Le laboratoire Kaspersky, qui a longuement analysé Stuxnet et Duqu, publie un (long) article sur le nouveau malware Flame qu’il qualifie de plus complexe menace jamais découverte.

Il partagerait certaines caractéristiques de Stuxnet et Duqu:

While its features are different, the geography and careful targeting of attacks coupled with the usage of specific software vulnerabilities seems to put it alongside those familiar ‘super-weapons’ currently deployed in the Middle East by unknown perpetrators.

A la fois backdoor, trojan et ver, c’est un kit complet d’espionnage qui permet d’enregistrer des entrées audio , de faire des captures d’écran intelligentes, de se connecter en bluetooth…

Le code par contre est très lourd (20Mo), et nécessitera sans doute de longs mois pour en comprendre mieux le fonctionnement. Il semble être actif depuis février ou mars 2010 au Moyen-Orient.

Plus d’infos: SecureList – ThreatLevel – Symantec – Crysys

Reuters nous propose aujourd’hui un excellent article sur les qualités recherchées par la NSA pour recruter dans les universités américaines. S’il est vrai que la recherche sur la stratégie dans le cyberespace doit se baser sur des principes qui puissent s’affranchir de la technique, les opérateurs qui agiront dans le cadre doctrinal défini eux, auront à maîtriser un certain nombre de pré-requis. C’est ce à quoi s’attache l’article mentionné.

NSA - FORT MEADE, Maryland

Un des  points essentiels est, comme dans n’importe quelle stratégie, de connaître son ennemi et son environnement:

« They have to know some of the things that hackers know, they have to know a lot of other things too, which is why you really want a good university to create these people for you, » Ziring told Reuters in an interview at NSA’s headquarters in Maryland.

Et les aspects qui font le plus défaut dans les formations traditionnelles concernent le reverse engineering (ou comment à partir d’un code binaire comprendre et analyser le fonctionnement du programme source) ainsi que la sécurité des mobiles (qui est une préoccupation majeur actuellement vu l’augmentation de l’utilisation de smartphones et tablettes, dans le cadre privé et surtout professionnel).

Out of 10 requirements, the two most lacking at many schools were courses on « reverse engineering » – or how to gain knowledge of a technology or product to reproduce it – and cellular communications and mobile technologies, NSA officials said.

L’objectif pour la NSA n’est alors pas d’avoir d’excellent étudiants en génie logiciel capables de concevoir des applications web pour smartphone, mais bien des spécialistes du fonctionnement interne des OS, aptes à comprendre l’ensemble des mécanismes de traitement de l’information,  du code au réseau.

That requires knowing « the guts, the internals of the operating systems, having to understand how the hardware actually works, » said Steven LaFountain, a senior NSA official who guides academic programs.

Pour autant, il ne s’agit pas d’inciter les universités à sombrer dans l’illégal, mais de donner les bases d’ethical hacking pour ensuite recevoir des formations plus spécifiques une fois recruté.

« We are not asking them to teach kids how to break into systems, we’re not asking them to teach that. And a lot of them have said they wouldn’t teach that, » he said. « We’re just asking them to teach the hardcore fundamental science that we need students to have when they come to work here. »

« In our operational developmental organization, we would spend up to 12 months to give them the secret sauce, the tradecraft, the really deep technical training so that they could make themselves useful in doing what we need them to do, and that’s with that technical underpinning, » Newton said.

En France, l’ANSSI dispose déjà d’un centre de formation et se rapproche de certaines écoles d’ingénieurs et certaines formations spécialisées ont bâti leur programme tout à fait dans l’esprit de cet article.

Depuis hier le site officiel de l’OTAN (www.nato.int) est indisponible.

Des membres d’Anonymous ont revendiqué l’attaque sur Twitter:

ATeam ‏@AnonAteam
NATO One-2-One censorship from the ATeam – Hello thar Nato, You were originally set up to fight against the… http://tmblr.co/ZX90ZvLpFno6

D’après le lien proposé, cette attaque aurait eu lieu en représailles contre les menaces faites à l’encontre de Tim Pool, journaliste indépendant couvrant la politique et l’activisme.

ATeam ‏@AnonAteam
@NATO don’t be threatening @Timcast again or your website will http://www.nato.int will never come up again. #Anonymous care of the #ATeam.

Mise à jour: le site est de nouveau disponible en début d’après-midi. Soit Tim Pool n’est plus « persécuté », soit l’attaque n’était comme d’habitude qu’un déni de service et après vérification de l’intégrité du site, les administrateurs l’ont remis en ligne.

La veille concernant le cyberespace passe essentiellement par la lecture de sites et blogs anglophones sur lesquels les bloggers français vont pêcher leurs informations. Aussi j’ai été surpris de trouver sur le Blog Central de McAfee la mise en lien d’une traduction anglaise d’un document français.

Il s’agit de l’analyse prospective sur l’évolution de la cybercriminalité de 2011 à 2020 publiée par des spécialistes réunis par la Gendarmerie nationale qui tentent de répondre aux questions sur les menaces les plus prégnantes, l’évolution tendancielle de la cybercriminalité, et le rôle du pourriel dans les phénomènes décrits. Ce document purement prospectif date déjà de la fin 2011, mais sa reprise par les sites spécialisés anglophones mérite d’être notée.

La Corée du Nord poursuit ses démonstrations de puissance. Après un deuxième essai nucléaire en 2009, la communauté internationale en redoute un troisième. Et malgré l’échec du tir de la fusée Unha-3 le 13 avril, les bombardements du 23 novembre 2010 ont rappelé la menace que constitue cette dictature communiste.

Mais les programmes coréens concernent aussi le cyberespace. En effet ce pays, l’un des moins connecté au monde, dispose d’un des programmes de cyberguerre les plus avancés. Entraînés dès le plus jeune âge, suspectés d’opérer depuis le sol chinois, les hackers nord-coréens sont accusés par la Corée du Sud d’avoir lancé des attaques contre des sites bancaires l’an dernier, ainsi que des attaques DDoS contre des sites gouvernementaux et les réseaux des forces US en Corée du Sud.

Dernier évènement en date, le brouillage de signaux GPS. En 2010, des dispositifs de brouillage sur véhicule d’une portée de 50 à 100km auraient été importés depuis la Russie. Le Korea Herald rapporte qu’entre le 28 avril et le 6 mai les GPS de 533 avions s et 120 bateaux ont subi des perturbations. L’origine du signal a été localisée à Kaesong (7km de la frontière) par le ministère des transports, sans toutefois causer de dégâts.

Maîtrise de la technologie nucléaire, des lanceurs et du cyberespace: trois domaines par lesquels la Corée du Nord, tout comme l’Iran, veut imposer sa position sur l’échiquier des grandes puissances mondiales.

Chef d’escadron Bertrand Boyer
Stagiaire EMSST à l’ENST
Publié dans l’Observatoire Géostratégique de l’Information (IRIS) le 02/05/12

Une des caractéristiques souvent évoquée du cyberespace, et en particulier de l’Internet, est l’anonymat (réel ou supposé) qu’il procurerait à ceux qui s’en donneraient les moyens. Esquive numérique à une censure d’État, l’anonymat incarne également le principal obstacle à la mise en place de réponses juridiques réellement efficaces dans le cadre de la lutte contre la cybercriminalité. Il induit, de facto, la quasi impossibilité d’attribuer, dans des délais raisonnables, l’origine d’une action à un individu, un groupe organisé ou un État. Or, sans attribution sûre, il ne peut être question de légitime défense, ni de réponse adaptée et proportionnée.

Principal obstacle à la mise en oeuvre des politiques de sécurité, l’anonymat est donc indistinctement l’atout premier de tout attaquant mais également le dernier rempart de protection pour de nombreux opposants à des régimes répressifs. La traçabilité des actions dans le cyberespace pose ainsi de nombreux problèmes à la fois techniques, éthiques et juridiques qui semblent pour l’heure indépassables. Une étude attentive des usages du cyberespace amène pourtant à considérer que l’anonymat est de plus en plus fragilisé par l’introduction de nouveaux terminaux et les pratiques qui en découlent. En effet, ce qui caractérise le milieu que nous considérons, c’est avant tout son évolutivité, son adaptabilité, sa capacité à muter, muer rapidement, rien n’est donc définitivement acquis.

Localiser, authentifier… oui !
Mais pour en faire quoi ?

L’arrivée massive de terminaux portables a, dans ce contexte, des conséquences majeures sur la gestion de la mobilité des utilisateurs du cyberespace. Plus que jamais, la localisation et l’authentification des usagers sont au centre des évolutions techniques et commerciales.

L’explosion de la consommation de bande passante engendrée par les smartphones impose de constantes modifications aux réseaux et pousse la mise en oeuvre de solutions s’appuyant exclusivement sur la suite protocolaire IP. Les opérateurs collectent les données d’identification et de localisation, mettent en place des dispositifs pour limiter la consommation de certains services afin de garantir la qualité d’autres (priorité au trafic voix sur le trafic des données, par exemple). De tels dispositifs de limitation s’accompagnent déjà de solutions de filtrage et d’inspection en profondeur des paquets (DPI) de données échangées. Ainsi, la pratique des utilisateurs, qui réclament toujours plus de connectivité et un accès immédiat où qu’ils soient, entraine une traçabilité accrue et fragilise de plus en plus la notion d’anonymat. Face à la demande, la mise en oeuvre par des acteurs non étatiques de solutions techniques toujours plus intrusives s’impose naturellement.

Progressivement et de façon quasi transparente pour les usagers, des données personnelles se trouvent manipulées, stockées, traitées par des tiers dont on ignore pratiquement tout. Dans ce domaine, les publications des chartes sur le respect de la vie privée, que bien peu lisent, relèvent souvent du pur exercice de style et la loi du plus fort s’applique en s’appuyant sur des situations de quasi monopole.

Comment alors sortir du paradoxe qui veut, qu’au motif de préserver la liberté, l’on s’oppose farouchement à toute intervention publique alors même que l’on subit les contraintes d’opérateurs privés dans le cadre d’une relation contractuelle ? Aujourd’hui un système d’identification fiable a été mis en place pour réguler la circulation maritime et aerienne, est-il improbable que de tels mécanismes voient le jour dans le cyberespace? Un système d’identification de confiance n’est pas nécessairement synonyme d’atteinte aux libertés fondamentales, la régulation n’est pas systématiquement associé à la répression.

Si la question de la confiance dans les identités numériques s’avère fondamentale pour garantir les échanges et les relations entre individus connectés, la fiabilisation de celle-ci ne peut-être de l’unique ressort d’entités commerciales.

La mise sur pied d’un traité visant à réguler les pratiques et à faciliter l’identification des acteurs tout en garantissant leurs droits est, d’une part souhaitable, d’autre part extrêmement probable à moyen terme. Une telle réglementation redonnerait aux États la place de régulateur qu’ils doivent enfin assumer et garantirait un niveau de confiance suffisant entre usagers.

Au mois de septembre 2011, le démantèlement du botnet Kelihos s’est accompagné pour la première fois d’une plainte contre des personnes physiques. Microsoft a ainsi pu remonter jusqu’aux responsables qui se cachaient derrière ce réseau par l’intermédiaire des détenteurs de noms de sous-domaines.

Réglementer pour garantir les libertés individuelles

Ce mouvement vise donc à réduire les possibilités pour un utilisateur du réseau de dissimuler son identité et de se soustraire à sa responsabilité. Si des acteurs de poids tel que Microsoft et le département d’État américain se mettent en quête d’un système plus « transparent », il semble probable que des résultats soient observables dans de brefs délais. Cet exemple illustre la fragile réalité de la notion d’anonymat pour les acteurs du cyberespace. De puissants mouvements s’opposent et favorisent le développement de moyens de contournement toujours plus sophistiqués. Pourtant, ici encore, les pratiques des usagers peuvent se révéler paradoxalement contre-productives car pour préserver leur liberté et leur « droit à l’anonymat», les utilisateurs vont parfois avoir recours à des moyens qui, certes préservent leur identité, mais laissent des traces numériques tout à fait singulières. Ainsi, l’usage d’un VPN ou le chiffrement de messages, sont autant de pratiques qui « se voient » et peuvent singulariser leurs utilisateurs pour en faire alors les cibles privilégiées d’une surveillance et d’une répression qui n’ont parfois plus rien de numérique…

La mise en place d’une identité numérique fiable, permettra de sortir de l’impasse actuelle où, pour préserver ses données privées, l’utilisateur «.honnête » utilise les même procédés que les criminels. Dans le monde réel, la mise en place de « pièces d’identité » n’empêche certes pas les délinquants de se procurer des faux, mais présente l’intérêt de limiter justement ces pratiques aux dits fraudeurs. Par ailleurs, disposer d’une pièce d’identité n’est pas synonyme d’abandon d’anonymat au quotidien. La pièce d’identité n’est à présenter que lorsque qu’elle est demandée, un tel mécanisme peut tout à fait être mis en place dans le cyberespace. Ce mouvement doit être accompagné et porté par les citoyens et la représentation nationale. Dès lors, il n’est peut être pas utopiste de penser que l’anonymat, la libre consultation de sites et l’inviolabilité de la correspondance puisse être garantis par une identité numérique fiable.

Dans une lettre que le Washignton Post a publié le 4 mai, le général K.Alexander répond au sénateur McCain à propos du rôle du DoD face aux cyber-menaces.

Aux Etats-Unis, les parlementaires s’affrontent depuis plusieurs mois à coups de projets de loi. Après le Cybersecurity Act et le Secure IT Act, c’est le CISPA (Cyber Intelligence Sharing and Protection Act) qui est en cours de négociation. Adopté par la chambre des représentants avec le soutien de ténors du secteurs comme Microsoft, AT&T ou encore Facbook, il doit maintenant passer devant le Sénat. Mais la Maison Blanche pourrait y opposer son veto (Reuters).

Tentant d’apaiser les tensions nées notamment autour du rôle et de l’importance à accorder à chaque agence gouvernementale, le Gal Alexander rappelle d’abord (très politiquement correct) que le DoD dépend d’autres ministères pour l’énergie, les télécommunication, le transport. Et donc la protection de l’intérêt national nécessite un effort conjoint du DHS, du FBI, de la NSA et de l’USCYBERCOMMAND.

This distribution is, at once, both distinguished and complementary. All three working as a team play a role in protecting our networks, preventing intrusions, and responding to cyber events.

Ainsi il estime que la législation doit favoriser le partage d’information (pour voir les attaques en temps réel) et assurer le renforcement et la résilience des infrastructures critiques. Par contre, nul besoin de renforcer l’autorité du DoD par cette législation, l’autorité du Président et sa capacité à déléguer suffisent.

Since the President can delegate appropriate authorities to the Secretary of Defense to use the Department’s operational capabilities, including USCYBERCOM, to defend the Nation from cyber attack, legislative action is not required.

Quant à la dissuasion dans le cyberespace, il reste encore beaucoup à faire pour qu’elle devienne effective.

Mais le point le plus intéressant de cette lettre est sans doute le retour d’expérience de l’exercice CYEBR FLAG. De la même façon que les avions de chasse reçoivent des missions multiples, pour la première fois des équipes de cyber-combattants ont été employées simultanément pour des missions défensives et offensives.

The lessons learned prove the powerful operational capability inherent in this organizational model, which combines both attack and defend capabilities under a single commander.

Un commandement unique et des équipes formées à la défense comme à l’attaque semble donc être une solution efficace. Pourtant en France les missions restent encore trop cloisonnées. L’ANSSI a en charge la cybersécurité. Pour les armées cela se décline en une composante SSI (chaîne SSI interarmées classique), la lutte contre la cybercriminalité (gendarmerie), et la cyberdéfense (nomination d’un officier général chargé de la cyberdéfense en 2011). Mais en parallèle la DGA/MI s’occupe de R&D et la DGSE de lutte informatique active. Nous n’en sommes pas encore donc au nouveau paradigme voulu par le Gal Alexander sous l’égide d’un unique Cyber Commandeur.