[Cyberwarfare]

Un acteur malveillant soupçonné d'avoir des liens avec le Pakistan a infiltré des organisations gouvernementales et énergétiques (services publics, production et transport d'électricité) d'Inde et Afghanistan pour déployer un système d'accès à distance non autorisé. L'opération aurait commencé au moins en janvier 2021.

Pour rappel, ce type de stratégie s’insère dans un cadre géopolitique visant à rendre persistant un accès dans le système d'information contrôlant un composant vital pour la nation, en l'occurrence l'accès à l'électricité pour une population.

La cyberwarfare est l'exemple type de la lutte non conventionnelle moderne : pas de mort directe, un moyen de dissuasion digne d'une bombe nucléaire, l'aspect immoral en moins.

Pour rappel, la France a, via l'ANSSI, déclaré que les attaques étatiques cyber contre ses infrastructures vitales étaient la menace n°1 identifiée pour le pays en cas de conflit important, et que depuis quelques années, la France dispose d'une doctrine offensive pour répondre à une agression (dans le cas où l'acteur serait identifié). En effet, la surface à défendre demandant des moyens humains et financiers démesurés, il est établi qu'aucun pays ne peut et pourra prétendre pouvoir se protéger de telles attaques. La réponse offensive cyber devient donc, au même titre que le nucléaire avec les SNLE et leur capacité de frappe a posteriori, un élément important du système de défense. Seul problème : cela ne fonctionne que contre les acteurs étatiques, mais pas les groupes criminels.

[Monnaies virtuelles]

La Chine avance de plus en plus sur le bannissement des mineurs...

Autre actualité qui relève du fait divers : John McAfee a mis fin à ses jours (apparemment), dans une prison espagnole : il était en attente d'extradition vers les Etats-Unis, après que le ministère de la Justice l'a inculpé pour une série de chefs d'accusation liés à l'évasion et à la fraude fiscales en mars. Il risquait près de 30 ans de prison. Il avait été arrêté par la Police nationale espagnole à l'aéroport d'El Prat en octobre, alors qu'il tentait de fuir en Turquie. Le lien avec le sujet ? Après avoir fait fortune dans divers business de la Tech, après avoir commencé par monter une société d'Antivirus (la première ?) il a monté plusieurs arnaques aux cryptomonnaies.

 

J'attends avec impatience le film Hollywoodien qui sortira sur sa vie, parce qu'elle a été agitée.

[Monnaies virtuelles]

Pour faire suite à nos réflexions sur le manque de usecases business de la blockchain, Microsoft annonce arrêter son offre de service de plateforme blockchain le 10 septembre prochain (qui n'était qu'en preview, mais c'est quand même assez rare et significatif pour être partagé, d'autant plus que préavis est assez court par rapport à d'habitude).

https://docs.microsoft.com/en-us/azure/blockchain/service/migration-guide

[La souveraineté numérique est-elle possible ?]

Présentation de la stratégie nationale pour le cloud –17 Mai 2021

Par Bruno Le Maire, ministre de l’Économie, des Finances et de la Relance, Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques, et Cédric O, secrétaire d'État chargé de la Transition numérique et des Communications électroniques

La présentation me semble d'une lucidité impressionnante, sort complètement du dogmatique et pose les bonnes questions. C'est assez rare pour le souligner.

Source texte : https://www.economie.gouv.fr/files/files/Thematiques/numerique/Transcript_presentation_strategie_nationale_cloud.pdf

Source vidéo : https://www.economie.gouv.fr/cloud-souverain-17-mai

Analyse d'un média que je trouve d'une bonne justesse: https://siecledigital.fr/2021/05/17/gouvernement-strategie-nationale-pour-le-cloud/
 

Révélation

 

Le ministre de l’Économie, Bruno Le Maire, accompagné par Amélie de Montchalin, ministre de la Transformation et de la Fonction publique et Cédric O, secrétaire d’État chargé de la Transition numérique a dévoilé, ce lundi 17 mai, la stratégie nationale pour le cloud. L’enjeu de cette doctrine : trouver un juste équilibre entre souveraineté numérique française et européenne et compétitivités des services utilisés au sein de l’administration et des entreprises.

Une équation difficile à résoudre sur un marché prolifique, mais détenu à 70% par des acteurs américains, Amazon, Microsoft et Google. De l’aveu même des membres du gouvernement présents lors de la conférence de presse le 17 mai, la dernière stratégie nationale en matière de cloud en 2018, s’est révélée décevante.

 

La version 2021, qui s’inscrit dans le sillage de l’initiative européenne Gaia-X, doit parvenir à répondre aux attentes jusque-là déçues. Le plan dévoilé par le gouvernement se décompose en trois axes : le Label « Cloud de confiance », le « Cloud au centre » et une « stratégie industrielle ambitieuse ».

Les trois axes de la stratégie nationale pour le Cloud :

• Label cloud de confiance,
• Cloud au centre
• Politique industrielle

C’est via le label Cloud de confiance que l’équilibre doit être rétabli. Il doit assurer une protection juridique et technique des clients des fournisseurs de services cloud labellisés.

Un label pour s’affranchir des lois extraterritoriales américaines

Sur le plan juridique, une entreprise devra être protégée des lois extraterritoriales américaines. Les textes du Cloud Act ou le Foreign Surveillance Act sont principalement en ligne de mire. Ils permettent à la justice ou au renseignement américain de consulter des données hors de leurs territoires. Pour protéger les données sensibles des Français, les fournisseurs de services souhaitant obtenir le tampon Cloud de confiance devront avoir leurs serveurs en Europe, être européens et détenus par des Européens.

C’est ici que le bât blesse. Pour le ministre de l’Économie, une telle mesure est de nature à réduire la compétitivité des entreprises françaises, les services américains étant selon lui les plus performants sur le marché du cloud. Pour passer outre cette difficulté, le gouvernement propose l’exploitation de technologies Microsoft ou Google par exemple, sous licences.

Sur le plan technique, les entreprises devront obtenir le visa SecNumCloud de l’ANSSI. Il a été élaboré en 2015-2016 et revu en 2018. L’idée de cette qualification est de fixer des règles uniques pour tous, basées sur les standards du secteur et les expériences de l’Agence Nationale de Sécurité des Systèmes d’Information, à même de susciter de la confiance chez l’utilisateur. Selon Guillaume Poupard, président de l’Agence, trois offres ont déjà obtenu ce référentiel, Oodrive, Outscale et OVH Cloud.

Faire entrer l'État et les entreprises françaises dans le cloud

Ce label « Cloud de Confiance » assure, selon Bruno Le Maire de « donner accès au meilleur niveau de service tout en garantissant un haut niveau de sécurité ». Il ouvre le deuxième pilier de la stratégie du gouvernement, « Cloud au centre ». Il s’agit d’accélérer l’adoption du cloud au sein de l’administration. Deux choix sont proposés, soit celui de l’un des deux clouds de l’État, celui du ministère de l’Intérieur ou de la Direction générale des finances publiques. Soit de se tourner vers un cloud industriel labellisé.

Cette mesure s’appliquera à tous les projets numériques déjà engagés par les ministères, soit lors d'une mise à jour ou de l'amélioration. Amélie de Montchalin, ministre de la Transformation et de la Fonction publique a déclaré que « Tous les projets devront donc se mettre en conformité et annuler tout risque de transfert de données sous un délai de 12 mois à partir du moment où les offres du Cloud de confiance existeront ». D’après Cédric O, les offres ayant déjà obtenu le visa SecNumCloud devraient être labellisées dans les prochains mois.

La souveraineté numérique française sur le cloud est-elle vraiment assurée ?

Le gouvernement l’assure, l’extraterritorialité américaine ne pourra pas s’appliquer. Une bonne nouvelle qui laisse un peu tiède selon certains observateurs. Le choix d’autoriser les licences d’entreprises américaines dans le cadre du Cloud de Confiance est la cible des critiques.

Guillaume Champeau, directeur éthique et Affaires juridiques de Qwant, estime, par exemple, que « Vouloir encourager le licensign des techno US par les acteurs UE c’est encourager durablement la dépendance à des technos qu’on ne maîtrise pas (sic) ».

Va falloir commencer à comprendre que la valeur de lock-in du Cloud elle est justement dans le logiciel, pas dans le data center. Vouloir encourager le licensing des techno US par les acteurs UE c'est encourager durablement la dépendance à des technos qu'on ne maîtrise pas. https://t.co/lWnHTYWzgY

— Guillaume Champeau (@gchampeau) May 17, 2021

Les critiques visent également le troisième volet du plan, jugé fragile. 107 millions seront investis dans le cadre du Plan France Relance, pour soutenir cinq projets autour des domaines « des plateformes de travail collaboratives, du edge computing, notamment dans le contexte de l’IoT, ainsi que des communications sécurisées » détaille le communiqué du gouvernement. Associé à des financements européens à hauteur de plusieurs centaines de millions d’euros dans le cadre du Projet Important Intérêt Commun. Un peu faible en comparaison des investissements des entreprises américaines qui se comptent en dizaines de milliards de dollars.

Une critique anticipée par Cédric O, secrétaire d’État à la Transition numérique, « D’où vient la puissance d’Amazon, de Google ou de Facebook ? D’un écosystème entrepreneurial extrêmement vivace et d’investissements privés massifs. Ce n’est pas l’État américain qui a construit la puissance d’Amazon, de Google ou de Facebook », a-t-il répondu à la question d’un journaliste. Certes, mais face aux géants américains bien installés un sérieux coup de pouce semble plus que nécessaire pour faire émerger des services européens susceptibles de rivaliser…

 

 

[Monnaies virtuelles]

Je ne sais pas si ce débat a déjà eu lieu ici, mais depuis 2013 que je suis les cryptomonnaies (initialement) puis la blockchain (soit 8 ans), j'ai l'impression que si les applications business n'ont pas déjà explosées, c'est probablement qu'elles n'arriveront jamais suffisamment en nombre pour rendre cette technologie communément utilisées (même en B2B). Ou alors que le besoin auquel elle répond n'a pas encore été révélé.

Oui, il y a quelques applications, en gestion des titres d'identité, traçabilité en supply chain, modalité d'exécution de contrat, etc... mais force est de constater qu'ils s'agit davantage de POC et/ou de marketing que d'un besoin technique qui les aurait orienté vers la blockchain.

On a pas mal cherché au boulot comment utiliser la blockchain, et c'est un flop : à part quelques applications de niche et insuffisantes pour développer un marché digne de ce nom, on en a conclu que l'IT n'en a "pas besoin". Une bonne vieille base de donnée centralisée (c'est ça qui les différencie) bien gérée fait tout aussi bien le boulot. Que la blockchain soit privée ou publique n'y change rien. Et je vous promets qu'on a bien cherché.

Bref, si on retire l'application IT à la blockchain, sauf erreur de ma part, il n'en demeure que le volet cryptomonnaies uniquement spéculatif. Apparemment les chinois ont eu cette même analyse.

 

Sinon, considérez-vous les NFT comme les cryptomonnaies ? Qu'en pensez-vous ? Teasing : pour moi c'est du gros bullshit pour les gens qui ont de l'argent à perdre. Peut-être pas à terme si la loi s'en empare, mais ce sera certainement sans l'historique des transactions d’aujourd’hui, donc ce qui est fait aujourd'hui n'est que du vent.

[L'Algérie]

il y a 19 minutes, Bon Plan a dit :

En tant que français on a le droit de s'étonner (voir de s'offusquer) des propos d'un ministre algérien en 2021 qui déclare que la France est l'ennemi héréditaire ad eternam.

Tout à fait. Et si ça peut te consoler, sa phrase offusque sans équivoque également la dizaine d'algériens qui partagent mon bureau (des vrais qui viennent du bled, ils ne sont pas français dans leur grande majorité).

Et j'espère que tu es tout autant offusqué quand un frontiste sort des diffamations sur les maghrébins telles que je les ai citées plus haut.

 

 

Il y a 3 heures, B52 a dit :

J'attends dés lors avec impatience un release 2 de l'Hymne Algérien qui enlèvera la référence à la France et en la substituant par "islamisme" ou "islamistes", "Touaregs", "Marocains"....     

Et les Espagnols, Anglais, Belges, Hollandais, bref, toutes les monarchies d'Europe attendent une release 2 de la Marseillaise. Sans parler chez nous de De Villers et Dupont Aignan, qui en seraient ravis. Chacun ses boulets.
Et bien non, nos amis européens iront se faire foutre pour que l'on change quoi que ce soit, tout autant qu'on ira se faire foutre à demander aux algériens de changer leur hymne.

 

Balayer devant sa porte avant de revendiquer ou s'offusquer, toussa toussa.

[Maroc : politique extérieure et influences]

il y a une heure, Claudio Lopez a dit :

Car la vague d'immigration n'en est qu'à son tout début....

Mais c'est quoi cette rumeur comme quoi l'immigration serait un problème ? Alors que c'est tout l'inverse, c'est la solution à beaucoup de problèmes (d'où le fait que la politique nationale et européenne soit assez molle pour lutter contre).

C'est l'intégration de ceux qui ne veulent / peuvent pas s'intégrer, le problème

[L'Algérie]

Il y a 2 heures, B52 a dit :

Je précise donc : l'Algérie ne se voit d'ennemi qu'en la France.  Pourquoi cette cecité sur l'histoire antérieure?  Ils ont visiblement oublié qu'ils ont été envahis et mis en coupe réglé par les Ottomans.  Deux poids, deux mesures.

L'un est plus récent que l'autre, on a tendance à focus sur les traumatismes les plus récents, d'autant plus quand ils sont fédérateurs : les nazis en France, le Viet Nam et le 11 septembre aux US, la France coloniale en Algérie... Ça me semble cohérent. La Marseillaise ne fait pas référence à la guerre des Gaules ou la guerre de cent ans.

Et les algériens voient davantage des ennemis en les sub-sahariens, touaregs et marocains qu'en les français. Et l'ennemi par dessus tout c'est l'islamisme.

Je parle des algériens d'Algérie, hein, pas les fakes qui vivent en France et n'ont pas grand chose d'Algérien si ce n'est un grand père. Après, c'est sûr que si l'image que tu as des algériens c'est les rebeux français, y a moyen que ton jugement soit un peu biaisé. Le jeune algérien d'aujourd'hui, s'il est un peu éduqué et qu'il a fait des études, il voit plutôt la France comme l'eldorado du boulot, de la liberté, etc... Bien loin du storytelling officiel du ministre pré-cité.

[L'Algérie]

Il y a 2 heures, gustave a dit :

Et je ne vois aucun équivalent en France. Même le FN n’évoquait pas une Algérie ennemie éternelle...

Disons que quand on évoque les arabes en France, ça indique les maghrébins, parmi lesquels les Algériens.

Petite liste de citations de membres du FN :

Citation

Il y a des battues contre les sangliers... contre les loups... contre les lynx... Et si on organisait plutôt des battues contre les Arabes on sauverait peut-être la France !

Citation

Socialistes, communistes, musulmans ! Faites un geste pour la terre : suicidez-vous

Citation

L'islam et les mahométans sont la nouvelle peste bubonique du 21e siècle. A combattre, à éliminer sans hésitation par tous les moyens possibles

Alors certes, pas un ministre, mais les frontistes ne sont pas non plus du genre à envoyer des fleurs aux Algériens.

Source : https://www.nouvelobs.com/politique/elections-departementales-2015/20150223.OBS3201/contre-les-arabes-les-juifs-les-gays-ces-candidats-fn-qui-propagent-la-haine.html

Après, je te concède que les frontistes s'adressent plutôt aux arabes vivant en France vs ceux vivant en Algérie.

[L'Algérie]

Il y a 20 heures, B52 a dit :

Et le ministre de je ne sais quoi a dit en 2021 que la France (et non "l'empire colonial français" ) est l'ennemi éternel et traditionnel.

- eternel....   donc on en a pour des lustres. Super !  

- traditionnel : c'est si pratique.    

Devra on supporter éternellement et traditionnellement cette mauvaise volonté et mauvaise foi ?  pour avancer faut être deux.  J'ai l'impression qu'une des parties fait tout le boulot là, et même plus.

El Hachemi Djaâboub est un vieux briscard de la politique. Il est membre du Hamas algérien, proche des Frères Musulmans (clairement religieux, mais plus soft que ses cousins Turcs ou Égyptiens), et dans deux mois c'est les législatives. Il cherche à rassembler autour de son parti les indécis et nostalgiques du Hirak religieux soft. Il représente clairement une aile de la coalition gouvernementale, et quand il évoque en ces termes malheureux la France, s'adresse à son électorat, en politique intérieur, et ça n'est pas un message adressé à la France (bien qu'il ne pu ignorer que ça eu fait des vagues). C'est un peu comme si un mec des Républicains ayant des affinités avec le FN faisait une déclaration amalgame entre les arabes et la délinquance.
Faut savoir qu'en Algérie, le storytelling autour du rôle de la France durant ce qu'ils appellent l'occupation, qui est assez différent de ce qu'on apprend à l'école de la République en France. Donc pour le commun des algériens, il n'y a rien de choquant à dire ces mots. C'est certes une provocation, mais tout à fait recevable.

C'est comme si en France, un politicien brayait haut et fort à propos du génocide arménien : de notre point de vue français, ça serait avant tout un message de politique intérieur, tout le monde y adhérerait, mais on saurait que ça n'est que de manière secondaire un message de provoc' à destination de la Turquie (avec tous les sous entendus attenants type tueurs de chrétiens, ennemis éternels de l'Europe, etc...). Et bien là c'est exactement pareil avec le ministre algérien.

 

Pour moi (et ça n'engage que moi), c'est un non évènement. En tant que français, je m'en serais bien passé, mais puisqu'on a des pratiques similaires en France...

[Israël et voisinage.]

il y a 3 minutes, Kelkin a dit :

De toute façon, il n'y a rien de réaliste qu'un chef d'état français puisse faire qui y changera quoi que ce soit. Au niveau diplomatique tout le monde s'en foutrait, les Israëliens font ce qu'ils veulent. Au niveau économique, c'est au niveau de l'Union Européenne d'agir, donc rien ne se passera. Au niveau militaire, on sort du domaine du vraisemblable.

Disons que si les tazus arrêtaient de bloquer toutes les propositions de résolution à l'ONU, on pourrait imaginer à terme un embargo envers Israël.

Mais comme les Etats Unis ne sont pas encore une colonie française, en effet, il y a bien peu de choses que le PR Français puisse faire à son échelle.

D'ailleurs, j'apprends que les échanges commerciaux avec les Israeliens ne sont pas si important que ça.

[L'Algérie]

En fait, je pense qu'il y a un malentendu : La France a laquelle il est fait référence dans l'hymne algérien est la France en tant qu'empire colonial, qu'occupant, et ne correspond pas à la France d'aujourd'hui. Certe, la France d'aujourd'hui est l'héritière de cette France coloniale d'antant, mais ce n'est pas les mêmes entités qui sont identifiées !

Imaginez si dans les paroles il y avait écrit "Ô empire colonial Français [...]", au lieu de "Ô France". Votre point de vue serait probablement radicalement différent. Pourtant, le sens de l'hymne en serait inchangé.

Après, que le commun des grouillots (français comme algériens) fassent l'amalgamme entre les deux, c'est bien dommage, et le fait que les deux entités portent toutes les deux le nom de "France" n'aide en rien.

Mais je vous sais plus inteligent que ça pour tomber dans ce piège réservé aux incultes

[Israël et voisinage.]

Il y a 4 heures, g4lly a dit :

Qui a quelques chose à gagner à soutenir le arabes israéliens ... les palestiniens ou le Hamas ? Personne ... ou du moins personne en occident.

Donc il n'y a pas de gentil ... mais les arabes sont plus méchants que les autres quand même ...

Je ne suis pas tout à fait d'accord. Si les responsables politiques au pouvoir se gardent bien de donner leur avis, ça n'est pas le cas des responsables des partis qui n'ont pas le pouvoir. Le Pen et Mélenchon ont exprimé leurs positions (teasing, opposées), car la démagogie (à prendre au sens littéral, rien de péjoratif) sert leur intéret électoral. Si ces derniers n'ont pas de créanciers juifs pour leur campagne, ils peuvent se permettre d'afficher leur position pro-palestinienne. Disons que moins tu as de chance de prendre le pouvoir en 2022, plus tu as de raisons de l'ouvrir car tu n'auras pas à assumer. A contrario d'un chef d'état qui a économiquement davantage à perdre. Bref, plein de gens qui n'ont que faire des conséquences de leur prise de position, ont pu exprimer leur mécontentement.

Hé oui, prendre le risque d'irriter 0,2% de la population mondiale en prenant position sur ce sujet, c'est dangereux !

Ils sont partout, on vous dit

[Israël et voisinage.]

Finalement, après avoir un peu creusé la question, j'apprends que les arabes sont 20% de la population israelienne et qu'absolument aucune étude sérieuse ne tendrait à faire croire que ces derniers puissent devenir majoriatire dans le corpus électoral.

[Israël et voisinage.]

Le 12/05/2021 à 16:58, g4lly a dit :

Même punition pour l'aspect politique des choses ... 50k c'est ridicule comme coût pour un gain politique majeur ... celui d'avoir imposer le grand Israël ethniquement plus ou moins pure en Israël ... avec la quasi complète disparition de la scène politique du moindre opposant à ce programme.

Bah c'est mal barré...

Si les arabes israeliens sont réduits à peau de chagrin à la Knesset, j'ai cru comprendre que les arabes israeliens seraient dans quelques (dizaines d') années majoriataires en israel... avec les problèmes de démocratie représentative qui iront avec.

[Israël et voisinage.]

Si j'ai bien retenu, un missile Iron Dome coûte environ 50k$, alors qu'une roquette Gazaoui coûte dans les 500$ (avec des problématiques d'approvisionnement qui ne rentrent pas en compte dans ce calcul).

[Monnaies virtuelles]

J'en profite pour déterrer ce sujet, en présentant mes excuses aux modos :/

D'autant plus que le sujet est à la croisée des chemins avec la cyber, mais sans être à proprement parler de la cyberwarfare.

 

Un groupe de cybercriminels non identifié (possiblement étatique, mais possiblement pas) contrôle désormais 27% des noeuds de sortie (cad routeurs) TOR, qui permettent d'accéder à une partie du fameux Darkweb plein de fantasmes. Parmi d'autres, cette position permet (dans le détail technique, il s'agit de replacement dans de l'inspection SSL) d'identifier toutes les adresses de portefeuille de monnaies virtuelles placées dans des requêtes web http (donc non chiffrées, par opposition à https) de demande de transaction, et à les remplacer par leurs propres adresses de portefeuille (et donc d'acquérir les précieux sésames de manière irrémédiable).

Bref, si vous accédez à des portefeuilles de monnaies virtuelles en ligne via TOR : vérifiez bien que vous êtes en https pour y accéder.

[Cyberwarfare]

Les attaques sont légions à toutes les secondes sur le globe, mais certaines méritent qu'on s'y penche sur ce forum pour des raisons de sécurité nationnale. C'est celles que je me permets de vous remonter en priorité ici.

Colonial Pipeline, qui transporte 45% du carburant consommé sur la côte est des États-Unis, a annoncé samedi avoir interrompu ses opérations en raison d'une attaque par ransomware, démontrant une fois de plus à quel point l'industrie est vulnérable aux cyberattaques.

"Le 7 mai, la Colonial Pipeline Company a appris qu'elle était victime d'une attaque de cybersécurité", a déclaré la société dans un communiqué publié sur son site Internet. «Nous avons depuis déterminé que cet incident impliquait des ransomwares. En réponse, nous avons mis certains systèmes hors ligne de manière proactive pour contenir la menace, ce qui a temporairement interrompu toutes les opérations de pipeline et affecté certains de nos systèmes informatiques.

Colonial Pipeline est le plus grand pipeline de produits raffinés aux États-Unis, un système de 8 851 km (5,500 miles) impliqué dans le transport de plus de 100 millions de gallons de la ville texane de Houston au port de New York.

 

Côté procès (sur une autre affaire qui n'a rien à voir et qui est vieille) :

Quatre ressortissants d'Europe de l'Est risquent 20 ans de prison pour le chef d'Racketeer Influenced Corrupt Organization (RICO) après avoir plaidé coupable d'avoir fourni des services d'hébergement "bulletproof" entre 2008 et 2015, qui ont été utilisés par des cybercriminels pour distribuer des logiciels malveillants à des entités financières à travers les États-Unis.

Les individus : Aleksandr Grichishkin, 34 ans, et Andrei Skvortsov, 34 ans, de Russie, Aleksandr Skorodumov, 33 ans, de Lituanie et Pavel Stassi, 30 ans, d'Estonie, ont été accusés d'avoir loué leurs infrastructures bulletproof à des clients cybercriminels, qui ont utilisé l'infrastructure pour diffuser des logiciels malveillants tels que Zeus, SpyEye, Citadel et Blackhole Exploit Kit, capables d'enroler de manière malveillante les PC victimes dans un botnet et voler des informations sensibles. Le déploiement de logiciels malveillants a causé ou tenté de causer des millions de dollars de pertes aux victimes américaines, a déclaré vendredi le département américain de la Justice (DoJ) dans un communiqué.

Un service d'infrastructure bulletproof, c'est un service fourni par certaines sociétés (officielles ou non) d'hébergement qui s'appuient soit sur du Cloud (cloud public AWS, Azure, GCP ou Alibaba, mais aussi souvent privé avec ses propres serveurs physiques chez soi derrière sa box internet) qui permet à leurs clients (spammeurs, les cybercriminels, les hackers et les fournisseurs de jeux d'argent en ligne ou de pornographie illégale) une clémence considérable dans les types d'activités qu'ils peuvent entreprendre, sans être risquer de poursuite légales à la suite de plaintes et de rapports d'abus (formels). Les infrastructures privées "on premise" (physiquement derrière une box internet dans une cave) sont généralement dans des pays peu recommandables et pas très coopératifs avec la justice internationale. Alors que les services de cloud public sont souvent hébergés dans des pays de bonne confiance type US ou Europe Occidentale pour augmenter leur score de fiabilité, mais souvent cachés derrière des sociétés fantomes et techniquement bien maquillés.

[Cyberwarfare]

Pour coller au sujet du thread, je reviens vers vous avez 2 actus :

Côté iranien, 2 groupes ont été identifiés, ayant des liens avec l'Iran's Islamic Revolutionary Guard Corps (IRGC), le IRGC Quds Force (IRGC-QF), et l'Iran's Ministry of Intelligence and Security (MOIS).
Le premier d'entre eux (Fox Kitten, ayant lancé la campagne nommée Pay2Key) avait un objectif de destruction et sabotage d'une douzaine de cibles israéliennes et a opéré entre Novembre et Décembre 2020,
Le second groupe (sous le couvert de la société Emen Net Pasargard), identifié sous les noms Read My Lips ou encore Lab Dookhtegan a lancé une campagne non pas à but destructif, mais plutôt de demande de rançon (en Bitcoin) après chiffrement des éléments critiques du SI des cibles. La campagne a commencé à s'organiser à l'été dernier (2020) et d'après les documents récoltés par des chercheurs en sécurité, il était prévu de passer à l'offensive entre le 18 et le 21 Octobre.

Côté chinois, un groupe soutenu par l'état a été pris la main dans le sac en train d'essayer d'exfiltrer des données de chez un sous traitant (Rubin Design Bureau) ayant pour contrat de designer les SNA et SNLE de la Marine Russe (ils ont été impliqués dans 85% des projets depuis que les russes créent des sous marins).
 

[Cyberwarfare]

Il y a 18 heures, Boule75 a dit :

Ce dont je parle-là ne relève pas tellement des logiciels finalement exposés aux clients (c'est certes important !), mais plus du domaine de l'intégration et de la gestion en production des piles techniques complètes qui sont dessous, des micrologiciels des serveurs ou routeurs aux logiciels fonctionnels tout en haut de la pile en passant par toutes les couches d'infrastructure et les moyens de contrôler tout ça : tout est déployé et géré de manière programmatique. Les fonctions assurées ne sont plus attachées au matériel, elles sont déplaçable, ré-instanciables, élastiques, idem pour les entrepôts de données.

Ca signifie que s'il faut changer tel paramètre moisi sur tel ensemble, c'est faisable. S'il faut mettre à jour tel ou tel truc : pareil. S'il faut entièrement déplacer tel ou tel ensemble de fonctions qui sont hébergées sur des systèmes qui ne sont plus maintenus ou considérés comme moisis : c'est possible aussi, c'est prévu.

Ca signifie aussi que ces déploiements sont auditables avant déploiement, peuvent être soumis à l'approbation des pairs, qu'on peut revenir dessus, "simple" retour arrière en cas de bévue, mais aussi reprise sous gestion d'autres personnels ou d'autres équipes.

Je ne mésestime pas la complexité de la chose et suis persuadé qu'il y a des angles morts, des choses mal faites, des verrues de-ci de-là comme partout, mais au global ils disposent d'ensemble informatiques plastiques qu'ils font évoluer de manière remarquable.

 

Quand je compare avec certaines prescriptions du type "tel système est audité, on n'y touche pas" même si ont été révélées des failles majeures le concernant, et avec la pratique courante consistant à acter la fin d'un projet à la date de passage en production (par opposition à la date de fin d'usage...), par exemple, je me dis qu'on n'est pas dans le même monde. Certains corrigent les failles au fur et à mesure, même si c'est un peu mou parfois, d'autres attendent littéralement leur exploitation en croisant les doigts.

Vers 2016, j'ai entendu ébahi un contact me dire "on a tel système qui fonctionne encore sous Red Hat 3" et c'était un système exposé et lourdement utilisé pour une fonction importante. Dans le meilleur des cas, il n'était plus maintenu depuis 9 ans, au pire il ne l'était pas depuis sa mise en route. Du point de vue sécurité, c'est délirant, et ça n'est pourtant pas un exemple isolé.

La magie de l' "infra as code"

Et du DevOps en général (pour la partie infra que tu évoques) : Ansible, Puppet, Terraform & Co. Mais il existe plein d'autres tools selon les sous rubriques du SI à automatiser.

J'ai envie de dire que toute société qui se respecte et qui développe un logiciel a d'ores et déjà une maturité sur ces méthodes. Après, y a encore probablement des sociétés old school qui ne se respectent pas, mais il ne doit pas/plus y en avoir beaucoup. C'est à mon sens très généralisé en France et dans le monde.

[Cyberwarfare]

Ce que tu décris là semble bien correspondre à des méthodologies de développement sécurisé et efficace de logiciels dans le meilleur des mondes, probablement appliqué chez les GAFAM qui sont des éditeurs, et plus ou moins appliqués partout, y compris chez les (meilleurs) éditeurs français. Après, je t'accorde que les produits des GAFAM sont beaucoup plus utilisés, donc il y a plus de chercheurs de vulnérabilités qui se penchent dessus (sans parler du faire que les primes et les bug bouties sont plus rémunérateurs), donc les produits sont moins truffés de vulnérabilités évidentes.

Mais tout ceci est un problème d'éditeurs qui n'a rien à voir avec l'activité des acteurs de sécurité que sont les auditeurs, ESN de cybersécu et l'ANSSI. Donc je ne vois pas trop le rapport avec ce que je disais, mais j'ai peut-être mal compris ce que tu voulais dire. Leur job n'est pas de développer proprement, mais plutôt d'auditer, recommander, certifier des solutions et d'intervenir sur des incidents en cours. Du coup, je ne vois pas trop en quoi l'ANSSI fait la guerre d'avant.

Après, c'est sûr que la qualité (sous entendu le niveau de sécurité, aka présence de vulnérabilités ou non dans le code) des softs produits par les différents éditeurs est assez (très) variables. Mais étonnamment, les GAFAM ne remportent pas forcément la palme. Si tu connais des pentesteurs, je t'invite à les questionner sur la sécurité d'AWS par exemple, ou d'Azure, ils s'en frottent les mains ! Sans pour autant parler d'erreurs de configuration de la part des admins / archis, il y a légion de vulnérabilités régulièrement révélées, pour lesquelles les PoC sortent bien avant les patchs, sur plein d'outils d'infra des clouds publics (donc développés par eux-même, je ne parle pas d'images d'éditeurs tierces qu'on pourrait ajouter dans une infra en IaaS). On pourrait parler du WAF AWS par exemple.

[Cyberwarfare]

Il y a 3 heures, Boule75 a dit :

C'est là où je ne suis pas d'accord. Cette démarche de meilleures pratiques est d'ailleurs pratiquée à grande échelle par les Gafam, parce que la hiérarchie a investi dedans, parce qu'ils se sont dotés des outils qui vont avec, et elle leur bénéficie lourdement sur d'autres postes comme le MCO, la fiabilité, la performance, etc...

Concernant les GAFAM, ça n'a rien à voir : il s'agit (parmi d'autres activités) d'éditeurs de logiciels de sécurité et non pas de clients (sauf Facebook, qui n'en produit pas). Le positionnement n'est donc pas comparable, car c'est en quelques sorte leur métier qui gère la sécu.

Mais a contrario, prends justement un Facebook ou un Tesla (pour prendre des symboles), et je ne suis pas sûr qu'ils soient beaucoup plus efficaces que nos gros groupes en France (d'autant plus qu'ils doivent être davantage ciblés).

Attention à ne pas confondre la sécu contre les actes malveillants et contre le risque de panne. Je relève, car tu évoques "le MCO, la fiabilité, la performance, etc" qui sont purement attraits au risque de panne. Ça n'est pas le même métier, ni les mêmes compétences, ni le même état d'esprit, même si c'est, en partie, les mêmes personnes qui font les deux (archi + admins de l'infra en phases de think, build et run).

 

Il y a 3 heures, Boule75 a dit :

C'est une informatique de grosses équipes, avec des méthodes de gestion spécifiques, et qui est incompatible avec les sempiternelles micro-équipes et guéguerres de clocher que les directions tolèrent ou encouragent partout en France, par incompétence crasse.

Et là nous sommes profondément à la ramasse, ANSSI et "sociétés de sécurité" comprises : on mène, en pataugeant, la guerre d'avant. Les SSII comme les règles d'appel d'offre et d'emploi public y contribuent puissamment.

Alors là, ça dépend tellement d'une boite à l'autre que tu ne peux pas généraliser. Pour être aussi vindicatif, je suppose que tu as eu une expérience malheureuse, mais ça n'était (à mon avis) pas représentatif de la majorité. Oui, il y a souvent de la politique et des gueguerres à la con, mais c'est pareil chez les américains, chinois, japonnais et israéliens (les autres, je ne connais pas).

De mon avis, les problèmes de management sont davantage liés à la culture du diplôme et de l'ancienneté plutôt que de la réelle compétence de l'individu. Mais de ce que j'ai vu, plus on est dans un milieu technique, plus on s'éloigne des gueguerres, de la politique, des placardisés, des contre-productifs, etc... Et en cybersécu, un mec qui n'est pas à sa place dans la hiérarchie se fait dégager assez vite, qu'il soit chez un éditeur, une ESN de sécu, ou un client. En fait, je pense que c'est un secteur d'activité qui fait un peu exception : y a assez peu de mauvais, et encore moins dans la hiérarchie où il faut souvent engager sa responsabilité en son nom propre. C'est assez dur de se planquer, et faut suivre techniquement et ça bouge très vite, donc ça nettoie. Beaucoup de gens se font virer de mission ou repositionner, moi-même ça m'est arrivé plusieurs fois, pour différentes raisons, c'est la norme, ça n'a rien de scandaleux ou honteux, on est toujours challengés et la moindre erreur est auditée / analysée pour capitaliser dessus. Tout ceci amène une émulation formidable dans le milieu, et c'est tant mieux. Rien à voir avec ce que tu m'as décrit. Après, je te parle de la partie cybersécu, et pas de l'informatique en général (auquel je ne connais pas grand chose, en fait).

L'ANSSI et les sociétés de sécurité, à la ramasse ? Vraiment ? Comme dans tous les milieux privés, il y a de tout, mais pour très bien connaitre les deux (ANSSI + ESN de cybersécu), ce n'est vraiment pas comme ça que je les qualifierais, mais bon...

 

Il y a 2 heures, g4lly a dit :

Euhhh comment dire ... pas forcément ... du moins pas forcément sur tous les postes ou tous les services. Et les autorités de contrôle sont pas forcément non plus ultra exigeantes ... du moins pas sur tout ...

Je parlais pour la cybersécu. Le reste, je n'y connais rien.

[Cyberwarfare]

Je ne suis pas trop d'accord, l'armée de consultants GRC à laquelle je faisais référence sont 100% dans une démarche de prévention. Idem pour toute la partie infra, audits et SOC. Et à eux seuls, ils représentent 95% des effectifs d'une boite dans la sécurité informatique.

Après, faut comprendre que la sécurité informatique (et l'informatique en général, sauf cas exceptionnels type banques) est vu comme un centre de coûts, avec de lourds investissements et un RoI à zéro, qui doit être réduit au maximum, surtout en ces temps difficiles. Sachant que pour avoir une sécurité préventive en best practice demande un coût inaccessible, il est nécessaire de choisir ses combats (donc les choix d'investissements en cyber défense) en fonction d'analyses de risques (très précises, pour en avoir fait moultes), où on prend la perte d'exploitation conséquente à une attaque potentielle (+ remédiation et d'autres trucs), multipliée par la probabilité d'occurrence, et on met en face le coût des moyens de mitigation de risque, et on laisse le décideur choisir le niveau (on propose plusieurs formules : caleçon, ceinture, bretelles, ou ceinture + bretelles + pare-balle).

Le RSSI, qui est responsable devant la loi des pertes de sa société lors d'un hack, est systématiquement audité pour vérifier s'il a pris ou non les bonnes décisions et s'il convient de le poursuivre pénalement. Et même dans les bas étages, la chasse aux sorcières est systématique. Après, c'est vrai que c'est très peu médiatisé, mais les retombées (légales ou en management interne) sont réelles. Surtout que l'armée de consultants armée en renforts pour répondre à l'incident va se faire un malin plaisir à pointer du doigt toutes les défaillances, aussi bien techniques que stratégiques (oui, faut bien justifier la facture -très salée - du rapport). Autant dire que ça donne du grain à moudre pour savoir qui a chié dans la colle.

Après, c'est sûr que dans le milieu bancaire, les décideurs sont plutôt du genre à choisir la formule "ceinture + bretelles + pare-balle", alors que dans le milieu du luxe ou de l'industrie non stratégique, on est plutôt sur du "caleçon". Disons qu'il y a des tendances, mais pour le justifier, les impacts ne sont pas les mêmes, et ne justifient pas les mêmes montants de dépense, donc ça me semble cohérent.

Je pense que ta vision sur les caprices ou l'incompétence des directions était vraie il y a 10-15 ans, et elle existe encore dans quelques boites, mais elle est assez rare aujourd'hui, surtout dans les grands groupes, et elle ne peut pas exister dans les OIV à cause des exigences de la LPM. Aujourd'hui, l'immense majorité des RSSI et mêmes DSI / CTO sont compétents. Il leur faut juste du budget. Sauf que les analyses de risque ne le justifient pas souvent à la hausse.

 

Pour faire une analogie très approximative : théoriquement, si on avait un flic à tous les carrefours, un prof derrière chaque élève et un médecin derrière chaque petit vieux, tout irait bien, mais le budget de l'état ne le permet pas. Alors il organise ses budgets en fonction d'une analyse de risque et quand le système craque (covid, des flics qui se sont attaquer, décrochage scolaire massif) on lui demande des comptes, des rapports sont rédigés, la presse livre ses analyses, et les électeurs jugent.

[La souveraineté numérique est-elle possible ?]

On en vient donc à la priorisation de l'effort et à choisir ses combats : la souveraineté numérique totale est une chimère à laquelle nul ne peut prétendre, il faut appliquer la politique du moindre mal.

N'empêche que le débat sur le choix des équipementiers pour l'infra 5G (évincement des chinois par principe ou non) était très intéressant à ce sujet, avec des impératifs de non régression mais acceptation du risque pré-existant, optimisation des coûts, bien cibler les menaces auxquelles on s'expose, juger de leur niveau d'impact, etc... Et l'éternelle question du choix entre vendre son âme aux américains ou aux chinois

[Guerre à grande échelle Chine - Etats-Unis]

Le 11/04/2021 à 17:26, Lame a dit :

3) Une insurrection démocratique démarre sur le continent chinois, par exemple à proximité de Taïwan.

4) Les Américains tentent le tout pour le tout et envoie des conseillers techniques auprès des insurgés.

5) Ils finissent par soutenir ouvertement et activement les insurgés.

Y a encore des gens qui croient que les chinois veulent d'une démocratie à l'Occidentale ? Une infime proportion, oui, mais l'immense majorité, je ne crois pas. En tous cas, de mon expérience.

Ça peut nous paraitre incongru à nous, européens, a fortiori les français, qu'un peuple ou une nation refuse ce cadeau de la civilisation, mais il faut se rendre à l'évidence : ces barbares jaunes d'extrême Orient n'en veulent tout simplement pas. Ou alors c'est l'exception (Taiwan, Japon, ROK, et dans une moindre mesure la Malaisie).