Attribution d’une cyberattaque

No Comments

L’attribution d’une cyberattaque a déjà été évoquée dans un précédent billet, suite à des propos du ComCyber qui déclarait qu’il allait tenter d’attribuer les cyberattaques.

Afin de l’aider dans ses tentatives, les Suisses ont rédigé un document fort intéressant (mais je doute que c’était une commande du ComCyber gaulois) disponible ici.

Le présent billet s’inspire de ses propos.

La réflexion sur le processus d’attribution d’une cyberattaque est indispensable pour au moins deux raisons.

Source

La première est que le cyberespace permet de se cacher parfois de manière efficace, mais aussi parce qu’il permet de brouiller les pistes. Ce n’est pas parce qu’un ordinateur localisé en Russie a servi à mener une cyberattaque que les Russes en sont forcément à l’origine. Notons à ce sujet que très peu de cyberattaques sont attribuées à des Américains. Ces derniers sont-ils tellement vertueux qu’ils n’hébergeraient aucun pirate sur leur sol, sont-ils plus efficaces que les autres, ou un voile pudique couvre-t-il leurs méfaits ?

La seconde est qu’il n’existe pas d’alliés dans le cyberespace, si ce n’est de circonstance. Ainsi, les Américains (encore eux), bien qu’alliés officiels de l’Allemagne n’en ont-ils pas moins écouté le téléphone de Mme Merkel. Enfin, si l’on en croit certaines versions, ce serait la NSA sans l’accord de B. Obama…

Ces deux raisons constituent d’indéniables atouts pour les attaquants qui peuvent se cacher et nier autant qu’ils veulent toute implication dans un cyber méfait, mais semblent limiter la possibilité des États de « délivrer des messages » forcément clairs et dissuasifs comme le fut l’opération Hamilton contre la Syrie.

Ceci étant posé, il faut distinguer deux cas de figure :

– la cybercriminalité qui implique un jugement reposant sur une expertise forensique et des probabilités (cf. billet) voire une intime conviction, et pour laquelle l’attribution doit être publique ;

– les attaques interétatiques dont l’attribution peut ne pas être publique, selon l’opportunité estimée par le pays frappé.

Dans ces deux cas de figure cependant, et même si la dimension politique de l’attaque est un des critères de différenciation, le processus décisionnel est le même.

Read More

Attribution, science fiction

No Comments

Un récent tweet m’a fait réagir sur la question de l’attribution. Vous le voyez ici :

Vous pouvez lire ici l’article du Ouest-France. Si vous n’y connaissez rien à la cyber, vous pouvez toujours le faire regarder par vos enfants en bas âge, ils devraient trouver le sommeil rapidement, comme s’ils avaient regardé bonne nuit les petits.

Une lecture rapide du tweet peut amener à simplement se demander où est le problème. Il est en fait très simple : si le pivot de la stratégie consiste à « tenter d’attribuer l’attaque », alors comment est-on sûr de répondre au véritable agresseur ? Admet-on par anticipation des « dommages collatéraux » dans une frappe cyber, tellement collatéraux d’ailleurs qu’ils sont à côté de la plaque ? A moins que, comme les artilleurs, le CommCyber ait pour devise « je balance et Dieu guide » ? Tout cela ressemble fort à un délit de sale gueule cyber, ou, au vu de l’enthousiasme qui se dégage de la séquence vidéo, à un déficit de gros dodo (et nous revenons à bonne nuit les petits…).

Ce qui m’amène à poser la question qui servira de fil à ce billet : l’attribution ne serait-elle pas comparable à une sentence judiciaire, dans la mesure où, de même qu’après la sentence, la décision est mise à exécution, après l’attribution, les mesures de rétorsion sont mises en œuvre ?

Alors, dans ce cas, « tenter d’attribuer l’attaque » reviendrait à « tenter de rendre une sentence ». Ce qui est pour le moins original, non ?

Read More

Categories: cyberguerre, droit, stratégie Étiquettes : ,

Réflexions post élections

No Comments

L’élection est enfin passée. Il est donc possible d’essayer d’en tirer quelques leçons, non sur ses résultats car ce n’est pas l’objet du blog, mais sur ses aspects informatiques, cyber et numériques.

Source

Cela sera largement suffisant, les leçons de campagne et les politiques seront tirées par d’autres que moi. Peut-être… Ne vous attendez pas à une longue dissertation, je vais vous livrer quelques réflexions, sans pour autant viser des apophtegmes, car ces paroles ne se veulent pas forcément mémorables et ne visent pas à avoir valeur de maxime.

Read More

La cybérie

3 Comments

L’ours russe a encore frappé. L’ours ou le cyber-ours ? A-t-il frappé ou a-t-il cyberfrappé ? Ce billet a pour objectif de parler un peu de la cybérie, cette cyber contrée russe ou cette contrée du cyber empire russe, dans la mesure où il a été souvent mentionné ces derniers temps.

Source

L’exercice est difficile, dans la mesure où tout article qui ne fustige pas Vladimir, ses pompes et ses œuvres, est accusé de faire son jeu, celui d’Assad, de l’Iran, du Hezbollah, et bientôt celui de la Corée du Nord. Tentons le cependant.

Read More

Categories: cyberguerre, Etat, stratégie Étiquettes : , ,

La parenthèse de la vie privée

2 Comments

Vinton Cerf, l’un des pionniers de l’internet, avait fait sensation en 2013 en affirmant « privacy may actually be an anomaly ». De nombreuses objections s’étaient alors élevées pour réfuter cette affirmation forte de sous-entendus intrusifs et totalitaires. Son auteur n’a cependant vraisemblablement pas tort si l’on adopte un regard historique ou même sociologique en reprenant l’œuvre de Norbert Elias « la société de cour ».

Source

Mais la question qui demeure après ce constat est de savoir dans quel but la vie privée va être abolie.

Read More

Adieu la CNIL

No Comments

J’ai souvent tapé sur la CNIL dans ce blog, la comparant parfois souvent plus que de raison, à un porte-avions doté de la puissance de feu d’un pistolet à bouchons. Reconnaissons quand même que, ces derniers temps, tout n’est pas rose pour elle. Au point qu’on peut se demander si les récentes décisions ne correspondent pas à une chronique d’une mort annoncée.
De plus ce billet est publié le jour de la mémoire des défunts…

 source.

Read More

Categories: Etat, Réflexion, stratégie Étiquettes : , ,

Stratégie numérique 5

No Comments

C’est maintenant le tour du troisième objectif affiché de cette stratégie p 26 à 27, soit 2 pages utiles.
La première phrase inquiète : La France est en retard par rapport à ses partenaires en matière de sensibilisation de sa population aux risques associés aux usages du numérique et de formation à la cybersécurité. Pourtant, cet objectif figurait déjà dans la stratégie de 2011. Rien n’a donc été fait depuis cette date ?

source.

Read More

Categories: Etat, stratégie Étiquettes : ,