cachant souvent bien d’autres, il serait étonnant que d’autres cas similaires ne soient révélés très prochainement. «Nous avons de nombreux outils que nous n’utilisons pas aussi bien que nous le devrions », déclarait Hillary Clinton en 2013, en référence aux médias mis au service de la cyber-diplomatie américaine.

Cet article est repris sur: 45°nord.ca ; GlobalSecurityMag ; Enjeux.org ; Cyber Risques ; European Security and Defence



[1] http://www.nytimes.com/2015/03/03/us/politics/hillary-clintons-use-of-private-email-at-state-department-raises-flags.html?_r=0
[2] http://www.theblaze.com/stories/2015/03/03/trey-gowdy-says-hes-going-after-hillary-clintons-personal-emails-on-benghazi/
[3] http://rt.com/usa/complete-emails-guccifer-clinton-554/