samedi 13 mai 2017

Quelles réactions après WannaCry(pt) ?

Qualifiée de "sans précédent" par de nombreux média mainstream devenus spécialistes de la cybersécurité en à peine quelques mois [1], une nouvelle vague de rançongiels a débuté hier vendredi 12 mai 2017 en Espagne puis s'est répandue en quelques heures dans l'ensemble du cyberespace. Consécutive aux révélations Vault7 dont l'onde de choc se concrétise massivement aujourd'hui, l'exploitation d'une nouvelle faille SMB [2] commune à de nombreuses versions de Windows a des conséquences très concrètes. Même s'il est évidemment trop tôt pour désigner les Russes Chinois Nord-coréens coupables possibles responsables, il est en revanche possible de partager plusieurs réflexions.

Paralysie de sites de production automobile chez Renault et Nissan, trafic ferroviaire à l'arrêt dans certaines régions allemandes, "le système public de santé britannique, le géant de livraison de colis américain FedEx, des ministères russes" [3] ont aussi été touchés. Force est donc de constater que de nombreux pays, secteurs d'activité et entreprises sont indistinctement devenus victimes. D'une nouvelle famille de rançongiciels mais aussi de l'inconséquence coupable de ceux qui n'ont pas corrigé une vulnérabilité dont le correctif était disponible depuis mars 2017. Qui n'ont pas pu, su ou voulu, le champ des responsabilités étant là aussi peu équitables car si les décideurs délèguent généralement les fonctions liées à la gestion des risques, le véritable patron de la sécurité numérique est encore très majoritairement dépendant de tiers (directeur de la sûreté, des systèmes d'information, de la qualité, des finances, RH) avec lesquels le rapport de force est singulièrement défavorable sans compter l'inanité des rattachements fonctionnels, le plus souvent obsolètes voire baroques où les egos tiennent parfois lieu d'organigramme politique au détriment de l'opérationnalité.





Pourtant, cela fait maintenant plusieurs années que la cybersécurité a quitté son "ghetto technique", est devenue un objet journalistique d'intérêt et, plus globalement, a su capter l'attention de tous car personne n'est à l'abri y compris celles et ceux qui l'ont prétendu ou étaient réellement convaincus de l'être. Faudra-t-il l'hybridation de cas systémique de DDoS comme pour Dyn [4] et donc de rançongiciels comme WannaCry(pt) pour enfin persuader les ultimes résistances notamment financières ?

Du côté des coupables, les suites notamment judiciaires vont être éclairantes sur la façon dont se positionnent les différentes autorités. Si le forfait est l’œuvre de criminels, ce qui à ce stade parait être une piste crédible, une coordination internationale pourrait avoir lieu et conduire à l'identification puis à l'arrestation des coupables. Le précédent de l'opération "Avalanche" [5] montre qu'une telle opération est envisageable et même possible. A l'inverse, quelles pourraient être les réponses et les conséquences si une suspicion voire une manipulation tendait à incriminer l'action d'un État ou d'une entité proche de lui ? 

Si cette affaire ne révolutionne pas l'état des tensions et des conflictualités dans et par le cyberespace, elle risque cependant de les exacerber donc d'accélérer des initiatives fortes internationales. De manière plutôt cocasse, un effet non désiré et probablement non envisagé par les responsables de cette vague mondiale pourrait donc se produire à leur détriment comme au détriment de la lucrative industrie cybercriminelle. Mais peut-être est-il déjà trop tard ?!


[1] sarcasme, ironie, cynisme...faites votre choix !
[2] http://www.clubic.com/antivirus-securite-informatique/actualite-398078-faille-day-decouverte-smb-windows.html et celle incriminée http://www.lemondeinformatique.fr/actualites/lire-la-faille-windows-smb-corrigee-par-le-prochain-patch-tuesday-67290.html
[3] http://www.europe1.fr/technologies/ce-que-lon-sait-de-la-cyberattaque-en-cours-dans-le-monde-entier-depuis-vendredi-3329048
[4] http://si-vis.blogspot.fr/2016/10/cyberattaques-ovh-puis-dyn-ou-la.html
[5] http://www.numerama.com/politique/213871-europol-eurojust-et-le-fbi-demantelent-un-gigantesque-botnet.html

lundi 8 mai 2017

Cyberconflit entre Etats : le jour d'avant


Un intéressant article découvert il y a plusieurs mois sur "The Conversation" [1] a inspiré l'article que vous vous apprêtez à lire sur votre écran. Intitulé "Voici à quoi s'attendre si deux pays se lançaient dans une cyberguerre", il ne fait qu'effleurer la complexité d'une telle question pour laquelle la littérature spécialisée et les travaux de recherche restent encore à développer [2]. Sans doute est-ce parce que le sujet abordé est parfaitement vain et illusoire car au confluent de la prospective, de la divination [3] et d'une part non négligeable d'erreurs qu'il amène à poser à nouveau sur l'ouvrage les interrogations obsessionnelles de ce blog.

lundi 17 avril 2017

Orchard 2007 - Stuxnet 2010 - Nodong 2017 ?


La Corée du Nord vient de fêter le 105ème anniversaire de la naissance de Kim-Il sung, fondateur de sa république populaire et grand-père de l'actuel dignitaire, Kim-Jong un. Les festivités organisées ce week-end dont la parade militaire géante organisée dans la capitale Pyongyang était le clou du spectacle, étaient scrutées plus ou moins anxieusement par de nombreux observateurs tant sur terre, qu'en mer ou dans l'espace. Dans un contexte de fortes tensions, attisées autant par les USA et leur nouveau président que par la rhétorique belliqueuse et atomique nord-coréenne, nombreuses étaient les inquiétudes de dérapage(s) voire d'action directe de l'un ou l'autre des protagonistes. En réalité, rhétorique et sémantique n'ont fait heureusement à cette heure aucune victime. L'échec du tir d'un missile balistique amène pourtant des questions, notamment autour de l'emploi potentiel d'un kill switch [1] qui aurait pu mener à la destruction prématurée par les USA du missile Nodong. [2]

L'information d'une possible "cyberattaque" a été révélée par le quotidien britannique "The Sun" [3] et pourrait se révéler crédible à la lumière d'opérations antérieures bien plus complexes : Orchard en Syrie 2007 [4] et Stuxnet en Iran 2010. [5] Notamment parce que "North Korea is forced to import the high-tech electronics used in its missiles, so it is likely that US hackers compromised the supply chain implanting an undetectable malware" [6]. L'absence de réaction tant de Trump que de ses chefs militaires n'est évidemment pas une preuve en soi. L'emploi d'armes modernes de type laser [7] et, bien évidemment, cyberélectroniques n'est cependant plus improbable, ces dernières faisant partie de l'arsenal dont dispose aujourd'hui les forces armées étasuniennes. L'emploi de forces et de moyens irréguliers tant par les Russes [8] que les USA devient ainsi le symptôme des prochaines guerres de basse et de moyenne intensité. En attendant la cyberguerre ? [9]


[6] "La Corée du Nord est forcée d'importer les composants électroniques utilisés dans ses missiles pour lesquels il est vraisemblable que des pirates US ont pu compromettre la chaîne logistique en y implantant un virus indétectable"

lundi 20 mars 2017

L'alliance Orange Huawei ou comment enfoncer un peu plus les clou(d)s du cercueil

A l'occasion du dernier FIC à Lille fin janvier 2017, un certain nombre d'interrogations s'était fait jour [1]. L'une d'entre elles avait été affichée sur l'immense écran de la plénière et il n'avait fallu que quelques minutes à peine pour que la "vérité vraie" soit rétablie. Dont acte.



Las, un mois se sera écoulé pour apprendre l'existence d'une alliance de "l'ancien champion du cloud souverain avec Cloudwatt" [2], c'est à dire Orange, avec le groupe chinois Huawei devenu poids lourd mondial des équipements réseau et télécom. Si l'histoire, que dis-je, l'épopée du "cloud souverain à la française" que devait nous envier le monde entier s'est tragiquement achevée, elle apparait finalement dérisoire face à la consternation qui a dû s'emparer d'un certain nombre d'autorités et de services (responsables) de l’État chez qui "on adore pas la perspective". [3]

samedi 25 février 2017

Fiat LED, un air-gap de toute beauté

L'air-gap est le moyen qui permet de compromettre un système d'information, y compris s'il est isolé d'internet, à distance et sans interaction physique autre que par les airs (ondes). D'où son nom et d'où le vrai-faux sentiment de sécurité qu'imaginent un certain nombre de responsables techniques et de dirigeants qui considèrent qu'isoler ses moyens informatiques et de production industriels les met à l'abri. Allez dire cela notamment aux Pasdarans chargés de protéger le programme nucléaire iranien et vous vous ferez sans nul doute de nouveaux amis. Quoiqu'il en soit, des chercheurs et non des moindres, avaient démontré en 2014 la possibilité d'une cyberattaque réalisée via un drone et ciblant une imprimante multifonctions. [1] 

lundi 20 février 2017

Réinventer la cybersécurité par le design thinking

Un peu honteux, je dois l'avouer, il y a encore deux semaines je possédais une absence totale de connaissance en matière de design thinking ! Pour celles et ceux d'entre vous qui en maîtrisent parfaitement la matière [1], nul doute qu'un sourire doit apparaître sur votre visage de probable millenial. [2] Comme Monsieur Jourdain cependant, c'est un peu rasséréné que je me suis souvenu d'un séminaire [3] que j'avais coorganisé en 2014 et qui, justement, reprenait une partie des codes et des fondamentaux de la discipline. Las, une question fulgurance s'est alors imposée : quid de l'intérêt de faire converger cette discipline récente et la cybersécurité ?

lundi 30 janvier 2017

#FIC 2017 : impression, soleil couchant

L'exercice de rendre compte d'un événement, quelle qu'en soit l'ampleur et le thème, est une véritable difficulté puisqu'il ne peut être que partiel et parfaitement subjectif avec tous les travers et les affects que cela suppose. Aussi resterais-je d'une grande prudence et souligne que les propos tenus ici ne relèvent que de la vision d'un minuscule bout de la lorgnette. Car l'édition 2017 du FIC me laisse perplexe pour plusieurs raisons.

lundi 16 janvier 2017

Le premier prix « François Perrin » de la cyber bourde 2017 attribué à la Présidence du Brésil

Dans mon billet du 31 décembre 2016 [1] faisant le bilan de l'année écoulée, apparaissait un éclair de lassitude inquiétude lucidité quant aux radotages de ce blog depuis un certain nombre d'années. Le fait ici de radoter consiste à réitérer si ce n'est marteler ce qui est considéré par la plupart comme les fondamentaux, le "socle" minimum de mesures multidimensionnelles [2] qu'il est/serait pertinent de mettre en œuvre pour protéger au mieux son système d'information (SI).

Malheureusement (?), l'actualité cyber et quotidienne des derniers mois [3] permet d'observer un phénomène inquiétant. Il s'agit - enfin - de la prise de conscience des risques par les décideurs c'est à dire une prise de conscience de leur (in)suffisance face à ce "nouveau risque" qui existait déjà, même avant l'avènement de l'internet.

mercredi 4 janvier 2017

Cyber FBI...aïe aïe aïe !

(https://twitter.com/FBI/status/815584098676674560)
Si la critique est facile, il convient dans certains cas d'en saluer la nécessité salutaire de la prononcer. Autant pour permettre à celui ou à celle qui en est la victime de prendre conscience de ses possibles limites. Mais aussi, d'une certaine manière, pour pourfendre donneurs de leçons et gardiens de la morale pour qui le devoir d'exemplarité s'applique surtout aux autres. Prenons par exemple le FBI, cette légendaire agence fédérale étasunienne qui traque les criminels et qui eut à sa tête durant près de 37 ans un directeur qui fit trembler tout le système politique de son époque. Y compris jusqu'à la Maison Blanche. Mais soyons indulgent et, du passé, faisons table rase. Pour arriver à ces derniers jours où deux faits ridicules, et sans doute anodins pour le commun des mortels, se révèlent tout simplement affligeants.

samedi 31 décembre 2016

Quelles (cyber) surprises en 2017 ?

Ébouriffante. Tel est l'adjectif qui vient en tête immédiatement pour qualifier l'année 2016. Sur tous les fronts d'ailleurs, qu'ils soient politiques, géopolitiques, stratégiques et, évidemment cyber. Seuls les historiens pourront dire d'ici quelques décennies si l'année 2016 aura été historique pour la cybersécurité. Charnière sans aucun doute avec une actualité quasi quotidienne, y compris dans la presse généraliste, marquée par des affaires de piratage majeures (Yahoo notamment), de fuites d'information (leak) des Panama Papers, de (nouveaux) records de débit d'attaques en DDoS (OVH, Dyn [1]) ou de "vraies-fausses" cyberattaques au cours des élections présidentielles étasuniennes.

C'est donc sans fausse pudeur et avec une véritable gourmandise que l'on serait en droit d'attendre de l'année 2017 qu'elle surpasse encore plus l'année passée. Pensez-vous, hagards, média, journalistes et citoyens ont dû encaisser une surprise stragique par mois (Brexit) au premier semestre puis par semaine (Trump, Fillon, Castro, Hollande, Alep, ...) au second semestre. Mais cela est-il seulement envisageable souhaitable probable ? En vérité oui. Et plutôt deux fois qu'une. Pour reprendre l'un des leitmotivs d'un chaud printemps 1968 en France mais aussi en Europe : soyez réalistes, demandez l'impossible [2] ! Trêve de pensées révolutionnaires, la vérité de l'avenir proche demeurera probablement écartelée entre continuité et coups d'éclat cyber. Ne cherchez donc pas trace d'annonce tonitruante mais creuse car, vous le savez, ici c'est une maison d'artisan sérieuse et la (cyber)prévision est un art difficile surtout lorsqu'elle concerne l'avenir. [3]

Restons donc sur des choses simples, la tradition comme diraient certains, à commencer par les remerciements, sincères, à toi lecteur qui vient ici depuis peu ou depuis longtemps. C'est toi et seulement toi qui me donne la force de continuer car, plus d'une fois, j'ai caressé la tentation de saborder le navire, qui commence à se faire ancien et, parfois, à radoter.

Enfin, passons aux chiffres.

20
Le nombre d'articles écrits cette année, quasi stable par rapport à l'année précédente. [4] Où l'on notera le 400ème du blog, moment d'émotion singulier. [5]

5
Les cinq articles les plus consultés de l'année, dans l'ordre antéchronologique :