Total Pageviews

Sunday, February 26, 2017

Conference - The Politics of Algorithmic Modelling

Conference - "The Politics of Algorithmic Modelling", Université Libre de Bruxelles, 30-31 mars 2017. This conference concludes a four year research project funded by the FNRS. 

The Black Report

"The Blach Report. Decoding the minds of hackers", Chris Pogue (Ed.), 52 pages, 2017. 

Trajectoires comparées des nanotechnologies et de l’impression 3D

"Trajectoires comparées des nanotechnologieset de l’impression 3D", Volny Fages, Stéphanie Lacour et Sacha Loeve, Cahiers Droit, Sciences & Technologies, juin 2016, mis en ligne le 20 février 2017, 19 pages. 

How are mobile phone users spied on in Birmingham?

"How are mobile phone users spied on in Birmingham?", short document published by OpenRightsGroup. February 2017, 24 pages. 

Cybersecurity Whistleblower Protections

"CybersecurityWhistleblower Protections", by  Alexis Ronickher, Katz, Marshall & Banks, LLP, February 2017, 25 pages

Thursday, February 23, 2017

International Cyber Norms Dialogue as an Exercise of Normative Power

International Cyber Norms Dialogue as an Exercise of Normative Power, by Eneken Tikk-Ringas, February 2017, 14 pages, to be published in Georgetown Journal of International Affairs (2017). 

Wednesday, February 22, 2017

Iranian Concepts of Warfare - J. Matthew McInnis

"Iranian Concepts of Warfare" par J. Matthew McInnis (février 2017, 32 pages) est une analyse de l'évolution des concepts de la défense iranienne, au rang desquels nous retrouvons bien sûr des considérations relatives au cyberespace. Les capacités cyber sont mises au service de la défense du régime, de la défense du territoire, de la dissuasion (demonstrative and retaliatory deterrence) ainsi que de la guerre non conventionnelle (exporter la révolution et l'influence iranienne) mais aussi d'actions coercitives. Le cyber se déploie ainsi sur toute la gamme de ses utilisations possibles dans les champs offensifs et défensifs. 

Effets de la loi sur la cybersécurité

Quels peuvent être les effets de la loi sur la prise en compte de la cybersécurité? C'est la question que traite le court article de Merryn Quayle et William Hanna, intitulé "Data breach notification laws reinforce emphasis on cyber security strategies" (17 février 2017), en s'intéressant au cas de l'Australie qui vient d'amender le Privacy Act de 1988 pour y inclure une obligation de déclaration d'incidents (vols de données) applicable à toutes les entreprises du pays ayant un chiffre d'affaire de plus de 3 millions de dollars. Avec cette loi les autorités espèrent tout d'abord recevoir davantage de notifications et ainsi avoir une vision plus précise de la situation, mais aussi susciter une prise de conscience au niveau de la gouvernance des entreprises en matière de cybersécurité. 

Tuesday, February 21, 2017

The War in Cyberspace - Michael McCaul

"The war in cyberspace. Why we are losing - and how to fight back". RSA Conference 2017, Moscone Center, San Francisco. Transcription de l'intervention de Michael McCaul lors de la dernière conférence RSA. Le discours repose sur un constat: les Etats-Unis sont en train de perdre la partie sur le terrain cyber, face aux assauts d'adversaires tels que la Russie ou la Chine. Cette formulation reprend l'un des thèmes de campagne de Donald Trump (les Etats-Unis se sont affaiblis et ne sont pas la première cyber puissance du monde). Les solutions que proposent McCaul empruntent aux recettes connues des stratégies de cybersécurité: travailler avec le secteur privé et avec les alliés. 

Evolution de la criminalité économique et financière - PWC Luxembourg

Un rapport de PwC sur l'évolution de la criminalité économique et financière au Luxembourg souligne la montée en puissance de la cybercriminalité. Si les formes traditionnelles de la criminalité financière demeurent, le cybercrime occupe désormais la première place.  D'autre part, pour lutter contre la criminalité financière, les outils cyber sont fortement mis à contribution: exploitation des données, blockchain, intelligence artificielle, etc. 
"Fight against financial crime", PwC Luxembourg, 15 février 2017, 15 pages

Monday, February 20, 2017

Séminaire ISCC - "La médecine des méga-données"

"La médecine des méga-données: les nouvelles modalités de "l'extériorisation" technique du biologique". Séminaire ISCC, 10 mars 2017, 10h-12h. La recherche biomédicale passe aujourd’hui par la collecte de données massives et par le traitement de ces données au moyen des biostatistiques et de la bioinformatique en vue de leur conférer une signification biologique et/ou médicale. ... (suite)

National Cyber Security Centre - UK

Le NCSC - NationalCyber Security Centre (UK) a été inauguré le 14 février 2017. Un document de présentation de ce nouveau centre a été publié par les autorités britanniques. 

Friday, February 17, 2017

Séminaire ISCC - Penser une culture du risque : l’approche des cindyniques

L'ISCC organise le séminaire "Penser une culture du risque : l’approche des cindyniques" qui se tiendra dans ses locaux le 28 février 2017.Sans doute des enseignements à tirer, qui viendront alimenter nos réflexions sur la cybersécurité. Informations, inscription. 

Histoires de l'Internet et du Web - Valérie Schafer & Alexandre Serres

L'ouvrage "Histoires de l'Internet et du Web" de Valérie Schafer et Alexandre Serres (2017) est disponible en ligne, en intégralité, sur le site Living Books About History. 

Finland - Government's Defence Report - 16 February 2017

Le nouveau rapport sur la défense publié par le gouvernement finlandais[1] de 16 février 2017, indique les orientations du pays en matière de politique de défense, les choix pour le maintien et le développement des capacités. Le rapport prend en compte les changements qui interviennent dans l’environnement opérationnel politique et militaire. Bien sûr, le domaine cyber impose ses nouvelles contraintes à la défense nationale finlandaise. Mais lorsqu’on parcourt le sommaire du rapport, on ne peut que constater l’absence du terme « cyber » dans les divers titres des chapitres et sous-chapitres. Les domaines et axes qui structurent prioritairement le rapport (et la politique) sont la défense terrestre, maritime, aérienne, les capacités interarmées, les capacités stratégiques. Pour retrouver le cyber, il faut plonger dans la lecture des divers chapitres. L’importance du domaine cyber y est  alors bien soulignée, les cyber-opérations permettant de poursuivre des objectifs politiques. Le rapport insiste également sur l’exposition de la société aux menaces cyber, notamment en raison de la dépendance technique vis-à-vis de systèmes d’information qui traversent plusieurs frontières. Les forces de défense doivent intégrer la dimension cyber, en accord avec les orientations définies dans la stratégie nationale de cyber sécurité.
La cyberdéfense y est ainsi définie : elle désigne le secteur de la cybersécurité lié à la défense nationale, comprenant les capacités de renseignement, de surveillance, cyberattaque et cyberdéfense (“The national defence related sector of cyber security which incorporates the capabilities of intelligence, surveillance, cyberattack and cyber defence “).
Les cyberattaques sont d’autre part au rang des diverses méthodes utilisées dans les Psyops, aux côtés de la guerre électronique, ou encore de la destruction physique de cibles.

Malte - tentations de censure de l'internet?

Le gouvernement de Malte souhaite introduire de nouvelles mesures pour réguler les contenus de l'internet (tous les sites devraient être enregistrés auprès de l'Etat, notamment ceux d'information, ouvrant ainsi la porte à un contrôle des contenus plus strict). La Malta Information Technology Law Association (MITLA) s'interroge, s'inquiète et dénonce ces projets qui, notamment au travers du nouveau Media and Defamation Act, 2017, semblent emprunter leurs méthodes aux pays totalitaires et porter un coup à la liberté d'expression. 

Appels à communications - colloques 2017

Le laboratoire Paragraphe (EA 349 - Universités Paris 8 et Cergy-Pontoise) co-organise plusieurs conférences au cours des mois à venir. Les appels à communication sont ouverts. 

Conférence : The new challenges posed by the Internet of Things. Technology, use and ethics
Dates : 18 et 19 Mai 2017
Lieu : ESISA, Fès-Maroc
Site:https://ido2017.sciencesconf.org/
 ---------
Atelier interdisciplinaire sur les systèmes de recommandation / Interdisciplinary Workshop on Recommender Systems
Dates : 22 – 23 Mai 2017
Lieu : CNAM-Paris, France
 ----------
Colloque : 6e colloque sur les Technologies de l'Information et de la Communication en Milieu Urbain.
Dates : 6-8 juin 2017,
Lieu : Chambéry, France
 -----------
Conférence internationale H2PTM'2017 : Le numérique à l'ère des designs (contenus, interactions, espaces, environnements, services, objets, œuvres, programmes...) : de l'hypertexte à l'hyper-expérience
Dates : 18, 19 et 20 octobre 2017
Lieu : Valenciennes, Arenberg Creative Mine, France
Site : http://h2ptm.univ-paris8.fr/

Thursday, February 16, 2017

Gordon Welchman

La chaine Histoire diffuse cette semaine une émission consacrée au mathématicien Gordon Welchman qui fit partie durant la seconde guerre mondiale des équipes de "casseurs de code" à Bletchley Park puis qui migra aux Etats-Unis quelques années plus tard. Le documentaire retrace le parcours de cet homme qui œuvra notamment aux côtés d'Alan Turing et qui fut l'un des pionniers de l'analyse de trafic. 

Michel Houellebecq, "Prise de contrôle sur Numéris"

Dans « Prise de contrôle sur Numéris », Michel Houellebecq met en scène un internaute qui s’attaque au réseau via le Minitel. Courte citation : « Je fais le serment de favoriser autant que possible la génération et la diffusion des informations fausses, et d’empêcher ou de retarder la diffusion des informations vraies. Je prends l’engagement de contribuer à répandre massivement l’utilisation des techniques de brouillage, et de divulguer à quiconque souhaitera en faire usage les principales méthodes de destruction et de piratage des réseaux. En présence du Créateur de l’Univers, des anges, des archanges, des puissances célestes assemblées, je m’engage à participer dans la mesure de mes moyens, à la création de nouveaux virus, d’une nocivité et d’un pouvoir de destruction croissants, et à faciliter la propagation des virus existants ».

Ce texte a 20 ans.


Michel Houellebecq, Rester Vivant, Librio, 1999, pp.31-38. 

Cybersecurity Actions Needed to Strengthen U.S. Capabilities

"Cybersecurity Actions Needed toStrengthen U.S.Capabilities". Testimony Before the Committee on Science, Space, and Technology, Subcommittee on Research and Technology. Statement of Gregory C. Wilshusen, Director, Information Security Issues. GAO. 14 february 2017. 25 pages. 

EUCPN - Preventing Cybercrime in Europe

L'EUCPN (European Crime Prevention Network) a mis en ligne un rapport de 116 pages intitulé "Preventing Cybercrime. Policies & Practices". L'étude propose une lecture comparative des politiques et mesures législatives en matière de prévention du cybercrime au sein de l'Union Européenne. 

Cyber Security Strategy - Jersey

Le gouvernement de Jersey vient de publier sa nouvelle stratégie nationale de cybersécurité. Comme le rappellent les premières lignes du document, Jersey est l'une des places financières majeures de la scène internationale ("Jersey is one of the most stable and successful international financial services centres in the world"). Comme telle, la sécurisation de ses systèmes et infrastructures cyber revêt une importance majeure: "The 2015 Innovation Review, Digital Jersey’s 2016 Opportunity Analysis and also the aforementioned Digital Policy Framework have all highlighted cyber security as a key building block that underpins Jersey’s continued success as a jurisdiction". Les systèmes étatiques enregistrent quotidiennement 500 cyberattaques importantes, les entités non-gouvernementales quelques 4000 par jour en moyenne. Les services financiers subissent environ 3 fois plus d'attaques que les autres secteurs (globalement dans le monde, et non spécifiquement à Jersey). 

Wednesday, February 15, 2017

Questions de cybersécurité

Des parlementaires luxembourgeois interrogent le gouvernement sur les mesures prises ou envisagées par ce dernier afin d'assurer la protection du pays contre les nouvelles menaces cyber qui pèsent contre les démocraties. Ces questions sont évidemment transposables à d'autres environnements que celui du Luxembourg...

Informe Anual de Seguridad Nacional 2016

Le Conseil de sécurité nationale espagnol a approuvé 20 janvier 2017 le rapport annuel 2016 "Informe Anual de Seguridad Nacional" (174 pages). Ce rapport consacre l'un de ses chapitres à la cybersécurité (pp. 54 - 66). On y lit que : 
- l'Espagne a été touchée cette année encore davantage que par le passé par les cyberattaques
- le nombre de cyberattaques est en hausse constante à l'image de ce qui se produit partout dans le monde 
- le nombre d'incidents gérés par le CCN-CERT (Centro Criptologico Nacional) est passé de 193 en 2009 à 21 000 en 2016 (dont 3.6% considérés comme très graves ou critiques)
- le nombre de cas traités par le CERTSI fut de 106 000, dont 441 concernant des incidents subis par les opérateurs d'infrastructures critiques (soit 3.5 fois plus que pour l'année 2015)
Les pages de ce chapitre dédié à la cybersécurité énumèrent les mesures prises par le gouvernement et le secteur privé pour lutter contre l'insécurité cyber, insiste sur l'importance de l'offre de capacités étatiques dans le renforcement de la résilience et sécurité des systèmes du secteur privé, souligne les besoins de l'industrie en compétences de cybersécurité, et rappelle que la cybersécurité est aussi une opportunité économique (un secteur en pleine croissance) qui recrute, forme, ainsi qu'une modalité de renforcement des liens inter-étatiques.  


DHS Report on Grizzly Steppe

Le DHS vient de publier un rapport de 119 pages analysant les menaces qui émanent des acteurs de Grizzly Steppe (APT 28 et APT 29). 

"Cyber Warnings" - Cyber Defense Magazine

"Cyber Warnings" - Cyber Defense Magazine, January 2017, 78 pages. In this issue: cloud security, vlnerability detection, IoT Security, Security operations...

New review - "Cyber, Intelligence, and Security"

Vient de paraître le premier numéro de la nouvelle revue israélienne "Cyber, Intelligence, and Security", produite par l'INSS (Institute for National Security Studies). Au sommaire de ce numéro de janvier 2017: 

* Jointness in Intelligence Organizations: Theory Put into Practice – by Kobi Michael, David Siman-Tov, and Oren Yoeli

* The United States’ Cyber Warfare History: Implications on Modern Cyber Operational Structures and Policymaking – by Omry Haizler

* Lessons Learned from the “Viral Caliphate”: Viral Effect as a New PSYOPS Tool?  - by  Miron Lakomy

* An Intelligence Civil War: “HUMINT’” vs. “TECHINT” – by Matthew Crosston and Frank Valli

* Israeli Cyberspace Regulation: A Conceptual Framework, Inherent Challenges, and Normative Recommendations – by Gabi Siboni and Ido Sivan-Sevilla

* Artificial Intelligence in Cybersecurity – by Nadine Wirkuttis and Hadas Klein


* Pedal to the Metal? The Race to Develop Secure Autonomous Cars – by Andrew Tabas

South Africa - Memorandum on the objects of the cybercrimes and cybersecurity Bill, 2017

South Africa - Memorandum on the objects of the cybercrimes and cybersecurity Bill, 2017, 34 pages. Télécharger le document

Les premières lignes de ce document s'attachent à rappeler une définition des cybercrimes et de la cybersécurité. 

Cybercrimes: "crimes which are committed by means of, or which was facilitated by or which involve data, a computer program, a computer data storage medium or a computer system". 

Cybersécurité: "technologies, measures and practices designed to protect data, computer programs, computer data storage mediums or a computer systems against cybercrime, damage or interference". 

Selon nous, cette approche souffre de deux défauts; la définition du cybercrime y est trop large, et celle de la cybersécurité trop technocentrée. 

Thursday, February 9, 2017

NIAC Cybersecurity Report February 2017

Le NIAC (National Infrastructure Advisory Council) vient de mettre en ligne un document de 47 slides daté du 16 février 2017 (?) traitant de la gestion des cyber-risques pesant sur les infrastructures critiques des Etats-Unis. Télécharger le document sur le site du DHS.  Le document aborde des questions désormais traditionnelles, procédant dans un premier temps par la formulation de constats ou postulats sur la situation sécuritaire (les risques cyber sont importants; il faut prendre des mesures de sécurité de toute urgence; il faut imaginer de nouvelles solutions de sécurité; etc.) puis se poursuit en énumérant les points de faiblesse et les principes qui doivent porter la nouvelle sécurité (partenariat public-privé notamment) On notera ici que si les auteurs du document en appellent à la nécessité de nouvelles solutions et nouvelles approches, celles qu'ils proposent ne sont pas pour autant révolutionnaires. En effet, quoi de plus conventionnel que l'idée d'un nécessaire partenariat public-privé, même s'il convient peut-être d'en redessiner les contours? 

ENISA - Report on cyberthreats 2016

ENISA - Threat Landscape 2016 Report. Download the report. 

Conference on Cybercrime - Nottingham, 13 May 2017

Conference: "The Changing Face of Crime", Nottingham, Saturday 13 May 2017. More information

Wednesday, February 8, 2017

Les entreprises du FTSE et la prise en compte de la cybersécurité

Une nouvelle étude publiée par Deloitte[1] affirme que seules 5% des entreprises du FTSE (voir liste des entreprises)[2] ont intégré un expert en cybersécurité au sein de leurs équipes de direction. Paradoxe car dans le même temps, 87% des entreprises identifieraient les cyberattaques comme l’un des risques majeurs pour leur activité. Un tel décalage (un risque majeur reconnu mais absence de prise en compte) méritera une analyse plus approfondie. L’absence d’experts cybersécurité dans  les hautes sphères du management de l’entreprise signifie-t-elle pour autant que la question ne soit pas traitée ? Si oui par quels échelons au sein de l’entreprise, selon quelle logique, etc.

Tuesday, February 7, 2017

DoD Cybersecurity Discipline Implementation Plan

Le Département de la Défense américain a décidé de rappeler à ses personnels l’importance de l’application des principes basiques de cybersécurité. Leur respect aurait permis d’éviter de nombreux incidents au cours des dernières années. Des enquêtes internes ont semble-t-il révélé de nombreuses lacunes ou failles dans les pratiques qu’il convient de corriger rapidement. Fidèle à ses méthodes de gestion, le Département a donc lancé un nouveau plan (décembre 2016), intitulé « Cybersecurity Discipline Implementation Plan »[1]. Il est structuré autour de 4 types de mesures élémentaires :
-          assurer une authentification forte
-          renforcer les outils (machines bien configurées, mises à jour… notamment pour rendre plus difficile les attaques)
-          réduire la surface d’attaque (réduire le nombre d’opportunités d’attaques en limitant autant que possible toute connexion à l’internet grand public
-          détecter et répondre aux intrusions potentielles (identifier les incidents plus rapidement pour une réponse plus rapide et efficace).

Notons donc tout d’abord que la Défense américaine ne cherche pas à masquer ses vulnérabilités et affirme au contraire haut et fort que ses personnels peuvent être le maillon faible de la cybersécurité : « This analysis revealed systematic shortfalls in the ways in which the Department is taking care of its basic cybersecurity requirements ». On comprend que nombre de personnels ou services (s’ils n’étaient pas nombreux, un plan ne serait sans doute pas nécessaire) ignorent les consignes de sécurité, ne respectent pas les méthodes de connexion sécurisée ; que les logiciels ne sont pas tous mis à jour ; que nombre de services, réseaux, serveurs, sont peut-être encore trop exposés aux vulnérabilités de l’internet grand public… Le plan prévoit des évaluations régulières afin de mesurer les progrès réalisés.

Un hacker attaque 10000 sites du Dark Web

Un hacker aurait réussi à faire tomber quelques 10 000 sites du dark web au cours du week-end dernier. Lors de ce piratage des contenus pédopornographiques ont été découverts et transmis à la justice.   

Wednesday, February 1, 2017

Détection de cyberattaques contre des drones volant en formation

“Distributed Unknown-Input-Observers for Cyber Attack Detection and Isolation in Formation Flying UAVs”, by Lebsework Negash, Sang-Hyeon Kim , and Han-Lim Choi. 23 january 2017, 26 pages. Read the article

Cybersécurité des infrastructures d'énergie électrique américaines

Audition de Gerry W. Cauley, directeur de la NERC (North American Electric Reliability Corporation), qui est en charge de la définition de normes, d'actions de veille et de sensibilisation à destination des acteurs du secteur de l'énergie électrique des Etats-Unis. La réflexion se focalise sur les questions de cybersécurité. 

Testimony of Gerry W. Cauley, President and Chief Executive Officer North American Electric Reliability Corporation Before the Subcommittee on Energy of the House Energy and Commerce Committee, “The Electricity Sector’s Efforts to Respond to Cybersecurity Threats”, February 1, 2017, 12 pages[1].

Colloque "Du discours de haine en ligne au cyber-terrorisme"

La Faculté de Droit et de Science Politique de Montpellier organise le 8 février 2017 un colloque intitulé "Du discours de haine en ligne au cyber-terrorisme. Liberté d'expression vs sécurité: quelles régulations possibles?".  Programme et inscription