samedi 13 mai 2017

Wanna Cry : la bourse ou les données ?

Depuis le 12 mai, les rédactions suivent les développements d'une "cyberattaque massive". Après s'être propagé rapidement dans plus de 90 pays (dont de nombreux pays européens) le ransomware (baptisé WannaCry ou WannaCryptor) semble en perte de vitesse après la mise en place rapide dans la nuit de vendredi à samedi d'un premier patch par Microsoft ainsi que par l'action d'un chercheur en sécurité qui aurait activé un mécanisme de secours du malware (lire ici la démarche). Retour sur un phénomène en forte expansion qui est totalement intégré dans l'arsenal de la "guerre numérique".


Le ransomware : l'arme ultime ?
Un ransomware ou rançongiciel (en fr) est un programme malveillant qui provoque le chiffrement de tous les fichiers d'un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés). Le pirate propose alors une clef de déchiffrement contre le versement d'une somme d'argent (variable suivant la cible). 
Mode d'action connu depuis au moins 1989 et en forte expansion depuis 2011, le rançongiciel compte  en France plus de deux millions de victimes, soit 3,3% de la population, pour l'année 2016. Ce chiffre est dans la lignée des pays européens où le pourcentage de population ayant déjà été infectée oscille entre 2 et 4%.(source ici). La moyenne des rançons versées est de 179 € (en France contre 500€ au Royaume-Unis) et plus de 30% des victimes payent. Le ransomware est donc un outils à fort "effet de levier", facile à réaliser, il permet de gagner vite de l'argent. 

Les faits (au 13 mai 17h00):
Dans la journée du vendredi 12 mai 2017, on constate l'apparition et la diffusion rapide d'un nouveau rançongiciel qui exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010

Dès la fin de matinée les première victimes apparaissent au Maroc (Voir la carte animée du New-York Times). Les autorités américaines et les entreprises de sécurité informatique s'alarment rapidement. Kaspersky détecte l'attaque et analyse "WannaCry" comme étant en lien avec l'exploit "EternalBlue" (qui permet le déploiement d'une backdoor sur la cible) qui avait été rendu public le 14 avril dernier par les fuites du groupe Shadowbrokers et patché par Microsoft un mois avant le 14 mars 2017 (voir Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool). Face à la propagation rapide, les agences de sécurité recommandent de mettre à jour rapidement les systèmes (ça tombe bien on est vendredi soir...). De façon exceptionnelle, Microsoft publiera même dans la nuit un correctif pour des versions qui ne sont plus soutenues (Windows XP par exemple) mais qui demeurent très répandues dans les administrations et les entreprises. C'est ainsi la première fois,depuis le 8 avril 2014 date de l'arrêt du support, que Microsoft diffuse un patch pour Winndows XP soulignant ainsi l'aspect hautement critique de cette vulnérabilité.

C'est quoi MS17-010 ?
Le 14 mars 2017, Microsoft publie un bulletin de sécurité pour signaler une vulnérabilité "critique", le MS17-010 et publie donc une mise à jour de sécurité pour ses produits. 
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait des messages spécialement conçus à un serveur Windows SMBv1.
Il est donc conseillé de rapidement mettre à jour son système... vu qu'il s'agit d'une vulnérabilité "critique". Par ailleurs, un mois plus tard, la publication par le groupe ShadowBrokers d'un ensemble d'outils développés par la NSA relance l'intérêt pour cette vulnérabilité (qui n'est plus un ZéroDay puisqu’elle est patchée). Plusieurs outils d'exploitation sont ainsi rendus disponible soulignant au passage que l'agence américaine connaissait de longue date cette "vuln" et l’exploitait sans aucun doute. Ainsi, pour beaucoup MS17-010 s'annonce comme le digne successeur de MS08-067 qui avait entrainé l'infection de plusieurs millions d'ordinateur par le ver Conficker. Dès le mois d'avril 2017, les premiers ransomwares exploitent la vulnérabilité.


Le bulletin de sécurité MS17-010 s’annonce tout aussi intéressant et permet la prise de contrôle à distance d’un poste de travail ou d’un serveur utilisant le système d’exploitation Windows. La vulnérabilité est déjà exploitée par des ransomwares.
Les exploits sont alors intégrés dans les bibliothèques des attaquants et le framework Metasploit propose rapidement un outils permettant d'effectuer un scan (donc de détecter les machines vulnérables - smb_ms17_010).  L'exploitation s'avère tout aussi simple et la combinaison d'outils disponibles assurent la prise de contrôle des victimes (voir le tutoriel ici).

Impact et retour d'expérience
L'attaque touche rapidement plusieurs milliers de machines, mais c'est les hôpitaux britanniques qui vont révéler au grand jour l'effet "domino" de ce type d'opération.
Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays, et le géant des télécoms espagnol Telefonica.


Même si les données des patients ne semblent pas touchées, il faut "isoler" les ordinateurs infectés du réseau pour limiter la propagation. Ainsi, en quelques heures, les hôpitaux doivent ré-apprendre à fonctionner sans informatique. Au-delà de l'aspect financier, c'est le pouvoir de désorganisation induit qui nous semble à relever.  Ainsi, en France, l'entreprise Renault semble touchée et plusieurs sites de production ont été arrêtés [1]. On évoque également l'opérateur de téléphonie espagnol Téléfonica et les chemins de fer allemands.
L'arrêt de la production "fait partie des mesures de protection qui ont été prises pour éviter la propagation du virus", a déclaré à l'AFP une porte-parole de la marque au losange, sans préciser le nom des sites concernés. Selon une source syndicale, l'usine de Sandouville (Seine-Maritime), serait notamment concernée.[2]

Ainsi, trois mois après la publication d'une vulnérabilité critique, et son exploitation facilitée par des "fuites" d'outils, un ransomware peut paralyser la production d'une multinationale et parallèlement désorganiser les services hospitaliers à l'échelle d'un pays. Paradoxalement à cette heure, seul 22 000 € ont été récoltés sur les trois portefeuilles en bitcoins des attaquants.




Au niveau tactique qu'en retenir ? 
  • Il n'y a pas de corrélation entre le niveau technique des attaquants et l'impact d'une attaque;
  • L'effet indirect est parfois plus impactant que l'effet premier de l'attaque. Ici, il s'agissait d'un simple acte de malveillance pour extorquer de l'argent (au passage les hôpitaux semblent être des cibles de premiers choix car ils ont tendance à payer pour garantir leur fonctionnement);
  • Nous sommes d'autant plus fragiles que les mesures élémentaires de sécurité informatique ne sont pas appliquées (correctifs, vigilance anti-phising..);
  • Il est malheureusement à craindre que l'hybridation entre "crime-organisé" et "terrorisme" ne débouche à moyen terme sur l'utilisation de ce type d'outils dans le cadre plus général d'une attaque terroriste. 



[1] http://www.lemonde.fr/pixels/article/2017/05/13/la-propagation-du-virus-informatique-qui-a-touche-plus-de-70-pays-quasi-stoppee_5127291_4408996.html?utm_campaign=Echobox&utm_medium=Social&utm_source=Facebook#link_time=1494674947
[2]        http://www.tendanceouest.com/actualite-226537-attaque-informatique-massive-le-site-renault-de-sandouville-a-l-arret.html


samedi 6 mai 2017

La guérilla numérique: l'avenir des luttes sociales ?

Un article en ligne du site Lelanceur.fr (site qui a été créé par la rédaction de Lyon Capitale et qui est consacré à l’investigation journalistique, les lanceurs d’alertes et les lanceurs d’idées) revient sur un épisode récent de lutte sociale ayant mis en œuvre une tactique numérique en complément de l'action syndicale classique. Cette action que les auteurs qualifient de "guérilla numérique victorieuse" peut en effet nourrir la réflexion sur "l'hybridation des luttes sociales" et plus généralement sur les mécanismes insurrectionnels à l'ère numérique. Nous le verrons, plus qu'une guérilla nous avons ci-dessous, l'illustration d'une embuscade numérique, courte, violente, efficace, mais qui ne change pas "le cours de la guerre" ni le rapport de force anté.


Retour sur les faits:

En opposition avec leur direction, les salariés du CNED ont conduit une action sur plusieurs mois qui a abouti à la démission de leur directeur général. Certes des mouvements de gréves ont eu lieu, des pétitions et autres tracts mais il semble toutefois que ce soit la stratégie de mobilisation en ligne et la pression exercée via différente plateforme qui ait pu permettre d'atteindre rapidement l'objectif.
S'il ne nous appartient pas de commenter la pertinence de l'action, nous pouvons en revanche, en analyser la méthodologie et sa chronologie pour en tirer des conclusions tactiques. Nous analyserons l'évènement suivant une triple grille distinguant les facteurs temps, terrain et les acteurs avant d'évoquer les "modes d'action".

Le facteur temps:

  • 13 janvier 2016: nomination du directeur général qui sera remplacer en hâte le 23 décembre de la même année. Le cadre général de l'action durera moins d'un an. 
  • Août 2016: décision "d'attaquer frontalement la direction"
  • 18 novembre : création de plusieurs comptes Twitter qui seront impliqués dans la campagne (@thenastyseagul @pierredupont860  @framboisekaka1 @Cerise008)
  • 19 novembre 2016 : création du blog (défendons le CNED
  • Création d'une page Facebook et d'une chaine Youtube (probablement aux mêmes dates) 
  • 20 novembre 2016 : création du compte Twitter associé:@defendonslecned
  • 21 novembre 2016: Appel à la gréve
  • 23 novembre 2016: gréve
  • 23 novembre 2016: Article en ligne du Lanceur.fr faisant écho de la situation du CNED.
  • 15 décembre 2016: deux inspecteurs de l'éducation nationale se rendent au CNED
  • 23 décembre 2016: communiqué du ministère de l'éducation nationale nommant un nouveau DG.
Conclusion : l'action numérique arrive relativement tardivement dans le combat syndical et dans la mobilisation. Son action semble toutefois décisive car la décision intervient quelques semaines après la création des plateformes. La combinaison "actions classiques" (gréve) et "interpellation numérique" semble être un facteur de succès.
Le terrain numérique:

Les salariés mobilisés ont investit simultanément et sans présence préalable (donc sans communauté établie) quatre terrains d'opération: Twitter, Facebook, Youtube et la blogosphère (on notera également un dépôt dropbox accessible).
Le blog (aujourd'hui fermé et dont la plupart des contenus ont été retirés) apparaît clairement comme le média pivot de la stratégie mise en œuvre. Les comptes tweeter, majoritairement créés pour l'occasion n'ont pas survécu à la mobilisation (derniers tweets en janvier 2017 en moyenne). Le CNED ne disposait pas de compte (officiel) en mesure de contrer ce mouvement (c'est apparemment encore le cas).

Conclusion: La présence sur les trois principales plateformes s'articule autour d'un média central : le blog. Sans antériorité sur les plateforme, l'action est forcément limitée, elle ne vise pas "les masses" mais cible les "institutions" et interpellent les décideurs et journalistes. Le terrain numérique n'était pas contesté.

Les acteurs:
L'épisode en question mobilise finalement peu d'acteurs, et ces derniers peuvent être listés comme suit:
  • "Les salariés en colère", ce sont les acteurs de l'action numérique, selon Le Lanceur, ils seraient moins d'une dizaine.
  • Les syndicats, moteurs dans la mobilisation interne et les actions "classiques".
  • La direction: la cible de l'action;
  • Le ministère: cible indirecte, la ministre de l'éducation nationale est interpellée directement sur les réseaux sociaux afin de provoquer une décision;
  • Les journalistes: Utilisés comme relais vers la cible indirecte. Ils sont un maillon essentiel de diffusion.
L'analyse des interactions sur Tweeter ne laisse pas apparaître l'action de relais intermédiaires de type "influenceurs". Il n'y a pas non plus de collusions entre actions syndicales et actions "anonymes" en ligne. En revanche les "guérilleros numériques" sont tous liés... trahissant ainsi une forme d'amateurisme mais, à l'inverse, prouvant l’authenticité du mouvement. Ici, pas d'usine à Trolls, pas de robots ni d'industrialisation de "fake news".
En l'absence de "forces opposées" dans le champ numérique, ces faiblesses initiales n'ont pas été exploitées par la direction et le mouvement a pu se développer et atteindre son objectif (ou contribuer à l'attente de l'objectif).

Les modes d'action:

L’investigation du champ numérique s'explique par la volonté de dénoncer les abus au-delà de ce que peut porter l'action syndicale (sans verser dans la calomnie apparemment).
“Nous savions pertinemment qu’opposer à ce genre de management une simple réponse syndicale ne répondrait pas à l’ensemble des besoins. Car, s’ils auraient probablement défendu certains salariés, ils n’auraient pas agi, par exemple, sur les irrégularités juridiques dans le cadre d’attributions de marchés, ou sur les problématiques de décisions stratégiques engendrant de considérables baisses de chiffre d’affaires.”
           L'importance du "narratif":
Le ton du blog est initialement proche du discours classique syndical. Il demeure pourtant "anonyme" et dépasse la simple dénonciation en fournissant des témoignages et des documents internes (inspiration wikileaks?). La création d'une stratégie de diffusion pour pouvoir "tenir dans la durée de l'affrontement" et ne pas "utiliser toutes les munitions" témoigne d'une bonne connaissance des mécanismes de marketing digital. L'info doit être distillée progressivement. Par ailleurs pour mobiliser et sortir de la routine, l'humour fait son apparition avec des détournements de vidéos, des dessins, etc.
“La stratégie était d’aller crescendo. Dans les premiers jours, il n’y avait pas de révélation fracassante sur le blog. On a fait de la rétention d’information, pensant que le combat serait long et qu’il nous fallait garder des billes pour alimenter la colère des gens et faire monter la pression, au moins jusqu’au premier jour de grève et au-delà si nécessaire.”
L’accélération du tempo et la combinaison des actions ramassées dans le temps favorise la visibilité de l'opération en ligne. Ainsi le blog reçoit 8 000 visites la première semaine (semaine de mobilisation) et plus de 30 000 la semaine suivante (faisant suite à la publication du premier article dans Le Lanceur). Le blog étant le pivot de l'action, on mesure ici l'importance de disposer d'un relai extérieur afin de ne pas rester prisonnier de sa "bulle de filtre". Enfin, une "dropbox" accessible donnait accès à des produits pour la mobilisation (vidéos, tracts, affiches, etc...).

Pour conclure:
Il est peut-être un peu hâtif de conclure à la "victoire d'une guérilla numérique" à la lecture des évènements. Pour autant, la manœuvre illustre toute la pertinence d'une action sur l'ensemble du spectre allant de la mobilisation syndicale à l'alimentation de "leaks". En la matière tout est bon pour gagner la bataille de l'attention et faire en sorte que la cause défendue dépasse le seuil de bruit ambiant. Enfin, la principale leçon de cet évènement demeure contre-intuitif. Car si pour beaucoup le succès à l'ère numérique doit apparaître en "trend topic" (c'est à dire faire du volume), ici l'effet sera atteint à bas bruit. Plus qu'une "guérilla" il s'agit ici peut-être de l'illustration d'un "coup de main" ou d'une "embuscade 2.0". Personne n'en a vraiment entendu parlé, le "potentiel adverse n'est pas neutralisé" mais la cible a été atteinte. L'objectif de ce groupe de partisan est rempli.

dimanche 9 avril 2017

Tactical Cyber : le rapport de la RAND pour l'US ARMY


A la demande de l'US Army Cyber Command, la Rand vient de publier une étude sur le développement de l'appui cyber au niveau tactique.

https://www.rand.org/content/dam/rand/pubs/research_reports/RR1600/RR1600/RAND_RR1600.pdf


Si le sujet n'est pas neuf, et fait déjà l'objet de recherche intensive au sein de l'armée de terre américaine (voir ici et ), le rapport de la Rand présente plusieurs cas pratiques et sort bien souvent des lieux communs. Pour l'Army, l'heure est au développement de nouvelles capacités et des doctrines associées.

More broadly, the Army has stated that future cyber operations must be conducted jointly and at all echelons, and they must include both defensive and offensive components.

Le liens de confiance entre "army" et la communauté du renseignement est ainsi souligné à plusieurs reprises :

the Army will need to earn the trust of the intelligence community (IC) and the cooperation of law-enforcement agencies and other partners that might not be initially comfortable with the concept of Army OCO.
Le document revient sur la façon dont le corps des marines a su "s'approprier" le renseignement d'origine électronique (SIGINT) et développer une relation de confiance avec la NSA (à la faveur de l'opération Enduring Freedom). Ce retour d'expérience peut selon les auteurs servir de base au développement de l'appui cyber au niveau tactique et principalement dans son volet offensif.

Une limite demeure pourtant, il ne semble pas que les auteurs soient prêts à accepter que les opérations au niveau tactique puissent engendrer des effets qui ne soient pas "locaux". Si tel n'est pas le cas c'est probablement à l'échelon supérieur que l'op doit être conduite et planifiée.

On notera également la description dans ce document des OSMO "Offensive Social Media Operations" qui sont présentées comme:
OSMO includes activities conducted directly on social media platforms to gather information, engage in counter-messaging, deliver precision cyber effects, and counter, degrade, deny, or destroy adversaries’ social media operations.

Tout un programme.


  • Chapter One
    Understanding the U.S. Army's Need for Tactical Offensive Cyber Operations
  • Chapter Two
    Case Study One: Joint Interagency Task Force — South
  • Chapter Three
    Case Study Two: U.S. Marine Corps Tactical SIGINT
  • Chapter Four
    Case Study Three: The Use of Armed Drones
  • Chapter Five
    An Approach to Army Tactical OCO: Tethering
  • Chapter Six
    Choosing Practical Types of Tactical OCO
  • Chapter Seven
    Best Practices, Goals, and Strategy



https://www.rand.org/content/dam/rand/pubs/research_reports/RR1600/RR1600/RAND_RR1600.pdf

jeudi 16 février 2017

Countering Hybrid Threats in Cyberspace

Most of the strategists and military experts considered cyberwarfare as a force multiplier in the global reshaping of the military affairs. Preparing for a “cyber Pearl Harbor” we have missed the overall picture where State and non-State actors use cyber tools to conduct their global information war.

This paper proposes a broad overview of the concept of hybrid threat and how it applies in cyberspace. Built to counter a major cyberattack against our National Critical Infrastructure (NCI), most of the cyber forces are not well adapted to face the guerilla style warfare imposed by our adversaries. Based on recent lessons learned, this paper enlightens the challenges and opportunities of countering hybrid threats in cyberspace.


There is, so far, no clear definition of the ‘hybrid threat’ concept in Western military institutions although there is no longer any debate about the reality of its existence in cyberspace. Whether one refers to the 2006 Israeli – Hezbollah war, to the Ukrainian crisis or to the operations performed by the so-called Islamic State (IS), the global strategy of the warring actors fully takes into account operations in cyberspace.

Military organizations and doctrines faced with this form of warfare on and via the networks, which act as a mirror of air-land fighting, are subject to conflicting requirements. Therefore, structures of force have to quickly adjust to the persistence of State conventional or proliferating threats while regularly facing irregular adversaries, and also take the fifth operational domain of warfare[i] into account.

Read the full story in the CyberDefense Review

mercredi 25 janvier 2017

FIC 2017 : l'heure de l'action hors série de DSI

A l'occasion du FIC 2017, le magazine DSI consacre un hors série aux transformations stratégiques et opératives induites pas l'émergence du "cyberespace". En kiosque sous peu et déjà le sommaire ci-dessous.

J'y signe un article sur l'impact des données de masse pour l'aide à la décision et l'action. On y revient sur la profonde transformation des métiers de l'analyse pour faire face à ce phénomène.


Son sommaire :
Editorial
Introduction
Les évolutions du cyberespace et du cyberconflit Par Daniel Ventre, CESDIP (CNRS), titulaire de la chaire Cybersécurité & Cyberdéfense (Ecoles de Saint-Cyr Coëtquidan /Sogeti / Thales)
Construire la paix et la sécurité dans le numérique Par Guillaume Poupard & Christian Daviot
Cyberdéfense militaire, vers une nouvelle composante des armées. Par Arnaud Coustillère,vice-amiral, officier général à la cyberdéfense
Continuum défense-sécurité dans le cyberespace Par Marc Watin-Augouard, général d’armée (2S), directeur du centre de recherche de l’EOGN, fondateur du FIC, président du Centre Expert contre la Cybercriminalité Français (CECyF)
Le cadre juridique de lutte contre les cybers menaces
Par Ronan Doaré, maître de conférences de droit public, Directeur du Centre de Recherche des Ecoles de Saint-Cyr Coëtquidan (CREC)
Cyber, droits et libertés
Par Sandrine Turgis, maître de conférences en droit public, Université de Rennes 1, chercheur associé au CREC/Membre de l’IODE (CNRS 6262)
Le cadre juridique de la cyberdéfense active
Par Eric Pomes, Secrétaire général du Centre de Recherche de l’Institut Catholique d’Etudes Supérieures et chercheur associé au CREC Saint Cyr
Les transformations technologiques
Les apports de l'intelligence artificielle en cybersécurité et en cyberdéfense
Par Thierry Berthier, chaire de cyberdéfense & cybersécurité Saint-Cyr
Comprendre pour agir à l’heure du big data : une approche stratégique de la donnée
Par Bertrand Boyer, lieutenant-colonel, Saint-cyrien, breveté de l’Ecole de Guerre et diplômé de Télécom Paris Tech. Membre de la chaire de cyberdéfense, auteur de plusieurs ouvrages
Les objets connectés militaires et les mutations induites
Par Jean-Charles Nicolas, colonel conseiller Cyber du Commandement des SIC
Cybersécurité du domaine maritime
Par Patrick Hebrard, DCNS, Ecole Navale, Titulaire de la chaire de cyberdéfense de l’école navale
La transformation des usages et des méthodes
Des concepts de cyberstratégie et de cyberguerre et de leur application
Par Joseph Henrotin, chargé de recherche au CAPRI
La logistique : le maillon faible ?
Par Thierry Kessler-Rachel, officier mécanicien de l’armée de l’air, titulaire d’un mastère spécialisé en sécurité des systèmes d’information
La cyberrésilience des systèmes d’armes
Par Gérard de Boisboissel, ingénieur de recherche au CREC Saint-Cyr, Secrétaire général de la chaire Cyberdéfense et Cybersécurité Saint-Cyr / Sogeti / Thales
Cyber résilience et cognition humaine en milieu aérospatial
Vers une collaboration entre intelligence artificielle et intelligence humaine.
Par Pierre Barbaroux, docteur, Centre de Recherche de l’armée de l’Air et co-titulaire de la chaire « Cyb’Air », Paul Theron, Docteur, Thales Communication & Security & co-titulaire de la chaire « Cyb’Air », Ludovic Fabre, Docteur, Centre de Recherche de l’armée de l’Air
Militarisation du cyberespace : quels défis ?
Par Stanislas de Maupeou, Directeur stratégie et marketing des activités Systèmes d’information Critiques et Cybersécurité de Thales
Un Skynet Terminator de la cyberdéfense est-il souhaitable ?
Par Eric Hazane, membre de la Chaire St Cyr de cybersécurité et de cyberdéfense, cofondateur d’EchoRadar
La cyberguerre à l'ère du siège cybernétique
Par Hugo Loiseau – descriptif à venir
Faire face aux conflits de demain : la réserve de cyberdéfense
Par Sébastien Pallaro, lieutenant-colonel, chef du Centre de la Réserve et de la Préparation Opérationnelle de Cyberdéfense (CRPOC)