avait lieu le 1er festival du film de sécurité. Belle initiative qui ne fut pas reconduite, c’est bien dommage.
Je profite de cet anniversaire pour mettre en ligne le lauréat de cette unique édition, Airbus Group. Ce film fait la part belle aux rêves de prototypes dont les aboutissements se trouve compromis par des comportements malheureux.
Appréciez les images, les messages, mais aussi les lieux ou vous n’irez probablement jamais 😉
Bravo à Airbus Group pour cette belle réalisation.
L’ingérence des pays dans les élections est aussi vieille que l’art de la guerre. En effet selon Sun Tzu. Il « Le meilleur savoir-faire n’est pas de gagner cent victoires dans cent batailles, mais plutôt de vaincre l’ennemi sans combattre ».
Plusieurs phénomènes se sont développé au fil du temps et aboutissent à ce raffinement ultime que l’on connaît actuellement et qui scandalise de nombreuses personnes.
Depuis longtemps les états cherchent à influencer les autres états, de façon plus ou moins violente et transparente. Ce fait n’est pas nouveau en soi. ce qui est nouveau par contre c’est la façon de le faire.
D’un autre côté le développement commercial passe par une phase de marketing, domaine qui n’a de cesse de s’améliorer au fil du temps. Ce domaine qu’est le marketing n’a de cesse de développer de nouveaux modes d’action et l’un d’eux est le marketing politique qui s’appuie principalement sur les médias et dernièrement sur les réseaux sociaux. Par exemple le marketing politique a été employé en Irak en 2003 (ici). Il ne faut toutefois pas confondre la propagande avec du marketing politique.
Enfin dernier ingrédient de notre savant mélange, les technologies de l’information que sont, Internet, le Big Data et les objets connectés. Ces techniques ont permis une accélération du temps, de concentrer les données et de pouvoir les analyser finement et rapidement.
Ces différents phénomènes imbriqués les uns dans les autres, permettent aujourd’hui d’avoir une certaine forme d’influence sur les processus démocratiques des démocraties. Ce qui n’était pas concevable et réalisable par le passé devient réalisable aujourd’hui.
Ensuite ce qui est acceptable pour certains acteurs, je pense en particulier aux pays occidentaux qui cherchent à imposer leurs modèles à d’autres, semble ne pas acceptable pour d’autres. Les pays occidentaux sont passé au fil du temps d’une imposition de leur volonté par des moyens militaires au Soft Power (ici) comme lorsque la CIA a appuyé Force ouvrière (ici), or ils ne sont pas les seuls à pouvoir utiliser cette méthode. Au final l’utilisation de ces principes repose sur un principe simple l’ingérence.
Dans le cas qui nous préoccupe, nous en France, c’est de constater que lors de l’élection américaine il semble qu’il y ait eu une ingérence Russe dans l’optique de placer un candidat qui soit le moins mauvais pour l’ingérant, cela n’implique pas qu’il soit pro-russe. Comme le principe d’une élection n’est pas d’avoir tous les votes pour soi mais juste la majorité, il suffit de pousser l’opinion publique, de quelques pourcents dans un sens ou dans l’autre. Dans le cas américain, le principe de l’élection par grand électeur rend le travail plus facile puisqu’il suffit de mener l’action aux points stratégiques, de remporter quelques états clés pour faire basculer le vote.
Dans le cas français le processus est différent, car la seule élection a grand électeur est celle du Sénat qui se renouvelle par tiers tous les 3 ans. donc influencer directement une élection française sur un mode à l’américaine est très improbable.
Cependant il est toujours possible d’infléchir à l’inverse le candidat que l’on ne souhaite pas voir arriver au pouvoir et cela grâce aux techniques cybers qui permettront de sortir une “affaire” au plus mauvais moment, par exemple dans le cas américain l’affaire des mails à quelques jours de l’élection comme cela est arrivé pour Hillary Clinton. Dans ce dernier cas c’est très compliqué de gommer l’effet au moment de déposer son bulletin dans l’urne.
Maintenant construire une affaire n’est pas trop compliqué, car par définition les personnalités politiques sont publiques et elles ont des vulnérabilités comme tout le monde, on se souviendra de l’affaire “DSK”. De plus comme les personnalités politiques sont mêlés à plusieurs milieux, comme ceux des affaires et du journalisme, il est assez facile pour un service de renseignements étranger de trouver des indices et des éléments pour construire une affaire ou en exhumer une.
Contrer cette ingérence sans mettre en péril les fondements de la démocratie est compliqué car cela abouti indirectement à compromettre certains candidats aux détriment des autres, c’est probablement le point faible de la démocratie de nos jours.
L’événement majeur de la sécurité informatique de ce début d’année se déroule à Lille les 24 & 25 janvier.
Le Salon du FIC pour sa 9ième éditions une fois n’est pas coutume au Grand Palais de Lille. Il regroupera plus de 5000 visiteurs, des dizaines de conférenciers et des centaines d’industriels pour échanger, partager et tracer un chemin vers une meilleure protection des systèmes d’information.
Je vous donne donc rendez-vous à cet événement majeur de la cybersécurité, avec la présence des ministres de l’Intérieur, de la Défense, de la secrétaire d’état au numérique, mais aussi à tous les visiteurs qui apporteront leur pierre à l’édifice de la sécurité.
A noter qu’a l’heure actuelle les ateliers sont complets mais que les inscriptions sont toujours possibles.
Il y a quelque temps je vous avais parlé du festival du film de sécurité. celui-ci s’est déroulé le 11 octobre 2016 à Enghein Les Bains près de Paris. Voici donc les résultats avec en prime les vidéos dans la mesure où elle était publique et le teaser du festival là.
Le grand prix du jury a été décerné à la série “Sécurité” produite par Master Films, réalisé par Frédéric Duvin pour le compte d’Airbus Group. Voici quelques épisodes traitant de plusieurs sujets récurrents de la sécurité des informations dans l’entreprise.
Episode 1, Episode 2, Episode 3, Episode 4, Episode 5, Episode 6,
Le trophée de la meilleure réalisation a été décerné à “Cybersecurity changes with Orange” produite par Woow your Life, réalisé par Woow your Life pour Orange.
Le film ici.
Le trophée du meilleur scénario a été décerné à “Seconde fatale” produite par Image in Production, réalisé par Image Production pour Soltanche Freyssinet.
Le film n’est pas disponible.
Le trophée du meilleur film d’animation a été décerné à “La sécurité des SI, tous concerné” produite par la RATP, réalisé par Caribara pour la RATP.
Le teaser des films est ici, des extraits des épisodes par la Episode 1, Episode 2, Episode 3, Episode 4, Episode 5, Episode 6.
Le trophée du meilleur film dans la catégorie “Produit” a été décerné à “Liva” produite par Fulgura Films, réalisé par Fulgura Films pour Liva.
Le film est ici.
Le trophée du meilleur film dans la catégorie “Communication Externe” a été décerné à “Will you invite a trojan horse in your home” produite par Humblestorm/Armstong Film, réalisé par Johan Ring et Johon Alrion pour F-Secure.
Le film est ici.
Le trophée du meilleur film dans la catégorie “Communication Intene” a été décerné à “Série Rapid Learning Surf Clean Phishing” produite par Getzem Secure, réalisé par Getzem Secure pour le Crédit Agricole.
Le film n’est pas disponible.
Les sujets traités sont variés, agréable à regarder, ce qui est la première qualité lorsqu’ont les regarde.
L’initiative de ce festival est formidable car elle permet de mettre sur le devant de la scène un aspect important de l’entreprise numérique et du salarié connecté. En attendant le prochain l’année prochaine.
Ces derniers temps le nombre de fuites de données ne se tarissent pas, pourtant ce n’est plus par méconnaissance, ni par manque de moyen technique, n’y aurait-il pas autre chose derrière tout ça.
En assistant un peu par hasard à une séance de sensibilisation j’ai découvert un concept intéressant, celui du MICE, rien à voir avec le mulot de l’ancien président français Jacques Chirac. Le MICE est l’acronyme de “Money – Ideology – Compromise – Ego“. L’argent, l’idéologie, la compromission et l’égo.
D’après les spécialistes que j’ai religieusement écouté ces 4 motivations sont les leviers qui permettent à des personnes d’entreprendre des actions de “trahison” envers leur environnement proche, amis, famille, employeur, pays, etc… En français on utiliserait plutôt l’acronyme VICE “Venal, Idéologie, Compromission, Ego”.
Ce concept, peut-être utilisé comme grille de lecture, et peut servir à manipuler quelqu’un, dans le bon, comme le mauvais sens.
Dans le bon sens le manager peut utiliser quelques éléments de cette grille, l’argent et l’égo, voir l’idéologie. En effet pour bien manager une force commerciale, l’argente et l’égo font souvent mouche, par contre dans une équipe d’ouvriers, l’idéologie, sous forme de loyauté à son entreprise et une fibre bien meilleur pour les résultats du manager qu’augmenter les salaires.
Dans le mauvais sens, les services secrets utiliseront tous les moyens pour manipuler une personne, est lui faire faire réaliser des actions qu’elle ne souhaite pas, comme par exemple faire fuiter des informations, un petit peu comme dans l’affaire Edward Snowden, ou plus connu l’affaire Farewell.
Passons tout d’abord ces leviers en revue.
L’argent :
L’argent moteur du monde, et une motivation qui fait se dépasser les traders, dans l’optique de bonus énormes. Un certain Jérôme Kerviel a pris des risques en ce sens. Ce n’est pas l’argent qui est une fin en soi comme l’oncle picsou, mais plutôt ce qu’on en retire.
L’argent permet d’acheter des objets et des biens de grande valeur, de rembourser des dettes, accéder à un statut social, cela permet d’assouvir un certain sentiment de puissance et de réussite.
L’idéologie :
L’idéologie repose sur une croyance en une, religion, politique, type de société, et dans l’extrémisme de la pensée de celle-ci.
En effet ces personnes font de leur idéologie une fin en soi, mais qui peut un jour s’effondrer, comme s’est effondré le communiste dans les années 90.
La compromission:
Le levier de la compromission permet de mettre une personne en opposition des lois, de la morale, ou de la société et finalement de la faire “collaborer” à un dessin qui n’est pas le sien en promettant de passer “l’éponge”.
La compromission concerne souvent des histoires, de mœurs, criminels, qui permettent de faire du chantage à la personne concernée.
L’égo:
Qui n’a jamais été flatté par un manager qui lui dit qu’il est les meilleurs de l’équipe? C’est tellement bon à entendre…
L’égo est une arme redoutable qui permet d’obtenir des choses incroyables de la personne “ciblé”. Les managers sont très friands de ce levier, tout comme les employés qui les écoutent.
Être le meilleur, une star, ou encore un héros, la finalité de notre société en mal être.
Ces 4 leviers permettent d’obtenir toutes sortes de choses de la personne qui en est la cible. Et souvent bien au-delà des espoirs du commanditaire.
Lors de cette conférence il a été expliqué que cette grille était utilisée comme lecture des vulnérabilités d’un individu. A bien y réfléchir on est tous sujet à ces 4 éléments.
Dans le cas qui nous occupe les fuites d’informations des systèmes d’information, on peut légitimement se demander si celle-ci se produisent grâce ou a cause de ces vulnérabilités ou force de motivation si on regarde l’attaquant.
Dans les cas de phising exemple l’égo est très utilisé pour donner de la confiance à la cible, puisqu’elle a la confiance du PDG.
Et partir de la commence l’histoire de la fuite, mais c’est une autre histoire.
Dévoilé le 16 Octobre 2015 par Monsieur le Premier ministre Manuel Valls la Stratégie nationale pour la sécurité du numérique a mis en avant 5 points. Le point numéro 3 est celui de la sensibilisation et de la formation.
Il n’y a pas de sensibilisation sans support. Le Cigref avait développé une série de petits films sous le label Hack Academy dont j’avais de parlé ici. Le département du Val d’Oise et l’association Pays de Roissy-CDG sont à l’initiative du 1er festival du Film de Sécurité qui se tiendra le 11 octobre 2016 à Enghein Les Bains. Cette initiative très intéressante rentre directement dans le cadre de la Stratégie nationale pour la sécurité du numérique et permettra à différents acteurs de se rencontrer, d’échanger sur ce vaste sujet.
Lors de cette journée des films projetés seront en compétition, des conférences auront lieu et un espace dédié aux entreprises permettra à chacun de connaitre le savoir-faire des uns et des autres dans les métiers de la réalisation, du tournage ou des serious games.
Vous trouverez toutes les informations ici.
L’enjeu d’aujourd’hui est de sécuriser ses réseaux. Lorsque l’on a plusieurs réseaux l’on cherche toujours un moyen de limiter les flux, le premier élément qui vient à l’esprit est le firewall. Cela permet des choses mais si l’on souhaite faire circuler l’information dans un seul sens, et être sûr que l’on ne puisse pas remonter le flux dans l’autre sens il ne reste qu’un seul outil : la diode réseau.
La diode est un mécanisme physique se basant sur une fibre optique qui n’aurait qu’un brin. C’est donc une liaison réseau unidirectionnelle. Cela permet de relier 2 réseaux, appelé, réseau bas et réseau haut. Ces 2 réseaux ne peuvent pas fonctionner en mode connecté, car seul un brin transmet les informations, donc les paquets partent sans avoir de garantie qu’ils arrivent, même s’ils arrivent. Pour que le tout fonctionne correctement, il est nécessaire de disposer de 2 serveurs, qui s’appellent le guichet haut et le guichet bas. Ici et ici vous avez la présentation faite au SSTIC 2006 par Philippe Lagadec, il y a déjà 10 ans.
Depuis 10 ans les choses ont évolué, plusieurs fabricants propose des produits, Thales avec sa Diode ELips SD (ici la plaquette), Seclab avec Denelis ou encore la Fox Datadiode de Factory Système. D’autres acteurs étrangers existent aussi et proposent des produit sur des architectures similaires. Tel Arbit, Deep Secure, Vado Security, Advenica, …
Ces produits ont un certain coût qui peut dissuader un acheteur d’implémenter une solution surtout dans le cadre d’un budget contraint. Dans cette optique Arnaud Soullié et Ary Kokos ont présenté au SSTIC 2016 une diode a moins de 200€ (vidéo ici). Cela peut permettre à une petite structure avec un petit budget et un peu d’huile de coude de disposer d’un dispositif permettant de mettre de la sécurité entre plusieurs réseaux à un prix vraiment abordable.
Cet outil me semble un incontournable, car permet de mieux ségréger les réseaux en particulier dans le cadre de réseaux industriels qui ont des besoins différents de réseaux bureautiques. Et rien de mieux qu’une solution à bas cout pour réaliser un proof of concept pour convaincre d’investir dans des infrastructures plus adaptées. Il existe aussi des solutions logicielles mais j’aurai le temps de revenir dessus plus tard.
Bilan des conférences Cyber à Eurosatory 2016
La semaine dernière s’est déroulé le 4ième forum CyberDef-CyberSec. Ce forum s’est déroulé lors du salon Eurosatory 2016 à Villepinte. Le cycle de conférences s’est déroulé sur 2 jours, cette année, c’était les mardi 14 et mercredi 15 juin. Hormis la conférence d’ouverture, toutes les conférences étaient en anglais.
La conférence d’ouverture a été faite par le vice-amiral Arnaud Coustillière qui est en charge de la cyber défense au sein des forces armées françaises. Il a synthétisé la position française sur le sujet. avec une question qui est revenu pour d’autres conférences, l’équilibrage entre la lutte informatique défensive (LID) et la lutte informatique offensive (LIO), question auquel les orateurs ont répondu en indiquant que l’équilibrage se faisait en fonction des besoins, réponse assez évasive, mais réponse quand même.
Lors de la conférence suivante il a été question de la course aux armements dans le cyberespace avec Mikko Hypponen de F-Secure.
La troisième conférence de la première journée portait sur un sujet qui a été remis sur le tapis le lendemain, “Convergence de la guerre électronique et Cyber sur le champ de bataille”. Le mercredi c’était “comment contrôler simultanément le cyberespace et le spectre électromagnétique”. Ces sujets assez proches ont été présenté par des officiels américains qui il faut le reconnaitre ont une longueur d’avance sur le sujet. Ce sujet concerne plutôt le champ de bataille, ce qui assez logique sur un salon comme Eurosatory.
Le mardi on a eu un sujet sur la menace intérieure, “Insider Threat : comment faire face aux menaces provenant de l’intérieur de votre organisation”, une menace bien souvent ignorée par les CIO, alors que chaque salarié quittant une société emmène toujours des données de l’entreprise.
La dernière conférence de la journée portait sur la résilience cyber quand tous les systèmes et plateformes sont connectés, un vaste programme. La vue japonaise des choses était intéressante, car axée sur les problématiques du pays devant tenir compte de son environnement tectonique qui a un impact fort sur la résilience des systèmes d’information.
La première conférence du mercredi portait sur un sujet assez classique sur la détection des menaces et des attaques.
La conférence suivante était sur les fuites d’informations, avec l’affirmation du moment, “il n’est plus question de savoir si on sera attaqué, mais quand?”. Là aussi il n’y avait rien de très nouveau mais l’allocution de Mr Koivunen de F-Secure était agréable.
La conférence de début d’après-midi portait sur la Cyber Défense et la Cyber sécurité en Afrique, continent vierge s’il en est. Les problèmes de l’Afrique sont plutôt orientés sur la cyber criminalité pour l’instant mais les compétences montent vite. Cette conférence a attiré beaucoup de monde.
Les conférences n’étaient pas d’un niveau technique très pointu, mais correspondaient au niveau d’attente d’un salon comme Eurosatory, en particulier les conférences situées au carrefour entre le cyberespace et le champ de bataille. La liaison entre le spectre électromagnétique et le cyberespace montre très bien la très grande maitrise qu’ont les Américains du sujet. Ce qui est rassurant ou pas, c’est que les messages sont constants, sensibilisation, maintenance des niveaux techniques sont les mamelles de la cyber.
Mr Tissot a organisé de bien belles conférences, vivement les prochaines.
Cyber par ci, cyber par là, de la chaussure, au frigo en passant par les avions, les voitures il y en a partout. Je voulais depuis quelque temps expliquer ce qu’était le cyber terme qui en vaut bien d’autres. On pourrait dire aussi connecté, informatisé, communiquant, numérique, il existe plein de dénomination possible. Qu’est-ce exactement? Personne n’en sait trop rien, par contre nous somme toutes et tous des cybers quelques choses, citoyen, consommateur, soldat, terroriste, même le sexe y a droit!
Wikipedia a bien résumé la chose, “ Cyber- est un préfixe à la mode à partir de la deuxième moitié du XXe siècle”. Mais ce n’est pas uniquement cela. C’est aussi est surtout un milieu.
Je perçois le cyber comme des chemins numériques reliant des points du monde réel entre eux. Ces chemins mêmes s’ils sont matériels, les fibres optiques, les files de cuivre, les ondes peuvent être considéré comme immatériels et innombrables et ne font que faire transiter des informations.
Le passage entre le monde numérique et matériel se réalise au travers d’interfaces. Celles-ci sont construites dans ce seul but, avec des composants matériels dédiés, le matériel informatique. Celui-ci est construit autour d’un processeur, de mémoire, de dispositifs d’entrées, de sortie et de communication. Un peu comme un port qui sert d’interface entre la mer et la terre.
Enfin il est nécessaire de disposer de mécanisme pour stocker la quantité phénoménale l’information qui est captée par les interfaces et générée par l’ensemble des acteurs lorsque l’énergie nécessaire à faire fonctionner tout cela disparaît.
Ces ensembles, les chemins numériques, l’énergie, le stockage et les interfaces forment le milieu cyber, et sont interdépendants.
Le cyber est un nouveau monde qui prend ses racines sur le monde réel qui nous est si cher. Mais aujourd’hui nous ne serions plus grand-chose sans ce nouveau monde.
Alors que la crue Seine semble s’éloigner je voulais revenir sur cet événement qui connut un problème technique majeur dans l’évaluation de la crue, la crue de la Seine en Cyber crise.
Le premier élément de cette crue a été joué il y a quelques mois du 7 au 18 mars 2016 lors d’un exercice européen et organisé par la préfecture de police de Paris, les détails sont ici.
Il y a eu beaucoup d’informations pour indiquer qu’un exercice allait se jouer, par contre le résultat lui n’est pas connu (ici), ou plutôt ils devaient être débattus le 17 mai au palais de l’eau à Paris avec tous les partenaires (ici page 221), mais les dieux ont préféré un exercice grandeur nature, bien plus réaliste. L’exercice a surement bien aidé à la gestion de la crue de 2016.
Par contre un site de podcast de sécurité informatique, le Comptoir Sécu a réalisé une série d’émissions sur la durée de l’exercice. Cette série se décline en 10 émissions, de la mise en condition pour l’exercice au fatidique “qui va payer?”.
L’ensemble des podcasts est ici : J1 – J2 – J3 – J4 – J5 – J6 – J7– J8 –J9 –J10.
Ces podcasts ont le mérite de poser les choses à plat et de pouvoir y réfléchir en amont. Et les événements de ces derniers jours ne font qu’en démontrer la pertinence.
Il s’est d’ailleurs produit un événement mineur qui a conduit à une mini-crise dans la gestion de la crue. Cela c’est produit au cours de la journée du vendredi 3 juin. Alors que l’eau montait, rien d’exceptionnel pour une situation de crue, il est apparue une anomalie entre ce que l’on observait et ce que l’on mesurait (ici et ici).
Or lors de la crise il est impératif d’avoir les bonnes mesures pour prendre les bonnes décisions et l’écart de 50 cm qu’il y a eu, aurait pu faire toute la différence entre une ligne de métro qui fonctionne et une qui ne fonctionne pas.
Il est assez symptomatique de notre société qu’à partir du moment ou la crise a été avéré, aucune mesure particulière n’a été prise pour valider correctement les mesures des machines, il s’est passé la nuit entre le bon fonctionnement et la découverte de la panne. Cette erreur s’est ressenti dans certaines annonces sur les hauteurs de crue et dans la précipitation de certaines opérations que les Parisiens ont pu observer en particulier dans le processus d’édification le vendredi. Le maximum de crue passé dans la nuit de vendredi à samedi on a senti un grand ouf de soulagement, même si la décrue sera plus longue.
Il faut toujours garder à l’esprit que le meilleur des capteurs reste l’humain surtout en cas de crise et surtout que le bon sens aide à passer la crise.
