A noter la parution de la gazette juridique de l'OTAN qui dédie le numéro 35 de décembre aux questions cyber. NATO Legal Gazette. Issue 35. December 2014. Legal Issues Related to Cyber. Le numéro de 74 pages traite de la manière dont les enjeux cyber et le droit impactent l'OTAN; de la cyberdéfense active et réactive; de la notion d'attaque armée applicable aux cyberattaques; des cyber-affrontements (cyber warfare); de la notion de participation directe aux hostilités.
eConflicts is a blog written by Daniel Ventre, about cyberconflicts, cyberwar, cybersecurity / cyberdefense, information warfare, cybercrime, political science and international relations
Total Pageviews
405831
Friday, December 19, 2014
Thursday, December 18, 2014
Cybersécurité: stratégie britannique
Le gouvernement britannique vient de publier (décembre 2014) un bilan de sa stratégie de cybersécurité: The UK Cyber Security Strategy. Report on Progress and Forward Plans. Le Royaume-Uni avait publié sa première stratégie de cybersécurité il y a de cela 3 ans (25 novembre 2011). Un document synthétique et graphique rappelle sur une page les 4 principaux objectifs de cette stratégie:
- Faire du Royaume-Uni l'un des lieux les plus sûrs de la planète pour le commerce en ligne
- Renforcer la résilience aux cyberattaques
- Contribuer à faire du cyberespace un espace ouvert
- Se doter des capacités nécessaires à la cybersécurité (formation, recherche...)
Au centre de la fiche est inscrit en caractères gras le budget alloué pour la réalisation de cette politique de cybersécurité: 860 millions de £ sur 5 ans.
Le bilan met en exergue les points suivants:
- Les autorités ont communiqué en direction des entreprises pour accroître leur conscience de la menace (cybercriminalité, cyberespionnage) et les encourager à adopter des pratiques de gestion du risque cyber
- Cet effort de communication a visé les grandes entreprises, les PME, mais aussi les universités.
- Création en mars 2013 d'une plate-forme (Cyber Security Information Sharing Partnership - CISP) visant à favoriser l'échange d'information inter-entreprises propos des menaces. sont impliqués dans ces actions le CERT-UK, les unités régionales de lutte contre la criminalité organisée (Regional Organised Crime Units - ROCUs)
- Le gouvernement veut inciter les entreprises à adopter de bonnes pratiques de cybersécurité. Pour cela le GCHQ, BIS et le Cabinet Office ont lancé l'initiative Cyber Essentiels, permettant de certifier les entreprises qui adoptent les bonnes pratiques.
- Le gouvernement et l'industrie de l'assurance travaillent de concert pour développer un marché national de l'assurance contre les risques cyber (cyber insurance).
- Soutien apporté à l'industrie de la cybersécurité, notamment à l'export.
- La National Cyber Crime Unit (NCCU) intégrée à la National Crime Agency (NCA) poursuit son organisation (recrutements de spécialistes cyber) Des succès peuvent être mis à l'actif de la lutte contre a cybercriminalité: l'opération FALCON a permis l'arrestation de 117 individus entre août et octobre 2014.
- Le CERT-Uk a été créé en mars 2014. Il dirige notamment un programme d'exercices pour la protection des infrastructures critiques.
- Le programme Defence Cyber Protection Partnership (DCPP) a été créé pour améliorer la cybersécurité des fournisseurs/sous-traitants de la Défense.
- Normes: le Royaume-Uni contribue au développement de norme de comportements responsables des Etats dans le cyberesapce (pour un cyberespace ouvert, résilient, sûr) via la participation à l'UNGGE (United Nations Group of Governmental Experts), à l'OSCE, ...
- Développement d'actions de formation, programmes de formation à la cybersécurité (à partir de l'âge de 11 ans), concours (challenges)
- création d'une cyber-réserve (militaire) en octobre 2013. A ce jour, toutes les unités cyber de l'armée disposent d'une cyber-réserve.
Monday, December 15, 2014
Hacking - vols de données en Serbie
Ces derniers jours, affaire Sony en tête, les vols de données font la une de l'actualité de la cybersécurité. Dernier incident en date: le piratage de serveurs étatiques serbes, exposant ainsi les données personnelles de la quasi totalité de la population. L'opération, qui aurait été menée par cinq hackers serbes, serait motivée par des raisons politiques (dénoncer les pratiques de la cyber police serbe; démontrer la vulnérabilité des systèmes étatiques). Ce type d'incident a également touché par le passé d'autres Etats: Royaume-Uni, Corée du Sud, etc.
Tuesday, December 9, 2014
Cybersécurité et cyberdéfense : quelles opportunités pour les entreprises ?
Matinale: Cybersécurité et cyberdéfense : quelles opportunités pour les entreprises ?
Jeudi 11 décembre 2014. 8h15 - 10h15. Bruz (DGA M.I)
Parmi les questions qui seront abordées:
- présentation du Pôle d'excellence cyber
- opportunités d'affaires pour les entreprises
- dispositifs d'aides aux PME
- ...
Programme, inscription, information
Jeudi 11 décembre 2014. 8h15 - 10h15. Bruz (DGA M.I)
Parmi les questions qui seront abordées:
- présentation du Pôle d'excellence cyber
- opportunités d'affaires pour les entreprises
- dispositifs d'aides aux PME
- ...
Programme, inscription, information
Security Affairs: vulnérabilités des sites internet étatiques chinois
93% de sites gouvernementaux chinois (sur un ensemble de 1000 sites évalués) seraient vulnérables. Le site Security Affairs reprend cette information, publiée récemment par le China Software Testing Center (Ministère de l'industrie et des technologies de l'information chinois). La situation paraît plus préoccupante aux niveaux locaux et régionaux, que nationaux, où les sites sont encore plus vulnérables (97% le seraient au niveau des gouvernements/institutions locaux). 50% des sites analysés auraient plus de 30 failles de sécurité, et 70 sites plus de 100 failles de sécurité. Ces statistiques ne remettent bien entendu pas en question le discours sur la menace que représentent les cyberopérations chinoises pour le reste de la planète, mais veulent montrer que la Chine est logée à la même enseigne que les autres: tout aussi vulnérable, tout aussi défaillante dans sa sécurité.
Monday, December 8, 2014
Une lecture conservatrice américaine des enjeux sécuritaires et du cyberespace
Jay Sekulow est un juriste
américain, conseiller en chef de l’ACLJ (American Center for Law and Justice)[1]
et de l’ECLJ (European Center for Law and Justice). Il a construit partie de sa
réputation (et de sa fortune) en défendant la cause de groupes religieux aux
Etats-Unis[2].
Jay Sekulow vient de publier un ouvrage
sur la montée en puissance du terrorisme islamiste, s’intéressant tout
particulièrement à l’Etat Islamique et au Hamas[3].
1 - Une lecture des défis du terrorisme
Cet ouvrage est sans la moindre
ambiguïté pro-américain, pro-israélien, anti-Obama, partisan d’un usage plus
libre et radical de la force armée contre le terrorisme islamiste. Le principal
message de l’ouvrage peut être résumé en quelques lignes : le terrorisme
islamiste est une menace planétaire comme le fut le nazisme au 20°
siècle ; face à cette menace destructrice, qui ne connaît d’autre
stratégie que la guerre totale, il n’y a selon lui qu’une seule option :
l’intransigeance et la force militaire. Toute hésitation pourrait être, selon
lui, fatale à la paix dans le monde. Mais, poursuit-il, cette guerre nécessaire
contre le Hamas et l’Etat Islamique (les deux groupes terroristes qui sont au centre de son propos) ne peut être
menée comme elle le devrait : les terroristes peuvent compter sur des alliés un peu partout dans le
monde. Il ne s’agirait pas uniquement des individus répondant à l’appel au
Jihad et rejoignant les théâtres d’opération, mais d’acteurs complaisants au
sein des pays européens, au sein même des Etats-Unis, d’institutions
internationales comme les Nations Unies, et de toute une famille d’acteurs
véhiculant une « pensée de gauche », laquelle mènerait actuellement
une « bataille juridique » (titre de l’un des chapitres du livre),
pour criminaliser non pas les terroristes, mais les forces qui exercent leur
droit de légitime défense (Israël répondant aux attaques terroristes du Hamas).
En criminalisant les forces légitimes (accuser Israël de crime de guerre), et
non les véritables criminels de guerre que sont les terroristes, c’est toute
l’action anti-terroriste qui est compromise. L’ouvrage énumère des arguments et
des faits pour étayer ce propos : il rappelle les attaques du Hamas, son
modus operandi et les horreurs perpétrées par l’EIL, le sort réservé aux victimes, les bilans des
attentats et des assassinats de masse, l’impossible dialogue entre Israël et le
Hamas, entre l’EIL, les chrétiens et les juifs. Il explique pourquoi, s’en référant
au droit international (par des références précises aux textes juridiques),
toutes ces exactions terroristes constituent crimes de guerre. Il explique le
piège dans lequel se trouve l’Etat d’Israël, qui dans un combat pour sa survie
(le Hamas ayant pour objectif la destruction de l’Etat d’Israël) est contraint
de répliquer mais qui, lorsqu’il tue des civils, est qualifié de criminel de
guerre. Comment se peut-il, s’interroge Jay Sekulow, que les véritables
assassins (les terroristes du Hamas et de l’EIL) fassent même figure de héros
pour des millions d’individus dans le monde ? Il explique ensuite
pourquoi, du point de vue du droit international toujours, l’action des forces
qui luttent contre le terrorisme est légitime et ne peut être considérée comme
crime de guerre.
Dans cet ouvrage sur le
terrorisme islamiste, Jay Sekulow fait
relativement peu référence au cyberespace. Il évoque :
- Les vidéos de tortures (exécution de James Foley)
- Youtube et Twitter qui censurent les diffusions des exécutions des otages américains
- L’existence des supports (DVDs, cartes téléphoniques…) sur lesquels on retrouve des images/vidéos des attaques IED contre les américains. Ces supports (dvds, etc.) peuvent contenir des malwares
- L’usage des médias sociaux pour diffuser images, vidéos, messages.
- L’intrusion de messages envoyés par les terroristes dans des contenus qui touchent des masses d’internautes : les images envoyées sur Twitter avec le hashtag #WorldCup, en pleine Coupe du Monde de football.
2 - Des arguments politiques transposés au cyberespace
La lecture que fait Jay Sekulow
de la situation au Moyen-Orient traduit ses idéaux politiques (conservative christian):
il semble constant dans le choix de ses arguments, qu’il applique à divers
objets politiques, notamment de sécurité. La réinterprétation de l’histoire
pour servir ses fins lui est également reprochée par ses détracteurs[4].
De sorte que le véritable objet
de son propos ne semble pas tant le terrorisme lui-même, ni la cybersécurité,
que la mise en valeur de son idéal conservateur. On distinguera dans la
démarche la définition de cibles et d’objectifs :
-
Cibles :
o
le terrorisme ;
o
les complices, les menaces : ceux qui se
montrent trop faibles, trop bienveillants, pas assez fermes contre le
terrorisme (administration Obama c’est-à-dire plus généralement la pensée de « gauche »,
les démocrates américains, les nations unies, l’Europe, etc.), voire perturbent
l’application du droit légitime des victimes à se défendre en cherchant à les
criminaliser plutôt qu’à les soutenir sans retenue)
-
Objectifs :
o
L’enjeu de sécurité/défense : défendre les
intérêts légitimes des victimes ; défense d’Israël (dans la ligne de
pensée des chrétiens conservateurs[5])
o
Défendre les valeurs, les droits fondamentaux
(liberté de culte, etc.)
o
Promouvoir la posture conservatrice (une posture
forte – Jay Sekulow est toutefois opposé à la peine de mort[6]
-, des choix radicaux, rejeter toute éventualité de négociation ou compromis
avec les criminels ; rejeter un dialogue avec les djihadistes dits « modérées » ;
défendre les droits légitimes des victimes et les soutenir sans retenue)
Jay Sekulow utilisa précédemment des
arguments similaires pour traiter des enjeux du cyberespace :
-
Cibles :
o
En mai 2014 il accusait -Obama de vouloir céder
la maîtrise de l’internet à un groupe multinational, puis aux les Nation-Unies,
voire à des régimes répressifs comme la
Russie, la Chine ou l’Iran[7] :
« The success and freedom of the Internet would be in grave jeopardy if
the Obama Administration is allowed to carry through with its plan to turn over
control of the Internet to a ‘multinational’ body ». Il dénonçait donc là
encore la faiblesse des démocrates.
o
Les acteurs qui de l’intérieur minent la
sécurité nationale. Là encore, appel à des solutions radicales, des sanctions
fermes. Ainsi déclarait-il, début 2013, à propos de fuites d’informations de l’administration
Obama : « There must be a "no tolerance" policy when it
comes to leaking confidential information concerning our national security. »[8]
o
La politique d’Obama : pétition contre le
Cyber Security Act (2009)[9]
qui met en péril la liberté d’expression ; dénoncer, anticiper les dérives
possibles, car si le Cybersecurity Act est officiellement légitimé par des
enjeux sécuritaires majeurs, donner les pleins pouvoirs à des dirigeants (un
cercle limité) laisse les portes ouvertes à des contrôles et une censure de l’internet
pour tout autre motif. Jay Sekulow n’hésite pas à comparer la possible
situation américaine à ce qui se passe en Iran[10].
-
Objectifs :
o
Droits fondamentaux, constitutionnels, libertés, sécurité :
§
s’inquiéter de ce qu’il adviendrait de la
liberté de l’Eglise si le net passait entre les mains des islamistes[11].
§
S’inquiéter de ce qu’il adviendrait de la
liberté d’expression si Internet était entièrement entre les mains d’Obama
La pensée de Jay Sekulow s’inscrit
dans la lignée de la posture des conservateurs chrétiens. A titre d’exemple:
- à propos de la lutte contre le terrorisme islamiste : les conservateurs religieux américains appellent à la destruction totale de l’Etat islamique[12]
- à propos de la dénonciation de l’administration Obama : le site « ConservativeChristian Voice » reprend le 20 juillet 2011[13] un article publié sur WND, intitulé « Look who Obama’s hired for cybersecurity team »[14], qui s’en prend à la composition des instances de cybersécurité américaines (Laura Callahan, suspectée de fraude sur ses diplômes universitaires, contrainte de démissionner du DHS en 2004, impliquée dans un scandale de « pertes » de milliers de mails ; mais considérée par certains de ses collègues comme un risque pour la cybersécurité en raison de ses pratiques et de son manque de compétences ; malgré ce passif, elle recouvre un poste au sein du nouvelle créé Cyber
- sur la liberté d’expression : les chrétiens conservateurs soutiennent le projet de loi déposé par Mike Kelly pour la protection de la liberté de l’Internet (Defending Internet Freedom Act 2014)[15]
[1]
http://aclj.org/
[2]
http://jonathanturley.org/2011/09/07/serving-mammon-and-making-millions-jay-sekulow-accused-of-funneling-millions-to-family/
[3] Rise of ISIS. A
threat we can’t ignore. Jay Sekulow, Jordan
Sekulow, Robert W. Ash, David French. Howard Books, New York, 2014, 128 pages.
[4] http://www.huffingtonpost.com/chris-rodda/the-lies-used-by-jay-seku_b_4226678.html
[5] “Many
conservative Christians say they believe that the president’s support for
Israel fulfills a biblical injunction to protect the Jewish state”. David D Kirkpatrick, For Evangelicals, Supporting Israel Is ‘God’s
Foreign Policy’, 13 novembre 2006, The
New York Times,
[http://www.nytimes.com/2006/11/14/washington/14israel.html?pagewanted=all]
[6] Kirsten Powers, Conservative
case against death penalty, 24 juin 2014, USAToday, [http://www.usatoday.com/story/opinion/2014/06/24/kirsten-powers-conservative-death-penalty-column/11328301/]
[7] ACLJ
Calls on Congress to Block Obama Adm. Move to Transfer Internet to
“Multinational” Body & Maintain American Control of the Web, mai 2014, [http://aclj.org/free-speech-2/aclj-calls-on-congress-to-block-obama-adm-move-to-transfer-internet-to-multinational-body-maintain-american-control-of-web]
[8] No tolerance for Obama Leas,
[http://aclj.org/us-constitution/jay-sekulow-no-tolerance-for-obamaleaks]
[9] President Obama to Control
Internet?, 2009, [http://drkentshow.com/wordpress/?tag=cybersecurity-act-of-2009]
[10] Health Care and Cybersecurity
Act, 2011, [http://aclj.org/obamacare/update-health-care-cyber-security-act]
[11] http://www.examiner.com/article/jay-sekulow-obama-gave-control-of-internet-to-un-will-censor-the-church
[12] David Gibson, US must ‘destroy’
Islamic State, say religious conservatives, RNS, 13 août 2014, [http://www.religionnews.com/2014/08/13/us-must-destroy-islamic-state-say-religious-conservatives/]
[13] [http://conservativechristianvoice.blogspot.fr/2011/07/look-who-obamas-hired-for-cybersecurity.html]
[14] [http://www.wnd.com/2011/07/323373/]
[15] [http://maplight.org/us-congress/bill/113-hr-5737/6109661/total-contributions.table]
Friday, December 5, 2014
La cyberdéfense: quel territoire, quel droit?
Didier Danet et Amaël Cattaruzza, La Cyberdéfense - Quel territoire, quel droit ? Economica, 286 pages, novembre 2014.
Le programme de recherche de la
Chaire Cybersécurité & Cyberdéfense
est aujourd’hui structuré autour de six thèmes directeurs :
territorialité dans le cyberespace ; cyberdéfense et ressources
humaines ; stratégies et politiques de cyberdéfense des grandes
nations ; mesure de la cybermenace ; cyberconflictualité et forces
armées ; dimension juridique de la cybersécurité et cyberdéfense. Les
réflexions sont menées au travers de groupes de travail qui se réunissent
régulièrement depuis la création de la Chaire en juillet 2012, ainsi que lors
de colloques nationaux et internationaux organisés par la Chaire ou auxquels
les membres de celle-ci sont amenés à participer.
Cet ouvrage propose les résultats
de travaux menés plus spécifiquement dans deux de ces thèmes :
territorialité dans le cyberespace ; dimension juridique de la
cybersécurité et cyberdéfense. Rappelons également que deux journées d’études
avaient été organisées, l’une à Rennes le 4 juin 2013, l’autre à Paris le 8
octobre 2013, portant respectivement sur les frontières du cyberespace et sur
le droit et l’éthique face aux défis de la cyberconflictualité.
L’ouvrage offre des perspectives
multiples sur ces deux objets, grâce à l’apport de spécialistes de diverses
disciplines, issus des mondes académiques et non académiques, selon une logique
de partage de connaissances à nos yeux indispensable pour traiter d’objets
aussi complexes que ceux liés au cyberespace.
Les frontières du cyberespace
S’interroger sur la frontière
dans le cyberespace c’est essayer de mieux comprendre comment le cyberespace se
structure, fonctionne, comment les acteurs s’y organisent, comment …
Face à ceux qui voient dans le
cyberespace la disparition des frontières, s’opposent les partisans de
l’affirmation nécessaire de ces dernières, voire d’un morcellement de ce nouvel
espace en autant de cyberespaces que d’Etats (on parle alors de balkanisation
du cyberespace). Les réflexions sur les notions de frontière dans le
cyberespace, de territoire et de ses délimitations dans le cyberespace,
s’intègrent dans le cadre plus large des travaux actuels sur la nature et le
rôle de la frontière au 21° siècle, sa nature, sa définition. Peuvent y
contribuer des disciplines telles que la géographie, la géopolitique, la
science politique, le droit, mais encore les études stratégiques ou les
sciences et technologies de l’information, comme le démontre le panel des
intervenants ayant participé au colloque du 4 juin 2013.
La démarche consiste ici à poser
des définitions (Qu’est-ce que le cyberespace ? Qu’est-ce qu’une
frontière ? Que pourrait être une frontière dans le cyberespace ?) et
aborder les enjeux qui sont directement liés à la frontière dans le
cyberespace : les notions de territoire, d’espace, de pouvoir, d’Etat, de
souveraineté sont-elles remises en question dans le cyberespace ? Quel
avenir pour la frontière ? Le cyberespace affaiblit-il les frontières ? Qu’est-ce
qu’un territoire dans le cyberespace ? En crée-t-il de nouvelles ? Peut-il
véritablement y avoir un espace national dans le cyberespace ? Comment
assurer la souveraineté dans cette dimension ? Quels sont les enjeux en
matière de cyberdéfense : comment gérer les menaces, comment sécuriser les
données, les réseaux, assurer la sécurité et la défense nationale ?
Le droit et l’éthique face aux défis de la cyberconflictualité
L’une des phrases de l’article écrit par Didier Danet me semble parfaitement résumer la mission qui peut être assignée à la réflexion éthique-juridique, laquelle doit selon lui « permettre de donner aux acteurs chargés de mettre en œuvre la lutte informatique défensive et offensive un cadre d’action stable et reconnu, compatible avec les inévitables contentieux nés de la juridicisation et de la judiciarisation croissante de l’action des forces armées et de police […] Le Droit doit conduire à préciser ce que les acteurs peuvent ou ne peuvent pas faire afin de doter notre pays des moyens de sa cybersécurité». Les contributeurs s’attachent alors à soulever de nombreuses questions et tenter d’y apporter des réponses : y a-t-il aujourd’hui vide ou trop plein juridique ? Le cyberespace introduit-il de nouvelles questions éthiques ? Le droit des conflits armés est-il applicable en l’état, doit-il être modifié à la marge ou au contraire en profondeur ? Qu’en est-il de l’applicabilité des Conventions de Genève, du DIH (droit international humanitaire), du jus ad bellum, du jus in bello, de la légitime défense, ou encore de la définition du principe de proportionnalité, d’un acte de force, du combattant ? Il est indispensable de clarifier ce que les acteurs peuvent faire ou non, tenter de préciser dans quelles mesures cette forme de violence « cyber » doit ou peut être contenue. Bien évidemment les réflexions doivent envisager deux cadres : national et international, l’un des objectifs devant être la définition de normes internationales partagées. Mais aujourd’hui est-il vraiment dans l’intérêt et la volonté des Etats disposant de capacités cyber-offensives, de définir des règles contraignantes ? En effet, en l’absence d’autorités définissant quelles cyberattaques constituent des actes de force ou des agressions, ces Etats ont toute liberté d’agir, assurés que leurs actes ne pourront pas faire l’objet de sanctions, assurés de pouvoir définir eux-mêmes, à leur convenance, les règles du jeu.
L’une des phrases de l’article écrit par Didier Danet me semble parfaitement résumer la mission qui peut être assignée à la réflexion éthique-juridique, laquelle doit selon lui « permettre de donner aux acteurs chargés de mettre en œuvre la lutte informatique défensive et offensive un cadre d’action stable et reconnu, compatible avec les inévitables contentieux nés de la juridicisation et de la judiciarisation croissante de l’action des forces armées et de police […] Le Droit doit conduire à préciser ce que les acteurs peuvent ou ne peuvent pas faire afin de doter notre pays des moyens de sa cybersécurité». Les contributeurs s’attachent alors à soulever de nombreuses questions et tenter d’y apporter des réponses : y a-t-il aujourd’hui vide ou trop plein juridique ? Le cyberespace introduit-il de nouvelles questions éthiques ? Le droit des conflits armés est-il applicable en l’état, doit-il être modifié à la marge ou au contraire en profondeur ? Qu’en est-il de l’applicabilité des Conventions de Genève, du DIH (droit international humanitaire), du jus ad bellum, du jus in bello, de la légitime défense, ou encore de la définition du principe de proportionnalité, d’un acte de force, du combattant ? Il est indispensable de clarifier ce que les acteurs peuvent faire ou non, tenter de préciser dans quelles mesures cette forme de violence « cyber » doit ou peut être contenue. Bien évidemment les réflexions doivent envisager deux cadres : national et international, l’un des objectifs devant être la définition de normes internationales partagées. Mais aujourd’hui est-il vraiment dans l’intérêt et la volonté des Etats disposant de capacités cyber-offensives, de définir des règles contraignantes ? En effet, en l’absence d’autorités définissant quelles cyberattaques constituent des actes de force ou des agressions, ces Etats ont toute liberté d’agir, assurés que leurs actes ne pourront pas faire l’objet de sanctions, assurés de pouvoir définir eux-mêmes, à leur convenance, les règles du jeu.
Subscribe to:
Posts (Atom)