[Maroc : politique extérieure et influences]

il y a 13 minutes, g4lly a dit :

NSO est clairement un outil du softpower israélien personne ne s'en cache ... et forcément c'est sous le contrôle d'une manière ou d'une autre des SR israélien.

Mouais, "sous le contrôle" ça veut tout et rien dire : accès aux données brutes remontées ? Ou rien du tout ? Quand tu possèdes l'infra, même en boite noire, c'est assez facile d'identifier et couper tous les flux qui ne t'intéressent pas ou que tu juges suspects. Sans savoir comment fonctionne le produit, c'est purement spéculatif de juger si les SR israeliens en tirent profit ou non. Surtout qu'un SR client aurait probablement grand intérêt à refuser l'utilisation d'un produit s'il ne peut pas s'assurer un minimum de son contrôle et avec qui il discute.

Sinon pour coller au Maroc, j'apprends que des numéros de téléphones de M6 et son PM figurent dans la liste.

[Maroc : politique extérieure et influences]

L'Espagne est client de NSO pour Pegasus depuis quelques années, et des leaders indépendantistes catalans figurent parmi les gens qui auraient pu être surveillés.

Je ne critique pas l'enquête initiale qui est un super travail, je critique plutôt la reprise des médias mainstream qui ne font que recopier des résumés de l'enquête les uns sur les autres en ajoutant des approximations et erreurs.

L'objectif initial de NSO est de ne vendre le produit qu'aux SR sérieux (l'exécutif israélien doit donner son accord pour que NSO vende son produit à un pays), mais vu le prix du produit (que j'estime très grosse mailles à 10-30M$ selon le niveau de licence), il n'ont pas pu le vendre initialement aussi large qu'espéré (finalement une cinquantaine d'état aujourd'hui quand même, c'est énorme, mais le début fut bof), et ont débordé sur tout ce qui pouvait aider les intérêts de leur gouvernement (les pays du Golf). D'ailleurs, c'est bien les pays du Golf qui ont lancé le marché, avant que bien d'autres ne leur emboîtent le pas. De là à dire que certains SR clients ont pu déborder de l'objectif antiterroriste, il n'y a qu'un pas. Mais il faut aussi faire la différence entre espionner un opposant et espionner un individu pour le compte d'une organisation criminelle ou d'un SR tiers non client.

Je n'ai aucune certitude sur comment fonctionne le soft, mais j'ai cru comprendre que les clients avaient une infra dédiée on prem avec leurs propres DB et C2, ce qui complique la manière dont les SR israeliens pourraient récupérer des infos dessus, même si on peut légitimement penser qu'ils essayent / ont essayé.

+1 Niafron, il faudrait créer un fil dédié, probablement dans la section renseignement ? Pour moi, ça n'a rien à voir avec la cyberwarefare dans le sens où la finalité c'est de faire du rens et pas de la destruction opérationnelle.

[Maroc : politique extérieure et influences]

Pour rappel : sauf erreur de ma part, la liste des numéros n'indique ni que ceux-ci ont été exploités, ni qu'il y en a eu la volonté active, ni qu'ils ont été exploités par les SR marocains plus que n'importe quel autre SR. Attention à l'emballement médiatique et aux titres putaclic. Personne n'a soupçonné l'Espagne à la place du Maroc. Pourtant, ça pourrait être l'un comme l'autre. La seule chose qu'on sait, c'est qu'un grande majorité des +33 surveillés sont des nationaux marocains ou binationaux franco-marocains, et qu'ils ont fait acte d'espionnage sur notre territoire (jusqu'ici, rien de nouveau ni d'exceptionnel). De là à accuser qu'ils aient écouté Macron, le chemin est énorme. Je ne dis absolument pas que les SR Marocains sont hors de cause, je dis simplement qu'il faut attendre plus d'infos... Que les SR français ont peut-être déjà via une taupe chez les marocains. Mais en tous cas, via l'OSINT, rien ne permet de l'affirmer.

Apparemment, Tehtris a sorti un soft qui permet de savoir si votre téléphone a été compromis. Il ne fonctionne pas à tous les coups car il peut y avoir des faux négatifs, mais si le test est positif, c'est sans aucun doute.

J'ai été amusé de voir que Thinkerview leur ait demandé de passer sur leur 3 téléphones. "Vous comprenez, on est soit-disant des hacker, mais on n'est pas foutu de faire tourner votre outil, pourtant fait pour les non initiés". Bande de gignols !

[[Russie] Sukhoï LTS Checkmate]

En IT, il y a un acronyme qui vaut son pesant d'or (utilisé pour un formalisme de description technique de malwares) :  YARA.

Il signifie : Yet Another Ridiculous Acronym

La créativité n'a pas de limite... Les acronymes non plus !

[Pérou]

https://information.tv5monde.com/info/perou-le-candidat-de-la-gauche-pedro-castillo-elu-president-417570

 

La gauche radicale arrive au pouvoir au Pérou, par Pedro Castillo.

[Maroc : politique extérieure et influences]

il y a 46 minutes, b52. a dit :

A partir du moment ou l'administrateur du site dit que vous êtes "Marocophobe" pas besoin d'argumenter davantage.

Ben voyons, c'est l'admin du forum qui rédige les grades maintenant...

En attendant, le troll, si tu veux faire de vieux os sur ce forum, je te suggère de lisser un peu ta ligne éditoriale. Être pro-régime, c'est ton droit le plus légitime, en revanche, ça ne doit pas exclure le bon-sens. On ne te demande pas d'admettre la culpabilité du régime que tu défends, mais le minimum serait de ne pas défendre l'indéfendable.

La parole est d'argent, le silence est d'or.

[Guerre de l'information et propagande]

Il y a 19 heures, Ciders a dit :

Dans la série "on vous regarde, on vous écoute aussi", nouveau scandale de surveillance internationale via les téléphones : https://www.francetvinfo.fr/monde/proche-orient/disparition-d-un-journaliste-saoudien/enquete-le-projet-pegasus-un-logiciel-espion-utilise-par-des-etats-pour-cibler-des-politiques-des-journalistes-des-avocats-y-compris-des-francais_4707199.html

Ici, il s'agit d'un logiciel commercialisé par l'entreprise israélienne NSO, logiciel baptisé Pegasus. Le système peut prendre le contrôle du téléphone cible, aspirer ses données, activer micro et caméra à distance. Les acheteurs sont des gouvernements et les cibles... des politiciens, des avocats, des sportifs, des journalistes.

Parmi les acheteurs, le Maroc (dédicace à b52) qui a commandé la surveillance d'un millier de Français dans des buts... certainement pas pour lutter contre le terrorisme j'imagine parce qu'autant Plenel et Zemmour j'ai un doute (je blague, rangez vos Topol) mais Bruno Delport j'ai quand même un doute (il gère TSF Jazz). On trouve aussi des clients plus ordinaires comme l'Azerbaidjan, le Kazakhstan, le Togo, l'Arabie Saoudite (qui s'en est servi contre Kashoggi) et d'autres plus déroutants au premier abord comme l'Inde ou la Hongrie.

Un joyeux foutoir qui ne fait que commencer.

L’existence de NSO et de ses activités sulfureuses sont connues publiquement assez largement dans les médias mainstream depuis au moins 2017, il n'y a rien de nouveau là-dedans.

On sait depuis longtemps (au moins 2012) que NSO a vendu à une cinquantaine de SR différents ses Pegasus et autres malwares espions. Mais ce qui est nouveau, c'est d'avoir récupéré une liste des victimes potentielles (c'est la liste de numéros de téléphone qui a été récupéré), et d'en avoir identifié les noms. Il semblerait que l'Etat français ne soit pas client (le machine est très cher, ça ne m'étonne pas), mais que les SR marocains aient hameçonnés environ 1500 numéros en +33. Beaucoup de ni-nationnaux franco-marocains, mais aussi des prêtres.

[Maroc : politique extérieure et influences]

Surtout que c'est complètement insensé de parler de preuves matérielles pour du software.

Par contre, des preuves irréfutables, il y en a moult. Toute personne contre-disant ce fait est soit mal renseigné, soit un troll.

Pourquoi chercher à nier l'évidence qu'un régime autoritaire surveille son opposition ? Parce que tout le monde aime le souverain et que personne n'aurait d'intérêt à s'y opposer ?

[Cyberwarfare]

Le Pakistan encore soupçonné de déposer (ici, au moins 4) des implants permanents, permettant des accès à distance non autorisés dans les réseaux indiens : https://blog.talosintelligence.com/2021/07/sidecopy.html

[Émirats arabes unis]

Apparemment c'est un porte conteneurs qui a pris feu. L'hypothèse Houtis / terroriste semble écartée pour le moment.

[Haïti, l'île maudite]

https://www.lemonde.fr/international/article/2021/07/07/haiti-le-premier-ministre-annonce-l-assassinat-du-president-jovenel-moise_6087360_3210.html

Haïti : le président Jovenel Moïse assassiné, selon le premier ministre sortant

« Vers une heure du matin, un groupe d’individus non identifiés, dont certains parlaient en espagnol, ont attaqué la résidence privée du président de la République et ainsi blessé mortellement le chef de l’Etat », a annoncé le chef du gouvernement.

[Maroc : politique extérieure et influences]

Très fortes températures attendues au Maroc très prochainement, entre 44 et 49°C, avec une température au sol de 55°C pour les cultures, ce qui devrait avoir des conséquences catastrophiques.

Le prix du H va exploser

[Amérique latine : l'armée en guerre contre les cartels de drogue]

Le 04/07/2021 à 10:20, Kiriyama a dit :

« Mourir est un soulagement » : 33 ex-narcos témoignent de l’échec de la guerre contre la drogue

A lire ici.

Super intéressant comme article, et vachement bien écrit !

[Cyberwarfare]

La National Security Agency (NSA) avertit que des pirates informatiques affiliés à la Russie mènent des attaques par force brute pour accéder aux réseaux américains et voler des e-mails et des fichiers. Dans un nouvel avis publié jeudi dernier, la NSA déclare que le 85e centre principal de services spéciaux (GTsSS) du GRU russe (renseignement militaire), l'unité militaire 26165, utilise un cluster Kubernetes depuis 2019 pour effectuer des attaques par spray de mot de passe contre des organisations américaines et européennes, y compris le gouvernement et les agences du ministère de la Défense US.

"La cyberactivité malveillante GTsSS a déjà été attribuée par le secteur privé en utilisant les noms Fancy Bear, APT28, Strontium et divers autres identifiants"

"Le 85e GTsSS a dirigé une grande partie de cette activité vers les organisations utilisant les services cloud de Microsoft Office 365 ; cependant, ils ont également ciblé d'autres fournisseurs de services et serveurs de messagerie sur site utilisant une variété de protocoles différents. Ces efforts sont presque certainement toujours en cours."

Quand les acteurs de la menace accèdent aux informations d'identification, ils exfiltrent les boîtes mails Office 365. La finalité de cette attaque est donc du renseignement.

Pour masquer l'origine de leurs attaques, un cluster Kubernetes effectue des attaques par force brute derrière des services TOR et VPN, notamment CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark et WorldVPN. La NSA affirme qu'entre novembre 2020 et mars 2021, les pirates ont mené des attaques par force brute sans utiliser de service d'anonymisation (comme pré-cité, reste à savoir si cette démarche est volontaire ou non), exposant leurs adresses IP, et confirmant qu'elles étaient celles utilisées par le cluster Kubernetes du GTsSS russe (ou alors il s'agit d'une attaque sous faux drapeau assez exceptionnelle).

Ces attaques se concentrent sur les États-Unis et l'Europe. Les types d'entités ciblées par les attaques sont :

• Organisations gouvernementales et militaires
• Consultants politiques et organisations de partis
• Entrepreneurs de la défense
• Entreprises énergétiques
• Entreprises de logistique
• Groupes de réflexion
• Établissements d'enseignement supérieur
• Cabinets d'avocats
• Entreprises médiatiques

 

************************************************************

Autre sujet sans lien avec ci-dessus.

Autre victime du hack de Solarwinds (voir quelques pages avant pour le détail) : le renseignement russe a pu tranquillement squatter le réseau de la Banque Centrale du Danemark pendant 7 mois (en admettant que le SI ait pu être nettoyé, ce qui ne peut pas être vérifié).

Cette nouvelle victime a été révélée la semaine dernière, et n'avait pas été initialement documentée.

Entre vendre leur réseau aux américains et aux russes (ou disons plutôt, se faire trouer), va falloir qu'ils choisissent les danois

[Cyberwarfare]

Le 04/07/2021 à 12:29, Rob1 a dit :

J'ai hésité à le mettre dans le fil humour mais ça marche vraiment :

« conseil SecOps : si vous ne voulez pas être hameçonné par des hackers chinois sur LinkedIn, ajoutez "place Tienanmen" à vos centres d'intérêt, et votre profil devient automatiquement invisible en Chine après quelques jours. »

Ça m'étonnerait beaucoup que ça fonctionne, car ça sous-entendrait que les chinois font leur OSINT derrière le "grand firewall" sans utiliser les Google Dorks, ce qui est improbable à 100%. Aujourd'hui, tous les expats en Chine utilisent largement des VPN avec points de sortie hors Chine pour bypasser ce "grand firewall". Ça ne garanti nullement l’anonymat, mais au moins, tu as accès à ce que tu veux. Et par définition, l'OSINT étant non intrusif, l'anonymat est inutile.

[Cyberwarfare]

Disons que le secret qui entoure les activité de la DGSE ne facilite pas le sourçage. Après, ses ressources, c'est quoi ? La tune ou le nombre de pax ?

Autre input si ça peut aider, je sais que début des années 2010, je ne sais plus quel cadre de la DGSE s'était plaint qu'on n'en faisait pas assez, que l'activité n'était pas développée et qu'il fallait mettre plein de moyens dessus. Bluff ou pas, sans chiffre, difficilement exploitable, mais voici toujours.

 

La LIO est bien la "Lutte Informatique Offensive", encadré par le MinArm, de ce que j'en ai compris. C'est un centre de pilotage des différentes équipes ayant un potentiel offensif cyber, pour coordonner les intrusions, les déposes de Remote Access Trojan (cheval de Troie), organiser la récupération des informations confidentielles et tout faire péter si nécessaire le moment venu. Typiquement, coordonner la rupture de service d'un opérateur Télécom, rendre une ou des stations de production ou distribution d'électricité inopérante, couper des pipelines ou empêcher les stations services de distribuer du carburant. Et puis il y a des choses moins contraignantes comme simplement rendre indisponible un site web gouvernemental, couper le téléphone à un service public, ...

[Cyberwarfare]

Cet article n'est pas tout à fait exact.
S'il y a bien une segmentation entre blue team (défenseurs) et red team (attaquants), la redteam est divisée à travers la DRM (assez opérationnelle militaire, veille stratégique), la DGSE (espionnage politique, économique, plus "high level") et la LIO (MinArm purement opérationnelle informatique). Et il y a probablement d'autres composantes dont je n'ai pas entendu parler, je sais par exemple que la DGSI en fait un peu de son côté, mais je ne sais pas avec quelle doctrine.

Et l'ANSSI n'est pas absolument purement blue team, hein, quoi qu'on en dise.

Tout ce petit monde devrait atteindre 4000 pax d'ici 2025. Tout le monde ne sera pas forcément opérationnel (2 à 3 ans selon les postes en moyenne pour les non seniors) en 2025, mais force est de constater qu'on se donne les moyens financiers, parce que ça coûte cher ces gens là. Après, niveau approvisionnement humain, je ne sais pas où ils vont aller chercher tous les nouveaux, que les ESN (ancien nom des SSII) de cyber vont davantage séduire sur des critères où le secteur public ne peut pas rivaliser (salaire, segmentation des équipes par spécialité, perspective d'évolution basée sur autre chose que l'âge / l'ancienneté, ...).

 

 

[Cyberwarfare]

Un rapport d’un Institut international classe les quinze premières puissances en cyberguerre en trois catégories. Les États-Unis sont seuls en première catégorie, loin devant la Chine, et la France seul pays de l’UE de la liste.

Citation

 

Il ne se passe pas un jour sans qu’on apprenne qu’une cyber-attaque, ou une opération de cyber-espionnage, a été menée quelque part dans le monde. Ce nouveau champ de bataille, pas si virtuel que ça, est encore entouré de beaucoup d’inconnues, à commencer par l’évaluation des capacités des États.

Pour la première fois, une étude approfondie nous aide à y voir plus clair. Pendant deux ans, l’Institut international des études stratégiques (IISS), basé à Londres, a étudié les moyens, les stratégies, les environnements éducatifs, scientifiques et militaires des États, pour arriver à produire une hiérarchie mondiale de la cyberguerre.

L’Institut a classé les quinze principaux acteurs de ce champ de conflictualité en trois catégories, avec une surprise : il n’y a qu’un seul État dans la première catégorie, et ce n’est ni la Chine, ni la Russie, les suspects habituels dès qu’une opération est révélée : non, le pays le plus avancé, ce sont les États-Unis, qui ont, selon l’étude, quelque dix ans d’avance sur les Chinois.

Si les États-Unis sont les seuls à cocher toutes les cases de la première catégorie, il y en a plus en deuxième catégorie : la Chine et la Russie, mais aussi la France, seul pays de l’Union européenne dans cette liste. On y trouve aussi Israël, le plus petit des pays de son groupe, mais dont on connait les capacités cyber et qui n’hésite pas à les utiliser, notamment contre l’Iran.

L’Iran quant à lui se retrouve en troisième catégorie, loin derrière donc. Les autres pays de la catégorie sont tous en Asie : Japon, Inde, Corée du nord, Vietnam, Indonésie et Malaisie.

On trouve là un état du monde contrasté entre les pays qui ont naturellement les capacités technologiques et militaires pour occuper ce nouveau terrain, et ceux qui n’en ont pas nécessairement les moyens mais ont fait ce choix stratégique. Le meilleur exemple est la Corée du nord, faiblement numérisé et économiquement en retard, mais qui, dans le nucléaire ou le cyber, a développé des capacités bien au-dessus de ses moyens.

Mais les capacités ne signifient pas nécessairement l’usage. Les États-Unis sont ainsi les plus avancés, mais pas nécessairement les plus actifs sur un plan offensif, même si on sait qu’ils ont mené des actions contre l’Iran ou la Corée du nord.

Mais ce que montre cette étude, c’est que lorsque Joe Biden, lors de sa récente rencontre avec Vladimir Poutine, l’a mis en garde de ne pas mener de cyber-attaques contre des objectifs sensibles sous peine de représailles identiques, il a les moyens de ses menaces.

C’est le propre de la dissuasion de pouvoir infliger à son adversaire ce qu’il tente de vous faire. C’est ce qu’on a appelé à l’ère nucléaire « l’équilibre de la terreur », lorsque Américains et Soviétiques avaient chacun la capacité de détruire l’autre.

Dans l’univers cyber, on n’en est pas encore là. Mais il était important de pouvoir évaluer correctement les capacités des acteurs de cette cyber-planète pour pouvoir espérer, un jour, fixer des règles du jeu, comme dans d’autres types d’armements. Cette étude de l’IISS y contribue, et en donnant une telle avancée aux Américains, elle peut aider à calmer bien des ardeurs de leurs adversaires.

 

Source : https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power

[Cyberwarfare]

Il y a 16 heures, Soho a dit :

Malheureusement j'ai l'impression que beaucoup de boîtes qui proposent des SOC externalisés prennent surtout leurs clients pour des pigeons. Pour avoir eu à faire l'interface avec un de ces prestataires (bien connu et qui se targue d'être un des leaders français), la qualité du services tant en détection qu'en conseil était juste désastreuse. Au point que notre "client" à décidé de mettre la main au portefeuille pour tout réinternaliser sur nos conseils. Il y aurait pourtant un énorme avantage à ce que ces prestataires fassent un bon boulot, mais ils sont également touchés par la pénurie de main d'œuvre.

En ce qui concerne les SOC, c'est sûr que l’appât du gain doit encourager certaines structures à ne pas beaucoup plus implémenter que les règles de détections de base. De là à dire qu'elles sont majoritaires, ça m'étonnerait beaucoup, car le milieu est si petit (tout le monde se connaît) que si tu te grilles, c'est juste fini pour toi et ta boite. Les quelques uns qui vendent du SOC cheap le revendiquent et présentent une facture cohérente.

1. Toute la force d'un SOC (d'un niveau de maturité moindre, mais c'est déjà beaucoup) réside dans sa capacité à contextualiser ses règles à la vie du SI de son client pour augmenter le taux de détection. Mais corollaire, il y a plus de faux positifs à traiter, et il faut donc une plus grande équipe, ce qui coûte plus cher.
2. Après, pour les SOC évolués ++ qui mettent les moyens, on met en place : de l'orchestration (automatisation) avec du SOAR, l'implémentation des Mitre Attack et Defend, & standards NIST, et des activités de purple team, (liste non exhaustive). Mais je ne sais pas s'il y en a plus de 5 en France qui le font correctement (teasing : ça m'étonnerait qu'il y en ait au moins un).

Donc à défaut de bien faire de la contextualisation, certains boutiques à la taille conséquente, comme dans le secteur bancaire, internalisent leur SOC. Je ne sais pas combien il y a de clients finaux (hors monde de l'IT) qui ont leur propre SOC en pur interne en France, mais je suppose ça doit tourner autour de 10.

[Cyberwarfare]

il y a une heure, Soho a dit :

Le passage sur la technique et le fonctionnel est juste. Même si de mon point de vue un bon ingénieur cyber doit pouvoir jouer sur les deux tableaux, les boîtes et les institutions se contentent trop souvent de recruter le premier type qui connaît un peu le sujet en se disant qu'elles ont coché la case et que leur infra est sécurisée. Sauf que le type en question sera incapable de monter une solution de supervision pour un SOC. Ou alors il achètera à grand frais un Splunk avec collecte des logs du Firewall d'entrée de site en scandant "on surveille tout ce qui rentre et ce qui sort "...

Bref comme tu dis, on est pas sorti de l'auberge !

Si vous voulez du Splunk (ou ELK, Graylog, QRadar, Qualys, Sentinel, je ne suis pas raciste), intégration, run ou service managé, France ou international, mes DM sont ouverts

Plus sérieusement, avoir juste un mec fonctionnel qui pilote un SOC en service managé (outsourcé chez un prestataire de service), c'est pas forcément déconnant. Ça coûte (le plus) cher, mais ça me semble le plus efficace aujourd'hui, de mon humble REX. C'est pas un métier qui s'apprend en quelques mois, donc quand c'est pas ton métier, faut avoir l'humilité (et les finances) de passer la main. Et faut pas forcément être un ouf en technique pour être simplement le mec en interne qui fait l'interface avec le service managé chez un prestataire.

Et faudrait juste que les RSSI arrêtent de croire que parce qu'on a coché la case "j'ai un SOC" alors on va tout détecter. Aujourd'hui, l'immense majorité des SOC en France sont complètement à la ramasse face à des APT, mais plutôt tout juste bon pour détecter des scripts kiddies, des employés malveillants, ou des attaquants pas vraiment professionnel. Mais ça filtre déjà 99% des attaques, alors c'est mieux que rien. Après, ça coûte super cher un SOC (et encore plus un bon).

[Cyberwarfare]

Le 26/06/2021 à 11:00, Soho a dit :

Pour continuer sur la difficulté de la défense des réseaux, les pays développés, dont la France, font face à au moins deux problèmes :

1. La porosité des infrastructures réseaux, qu'elles soient étatiques ou industrielles. Même si c'est de moins en moins vrai dans les dernières, il y a souvent un passif en terme de conception qui rend tout projet de sécurisation quasiment impossible tant d'un point de vue financier que technique. Il faut alors repartir d'une feuille blanche, avec toutes les contraintes que ça impose en termes de disponibilité du service lors de la migration, le tout avec une main d'œuvre à former sur les nouvelles technologies. 

2. Un déficit hallucinant de main d'œuvre qualifiée dans la détection  et la réaction sur incident (sans parler de forensic). Quand je vois des bac+2/3, certes avec un peu d'expérience, être embauchés à plus de 3000€ net hors prime dans des boîte spécialisées juste pour faire du niveau 1 (détection et qualification), le tout en province, ça laisse songeur. Et que dire sur les ingénieurs cyber qui tapent directement à 5k sans négociation. Ça en dit long sur la tension du marché dans ce secteur.

Et je ne parle même pas du monde militaire où la sécurité des réseaux repose sur une poignée de personnes, certes qualifiées et motivées, mais en nombre totalement insuffisant...

Pour faire à la fois de l'infra sec et du SOC pour des boites du CAC 40 et des ETI, c'est très vrai pour les deux (quant aux PME, elles ne font pas de sécu  ). L'avantage pour les grosses boites est d'avoir un budget cyber plus important et donc permettre au RSSI de pouvoir adresser plus facilement les sujets importants et/ou urgents. Alors que les ETI doivent faire le tri entre les projets tous plus important les uns que les autres.

Concernant la pénurie de main d’œuvre... C'est à mon avis le sujet n°1. Les facs et les écoles d'ingés sortent des mecs à plein régime (des promos de 20-25 mecs max), mais la moitié finissent chefs de projet / commerciaux / SDM à faire du fonctionnel et pas de la technique. Et faire de la technique dans ce domaine, c'est quand même être un gros geek et y passer une partie raisonnable de sa vie perso (du moins pour le SOC et le pentest, mais moins pour l'infra). Bref, c'est pas demain que le problème va se résoudre, tous les pays du monde sont concernés, et la fuite des cerveaux vers les US est flagrante (~ salaire x3 pour un profil technique).

[[BREXIT]]

Je vais passer pour un bobo écolo, mais franchement, y avait pas plus proche que l'Australie pour faire un accord d'échange de marchandises ? Ah, on nous perle de la Malaisie, nettement plus proche... A la bonne heure !

Y doivent vraiment avoir le couteau sous la gorge les rosbeefs.

[Cyberwarfare]

Là, le bateau n'est même pas dans les docks, il est carrément en train de prendre l'autoroute vers l'intérieur des terres

[Cyberwarfare]

Nous sommes donc d'accord, il s'agit de corrélation d'indices, mais pas de preuves.

Donc quand tu fais face à une nation ou un groupe bien identifié, c'est facile, mais quand tu fais face à des hacktivistes ou un groupe cybercriminel, ou même un groupe cybercriminel patriote, comme ça se fait beaucoup en Russie (freelance avec la bénédiction de l'état hôte), comment tu attribues ? On aurait envie d'attribuer à l'état hôte, pourtant il n'a rien à voir avec ça.

Le gros problème de ne pas avoir de preuve est que ça encourage les attaques sous faux drapeau. Rien de plus facile en informatique pour voir tranquillement s'écharper 2 concurrents.

[Cyberwarfare]

Christophe, je pense que tu sous estimes complètement la difficulté qu'il y a à identifier l'origine d'un hack à peu près bien effectué.

La grande majorité des attaques ne laissent juste absolument aucune preuve derrière elle. Sans revendication, tu peux juste t'appuyer sur un contexte géopolitique pour faire ton attribution.

C'est dans l'immense majorité des cas non identifiable pour la NSA itself, qui est à des années lumières devant tout le monde en forensic. Tout le monde sait attaquer, mais peu savent à peu près défendre.