Total Pageviews

Friday, February 27, 2015

La NSA et ses défis

Pour lutter contre le terrorisme, la NSA estime ne pouvoir faire autrement que d’accéder à l’ensemble des communications. De leur côté les défenseurs des libertés individuelles affirment que la sécurité nationale ne peut pas tout légitimer, et surtout pas les atteintes à la vie privée, aux données personnelles, et autoriser la surveillance de tout un chacun sans que ne soient établies des limites strictement respectées. Dialogue de sourd entre les deux camps. Les choix d’industriels  (Apple, Google) désireux de proposer des outils de cryptage (pour smartphones, tablettes), supposés assurer aux utilisateurs une totale confidentialité de leurs échanges, auront suscité de multiples réactions. Parmi lesquelles celles de la NSA, qui par la voix de son patron, l’Amiral Michael Rogers, a exprimé sa position[1] : il faut que la NSA puisse accéder, lorsque cela est nécessaire, aux communications et impérativement à celles des mobiles cryptés. Sa position rejoint celle du directeur du FBI, James Comey[2].

Michael Rogers demande que les moyens pour remplir sa mission lui soient accordés. L’accès aux communications cryptées fait partie de ces moyens. Il faut pour cela que soit défini un cadre juridique précis, auquel la NSA se conformera, comme elle l’a toujours fait jusqu’alors, affirme-t-il : "We fully comply with the law … We do that foreign intelligence mission operating within (a legal) framework"[3].

Si le directeur de la NSA a, à de multiples reprises, exprimé publiquement son attachement au respect du cadre juridique qui contraint son action, rappelons toutefois que ce rapport à la loi ne va pas de soi. Le Président B. Obama lors d’un entretien accordé à BC's Fusion network[4] en octobre 2013 réaffirmait la nécessité de contrôler davantage l’action de l’agence : "We give them policy direction," Obama said. "But what we've seen over the last several years is their capacities continue to develop and expand, and that's why I'm initiating now a review to make sure that what they're able to do, doesn't necessarily mean what they should be doing."

Au travers des multiples débats impliquant l’agence de renseignement, plusieurs questions doivent être analysées (mais il y en a d’autres…) :
  • Le rapport de la NSA au droit (quel cadre, quel respect, quel contrôle de la conformité, quel respect des valeurs…)
  • Le rapport de la NSA au pouvoir politique
  • Le rapport de la NSA à l’industrie
  • La résolution du dilemme qui semble opposer sécurité et droits fondamentaux. Y a-t-il un équilibre optimum ? Toute concession en faveur des droits fondamentaux se traduit-elle nécessairement par une réduction de la sécurité ? 
  • La perception qu’ont les citoyens (entreprises, élus, pouvoir politique, etc.) du renseignement et dont dépendent, d’une certaine manière, les capacités d’action des agences.


[1] http://securityaffairs.co/wordpress/34071/intelligence/nsa-director-rogers-legal-framework.html
[2] http://www.presstv.ir/Detail/2015/02/24/398934/NSA-defends-access-to-encrypted-devices
[3] http://www.globalpost.com/dispatch/news/afp/150223/nsa-chief-seeks-compromise-encrypted-phone-snooping
[4] http://www.reuters.com/article/2013/10/28/us-usa-security-idUSBRE99Q07E20131028

Thursday, February 26, 2015

Etats-Unis - National Security Strategy - février 2015

La Maison Blanche a publié en février 2015 sa nouvelle stratégie de sécurité nationale (National Security Strategy. The White House. February 2015)

Les Etats-Unis mettent en avant dans ce document leur puissance, celle qui sait surmonter toutes les difficultés, celle qui a par exemple stoppé la crise financière internationale la plus grave depuis la grande dépression (1929) et qui depuis 6 ans a renoué avec la croissance.

Dans ses lignes dédiées à la cybersécurité, le document rappelle que :
  • La menace de cyberattaques majeures ne cesse de croître. La cybersécurité est au rang des défis les plus sérieux pour la sécurité nationale.
  • La cybersécurité est l’un des enjeux pour lesquels les Etats-Unis se doivent d’exercer un leadership. La communauté internationale sera capable de traiter ces risques (cybernétiques et autres) uniquement si les grandes puissances s’impliquent. L’Amérique assume par exemple son leadership mondial en définissant des standards de cybersécurité applicables à tous (« We are shaping global standards for cybersecurity ») et des capacités internationales pour contrer les cybermenaces. Les Etats-Unis étant le berceau de l’internet, les Etats-Unis ont une responsabilité particulière (p.12) pour diriger, guider, orienter (« lead ») un monde en réseau.  Les Etats-Unis aideront d’autres nations à créer leur cadre juridique (« we will assist other countries to develop laws »).
  • Pour affirmer sa détermination l’Amérique poursuit la construction de sa cybersécurité, notamment en renforçant la sécurité et résilience de ses infrastructures critiques, mais aussi en poursuivant les auteurs des cyberattaques et en les sanctionnant, en leur faisant payer le prix (« impose costs on malicious cyber actors »), y compris (et donc pas seulement ?) en les portant devant des tribunaux (« including through prosecution of illegal cyber activity »). La Chine est spécifiquement visée (p.24) par ces mesures et cette détermination à protéger les intérêts américains contre les atteintes émanant de l’étranger. 

Les faiblesses de l’armée chinoise

La RAND Corporation vient de publier un long rapport (184 pages) portant sur les faiblesses de l’armée chinoise (China’s incomplete military transformation. Assessing the weaknesses of the People’s Liberation Army. Février 2015).
La « faiblesse » militaire (military weakness) y est définie (p.2) comme l’impossibilité totale de remplir une mission ; le risque élevé d’échec d’une mission ; toute inefficacité susceptible de dégrader les résultats attendus d’une mission.  
Le rapport propose tout d’abord un regard sur le processus de modernisation engagé dans les années 1990 et programmé jusqu’en 2025 ; puis s’intéresse aux missions de l’armée ; se focalise sur les faiblesses organisationnelles, en termes de ressources humaines, en termes de capacités de combat ; et enfin s'intéresse aux faiblesses de son industrie de défense.

Il est question du cyberespace (p.114-119) dans le chapitre consacré aux faiblesses capacitaires. Les domaines y sont traités un à un (terre, mer, air, nucléaire, espace, cyber et électromagnétique). La Chine a lancé ces dernières années de nombreux satellites, renforçant ainsi ses capacités ISR, navigation, positionnement, communications. Pour protéger ces capacités satellitaires, la Chne déploie aussi des moyens de défense spécifiques. L’armée développe également d’importants moyens de guerre électronique (radio, radar, infrarouge, optique, informatique, systèmes de communication). Les capacités cyber pour le combat sont au cœur de cette politique de développement capacitaire (collecte d’information,  perturber l’action de l’adversaire, multiplicateur de force). Mais si le développement des capacités offensives semble suivre une courbe ascendante, il n’en va pas de même des capacités de protection des intérêts chinois dans les domaines spatiaux et électro-magnétiques, qui resteraient relativement vulnérables. Les études chinoises s’inquiètent de la dépendance croissante aux systèmes spatiaux (satellites) et retiennent que dans ce domaine l’offensive prime sur la défense. Les questions cyber sont englobées dans les considérations sur l’usage du spectre électromagnétique : la Chine se définit dans ce domaine comme vulnérable. Les faiblesses ne procèdent pas seulement des obstacles techniques, technologiques, qu’il faut surmonter pour mettre en œuvre des systèmes C4ISR, mais aussi des procédures (faible coordination entre les agences de renseignement, les opérationnels et les décideurs au plus haut niveau). Soulignons que ces constats, formulés par les auteurs du rapport, s’appuient principalement sur des publications chinoises, ce qui oblige à relativiser l’analyse. Les quelques lignes dédiées au cyberespace restent assez générales dans leur propos, et nous ne voyons là rien de véritablement spécifique aux forces chinoises. Le rapport souligne, pour terminer ce chapitre (p.117), l’absence de considération, par les analystes chinois, de la problématique des effets non intentionnels et des risques d’escalade non maîtrisés. Les analystes chinois auraient tendance à insister sur les avantages, sur les aspects positifs des gains de la guerre de l’information, mais à ignorer ses limites et ses risques. 

Tuesday, February 24, 2015

CIA restructuration cyber

Selon un article qui vient d’être publié par le Washington Post (23 février 2015)[1] la CIA envisage d’étendre ses capacités de cyberespionnage, Le directeur de la CIA, John Brennan, envisagerait le renforcement des capacités de cyberespionnage de l’agence. Cette expansion s’intègre dans un projet plus large de restructuration et de modernisation de l’agence. Le recours au cyber est appelé à devenir plus systématique, pour s’intégrer dans chacune des catégories d’opérations de la CIA (identification, recrutement d’informateurs, confirmer les cibles pour les frappes de drones, etc.) L’un des projets les plus importants évoqués – mais non confirmé - , outre cette systématisation de l’usage du cyber, réside dans la création d’une nouvelle direction cyber, au même niveau que les branches d’analyse ou d’opérations clandestines (l’agence comprend actuellement 4 services[2] qui devraient eux-aussi faire l’objet d’une refonte de leur modèle de fonctionnement et d’organisation).  Ainsi la fonction Humint qui est celle traditionnelle de la CIA, ne peut-elle s’exercer sans maîtrise du cyberespace. Il y a nécessairement dans cette stratégie une volonté de réaffirmation des positions vis-à-vis de la NSA (ne serait-ce que pour solliciter l'octroi de crédits plus importants). La dernière grande réforme structurelle de l’agence remonte à la période post-11 septembre 2001. Les tensions, résistances à cette restructuration se font sentir : le directeur des opérations clandestines a démissionné récemment.
Les capacités cyber de la CIA se trouvent au sein de : 
  • L’Information Operations Center (IOC)[3] (qui serait le second centre le plus important en taille, juste derrière le centre dédié au contre-terrorisme) ayant succédé au Clandestine Information Technology Office créé en 1996[4])
  • L’Open Source Center – OSC (renseignement sur sources ouvertes) que l’agence supervise (unité de renseignement créée en 2005). 


[1] http://www.washingtonpost.com/world/national-security/cia-looks-to-expand-its-cyber-espionage-capabilities/2015/02/23/a028e80c-b94d-11e4-9423-f3d0a1ec335c_story.html
[2] https://www.cia.gov/about-cia/todays-cia
[3] https://www.cia.gov/offices-of-cia/intelligence-analysis/organization-1/ioc-ag.html
[4] http://intellworld.blogspot.fr/2009/06/linformation-operations-center-de-la.html

Thursday, February 19, 2015

Lenovo en accusation

Lenovo est accusé par plusieurs chercheurs d'ajouter des adware dans ses ordinateurs, compromettant la sécurité des connexions https des utilisateurs. 

Plusieurs articles à ce sujet: 

Lenovo rejette ces accusations... puis reconnaît l'existence d'un adware (Superfish) et fournissant même alors les moyens pour l'effacer. Microsoft de son côté a rapidement mis à jour Windows Defender pour éliminer Superfish des machines infectées. 

Rappelons par la même occasion les débats de ces derniers mois qui ont concerné Lenovo et les enjeux de sécurité: 

- Les interrogations, en France, portant sur d'éventuels marchés avec IBM (juin 2014)
- 2006: déjà des interrogations au sujet du risque de back-doors dans les machines Lenovo aux Etats-Unis (lorsque le Département d'Etat américain envisageait de s'équiper d'ordinateurs Lenovo pour équiper ses ambassades...)

De son côté la Chine bannit aussi des produits américains de son territoire pour des raisons de sécurité: récemment Windows 8

Tuesday, February 17, 2015

Equation group malware and their attacks

Lire le rapport de Kaspersky sur l'Equation Group. Des malwares créés au début des années 2000, et parfois dans les années 1990, ancêtres pour certains de Stuxnet et de Flame, sont encore actifs à ce jour.
A lire à ce sujet:
- The Equation Group shows most complex and sophisticated hacking techniques ever seen
- Suite of sophisticated Nation-State attack tools found with connection to Stuxnet
- Fanny, diques durs espions...: Kaspersky déterre les vieux jouets de la NSA

Thursday, February 12, 2015

Flame - une coopération NSA-GCHQ?

Selon de nouveaux documents publiés par The Interceipt, Flame pourrait être le fruit d'une coopération NSA-GCHQ. La question est en tout cas posée. Comme celle d'un partenariat plus élargi, à trois (USA-UK-Israël) dans la mise en oeuvre de cyberattaques contre l'Iran. Voir sur ces points l'article publié par Kim Zetter sur le site Wired. 

Wednesday, February 11, 2015

Pieter Omtzigt, rapport sur la surveillance de masse

Vous trouverez ici le rapport (version provisoire) de Pieter Omtzigt (Pays-Bas) sur la surveillance de masse, qui en dénonce à la fois la dangerosité et l'inefficacité. 

Monday, February 9, 2015

Conférence Madrid - La ciberguerra

Le 5 février 2015 s'est tenue à Madrid; au sein de l'Instituto Cervantes, une conférence de presse, organisée par La Vanguardia[1], à l'occasion de la sortie de son Dossier spécial sur la cyberguerre (numéro janvier-mars 2015)[2]. Deux intervenants se sont partagés le temps de parole: moi-même, au titre de la Chaire de Cybersécurité, et Mr. José Manuel García-Margallo, Ministre des Affaires Etrangères espagnol. La manifestation s'est déroulée en présence de Mr. Jorge Fernández Díaz, Ministre de l'Intérieur espagnol, les responsables de plusieurs ministères espagnols, des industriels des télécoms, et une large assemblée de diplomates (ambassadeurs et membres des corps diplomatiques de nombreuses ambassades présentes en Espagne). Ma présentation, à la demande des organisateurs, s'est focalisée sur les définitions des enjeux et de quelques concepts centraux (cyberespace, cyberguerre, cyberattaques) et la différenciation entre cyberguerre, actes de guerre, cybercriminalité. J'ai également insisté sur l'insuffisante prise de conscience des problématiques de cybersécurité/cyberdéfense par la classe politique en général, les laissant actuellement entre les mains quasi exclusives des acteurs de la défense et de la sécurité (armée, police, renseignement). Trop rares sont encore en effet les échanges sur la cybersécurité, me semble-t-il, qui s'inscrivent dans les débats politiques plus généraux. Le Ministre Garcia-Margallo a pour sa part souligné l'importance des cyberattaques que subit chaque jour davantage l'Espagne. Les grandes lignes de sa présentation furent les suivantes[3]:
- les cyberattaques touchent tous les secteurs: organismes publics, institutions de l'administration publique, entreprises, citoyens
- la cyberdéfense fait partie des enjeux majeurs de la stratégie de sécurité nationale  
- depuis décembre 2013 l'Espagne dispose d'une stratégie nationale de cybersécurité et d'un Conseil national de la cybersécurité.
- il faut assurer la cybersécurité, mais ne jamais oublier que le cyberespace doit être et rester un espace de liberté. La tentation de contrôler le cyberespace, en limiter les usages, pour assurer la sécurité nationale est légitime, mais peut nous entraîner à commettre des erreurs fatales pour le progrès de l'homme.
- avec 70 000 cyberattaques recensées au cours de l'année passée, l'Espagne est le troisième pays le plus attaqué au monde, après les Etats-Unis et le Royaume-Uni.

Le temps ne nous fut pas accordé pour formuler des questions. Il eut pourtant été intéressant de demander des explications sur cette dernière affirmation (comment est produit ce chiffre; comment expliquerait-on cette focalisation des cyberattaques contre l'Espagne, etc.)

Copyright: La Vanguardia. 5 février 2015. Madrid. Daniel Ventre et Mr. José Manuel García-Margallo, Ministre des Affaires Etrangères espagnol. 



[1] http://www.lavanguardia.com/politica/20150205/54426895863/eeuu-reino-unido-y-espana-los-paises-que-mas-ataques-ciberneticos-reciben.html
[2] http://www.lavanguardia.com/internacional/20141211/54421704765/la-ciberguerra-vanguardia-dossier.html
[3] http://www.deia.com/2015/02/06/ocio-y-cultura/internet/espana-entre-los-paises-que-mas-ataques-ciberneticos-reciben

Décision de l'Investigatory Powers Tribunal - NSA - GCHQ

Décision de l'Investigatory Powers Tribunal  - NSA - GCHQ

Donnant suite à une série de plaintes déposées par des groupes de défense des libertés et des droits de l’homme, consécutivement aux révélations Snowden, l’Investigatory Powers Tribunal britannique (créé en 2000) vient de juger[1] illégaux les échanges de données entre la NSA et le GCHQ.. Il est reproché au GCHQ d’avoir obtenu des informations sur les citoyens britanniques auprès de la NSA (contournant ainsi les normes juridiques protectrices des individus), laquelle collecte les données de millions d’individus de par le monde via ses projets PRISM et Upstream. Cet usage de données de la NSA est jugé illégal car contraire à la convention européenne des droits de l’homme[2]. La démarche aurait contraint les agences de renseignement à expliquer les mesures prises en matière de sécurité et usages des données. Amnesty International se félicite[3] en tous cas de cette victoire sur les agences de renseignement, et leurs pratiques de surveillance que les enjeux de sécurité nationale ne sauraient toujours légitimer. Mais le jugement va-t-il véritablement modifier la nature des échanges entre les agences britanniques et américaines ? Va-t-il clarifier les pratiques, permettre de les encadrer ? Rend-il désormais les échanges entre agences britanniques et américaines plus légaux pour autant ? Le jugement change-t-il quelque chose, fondamentalement ?

Interview La Vanguardia

Entretien accordé au journal La Vanguardia le 4 février 2015.
Version en espagnol
Version en catalan
Version française