Total Pageviews

Wednesday, December 3, 2014

Opération Cleaver

Selon l’entreprise de sécurité Cylance[1], des hackers iraniens, liés au gouvernement, auraient mené depuis plusieurs mois des attaques contre des systèmes sensibles (SCADA) dans le monde, visant une dizaine de telles structures aux Etats-Unis. Si l’on s’en réfère à la cartographie des attaques réalisée (reprise sur le site Security Affairs)[2], des attaques auraient visé les infrastructures françaises (secteur de l’énergie). Le champ géographique de ces opérations est d’ailleurs extrêmement large puisqu’il touche Etats-Unis, Europe, Moyen-Orient, Chine (au total 16 pays identifiés). Les secteurs touchés sont multiples : armée, énergie, télécommunications, transport, aéroports, hôpitaux, éducation, industrie de défense, chimie, gouvernements…

Les formules clefs du rapport :
-          L’Iran est la nouvelle Chine (entendre que ses capacités de cyberattaques, sa stratégie, ses objectifs sont résolument agressifs et constituent une menace planétaire ; mais encore relation étroite entre entreprises privées et Etat, brouillage des frontières entre actions des entreprises légitimes et les équipes de hackers soutenues par l’Etat)
-          Les campagnes iraniennes actuelles peuvent être vues comme des opérations de représailles aux attaques que le pays a subies depuis 2009 (Stuxnet, puis Duqu, Flame, Gauss…).
-          Les capacités iraniennes ont évolué très rapidement au cours des dernières années. Finie l’époque où ces hackers menaient des actions relativement simples (type défiguration de sites).
-          Cette campagne met potentiellement en danger la sécurité des passagers des transports aériens, des systèmes de contrôle industriels, des systèmes SCADA, des infrastructures critiques
-          La démonstration des cyber-capacités peut être une manière d’imposer l’Iran sur la scène internationale
-          L’Iran a signé un accord de coopération technique avec la Corée du Nord : menace potentielle accrue contre les infrastructures sud-coréennes
-          L’attribution à l’Iran s’appuie sur l’identification des adresses IP utilisées par les agresseurs
-          Des individus sont identifiés, au moins par leur pseudo : Parviz, Nesha, Alireza, etc.

Quelques commentaires :
-          Les opérations de représailles iraniennes (Shamoon, opération Ababil,compromissiond e certificats de Comodo et DigiNotar, opération Saffron Rose, opértion Newscaster…) auraient commencé dès la prise de conscience par l’Iran des attaques subies.  Ce que nous subissons aujourd’hui est donc d’une certaine manière, le fruit des cyberattaques américaines/israéliennes (et autres ?) lancées contre l’Iran. On prend ici la mesure des risques, des conséquences des cyberopérations. Les représailles font partie de l’arsenal dont disposent les Etats qui estiment être victimes d’actes de force, de menaces à la souveraineté nationale. Les attaques ne peuvent toutefois toutes être considérées comme actions de représailles. Nombre d’entre elles volent des données, testent les résistances, préparent le terrain pour de futures opérations, etc. Dans ce feu continu, on ne sait plus qui a commencé, réagi, qui est légitime…  
-          La mise en lumière au travers de tels rapports de l’intérêt que portent les hackers aux systèmes critiques, ne peut que conforter les Etats qui comme la France inscrivent dans la loi des mesures spécifiques (même si contraignantes) applicables aux OIV.  La page d’accueil du site de Cylance affiche d’ailleurs une citation en ce sens : "Hopefully the Operation Cleaver report serves as a wake up call for global critical infrastructure providers." (attribuée à Stuart McLure, CEO). Selon Stuart McLure, la meilleure des protections consiste à disposer d’un avantage compétitif sur l’adversaire, et renforcer la cible de telle sorte que le coût de l’opération soit prohibitif pour l’attaquant[3] (principe de la dissuasion). Le signal d’alerte est donné, il faut savoir l’entendre, et savoir agir en conséquence. Tel est en substance le message véhiculé au travers de ce rapport, qui n’est pas sans rappeler la démarche du rapport Mandiant, s’intéressant plus spécifiquement aux opérations chinoises. Le préambule du rapport Cylance, rédigé par Stuart McLure, rappelle d’ailleurs que bien des catastrophes auraient pu être évitées, si les mesures de correction avaient été prises alors que les dangers étaient déjà identifiés (de citer ici l’accident du vol 811, le 24 février 1989, à bord duquel il se trouvait). Il est des désastres que l’on peut prévenir. Ce discours est toutefois discutable pour au moins deux raisons : la personne qui le prononce a des intérêts commerciaux (son discours est-il alors si objectif qu’il y paraît ?) ; le discours est quelque peu formaté et le catastrophisme sur fond de cyberattaques majeures est distillé depuis près de 20 ans (phénomène d’accoutumance, d’usure). Il a peu de chances de prendre, pour plusieurs autres raisons : les acteurs concernés sont préoccupés par d’autres contraintes, commerciales, financières/budgétaires en situation de crise, le souci de la rentabilité (investir dans la cybersécurité est-il rentable ?). Le poids de ce que j’appellerai la double peine, à savoir l’impact des cyberattaques elles-mêmes, et le coût de la sanction imposée par l’Etat (la victime est criminalisée, passible d’amendes du fait de n’avoir pas informé l’Etat des attaques subies, ou de n’avoir pas pris les mesures de sécurité suffisantes) seront-t-ils suffisamment incitatifs ? Les entreprises vont-elles pour autant acheter davantage de solutions de cybersécurité ?




[1] http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf
[2] http://securityaffairs.co/wordpress/wp-content/uploads/2014/12/Operation-Cleaver-targets.png
[3] http://blog.cylance.com/operation-cleaver-prevention-is-everything

Tuesday, December 2, 2014

Ashton Carter, nouveau secrétaire à la Défense américain ?

Ashton Carter pourrait remplacer Chuck Hagel à la tête du Département de la Défense. Il fut jusque-là numéro deux du Département de la Défense et connaît donc bien les dossiers. Il a notamment été impliqué dans les questions de cybersécurité, portant la nouvelle stratégie de cyberdéfense et les stratégies d’investissement du Département avec les entreprises de cybersécurité. Il considère les investissements en cyber comme la phase nécessaire d’une transition majeure, à mener à bien même en période de difficulté budgétaire. Comme il le déclarait lors d’une conférence à Aspen (Colorado) en juillet 2013, la mission cyber pour le Département de la Défense relève selon lui de trois volets[1]:

-          La défense de l’intégrité des réseaux du Département de la Défense car toutes les fonctions militaires, dépendent désormais du cyber. Cette protection est vitale.
-          Développer, déployer, mener à bien des actions de renseignement pour annihiler toute possibilité d’avantage cyber de la part des adversaires. Une nouvelle dimension de l’affrontement. Mais toujours dans un cadre légal, et d’une manière conforme aux valeurs de la population (respect de la vie privée, qui n’est pas, précise-t-il, la priorité de l’adversaire...). Il s’agit d’utiliser le cyber, de mener des cyberattaques par exemple, mais il faut toujours s’interroger sur les effets de ces opérations. Toucheront-elles uniquement les cibles visées ou bien auront-elles des conséquences plus larges ?
-          Contribuer à la défense des réseaux de la nation, même si l’armée n’est pas leader dans cette action. Il s’agit d’aider les forces d’application de la loi, la sécurité intérieure. Pour cela, la défense s’appuie sur la NSA.

Il a notamment travaillé avec le général Alexander à la création de 40 équipes (composées de 4000 personnes) de cyberdéfense au sein du Cyber Commandement (27 pour la défense, 13 pour les opérations offensives)[2].



[1] http://www.defense.gov/Transcripts/Transcript.aspx?TranscriptID=5277
[2] http://www.defense.gov/Transcripts/Transcript.aspx?TranscriptID=5277

Nouvel article sur le site de la Chaire : "Etat islamique: un cyber-terrorisme médiatique"?

"Etat islamique: un cyber-terrorisme médiatique"? par Thomas Flichy et Olivier Hanne. Cet article est extrait du livre : Olivier Hanne et Thomas Flichy de la Neuville, Etat islamique, anatomie du Califat, Editions Bernard Giovanangeli, 2014. 

Journée d'étude "Cyberdéfense et cybersécurité: cas pratiques juridiques"

La Chaire Cyberdéfense & Cybersécurité vous propose une journée d'étude intitulée "Cyberdéfense et Cybersécurité: cas pratiques juridiques". Paris, 3 février 2015. 9h-18h. 

Séminaire "Accélérations et Régulations: les défis de la vitesse pour la politique et le droit"

Séminaire "Accélérations et Régulations: les défis de la vitesse pour la politique et le droit". Co-organisé par Christopher Pollmann Professeur agrégé de droit public, Université de Lorraine – Metz et Hartmut Rosa, Professeur de sociologie, Université d’Iéna (Allemagne). 

Ce séminaire qui s'adresse aux étudiants et aux chercheurs ne traite pas directement de nos problématiques cyber. Mais il n'en demeure pas moins très pertinent pour l'étude de nos objets. Rappelons que l'un des postulats qui alimente tout le discours sur le cyberespace, voire sous-tend la formulation de stratégies et tactiques cyber, traite du temps et plus précisément de la vitesse: avec le cyberespace, le temps serait réduit, voire pour certains disparaîtrait. 

Le séminaire proposé permettra donc de s'interroger sur : 

- « Immédiateté, instantanéité, urgence : quels défis de la vitesse ? »
- « Accélération de la vie et accumulation du capital »
- « L'individu hypermoderne : obligation de performance, exaltation, dépression »
- « La technicisation de la politique et du droit »
- « La bureaucratisation et le management du monde »
- « Vers une résponsabilité pour les générations futures ? »
- « Le décalage grandissant, à l'échelle individuelle et collective, entre besoins et capacités de régulation »
- « Dialectique temporelle et pétrification de l’histoire »

Dates : les lundis suivants de 18h30 à 20h30 : 9 fév., 2 et 16 mars, 20 avril, 11
et 18 mai, 1er et 15 juin 2015.

Lieu : École supérieure de commerce de Paris – Europe (ESCP), 79 av. de la République,
Paris 11e, Métro Rue St.-Maur.

Contact : pollmann@univ-metz.fr, tél. [#33] (0)3 87 76 05 33. Affiches et programme détaillé sur http://arche.univ-lorraine.fr (chercher “pollmann”). En partenariat avec l' « Atelier international et interdisciplinaire pour la réflexion philosophique », Berlin (http://iiaphr.eu).

FIC 2015 Lille

FIC 2015. Forum International de la Cybersécurité. 20 et 21 janvier 2015. Lille. 

J'interviendrai lors de la session du mercredi 21 janvier, de 11h15 à 12h15, intitulée "Le rôle du cyber dans les conflits". 

Inscriptions ouvertes (participation gratuite mais inscription obligatoire). 

Tuesday, November 25, 2014

Regin

Annonce du mois de novembre par Symantec[1] de la découverte d’un nouveau malware : Regin. Ce cheval de Troie, visiblement actif depuis 2008, serait, selon le site The Interceipt, l’œuvre d’agences de renseignement américaines et du GCHQ. Le malware collecte des données (« malware avancé pour espionnage de masse »[2]) et prend l’apparence d’applications Microsoft légitimes. D’après les statistiques de Symantec ses cibles sont réparties à 28% en Russie, 24% en Arabie Saoudite, puis 9% au Mexique, 9% en Irlande, 5% en Inde, 5% en Afghanistan, 5% en Iran, 5% en Belgique, 5% en Autriche, 5% au Pakistan. La seule liste de ces Etats ne permet pas véritablement d’appréhender une stratégie qui sous-tendrait la propagation du malware. L’essentiel des cibles est constitué d’individus privés, de petites entreprises (48%). Les sociétés de télécom viennent ensuite, avec 28%. Le site The Intercept affirme que le malware a été utilisé pour espionner l’Union Européenne et Belgacom, entreprise belge de télécommunications[3]. Ces opérations d’espionnage avaient été révélées par Edward Snowden en 2013 (sans que ne soit alors mentionné le malware Regit).

Comme c’est le cas lors de l’annonce de la découverte de malwares importants, les arguments développés par les médias, les commentateurs et autres experts, sont identiques :

  • La complexité du malware : impliquerait que seul un Etat soit en mesure de l’avoir développé
  • Les ressources nécessaires au développement auraient été importantes, de sorte que là encore seul un Etat pourrait se trouver derrière l’affaire
  • La divulgation est faite par une grande entreprise de cybersécurité (ici Symantec) et autres medias de forte notoriété (dans ce cas, le site The Interceipt[4])
  • Le virus est discret, son code complexe, son mode de fonctionnement encore partiellement inconnu
  • Les véritables auteurs ne sont pas connus : seules des hypothèses sont avancées
  • Le malware a fait l’objet de plusieurs versions, déployées en plusieurs vagues (ici une première version de 2008 à 2011, puis une seconde à compter de 2013)
  • Le malware a été identifié sous des versions antérieures bien avant la divulgation médiatisée (il était question pour Stuxnet également de plusieurs versions du malware)
  • Si les malwares sont l’œuvre des agences de renseignement, alors il ne faut attendre de ces dernières aucune information, précision, confirmation. Fidèles à leur fonction, les agences ne s’expriment pas sur leurs actions. Tout au plus affirment-elles agir dans le strict respect du droit[5]. Le doute plane donc toujours quant à l’identité des auteurs et leurs véritables objectifs.
  • Les commentaires peuvent enfin s’intéresser à l’origine du nom attribué au malware, ou aux liens que peut entretenir le code avec la mythologie, l’histoire, la légende. Regit pour sa part évoquerait la mythologie nordique. Stuxnet lui, enfermait dans son code des références bibliques, selon certains experts (en raison de la présence d’un fichier nommé Myrtus[6]).

Regin s’inscrit dans la chronologie de ces malwares qui prennent naissance dans l’après-Estonie (2007), période au cours de laquelle les opérations se multiplient, qu’il s’agisse de tentatives de sabotage (Stuxnet, Shamoon…) ou d’espionnage. L’histoire de la cybersécurité/défense, ou plutôt de la cyber-insécurité s’étoffe, est complétée de nouveaux éléments, de nouvelles pièces d’un puzzle qui se constitue au fil des ans, au rythme des diverses découvertes et révélations. Ce récit est celui d’un système international qui se construit - mais cela n’est pas nouveau - autour des opérations masquées, et qui teste encore et toujours les possibilités offertes par le cyberespace, ses limites et celles des acteurs qui sont victimes des actions. L’opération menée autour de Regit, si elle est bien étatique, n’est finalement qu’une de plus parmi d’autres, ajoutant à la panoplie des instruments et pratiques mise en lumière ces dernières années.




[1] http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
[2] http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-740863-regin-malware-avance-oeuvre-6-ans.html
[3] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[4] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[5] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[6] https://publicintelligence.net/stuxnet-virus-contains-biblical-reference/