Attribution d’une cyberattaque

No Comments

L’attribution d’une cyberattaque a déjà été évoquée dans un précédent billet, suite à des propos du ComCyber qui déclarait qu’il allait tenter d’attribuer les cyberattaques.

Afin de l’aider dans ses tentatives, les Suisses ont rédigé un document fort intéressant (mais je doute que c’était une commande du ComCyber gaulois) disponible ici.

Le présent billet s’inspire de ses propos.

La réflexion sur le processus d’attribution d’une cyberattaque est indispensable pour au moins deux raisons.

Source

La première est que le cyberespace permet de se cacher parfois de manière efficace, mais aussi parce qu’il permet de brouiller les pistes. Ce n’est pas parce qu’un ordinateur localisé en Russie a servi à mener une cyberattaque que les Russes en sont forcément à l’origine. Notons à ce sujet que très peu de cyberattaques sont attribuées à des Américains. Ces derniers sont-ils tellement vertueux qu’ils n’hébergeraient aucun pirate sur leur sol, sont-ils plus efficaces que les autres, ou un voile pudique couvre-t-il leurs méfaits ?

La seconde est qu’il n’existe pas d’alliés dans le cyberespace, si ce n’est de circonstance. Ainsi, les Américains (encore eux), bien qu’alliés officiels de l’Allemagne n’en ont-ils pas moins écouté le téléphone de Mme Merkel. Enfin, si l’on en croit certaines versions, ce serait la NSA sans l’accord de B. Obama…

Ces deux raisons constituent d’indéniables atouts pour les attaquants qui peuvent se cacher et nier autant qu’ils veulent toute implication dans un cyber méfait, mais semblent limiter la possibilité des États de « délivrer des messages » forcément clairs et dissuasifs comme le fut l’opération Hamilton contre la Syrie.

Ceci étant posé, il faut distinguer deux cas de figure :

– la cybercriminalité qui implique un jugement reposant sur une expertise forensique et des probabilités (cf. billet) voire une intime conviction, et pour laquelle l’attribution doit être publique ;

– les attaques interétatiques dont l’attribution peut ne pas être publique, selon l’opportunité estimée par le pays frappé.

Dans ces deux cas de figure cependant, et même si la dimension politique de l’attaque est un des critères de différenciation, le processus décisionnel est le même.

Read More

Fausse information et fausse monnaie

No Comments

Depuis quelque temps, les fausses informations et leurs circuits de diffusion font la une récurrente de l’actualité, à tel point qu’elles pourraient devenir le marronnier des temps numériques1. Pourtant, ce sujet n’est pas récent, la ruse, la manipulation, la « déception » même ont eu leurs émules à toutes les périodes de l’Histoire.

Leur remise à l’honneur tient aux résultats de récentes élections dont le vainqueur n’aurait dû, dit-on, son succès qu’à l’appui actif de trolls et fuites russes2, ou qui n’aurait pu gagner que parce qu’il avait terrassé ces mêmes éléments malfaisants3.

Source

Si on observe bien ce phénomène, et surtout si on écoute attentivement ses commentateurs, il s’avère que la fausse information circule librement et qu’il est bien difficile de l’identifier avec certitude. De ce double constat, un parallèle avec la fausse monnaie peut être esquissé. En effet, cette dernière est une plaie de l’économie, et son identification souvent difficile rend sa circulation quasiment libre.

Si cette comparaison s’avérait pertinente, le parallèle pourrait alors être poussé davantage afin de savoir si les moyens de lutte contre la fausse monnaie s’avéreraient adaptés à la lutte contre les fausses informations.

Voyons ce qu’il en est.

Read More

Categories: numérisation, protection Étiquettes : , ,

RIP SAIP

No Comments

Ainsi donc, alors que le débat national sur la bioéthique est clos mais que la rédaction des synthèses est en cours, le gouvernement a décidé de faire partir, dans la discrétion, l’application SAIP. J’avais exposé, il y a un peu moins de deux ans, les pièges de la rapidité de la conception d’une telle application. Puis, la persistance de ses problèmes, prouvant ainsi qu’un projet débutant mal ne peut se rétablir que par miracle.

Source

Mais comme la religion ne peut être à l’honneur dans une époque qui se veut laïque, le miracle du fonctionnement normal de SAIP n’a pas eu lieu.

Le gouvernement a donc procédé à l’ultime injection compassionnelle. Tout cela était en fait couru d’avance, tant les défauts de conception et d’organisation initiale du projet étaient flagrants : précipitation, absence de redondance, faible qualité de service annoncée, et surtout direction de projet inexistante une fois le projet lancé. Cela fait beaucoup pour un seul projet, comme si le ministère de l’Intérieur voulait prouver qu’il pouvait faire mieux (ou pire) que celui de la Défense (de l’époque) avec Louvois.

Read More

Categories: numérisation, protection

Anon

No Comments

Ce billet n’est pas dédié à une étude animale, comme son titre pourrait le laisser croire (il lui manquerait alors un accent circonflexe), mais à quelques éléments relatifs au film d’Andrew Niccol, sorti cette année. Rappel : Andrew Niccol est le réalisateur de Bienvenue à Gattaca (1997), Simone (2001), Time out (2011) ainsi que le scénariste de The Truman Show (1998). C’est donc un habitué des films traitant des u et dystopies, selon le point de vue que l’on adopte.

Comme son titre le laisse supposer, la trame principale du film est la question de l’anonymat dans un futur indéterminé.

Source

Indéterminé mais qui ne semble pas si loin de notre époque, car si les bureaux dans lesquels les personnages principaux du film (des policiers) travaillent sont d’une tristesse époustouflante voire déprimante (les murs sont en béton nu), le lieu principal de l’action est une ville de notre époque, les moyens de transport étant également contemporains.

Il ne sera pas question ici d’une critique du film en bonne et due forme, mais d’exposer quelques éléments intéressants, tirés des dialogues et soulevant quelques questions relatives à la vie privée et donc à l’anonymat.

Read More

Balade forensique

2 Comments

De récents débats, souvent passionnés, ont en commun d’avoir eu, comme point central bien que rarement mentionné clairement, les sciences forensiques.

Celles-ci sont appelées implicitement en renfort d’une décision, pour asseoir scientifiquement son bien-fondé et donc appuyer sa conformité aux lois, réglements, voire coutumes en vigueur.

Si leur utilisation dans la résolution des crimes fait l’objet d’un consensus1, l’extension de la notion de crime2 et celle subséquente de la volonté de judiciariser un nombre sans cesse croissant de faits devraient avoir pour conséquence une utilisation de plus en plus fréquente des sciences forensiques.

Ainsi, à chaque fois que l’on veut connaître l’auteur d’un fait, donc à chaque fois qu’en cyber on parle d’attribution, ou lorsque sur un théâtre de guerre un camp veut prouver au reste du monde la culpabilité de l’autre, ou encore lorsqu’un pays veut prouver qu’un autre ne respecte pas ses engagements, on devrait faire appel aux sciences forensiques.

Source

Désigner un coupable peut cependant fort bien se passer de sciences forensiques, l’humanité a fonctionné pendant des années selon ce schéma. Et les sciences, ou le plus souvent leurs praticiens, ne sont pas exempts de reproches, tels Hayne et West au Mississipi dans les années 19903.

À quoi bon alors s’encombrer de ces sciences ? Simplement parce qu’elles aident à discerner le vrai du faux, le probable du moins probable, laissant toute liberté au décideur de choisir comme il le souhaite

Ce billet a pour objectif, non d’exposer en détail ce que sont les sciences forensiques, leur variété plaiderait alors pour une (longue) série d’articles, mais d’exposer quelques éléments utiles à leur meilleure compréhension. Ceci pour tenter d’éviter que n’importe quel usurpateur se drape de l’aura de ces sciences pour partager ses biais.

Read More

Categories: droit, Etat Étiquettes : ,

La santé malade de son informatique

No Comments

Wannacry et NotPetya ont été des cyberattaques réussies, notamment du point de vue médiatique. Passé l’engouement des journalistes en mal de sensationnel, que reste-t-il de concret, quelles leçons ont été tirées de ces affaires ?

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits ou les vulnérabilités exploitées. C’est peut-être pour cela qu’on ne parle jamais des problèmes informatiques dans le monde de la santé en France, car, n’oublions pas que le monde entier nous envie notre système de soins (donc son informatique avec).

Source

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, il me semble intéressant d’évoquer le secteur médical, dont l’informatique fait rarement la une de l’actualité. Mais, la France étant protégée par la jurisprudence Tchernobyl (tout ce qui est mauvais pour notre santé s’arrête à nos frontières), ce qui est arrivé aux britanniques ne risque pas de nous arriver.

Bien sûr que non !

Read More

Les indigènes du numérique

No Comments

Le numérique est un terme à la mode, ce qui rend son emploi peu original, notamment lorsqu’il est associé au terme fracture, étant entendu que la résorption de la fracture numérique doit être une lutte de chaque instant.

Selon wikipedia, cette fracture numérique consiste en la disparité d’accès aux technologies informatiques, notamment Internet. Cette définition intégralement reprise par l’IRA de Nantes nous fait une fois de plus regretter que l’emploi du terme numérique est symptomatique du grand flou du vocabulaire précédemment relevé dans les billets ici et .

Si d’aventure on se penche sur les chirurgies présidentielles et gouvernementales précédentes, nous constatons que, si Jacques Chirac a été élu en 1995 en promettant notamment de réduire la fracture sociale, le succès de l’opération chirurgicale promise a été pour le moins relatif, ce qui n’est pas de bon augure pour celui de la résorption de la fracture numérique…

La grande différence entre ces deux fractures résiderait-elle dans le fait que depuis le 17 décembre 2009, une loi relative à la lutte contre la fracture numérique a été publiée au journal officiel ? Las ! son objet était de fournir la télévision numérique aux Français et, pour cela, d’instituer dans chaque département une commission de transition vers la télévision numérique (article 4).

Plus récemment, le 20 décembre dernier à l’occasion d’une séance de questions au gouvernement, Dominique David (députée REM) a demandé au gouvernement de détailler les mesures qu’il envisageait pour « toucher, orienter et inclure les nombreux Français qui sont dans la précarité numérique. »

Après la fracture, voici la précarité numérique…

À quoi aurons-nous bientôt droit sachant que le numérique doit déjà être inclusif ou ne sera pas ?

Nous le voyons à la frénésie lexicale qui s’est abattue sur notre époque, le numérique est un sujet de grand intérêt, d’ailleurs notre gouvernement s’y intéresse et s’investit dans la résorption de sa fracture avec volontarisme.

« En même temps », des sénateurs se sont demandé si la France via l’Union européenne, ne serait pas en passe de devenir une colonie numérique. Ce qui signifie que, sans jamais définir correctement ce qu’est le numérique, la numérisation peut aussi être vue comme une forme de colonisation.

Mais alors, si c’est une colonisation, elle a forcément ses indigènes, ceux qui en souffrent, ne la supportent pas, voire résistent à sa propagation…

Source

L’objet de ce billet est d’évoquer le sort de ceux que l’on peut appeler « les indigènes du numérique », à savoir les personnes qui se retrouveront aux périphéries du numérique soit que par un mouvement :

  • involontaire, elles ne savent pas (ou mal) utiliser l’informatique ;
  • volontaire, elles veulent se tenir à l’écart de cette transformation, sans forcément adopter le mode de vie des amish.

Le problème de l’État sera alors, pour reprendre la novlangue à la mode, d’inclure ces personnes dans ses préoccupations et de leur adapter les mesures qu’il prendra.

Read More

Categories: numérisation Étiquettes : , ,

De l’informatique au numérique (1/2)

No Comments

Noël approchant, je vous offre un article bonus, à savoir qu’il se dégustera en deux parties. Quel plaisir, n’est-ce pas ?

Nous vivons une révolution numérique, le numérique transforme le monde, il faut numériser nos institutions et façons de faire. Ce discours est tellement entendu qu’il en est devenu convenu. S’il n’est pas infondé, son inconvénient est qu’il s’apparente davantage à des propos à la hussarde, voire à un mantra, qu’à un discours raisonné et pensé. Preuve en est que les tenants de ces discours sont souvent bien en peine de définir précisément le terme numérique et d’exposer les différences entre informatique, cybernétique et numérique.

Source

Notons aussi, juste pour nous détendre avant d’entrer dans le vif du sujet, que le terme numérique est souvent remplacé par digital, reprenant ainsi les aberrations du langage informatique dans lequel quelques mots d’anglais étaient jetés, de-ci de-là, afin de montrer la supposée maîtrise de la nouvelle lingua franca par son locuteur. À l’époque déjà, le carrosse redevenait citrouille lorsqu’un profane demandait de traduire en français ces termes de lui inconnus… La persistance dans cette attitude génère alors une amusante confusion si l’on est vient à parler des empreintes laissées par l’internaute sur la toile au cours de sa navigation : sommes-nous face à de nouvelles empreintes digitales ?

Revenons à notre propos. L’objectif de ce billet est de voir en quoi les notions d’informatique, cybernétique et numérique diffèrent, car il est indispensable de définir correctement les termes que l’on emploie, surtout lorsque les notions manipulées sont abstraites, afin d’éviter l’incompréhension ou pire, la confusion.

Cela étant posé, nous serons mieux à même de comprendre quelques avanies vécues par les organisations, qu’elles soient publiques ou privées.

Read More

Categories: Management, numérisation Étiquettes : , , ,

Achats embrouillés

No Comments

Il est récurrent d’entendre proclamer qu’il faut faire du cyberespace un espace de confiance. Cette affirmation, élevée au rang de mantra au même titre que « il faut centrer le cyber sur l’humain » me semble d’une valeur similaire à celle que ne cessent de répéter les constructeurs : « nous faisons de la security by design ». Je ne crois toujours pas à cette dernière affirmation, vous pouvez consulter les explications dans un billet précédent.

Mais Source

Mais dans le présent billet, je vais vous raconter l’histoire absolument pas amusante que j’ai titrée « les achats embrouillés. »

De quoi s’agit-il ? Un beau jour, je reçois un SMS m’indiquant que « votre abonnement de 10 EUR TTC par mois à Mob4game est pris en compte. Plus de détails sur votre espace client SFR ». Une heure après, même topo, sauf que cette fois le bénéficiaire est slapstickvids.

Les abîmes de la perplexité s’ouvrirent alors sous mes pas, n’étant jamais allé sur ces sites.

Read More

Categories: droit, protection Étiquettes : ,