Menaces cyber : imbroglio et erreur de l’ANSSI

No Comments

Parler de menaces cyber revient à ouvrir une boîte de Pandore de laquelle, en premier lieu, s’envolent une multitude de termes relatifs aux risques et menaces. Ces deux termes semblent pour certains tellement proches qu’ils seraient deux jumeaux qu’un importun sort aurait séparé.

Source

Pourtant, les définitions sont claires. Selon le dictionnaire Larousse une menace se définit comme suit :

  • Action de menacer ; parole, comportement par lesquels on indique à quelqu’un qu’on a l’intention de lui nuire, de lui faire du mal, de le contraindre à agir contre son gré : Des gestes de menace. Écrire sous la menace.
  • Signe, indice qui laisse prévoir quelque chose de dangereux, de nuisible : Il y a une menace d’épidémie dans la région.
  • Délit qui consiste à faire connaître à quelqu’un son intention, notamment verbalement ou par écrit, image ou tout autre moyen de porter atteinte à sa personne. (La menace de commettre une destruction ou une dégradation dangereuses pour les personnes est également un délit.)

Quant au risque, c’est toujours selon le même Larousse

  • Possibilité, probabilité d’un fait, d’un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
  • Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d’un échec. Un pilote qui prend trop de risques.
  • Fait de s’engager dans une action qui pourrait apporter un avantage, mais qui comporte l’éventualité d’un danger : Avoir le goût du risque.
  • Préjudice, sinistre éventuel que les compagnies d’assurance garantissent moyennant le paiement d’une prime.

Pour savoir si ces deux termes sont deux jumeaux malheureusement séparés, il suffit de les échanger dans les exemples des définitions supra pour s’apercevoir que prendre l’un pour l’autre revient à prendre des vessies pour des lanternes. Ainsi, un pilote ne prend pas trop de menaces, et on n’écrit pas sous le risque.

Serait-il vrai que, dans ce domaine également, le cyber nous brouille l’écoute ?

Read More

Categories: Etat, protection Étiquettes : , , ,

Confiance numérique ? Tentons le reverse big brother alors !

No Comments

Le numérique, l’Internet, doit être un espace de confiance. D’ailleurs tout le monde proclame que la confiance est indispensable dans le cyberespace, certains déclarant même qu’il faut la restaurer. Si on prend cette déclaration au mot, une restauration signifie que la confiance a existé, qu’elle s’est perdue et qu’elle doit revenir. Mais comment cette perte a-t-elle pu advenir puisque tous les « industriels » du numérique affirment qu’ils sont des acteurs de confiance ? Mais si tel était le cas, pourquoi appelleraient-ils à une restauration de la confiance ?

Source

Sûrement parce qu’en fait, et quoi qu’ils disent, la confiance n’existe pas dans le cyber monde. S’il était un espace de confiance, pourquoi faudrait-il acheter aux industriels de la cybersécurité tous les nouveaux logiciels devant assurer cette sécurité ? Pourquoi tant de mises à jour « pour la sécurité » ? Pourquoi tant d’appels à la vérification et à la méfiance ? Un complotiste affirmerait que c’est justement en criant au loup qu’on a le plus de chances de vendre des pièges à loup…

C’est bien plus simple. La confiance n’existe pas dans le cyber monde car il n’est actuellement pas construit pour être de confiance. On peut cependant mettre en place un système peu compliqué pour que les utilisateurs se sentent davantage en confiance. Nous allons en parler maintenant.

Read More

L’échec de l’apprentissage de la gestion de crise

No Comments

L’an dernier (déjà), j’avais publié un article relatif à l’échec de la formation à la cybersécurité. L’actualité épidémique pousse à se demander ce qu’il en est de l’apprentissage de la gestion de crise. En effet, quasiment tous les pays du monde sont confrontés au coronavirus, et l’ampleur de l’épidémie les prend quasiment tous au dépourvu. La situation est inédite pour l’époque mais pas pour l’humanité. Quant à la crise, cela fait des années qu’en ouvrant bien les yeux nous pouvions nous rendre compte qu’il y en avait presque tout le temps dans une partie ou l’autre du monde, et qu’il était bien surprenant qu’aucune ne nous ait encore atteint.

Source

En outre, depuis l’ouragan Katrina en Louisiane (2005), les dirigeants des pays devraient savoir qu’ils sont attendus sur leur attitude et les décisions qu’ils prennent durant ces calamités : George Bush fut ainsi voué aux gémonies pour n’avoir pas réagi correctement à la crise. La surprise devrait alors être faible, d’autant que les formations à la gestion de crise n’ont jamais été aussi abondantes que ces années. En voici une, une autre, encore une autre, encore une, même une liste de formations, et l’Etat via l’INHESJ propose même un management stratégique de la crise.

Bref, il y a le choix. Alors comment se fait-il que tant de voix s’élèvent pour critiquer la façon dont l’épidémie est gérée ?

Read More

Categories: Etat, protection Étiquettes : , ,

Cyber corona

No Comments

Bien que n’ayant pas encore achevé la rédaction de ma thèse (mais cela approche, heureusement !) l’actualité me pousse à rédiger un billet tant qu’il en est temps : espérons que le corona ne s’appesantira pas, et que la vie reprendra son cours paisible.

Source

Ayant été frappé par les similarités entre le monde réel et le monde cyber à l’occasion de cette épidémie, je vous propose d’en faire un petit tour, non exhaustif.

Read More

Categories: Entreprise, Etat, Management, Sécurité Étiquettes : , ,

Mesurer la diversité

No Comments

La diversité étant un bien, durement acquis et sans cesse menacé, il m’a paru utile d’apporter ma pierre à l’édifice de sa préservation et de la lutte contre les discriminations. D’autant plus que l’informatique le numérique est un secteur réputé misogyne, sexiste, etc.

DIVERSITÉ & IMAGE : LES ENTREPRISES PRENNENT POSITIONS ...

Source

Cependant, comme dans tout combat, il faut savoir évaluer son ennemi, les forces en présence avant de lancer une offensive. Je vous propose donc une façon de mesurer la diversité via un coefficient, préalable à tout combat mené avec une forte probabilité de réussite.

Read More

Categories: droit Étiquettes : ,

Des informatiques orphelines dans les armées et de leurs conséquences

No Comments

Le récent article du colonel Légrier, publié dans la rubrique « opinions » mais promptement retiré le 16/02 du site internet de la Revue de la Défense Nationale pour des raisons initialement non exposées et au demeurant assez xylolalique, incite à se poser, de manière plus moderne, la sempiternelle question de la dépendance des armées envers la technique.

Notons, avant de poursuivre, que le lecteur ne trouvera pas ici de discussion sur le bien fondé des opinions dudit colonel ni même sur l’opportunité et l’élégance du retrait de cet article. Uniquement une réflexion sur la question de la dépendance des armées envers la technique. Mais de manière plus moderne, car cette séduction a maintenant pris les traits (marketing ou post-modernes) de la numérisation, sans laquelle toute entreprise (au sens large du terme) serait condamnée à végéter.

Source

Faisant également suite à un article un peu moins récent dans lequel était expliqué que des troupes françaises, en manœuvre dans un pays balte, s’étaient trouvées perdues à cause d’une panne de GPS (elles ont donc réactualisé le bon vieux principe du PMG, paumés mais groupés) l’objectif de ce billet est de se demander si les informatiques ne sont pas, parfois, considérées comme orphelines dans les armées et donc si la fameuse loi de conservation de l’intelligence ne s’applique pas également aux systèmes militaires. Si tel était le cas, il faudrait alors identifier quelles conséquences opérationnelles sa mise en application peut avoir.

Read More

Attribution d’une cyberattaque

No Comments

L’attribution d’une cyberattaque a déjà été évoquée dans un précédent billet, suite à des propos du ComCyber qui déclarait qu’il allait tenter d’attribuer les cyberattaques.

Afin de l’aider dans ses tentatives, les Suisses ont rédigé un document fort intéressant (mais je doute que c’était une commande du ComCyber gaulois) disponible ici.

Le présent billet s’inspire de ses propos.

La réflexion sur le processus d’attribution d’une cyberattaque est indispensable pour au moins deux raisons.

Source

La première est que le cyberespace permet de se cacher parfois de manière efficace, mais aussi parce qu’il permet de brouiller les pistes. Ce n’est pas parce qu’un ordinateur localisé en Russie a servi à mener une cyberattaque que les Russes en sont forcément à l’origine. Notons à ce sujet que très peu de cyberattaques sont attribuées à des Américains. Ces derniers sont-ils tellement vertueux qu’ils n’hébergeraient aucun pirate sur leur sol, sont-ils plus efficaces que les autres, ou un voile pudique couvre-t-il leurs méfaits ?

La seconde est qu’il n’existe pas d’alliés dans le cyberespace, si ce n’est de circonstance. Ainsi, les Américains (encore eux), bien qu’alliés officiels de l’Allemagne n’en ont-ils pas moins écouté le téléphone de Mme Merkel. Enfin, si l’on en croit certaines versions, ce serait la NSA sans l’accord de B. Obama…

Ces deux raisons constituent d’indéniables atouts pour les attaquants qui peuvent se cacher et nier autant qu’ils veulent toute implication dans un cyber méfait, mais semblent limiter la possibilité des États de « délivrer des messages » forcément clairs et dissuasifs comme le fut l’opération Hamilton contre la Syrie.

Ceci étant posé, il faut distinguer deux cas de figure :

– la cybercriminalité qui implique un jugement reposant sur une expertise forensique et des probabilités (cf. ce précédent billet) voire une intime conviction, et pour laquelle l’attribution doit être publique ;

– les attaques interétatiques dont l’attribution peut ne pas être publique, selon l’opportunité estimée par le pays frappé.

Dans ces deux cas de figure cependant, et même si la dimension politique de l’attaque est un des critères de différenciation, le processus décisionnel est le même.

Read More

Fausse information et fausse monnaie

No Comments

Depuis quelque temps, les fausses informations et leurs circuits de diffusion font la une récurrente de l’actualité, à tel point qu’elles pourraient devenir le marronnier des temps numériques1. Pourtant, ce sujet n’est pas récent, la ruse, la manipulation, la « déception » même ont eu leurs émules à toutes les périodes de l’Histoire.

Leur remise à l’honneur tient aux résultats de récentes élections dont le vainqueur n’aurait dû, dit-on, son succès qu’à l’appui actif de trolls et fuites russes2, ou qui n’aurait pu gagner que parce qu’il avait terrassé ces mêmes éléments malfaisants3.

Source

Si on observe bien ce phénomène, et surtout si on écoute attentivement ses commentateurs, il s’avère que la fausse information circule librement et qu’il est bien difficile de l’identifier avec certitude. De ce double constat, un parallèle avec la fausse monnaie peut être esquissé. En effet, cette dernière est une plaie de l’économie, et son identification souvent difficile rend sa circulation quasiment libre.

Si cette comparaison s’avérait pertinente, le parallèle pourrait alors être poussé davantage afin de savoir si les moyens de lutte contre la fausse monnaie s’avéreraient adaptés à la lutte contre les fausses informations.

Voyons ce qu’il en est.

Read More

Categories: numérisation, protection Étiquettes : , ,

RIP SAIP

No Comments

Ainsi donc, alors que le débat national sur la bioéthique est clos mais que la rédaction des synthèses est en cours, le gouvernement a décidé de faire partir, dans la discrétion, l’application SAIP. J’avais exposé, il y a un peu moins de deux ans, les pièges de la rapidité de la conception d’une telle application. Puis, la persistance de ses problèmes, prouvant ainsi qu’un projet débutant mal ne peut se rétablir que par miracle.

Source

Mais comme la religion ne peut être à l’honneur dans une époque qui se veut laïque, le miracle du fonctionnement normal de SAIP n’a pas eu lieu.

Le gouvernement a donc procédé à l’ultime injection compassionnelle. Tout cela était en fait couru d’avance, tant les défauts de conception et d’organisation initiale du projet étaient flagrants : précipitation, absence de redondance, faible qualité de service annoncée, et surtout direction de projet inexistante une fois le projet lancé. Cela fait beaucoup pour un seul projet, comme si le ministère de l’Intérieur voulait prouver qu’il pouvait faire mieux (ou pire) que celui de la Défense (de l’époque) avec Louvois.

Read More

Categories: numérisation, protection

Anon

No Comments

Ce billet n’est pas dédié à une étude animale, comme son titre pourrait le laisser croire (il lui manquerait alors un accent circonflexe), mais à quelques éléments relatifs au film d’Andrew Niccol, sorti cette année. Rappel : Andrew Niccol est le réalisateur de Bienvenue à Gattaca (1997), Simone (2001), Time out (2011) ainsi que le scénariste de The Truman Show (1998). C’est donc un habitué des films traitant des u et dystopies, selon le point de vue que l’on adopte.

Comme son titre le laisse supposer, la trame principale du film est la question de l’anonymat dans un futur indéterminé.

Source

Indéterminé mais qui ne semble pas si loin de notre époque, car si les bureaux dans lesquels les personnages principaux du film (des policiers) travaillent sont d’une tristesse époustouflante voire déprimante (les murs sont en béton nu), le lieu principal de l’action est une ville de notre époque, les moyens de transport étant également contemporains.

Il ne sera pas question ici d’une critique du film en bonne et due forme, mais d’exposer quelques éléments intéressants, tirés des dialogues et soulevant quelques questions relatives à la vie privée et donc à l’anonymat.

Read More