NSA Semiannual Report to Congress

The "NSA Semiannual Report to Congress" published last January 31, 2022 by the National Security Agency Office of the Inspector General, covers the period 1 April to 30 September 2021 (this oversight operation is conducted pursuant to the Inspector General Act of 1978, as amended, and in accordance with NSA/CSS Policy 1-60, the NSA/CSS Office of the Inspector General - OIG).

- "NSA's targeting distribution process contained critical control gaps, in that it did not have adequate controls implemented to monitor the accuracy and completeness of the full targeting distribution process"

- "As a result, we determined that NSA's RBT and targeting distribution deficiencies increase the likelihood both that NSA might inadvertently target selectors to locations that are prohibited by applicable NSA signals intelligence (SIGINT) collection authorities."

Tufts University - 2022 Student Symposium in Cybersecurity Policy

On Friday March 11, 2022 Tufts University will hold its fourth annual Student Symposium in Cybersecurity Policy. More details here

NSA Cybersecurity Year in Review - 2021

La NSA américaine vient de publier un bilan pour l'année 2021, relatif à la cybersécurité. "2021. NSA Cybersecurity Year in Review", 28 pages, February 2022.

Dans les grandes lignes, le rapport développe les points suivants:

- la NSA a créé en 2019 une Direction de la cybersécurité, le Cybersecurity Directorate, dont la mission est de prévenir et éradiquer les menaces qui pèsent sur les USA et les infrastructures critiques, avec une attention particulière pour la Base Industrielle de Défense.

- Cette Direction travaille avec ses partenaires du gouvernement américain et des Five Eyes

- le rapport insiste sur la compétences spécifique de la NSA en matière de SIGINT, qui est une valeur ajoutée dans la démarche de cybersécurité

- les pays expressément nommés comme étant sources de cybermenaces sont la Russie et la Chine. Aucun autre pays n'est mentionné dans ce rapport. Doit-on en conclure que les autres nations sont moins actives, de moindres sujets de préoccupation?

- Enfin, plus intéressante sans doute, cette citation qui laisse entendre que la NSA est capable de casser le chiffrement de l'adversaire: "We build strong cryptography that prevents our adversaries from accessing our nation’s most sensitive systems and data. Our signals intelligence mission, where we break our adversaries’ cryptography, and our many decades of experience provide us with a distinct advantage".

Capacités "cyber" de la Corée du Nord - réflexions

Min-hyung Kim (chercheur au Department of Political Science and International Relations, Kyung Hee University, Seoul), dans un article intitulé "North Korea’s Cyber Capabilities and Their Implications for International Security" (janvier 2022) (Sustainability 2022, 14, 1744. https://doi.org/10.3390/su14031744) soulève la question suivante: comment la Corée du Nord, pays pauvre, encore peu connecté, disposant de peu de ressources technologiques et économiques, peut-elle être un acteur essentiel de la cybermenace et faire partie des cyberpuissances?

Si la Corée du Nord a choisi de concentrer ses efforts dans le cyberdomaine, c'est en partie, selon Min-hyung Kim, pour trois raisons: parce que cela lui permet de combler en partie l'écart qui ne cesse de se creuser dans le domaine des armes conventionnelles avec les autres puissances, en particuler la Corée du Sud; parce que les cyber-opérations permettent de produire des effets chez les adversaires avec des risques de représailles faibles; et pour financer le régime de Pyongyang (dont les opérations dans le cyberespace sont de nature criminelle).

Council of Europe: The global state of cybercrime legislation 2013 – 2022: A cursory overview.

Le Conseil de l'Europe propose quelques statistiques sur l'évolution de la législation relative à la lutte contre la cybercriminalité dans le moonde. Council of Europe: The global state of cybercrime legislation 2013 – 2022: A cursory overview. February 2, 2022. Dans les grandes lignes retenons que: - des législations spécifiques en matière de lutte contre le cybercrime ont été instaurées dans les années 1990 (parfois plus tôt pour certains Etats comme la France ou les Etats-Unis) - en janvier 2022, 94% des Etats membres des Nations Unies ont adopté des législations sur le sujet ou sont en train d'y travailler.

Quelques disparités bien sûr: 100% en Europe, 85% en Afrique. Mais le fait que des lois soient en préparation n'implique pas qu'elles seront votées et entreront en application rapidement. En effet, certais Etats ne les votent pas dès lors qu'ils n'ont pas les moyens de leur mise en application.

Des mesures sont également prises dans un grand nombre de pays pour sécuriser les preuves électroniques (48% des Etats membres des Nations Unies). On note également que 82% des Etats se dotant de législation en matière de cybercriminalité se sont inspirés de, ou appuyés sur, la Convention de Budapest.

Enfin, à ce jour, 185 Etats membres des Nations Unies ont participé aux travaux du Conseil de l'Europe sur la cybercriminalité. L'exploitation de ces données illustre la manière dont les normes juridiques se diffusent à l'échelle internationale.

Report on Iranian Cyber Influence Operations against Israel - INSS

The INSS (Institute for National Security Studies) (Israel), published last January 27, 2022, a report on "Iranian Cyber Influence Operations against Israel Disguised as Ransomware Attacks" (Boaz Dolev and David Siman-Tov, 16 pages). According to the authors, "the use of ransomware attacks for the purpose of influence operations rather than for an economic purpose is a singular phenomenon", and "This phenomenon is unique to the framework of the conflict between Israel and Iran or its supporters."

Cyber-opérations, escalade, désescalade, crises militarisées

Michael P. Fischerkeller, What Do We Know About Cyber Operations During Militarized Crises?, Article publié par l’Atlantic Council, Janvier 2022.

Les Etats-Unis s’apprêtent à publier leur nouvelle stratégie de cybersécurité et décider de leur nouvelle posture cyber dans le champ de la défense, dans un contexte où la Chine se fait plus menaçante. Tel est le contexte posé par l’auteur, qui ne renvoie pas aux défis lancés par la Russie. La question centrale de ce travail est la suivante : comment et dans quelle mesure les cyber-opérations menées lors de crises militarisées sont-elles susceptibles d’impacter la gestion de l’escalade de la crise.

Les politiciens, les décideurs, peuvent considérer que les cyber-opérations font office de vecteurs de désescalade. Mais cette option doit être considérée avec des réserves : car il n’y a à ce jour aucune expérience de cyber-opérations menées lors d’une crise armée entre deux puissances nucléaires, et l’on ne peut alors s’appuyer que sur des hypothèses théoriques, académiques. Or aucune des recherches académiques n’apporte la certitude de l’effet que produiraient des cyber-opérations dans ce contexte précis, à savoir faciliter l’escalade ou au contraire la désescalade.

L’auteur précise bien que sa réflexion ne porte que sur les « crises » militarisées, et non pas sur les guerres ou les interactions des affrontements stratégiques quotidiens (proches du seuil de la guerre, mais toujours en dessous). Les lignes de séparation entre ces différents contextes sont fines. La catégorie « crises militarisées » n’a par ailleurs pas de définition consensuelle (comme bon nombre d’autres notions de géopolitique d’ailleurs). L’article retiendra la définition de la « crise » proposée par le Département de la Défense américain : “a condition of such national security importance that the President or SecDef may consider a commitment of US military forces and resources to achieve or defend national objectives. Crises may evolve over time or develop quickly with little or no warning and require accelerated decision making.”

En l’absence de cas concrets sur lesquels s’appuyer pour penser le cyberconflit dans les crises militarisées, la méthode adoptée est celle de la réflexion déductive. Deux hypothèses s’affrontent donc ici : a) le cyberconflit facilite l’escalade de la crise (des jeux de guerre réalisés ces dernières années aux USA, il ressort que les cyber-opérations favoriseraient l’escalade) ; b) le cyberconflit permet la désescalade de la crise. Il y a trop d’incertitudes, aucune des deux hypothèses ne s’impose véritablement. Il serait donc risqué de fonder une stratégie de cyberdéfense sur l’une ou l’autre.