lundi 13 décembre 2010

CyberWar AfterMath

J'ai reçu un abondant courrier des lecteurs (ou plutôt un téléphone arabe des lecteurs devrais-je dire) autour de mon dernier billet, se résumant en gros à un déluge de critiques fondées sur ma prétendue illégitimité dans le domaine (pour simplifier).

Il est vrai que je n'ai pas eu l'occasion de présenter dans des conférences spécialisées, ou de participer à des "cyber-exercices" (même si je vais me permettre de bloguer là-dessus prochainement).

Mais puisque la première cyberguerre mondiale n'a pas encore eu lieu, il me semblait pourtant que mon opinion sur le sujet était tout aussi recevable que celle de n'importe qui - tout le monde en est réduit à des spéculations dans le domaine.

J'oserais même penser qu'en tant que professionnel de l'informatique, mon opinion est plus qualifiée. Car si tout le monde peut intuiter la dangerosité d'une grenade ou d'une baïonnette sans jamais en avoir utilisé une, il en est autrement dans le domaine informatique où aucune analogie avec le monde physique ne fonctionne. Les théoriciens de la cyberguerre n'ont pour la plupart aucune idée de ce qui se produit lorsqu'ils allument leur téléphone ou lorsqu'ils envoient un email. Ce qui les conduit à des conclusions absurdes, comme HADOPI l'installation d'un bot contrôlé par le gouvernement américain sur le PC de tout bon citoyen, ou le bouton rouge qui permet d'arrêter Internet.

Il en est ainsi des domaines techniques comme l'informatique ou la réparation de télé: personne ne peut avoir d'intuitions sans expérience. Le problème c'est qu'en informatique comme dans beaucoup de domaines de la vie courante (l'économie, la politique, etc.), absolument tout le monde a une solide opinion.

La différence entre un professionnel de l'informatique et un technicien, voire un simple utilisateur, est la même qu'entre un prof de maths qui enseigne en prépa et un prof de collège. Le premier doit faire face constamment à des situations qui le poussent aux limites de ses capacités, tandis que le second rabâche à des ignorants des concepts à apprendre par cœur (ton mot de passe doit être complexe, tu ne dois pas le noter sur un post-it, tu dois utiliser un antivirus, etc.).

Bien sûr, dans l'éducation nationale comme dans l'informatique, il existe de vrais passionnés à tous les niveaux, qui s'attaquent à des problèmes non résolus – le plus souvent sur leur temps libre.

Malheureusement, au bout du compte, l'opinion majoritaire reflétée par les médias et couramment admise (même au plus haut niveau) est bien loin des réalités techniques les plus élémentaires. Si vous avez 30 minutes à perdre, et que vous voulez vous payer une bonne tranche de rigolade, je vous conseille de regarder un récent reportage intitulé "les nouveaux pirates de l'informatique", suivi par "alerte à la cyberguerre". C'est disponible partout sur Internet, mais je ne peux pas vous donner de lien ici – seul Google a le privilège d'être au-dessus des lois.

Revenons à nos moutons

Ce débat sur la cyberguerre est né de mes réflexions sur StuxNet. Tout le monde s'extasie sur la "complexité" d'un tel code. Au gré des conférences ou de mes lectures sur Internet, j'ai pu entendre que StuxNet représentait 9 mois*hommes de travail, ou 10 millions de dollars. Ces chiffres sont bien entendu totalement fantaisistes, puisque le pays d'origine du virus – et donc le salaire moyen des développeurs – reste inconnu :)

On peut noter toutefois que la complexité d'un tel code est largement surestimée par les personnes qui ne sont pas des professionnels de l'informatique – tout comme un collégien va trouver la démonstration du grand théorème de Fermat incroyablement complexe, ce qui n'est pas forcément l'avis d'un professeur de prépa.

Prenons le cas du laboratoire privé Sogeti/ESEC. Malgré les fonds et les effectifs limités dont ils disposent, ils viennent pourtant de réimplémenter une attaque sur des cartes réseau, dont l'implémentation précédente était le fait d'un laboratoire de l'ANSSI. Est-ce à dire que "cinq gus dans un garage" peuvent rivaliser avec les services de l'état ? Je pense que oui (au facteur d'échelle près, les ressources de l'état étant illimitées), car la sécurité informatique est avant tout une affaire de matière grise – une ressource impossible à produire et difficile à capter.

Les techniciens informatiques (et a fortiori le grand public) sous-estiment les capacités des "vrais" hackers de plusieurs ordres de magnitude. Un seul homme (ou femme :) vraiment compétent remplace aisément 10 à 100 informaticiens peu motivés comme on en rencontre presque partout. Les exemples de Google (ou de Free) sont là pour nous le rappeler.

Pourquoi on ne voit rien … et ce qui se passe vraiment

Ce biais de perception provient essentiellement de la structuration du monde de la sécurité (aussi appelé le Security Circus).

Il faut bien comprendre que toutes les publications (dans les magazines ou les conférences) sont intrinsèquement sans valeur: ce ne sont ni des résultats produits pour des clients, ni des attaques dangereuses ou illégales, ni des technologies revendables ou brevetables.

Tout ce qui est réellement dangereux, parfois à la limite de la légalité, passe complètement en dessous du radar et "n'existe pas" pour la presse et le grand public en général. Et pourtant cette "masse manquante" représente l'essentiel des travaux produits par les professionnels de la sécurité dont l'activité présente suffisamment d'intérêt pour être financée (c'est-à-dire ceux qui en vivent d'une manière ou d'une autre).

Vu de l'extérieur, ceci donne l'impression que ce petit monde ronronne gentiment, de sauteries en conférences, sans vraiment empêcher le business de tourner rond. Ce qui est loin d'être représentatif de l'état de la menace aujourd'hui …

En vérité, tous les systèmes connectés à Internet sont sous le feu permanent d'intrus (qu'on va appeler "les chinois" pour simplifier – et c'est probablement d'ailleurs le cas). Suis-je mythomane ? Probablement pas, car j'ai eu l'occasion de les rencontrer "pour de vrai" à plusieurs reprises …

La véritable cyberguerre a déjà commencé, mais elle ne ressemble pas à ce qu'on nous présente d'habitude (pays désorganisé, infrastructures critiques en panne, etc.). Pour cela, quelques centimètres de neige suffisent :)

La véritable cyberguerre, c'est le pillage systématique de toutes les ressources technologiques occidentales par des individus entrainés, opiniâtres, et opérant en dehors de toute juridiction. Toutes les entités, des instances étatiques à la plus petite PME, sont victimes de ce ratissage systématique opéré par des attaquants qui ne connaissent pas le repos ni la compassion.

Là où les cybergénéraux attendent des DDoS massifs, par analogie avec les bombardements bien connus dans le monde physique, le réel danger provient de la cinquième colonne qui a probablement infiltré tous les systèmes connectés à Internet à l'heure où j'écris ces lignes (l'opération Aurora n'étant que la partie émergée de l'iceberg).

Une autre cyberguerre est possible

Ce qui se passe actuellement avec le site WikiLeaks me semble également relever de la cyberguerre, du moins de l'attaque non conventionnelle.

En me gardant bien de me prononcer sur le fond, cet épisode met en évidence la dépendance très forte du "cybermonde" vis-à-vis d'entités commerciales américaines bien réelles (à savoir EasyDNS, Paypal, MasterCard, Visa, … dans le cas présent).

Sans rentrer dans des scénarios trop compliqués, on imagine assez aisément que si demain un secrétaire d'état américain demande à l'ICANN, Microsoft, VeriSign, Cisco, et tous les opérateurs Tier-1 américains de bloquer les infrastructures d'un pays occidental, le résultat risque d'être assez catastrophique … et ce sans utiliser un seul virus !

Tout comme la redirection de l'Internet mondial au travers d'un opérateur chinois pendant une vingtaine de minutes (avril 2010) expose une autre fragilité rarement abordée dans les cyberdoctrines: BGP.

Conclure sur StuxNet

Le sabotage informatique est une activité à peu près aussi ancienne que l'informatique. En 1982 déjà, l'explosion d'un pipeline russe a très probablement été provoquée par le sabotage d'un système SCADA par la CIA. On doit pouvoir trouver des exemples similaires du côté de la fusée Ariane, même s'ils ne sont pas sur Wikipedia.

Aujourd'hui le PC sous Windows XP est effectivement devenu le consommable de base qui permet de contrôler à peu près tout et n'importe quoi. Un sabotage réussi aura toutes les chances d'impliquer de l'informatique à un moment ou un autre. Mais cela n'a rien de "magique" ou d'exceptionnel: c'est un métier !

Il est déjà assez simple (dans la plupart des cas) d'analyser des systèmes "fermés", comme le démontrent toutes les conférences de sécurité ces 15 dernières années, au cours desquelles les sujets les plus divers ont été abordés: logiciels propriétaires bien sûr, mais aussi faiblesses de conception des architecture PC, modems/routeurs, téléphones, consoles de jeu, radiocommunications comme le GSM ou le RDS/TMC, puces RFID, TPM, satellites, etc.

Si un étudiant arrive à pirater l'iPhone et la PlayStation 3 (avec un hyperviseur matériel conçu par IBM), on peut supposer que n'importe qui est capable de pirater un système SCADA avec très peu de moyens.

Mais si j'étais demain à la tête de l'opération "StuxNet 2", je ne m'embarrasserais pas des détails. Avec ses 427,000 collaborateurs, on peut supposer qu'il n'est pas trop difficile de pénétrer le réseau interne de Siemens. Il suffit ensuite d'aller y chercher la documentation et les codes sources nécessaires. Comme 100% des tests d'intrusion internes sont couronnés de succès, il n'est pas trop difficile d'être optimiste.

La présentation donnée par Val Smith lors de BlackHat 2010 sur le dynamisme de la "scène" chinoise permet de se rendre compte à quel point de telles opérations sont monnaie courante ... même si personne n'en parle.

Conclusion

Avant de coller le préfixe "cyber" à toutes les sauces, il est recommandé de passer le test suivant.

Car si une chose telle que la "cyberguerre" existe, elle ne ressemble ni à un DDoS, ni à StuxNet.

18 commentaires:

CIDRIS a dit…

A la lecture de votre article, je dirais deux mots :

1/ Bravo !
2/ Vous êtes légitime !

Un peux d'explication maintenant :

=> je vous dis "bravo" car la réflexion, qu'elle porte sur la sécurité ou les modalités et les formes prises par la "violence" sur Internet, est encore pauvre et rares sont les gens qui s'y essayent correctement.

A bien regarder, quelques auteurs ont vraiment le niveau et le talent en la matière et comme vous le dites, de très nombreuses publications ne sont que le reflet pré-maché et mal digéré de réflexions de 2ème ou 3ème main !

=> vous êtes légitimes ! Comme vous, je pense qu'il faut se confronter à un sujet sur lequel on souhaite s'exprimer. Si c'est pour encore des pseudos-stratèges dire que la cyberguerre fait ceci ou cela alors qu'ils n'ont jamais tenté de faire de la ssi à proprement parler, c'est risible !

Tout cela ne nous enlève pas un reste d'humilité :D : en matière de stratégie ou d'application du militaire à la lutte informatique, encore faut-il bien connaitre ces modèles militaires pour décréter qu'ils ne sont pas applicables...

Cela n'empêche pas non plus d'échanger des opinions: ainsi ne suis-je pas d'accord avec vous sur la notion de cyberguerrre appliquée au cas Wikileaks...

Mais bref, si les vrais bons comme vous arrêtent, alors c'est plus la peine...

Pour ma part, si je continue, c'est parce que je pense avoir 2-3 idées à placer issues de ma réflexion ou de mon expérience et que les écrire permet à d'autres (comme vous) d'y réagir et de les améliorer !

Donc, bon courage :D

Kevin a dit…

BGP fait partie du top ten des problèmes de sécurité (??). C'est le vieux serpent de mer des confs de sécurité.

http://www.google.com/search?q=BGP+security+flaw
32500 résultats, dont "Revealed: The Internet's Biggest Security Hole", il est tout de même difficile de faire plus clair :)

Public Security Section 9 a dit…

Je ne peux qu'abonder sur l'analyse et la dichotomie certaine entre la réalité/enjeux de la "cyberguerre" et ce qui en est médiatisé. Toutefois, amah, les "milieux autorisés", qui ne communiquent d'ailleurs pas sur le sujet savent très bien quelle est la menace de tous les jours.. (sans pour autant la quantifier précisément je le concède volontiers). Peut être peut on considérer que les "cybergénéraux" que tu cites ne sont pas très au fait de la problématique mais ont compris qu'officiellement il fallait agiter cette cyber-menace car elle fait plus peur, donc est plus vendeuse : croisons les doigts pour recueillir plus de crédit pour la "cyberdéfense" ;-) des structures étatiques et privées

Comme je suis un peu pointilleux, je pense que ta comparaison SOGETI/ESEC aux services de l'état (en l'occurrence un laboratoire de l'ANSSI) sur le cas spécifique des cartes réseau n'est pas des plus pertinents. En effet, je crois savoir que les résultats auxquels "l'ANSSI" est arrivée est principalement le fruit de la poursuite d'une thèse de Loïc DUFLOT (avec un gros investissement personnel) et d'une ou 2 personnes supplémentaires... Les personnels de l'ANSSI étant triés sur le volet et en nombre très restreint, "le laboratoire" mentionné est tout à fait comparable qualitativement et quantitativement à SOGETI/ESEC. Il eut été plus judicieux de comparer SOGETI/ESEC aux services SSI de l'éducation nationale, voire du ministère de la Défense (dans les deux cas, les critères techniques de sélection sont bien moindres, la philosophie générale est beaucoup plus empreinte de dilétantisme)...
Et non, le budget de l'état, français en l'occurrence, est loin, mais alors trés (trop) loin d'être illimité en la matière même si des vagues de recrutement sont en cours...

jean-philippe a dit…

Bonjour,

Dans le cas de "Wikileaks", nous sommes plus à mon sens dans une opération de guerre de l'information.
A bien regarder, qu'avons nous ?
1) Des actions techniques offensives (simples) de type "DDOS"
2) Beaucoup de données (non vérifiées) qui alimentent le débat.
3) Un ciblage qui des fois semble hasardeux...
"Haro sur Amazon..."
"Mince ça ne marche pas"
"Revenons sur Mastercard..."

newsoft a dit…

@CIDRIS: merci pour vos encouragements, j'en profite pour découvrir votre blog au passage. En ce qui concerne l'humilité, j'en ai plus qu'on ne le croit - mais ce blog emprunte volontiers un ton péremptoire pour mieux animer les débats :)

@Kevin: certes le problème de BGP est connu (cf. démo lors de la dernière DefCon), mais il a toujours été éludé car quasiment insoluble en l'état actuel de "l'Internet 1" !

@PSS9: je me doute bien que le budget d'un état (surtout le nôtre) n'est pas illimité, mais il peut encore largement excéder celui de prestataires privés ... sans compter sur le fait que la plupart des activités privées doivent avoir un retour sur investissement assez rapide.

Geoffrey a dit…

Toujours aussi intéressant de te lire, une bonne analyse je trouve des véritables problèmes de sécurité actuels.

Saad Kadhi a dit…

Très bon billet Nicolas, plein de bon sens AMHA.

CIDRIS a dit…

Bonjour à tous,

Je précise : je parlais d'humilité au sens général mais pas spécifiquement pour vous, bien au contraire. J'apprécie à sa juste valeur la polémique en la matière.

Sur BGP : j'ai écrit quelques bêtises la dessus. Je retiendrais, si cela peut vous apporter quelques infos :

1/ un routard ou un habitué de la gestion des grands réseaux me confirmait à la fois la problématique de sécurité posée par BGP. Il existe cependant une mesure organisationnelle permettant de réduire le risque de cette vulnérabilité : la veille des admins...Bête à dire mais cela fonctionne relativement bien car après tout : les détournements accidentels sont restés relativement courts.

Cela dit, je ne sais pas si cette mesure réduit le risque à un niveau acceptable...Après tout, l'éventuel détournement par la Chine est-il acceptable (qu'il soit vrai ou non..le risque est-il acceptable ?)

2/ Techniquement, il existe quelques études en cours côté IETF mais visiblement, cela n'avance pas.

Sinon, avez-vous connaissance de RPKI ? Cette solution émane des RIR (distributeurs "locaux" des IP) et propose d'établir :

- des listes de détenteurs légitimes de portion de l'espace d'adressage

- associer ces détenteurs à des certificats permettant de les authentifier : un routeur recevant un message BGP pourra ainsi vérifier la légitimité de l'annonce..

Bien évidemment, on retrouve toute la problématique propre à ces systèmes : tiers de confiance ? révocation ? légitimité ?...

A suivre cependant car il me semble que c'est le truc le plus avancé du moment...

Désolé si tout le monde connait déjà !

Anonyme a dit…

Merci pour cet excellent billet. En ce qui me concerne je déplore souvent la représentation des hackers ou des problématiques de sécurité réalisée par les medias, en particulier par le mass media. Les reportages sont le plus souvent traités sous un angle sensationnel et totalement imprécis. Le FUD fait vendre. Parfois je tente de faire témoigner des gens légitimes comme toi, mais ce type de traitement généralisé les rend hésitants à participer. Dommage car ceux qui prennent leur place dans la lucarne ne sont pas toujours les meilleurs. J'ai par exemple participé à la préparation des 2 sujets du Lundi Investigation de Canal+ que tu évoques ; des mois de briefing, rencontres, interviews et tournage avec de purs experts ont été in fine sacrifié sur l'hotel de la coupe au montage. La rédaction de Canal+ a fait l'impasse sur l'info par choix. Ne nous décourageons pas et Œuvrons ensemble pour une meilleure information. Nous avons besoin d'experts pour comprendre et obtenir une autre grille de lecture que celle qui est proposée par les généralistes aujourd'hui.

Véronique Loquet

Anonyme a dit…

Excellent!

Mais bon, en gros nous arrivons à un accord tacite entre experts autorisés sur le fait que "les médias ne montrent pas la vraie vérité". Super.

Après il y a ces éternelles petites guéguerres pour savoir qui sont les experts autorisés. C'est le genre de débat passionnant qu'on laisse généralement aux philosophes quand on a un vrai métier.

Néanmoins c'est toujours un plaisir de voir quelqu'un taper aussi largement sur les conférences spécialisées, les mythes de la sécurité, les fausses certitudes, les bons et les mauvais chasseurs - pardon hackers -, les cybergénéraux (ce terme là me fait vraiment hurler de rire)...

Allez courage cybertroufion, çà va passer.

HB

newsoft a dit…

@CIDRIS: non, je ne connaissais pas RPKI. Néanmoins dès que j'entends "PKI globale", je me détends. Un peu comme si DKIM allait définitivement régler le problème du spam, ou comme si DNSSEC allait régler quoi que ce soit :)

@HB @Véronique: il est effectivement délicat de faire le tri entre les experts "autorisés" et les autres. D'autant plus qu'un excellent expert technique ne va pas forcément réussir à convaincre les foules comme un Steve Jobs.

Mais enfin les ratages de la justice montrent bien à quel point le titre "d'expert" permet surtout de jauger des compétences de celui qui le décerne.

Anonyme a dit…

Histoire de rajouter une couche :

http://marc.info/?l=openbsd-tech&m=129236621626462

Cyber Kad

newsoft a dit…

@CyberKad: bien que le sujet "l'Open Source est-il nécessairement plus sûr" ait tout à fait sa place sur ce blog, on s'éloigne de la CyberGuerre :)

Par contre cette actualité récente (non confirmée) me semble plus intéressante:

http://www.debka.com/article/20406/

Comme quoi la "CyberGuerre" n'est pas efficace tant qu'elle reste 100% virtuelle ...

mr potatoe a dit…

En parlant de cyberguerre http://pro.01net.com/editorial/524825/internet-ne-se-defend-pas-donc-on-le-coupe/ (ils se réunissent en catimini pour en parler ou quoi ???

Sinon rien a voir je me demandais s'il existait quelques chose tel que le Cyber Defense Exercise en france ou même s'il était prévue un semblant de SANS NetWars (tu n'est peut-etre pas au courant mais ceux qui lisent ton le sont peut-être eux :P )

VladK a dit…

Oldiez mais ça suit ton lien de chez Bedka :
http://www.jpost.com/IranianThreat/News/Article.aspx?ID=197737

Par contre, je suis étonné que les assassins se soient fait choper, même si parfois, les espions ne sont pas James Bond (http://bcove.me/8gg4217l), si c'est vrai, ils doivent l'avoir mauvaise au Mossad, à la CIA et au MI6.

newsoft a dit…

@MrPotatoe: je ne suis pas au courant, mais j'avais l'intention de bloguer sur les CyberExercices dans tous les cas :)

@VladK: je propose de ne pas se moquer des autres :)

http://www.ladepeche.fr/article/2010/12/15/970868-Les-Chinois-victimes-d-espions-francais.html

Anonyme a dit…

Hey, I am checking this blog using the phone and this appears to be kind of odd. Thought you'd wish to know. This is a great write-up nevertheless, did not mess that up.

- David

VladK a dit…

@news0ft : loin de moi l'idée de me moquer. 007 et le zohan n’existent pas, mais j’ai toujours l’image, naïve, que les gens du renseignement/espionnage sont << les meilleurs des meilleurs des meilleurs >>. D’où mon étonnement à chaque évènement de ce type.