A la Une

Mon Blog Défense

samedi 30 octobre 2010

Secret Défense déménage

Juste un petite message pour souligner que Secret Défense, le blog de Jean-Dominique Merchet, sera dorénavant hébergé sur Marianne2, le site du journal Marianne.

Aucun changement dans la ligne éditoriale ne devrait être noté. En espérant qu'il reprenne l'Alliance Géostratégique dans ses liens.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

vendredi 29 octobre 2010

Cyberdéfense : Lynn veut un bouclier triple action pour l'OTAN

Alors que le cyberespace est décidément de plus en plus dangereux, le sous-secrétaire d'état à la défense américain, William Lynn, a annoncé en ce mois d'octobre qu'il souhaitait que l'OTAN se dote d'un cyberbouclier composé de "trois couches" (ça réchauffe en hiver). D'ailleurs le SG de l'OTAN n'en parlait-il pas récemment ?

Il s'agit ni plus ni moins de sécuriser les infrastructures informatiques de l'organisation, qui comme celles des Etats-Unis (et de toutes les autres grandes organisations dans le monde) sont régulièrement soumises à des "attaques" (comprendre : un mix de vraies attaques plus ou moins ciblées, de fichiers douteux téléchargés imprudemment, d'exploitation de failles dans Windows ou autres logiciels...). En quoi consistent donc ces couches ?

La première relève juste de la bonne mise à jour des logiciels afin de pallier les failles détectées au fil de l'eau, ainsi que du bon fonctionnement des pare-feux, censés autoriser ou refuser la circulation de certains types de communications au sein du réseau. Ok rien de transcendant mais on se rappelle que la Marine a morflé à cause de Conficker notamment parce qu'elle avait oublié de patcher Windows.

La deuxième couche doit permettre la détection d'intrusions et la surveillance du réseau. Ouais ouais... rien de bien original.

Enfin, il faut une troisième couche un peu plus active, qui va faire le guet à l'entrée des zones sensibles et tenter de bloquer tout malware avant qu'il n'entre en action, ou qui, si cela n'est pas possible, va devoir mener une véritable chasse au virus/ver/... à l'intérieur du réseau otanien.

Même si de nombreuses technologies existantes couvrent une grande part des exigences requises (certes imparfaitement, mais c'est l'essence d'un système de défense de ne pas être inviolable), de grands progrès doivent être faits sur ce qui touchent au "zero day threats", c'est-à-dire les menaces qui apparaissent comme ça un jour, et pour lesquelles aucun test de dépistage (et a fortiori vaccin) n'est encore connu. J'avais déjà évoqué le sujet (Souris, mouches, araignées, chats et pots de miel), mais Charles Bwele en a également parlé (Invincea virtualise votre sécurité en ligne) : une solution peut consister en l'utilisation de "faux" environnements (soit un système complet, soit un navigateur Web), qui vont détecter et encaisser les attaques sans danger pour les "vrais".

Bien évidemment, ce bouclier doit aussi protéger des mauvaises actions, intentionnelles ou non, des insiders, affaire Wikileaks oblige : impossibilité de copier des fichiers vers et d'exécuter un programme depuis une clé USB, etc... Mais il doit aussi "sentir" les menaces montantes par l'envoi de sondes à l'extérieur du réseau de l'OTAN.

Intéressant à noter, tous les exemples donnés par l'article de Defense News cité ci-dessus concernent exclusivement les Etats-Unis, qu'il s'agisse des attaques ou des projets de cybersécurité. Certes, ils se sont mis à la cybersécurité avant la plupart de leurs alliés de l'OTAN, mais il eut été plus enrichissant d'expliquer en quoi la proposition de Lynn ne consistait pas uniquement en une promotion des technologies (voire plus) américaines au sein de l'alliance...

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

mercredi 27 octobre 2010

[Le blog de la semaine] : Guerre de l'information - Information Warfare

Cette semaine, et (encore !) en lien avec le thème du mois de l'AGS, je signale le blog de Daniel Ventre, Guerre de l'information - Information Warfare.

Pour ceux qui ne suivent pas (Quelques ouvrages relatifs à la cyberguerre), ce chercheur au CNRS, professeur à l'ESSEC et à Telecom ParisTech, a signé (ou dirigé pour le second) deux ouvrages de référence concernant la guerre de l'information, qui chevauche grandement le concept de "conflit dans le cyberespace" (à défaut de cyberguerre) :



D'ailleurs le blog a été lancé à l'occasion de la publication du premier, en décembre 2007, et il est encore alimenté, même si la fréquence n'est pas très élevée. Bien sûr, il tourne beaucoup autour des publications ou de l'agenda de Daniel Ventre, mais il contient également des articles intéressants, comme la récente analyse (certes sans inédit par rapport à ce qui peut être lu ailleurs) de l'affaire Stuxnet.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

mardi 26 octobre 2010

Du cyber à l'AK-47

En ce mois high-tech, rien de tel qu'un petit crochet par une "valeur sûre", bien réelle, de la vie militaire de ces dernières décennies, j'ai nommé la Kalashnikov.



Avec plus de 100 millions (en incluant la "descendance") d'unités en circulation, c'est de loin l'arme à feu la plus répandue dans le monde (et la plus connue !), souvent symbole de guérilla et de lutte du faible face au fort.



C.J. Chivers, un ancien Marine, auteur de The Gun, a donné une longue interview à Foreign Policy sur l'histoire et l'actualité de la "véritable arme de destruction massive" : From Russia With Blood.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

lundi 25 octobre 2010

La cyberguerre aura-t-elle lieu ?

Un petit article écrit dans le cadre du thème du mois de l'AGS sur le cyberespace et déjà publié sur le site de l'Alliance.

***

Le terme de "cyberguerre" s'impose de plus en plus dans le débat stratégique et les médias. Face aux nombreux messages alarmistes sur la vulnérabilité de nos infrastructures, nos dirigeants politiques placent la cybersécurité en haut de la liste de leurs priorités. Mais, alors qu'aucune occurrence de cyberguerre ne s'est encore produite, la situation est-elle si cataclysmique que certains la présentent ?

computer_bomb

Tremblez devant le Cyber Monstre !

Depuis 1993 et le « Cyberwar is coming! » de John Arquilla et David Ronfeldt, le cyberdésastre semble nous pendre au nez. Pensez donc ! Grâce à Internet et au micro-ordinateur, tout un chacun, et notamment les états, mafias et autres terroristes mal-intentionnés, peut se muer en cyberpirate et mettre à bas la réputation ou les infrastructures numériques d'organisations situées à l'autre bout du monde ; et ce, en toute impunité ou presque, puisque si le réseau des réseaux abolit les frontières pour les trafiquants, criminels ou autres malfrats, la coopération internationale en termes de cyber-réponse (pour des raisons techniques, juridiques et politiques) est en revanche très lacunaire.

Virus, chevaux de Troie, vers, phishing, spams, contrefaçon, déni de service... la liste des menaces, plus ou moins intentionnelles, semble sans fin. L'accumulation d'exemples donnés par Nicolas Arpagian dans La Cyberguerre en donne le tournis. Et les ONG (particuliers, lobbys, activistes, mafias, groupes terroristes ou même entreprises) ne sont pas les seules à faire apparemment usage de l' « arme » numérique de façon offensive. L'Estonie en 2007, la Géorgie en 2008, Stuxnet en 2010 ou même le ghostnet chinois (La Chine au coeur d'une affaire de cyberespionnage de masse ?) sont autant d'affaires dans lesquelles les soupçons se portent sur une instigation étatique, avec plus ou moins de proxies pour brouiller les pistes ; un état de fait facilité par le manque de traçabilité qui existe sur Internet. La Clickskrieg nous guette :

The question isn't will there be a cyberwar -- the question is when will there be one?

clickskrieg

La cyberguerre est déjà en train d'être perdue par les États-Unis, c'est ce que dit Mike McConnell, ancien directeur de la NSA :

The United States is fighting a cyber-war today, and we are losing.

Pas de quoi être optimiste, même si dans ce maelström on perçoit un certain amalgame entre menaces de diverses natures et de niveaux de dangerosité inégaux. D'autant que la sémantique est loin d'être innocente.

Cyber priorité et budget du cyber

Nos dirigeants semblent avoir pris le problème à bras le corps, donnant ainsi écho aux annonces alarmistes qui font de la quatrième dimension le terrain de la prochaine Guerre Mondiale. Il faut agir vite, car nos ennemis fourbissent déjà leurs claviers et nos infrastructures vitales sont vulnérables, du fait des failles de sécurité existant dans les systèmes SCADA ou DCS (Infrastructures vitales et cybersécurité). D'ailleurs, un hacker n'a-t-il pas récemment montré qu'il pouvait prendre à distance le contrôle d'une centrale nucléaire ? Kevin Mitnick, célèbre pirate informatique et ancien homme le plus recherché des Etats-Unis, ne pouvait-il d'ailleurs pas lancer l'apocalypse atomique en sifflant dans un téléphone ? Bref, les gouvernements font depuis quelques années de la cybersécurité une priorité de leur agenda et des dépenses militaro-sécuritaires. Et ce, à la fois sur les dimensions défensives et offensives. La création de l'US Cyber Command, la LOPPSI 2 ou la Canada's Cyber Security Strategy sont là pour en témoigner, sur des aspects divers. Au niveau international, marqué par un grand cloisonnement national, Hamadoun Touré, secrétaire général de l'Union Internationale des Télécommunications, agence spécialisée de l'ONU, réclame des traités internationaux et s'inquiètent de nouvelles formes de conflits (Nouvel Ordre Mondial Cybernétique et Clickskrieg) :

When I see Google and China fight, not China and the U.S., but a company and a country, it’s a new world order. Something new is happening around us. What do we do about it?

Même si, il faut bien le dire, un certain désaccord existe sur la définition d'une cyberarme. Là où nous Occidentaux voyons une menace sur les infrastructures (énergie, transport, systèmes financiers ou militaires...), les Russes et les Chinois mettent au premier plan la « guerre des idées », terrain de jeu du « terrorisme informationnel », coupable de déstabiliser les régimes en place à coup d'ingérence numérique (Cyberguerre, un désaccord dans les termes).

Quoi qu'il en soit les industriels de l'armement, toujours à la recherche de leviers de croissance, ont senti le bon filon, alors que la « Transformation » des décennies passées ne semble pas être allée au bout de ses promesses financières. Il faut dire que des analystes estiment que les États-Unis vont dépenser près de 50 milliards de dollars sur le sujet d'ici à 2015. En conséquence, les EADS, Boeing, Northrop Grumman, Lockheed Martin ou L-3 Communications cherchent à multiplier les acquisitions d'acteurs spécialisés, afin de combler leur retard sur les pure players du secteur. On voit bien leur intérêt à ce que le niveau de la cybermenace ne soit pas sous-estimé.

cyber-security-web

Cyber prudence

Sans nier que la sécurité dans le cyberespace est un enjeu majeur du XXIème siècle, du fait de la réseau-dépendance de nos sociétés, il faut cependant raison garder. Il est vrai que le numérique et l'Internet sont propices aux fantasmes les plus fous, du fait des possibles, qu'il s'agisse de l'abolition des distances (on peut être dévalisé par un escroc nigérian sans qu'il n'ait à franchir ses frontières !), du nombre d' « attaques » (le Pentagone est « attaqué » plus de 100 fois par jour !), de l’anonymat ou de l'asymétrie (quelques individus entraînés peuvent faire tomber une centrale nucléaire à l'autre bout du monde). Et Hollywood n'y est sans doute pas pour rien, en nourrissant l'imaginaire qui va favoriser les emballements médiatiques.

« Emballement médiatique », voilà qui sied bien à l’affaire Stuxnet, un virus en circulation depuis plus d’un an mais qui a eu l’honneur des spotlights quand l’hypothèse d’une attaque israélo-américaine sur l’Iran a été évoquée. Pour le moment, cette histoire a surtout montré l’importance de la guerre médiatique et psychologique, en l’absence de preuve quant à son origine et ses effets réels.

Il est également de bon ton, et le thème du mois de l'AGS le montre, d'utiliser le préfixe « cyber » devant tout un tas de termes pour en tirer des buzzwords aux connotations effrayantes : cyberterrorisme, cybercriminalité, cyber Pearl Harbor, Cyber Armageddon voire Cybarmageddon ou Cybergeddon...

Comme le rappelle SD dans son article Cyberguerre : halte à la bataille d'ordinateurs, il n'y a cependant pas encore eu de cyberguerre au sens politique du terme :

Des actions limitées de lutte informatique ne peuvent être assimilées à une guerre mais tout au plus à un combat dont nous ne savons rien ou presque.

Il est donc important de garder la tête froide, et de remettre les choses en perspective. On compare souvent Internet à un autre réseau de communications, le réseau routier. A titre indicatif, il y a sur les routes environ 1, 3 million de morts chaque année dans le monde. Il y a une certaine marge avant que la « cyberguerre » (encore à venir) n'atteigne ce niveau. D'aucuns disent même, ce avec quoi je ne suis pas d'accord (ne serait-ce que parce que le monde virtuel peut influer sur des éléments bien matériels), qu'une cyberguerre ne ferait que des cybermorts.

Alors certes, sur la route, l'écrasante majorité des accidents n'est pas due à des attaques volontaires, mais plutôt à des comportements irresponsables ou à de l'imprudence. Mais j'y vois là aussi un parallèle, toute proportion gardée, avec les dangers du cyberespace : une grande part du succès des malware provient directement du maillon humain, qui en toute innocence, va télécharger un fichier douteux depuis le Web ou brancher une clé USB sur le réseau de l'Intranet de la Marine Nationale.

Ce qui, par ailleurs, augmente sensiblement le risque d’effet indésirable d’une attaque, et ses coûts collatéraux, par un possible effet boomerang sur ses propres infrastructures, et qui doit inviter à réfléchir des décideurs politiques désireux de lancer des offensives à première vue peu onéreuses.

D’autant qu’il ne faut pas sous-estimer la résilience du réseau dans son ensemble. Si l’on revient aux origines d’Internet, on se rappelle que son ancêtre, Arpanet, a été conçu pour permettre le maintien de communications entre centres névralgiques américains à la suite d’une attaque nucléaire. De fait, les attaques enregistrées jusqu’à ce jour ont paralysé momentanément quelques sites Web ou ont perturbé le fonctionnement de quelques usines. Il n’a pas fallu longtemps à l’Estonie ou la Géorgie pour se relever des attaques subies en 2007 et 2008. Autre exemple, moins glorieux : des serveurs de messagerie par lesquels sont transitent de grandes quantités de spams sont régulièrement éteints par décision de justice, occasionnant des chutes énormes immédiates du volume de pourriels perceptibles au niveau mondial ; qui reprend de plus belle à peine quelques jours plus tard…

Pour certains, comme Jean-Marc Manach, animateur du blog Bug Brother, la cause est entendue : après le terrorisme islamiste, la « cyberguerre » est le nouvel instrument de peur au profit de mesures sécuritaires et de contrôle de la population :

Je ne sais ce qu’il en sera dans 2, 5 ou 10 ans. Je n’en constate pas moins que, jusqu’à ce jour, et depuis des années, le “cyberterrorisme” relève surtout de la (cyber)propagande, et qu’il sert essentiellement à “nous” préparer à l’éventualité d’une “cyberguerre”, et donc à en financer les préparatifs et contre-mesures militaires, et policières.

D’autres, comme l’expert Bruce Schneier, sont plus mesurés : tout en reconnaissant l’emballement excessif autour du cyber, ils invitent à mettre l’emphase sur la cybersécurité menée par le civil, pensée en temps de paix, au détriment de la cyberguerre, qui serait par essence militaire :

We surely need to improve our cybersecurity. But words have meaning, and metaphors matter. There's a power struggle going on for control of our nation's cybersecurity strategy, and the NSA and DoD are winning. If we frame the debate in terms of war, if we accept the military's expansive cyberspace definition of "war," we feed our fears.

We reinforce the notion that we're helpless -- what person or organization can defend itself in a war? -- and others need to protect us. We invite the military to take over security, and to ignore the limits on power that often get jettisoned during wartime.

If, on the other hand, we use the more measured language of cybercrime, we change the debate. Crime fighting requires both resolve and resources, but it's done within the context of normal life. We willingly give our police extraordinary powers of investigation and arrest, but we temper these powers with a judicial system and legal protections for citizens.

Il s'agit donc de penser une "cyber-défense" permanente, couvrant l'ensemble des infrastructures et réactive en cas d'attaque, sans toutefois qu'elle soit uniquement militaire.

Le débat risque de rester vif dans les prochaines années, d’autant que comme nous l’avons déjà évoqué, le flou (proxy, false flag, astroturfing…) régnant sur l’origine des attaques dans le cyberespace et leur impact réel ne joue pas en faveur de la transparence, et pourrait favoriser l’emballement... ou la dissimulation. Il reste toutefois à espérer que les prophéties les plus pessimistes, encourageant la course aux cyberarmements défensifs et offensifs, ne deviennent pas autoréalisatrices.



Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

vendredi 22 octobre 2010

L'Alliance Géostratégique dispose désormais d'un compte Twitter

Après le blog et le compte Facebook, c'est au tour de Twitter de voir l'arrivée de l'Alliance Géostratégique.

C'est par là que ça se passe : twitter.com/ags_blog : annonces de publication des articles de l'AGS, de ceux des blogs alliés, ou d'autres réactions et liens vers de l'actu en relation avec nos sujets d'intérêts. On commence doucement, mais ça va monter en régime.

Abonnez-vous !

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

Cyberguerre : il faut définir les règles d'engagement

On parle beaucoup du flou qui entoure la notion de cyberguerre, et notamment des problèmes d'identification de possibles cyberattaquants, ce qui pourrait entraîner de nombreux conflits par proxy ou même des opérations false flag aux conséquences en cascade non maîtrisées.

L'affaire Stuxnet (Qui a cyberpiraté l'Iran nucléaire ?) est là pour montrer que les esprits s'échauffent rapidement, et que les rumeurs les plus folles peuvent circuler à grande vitesse tout autour du monde... laissant potentiellement tranquille les réels instigateurs (s'ils existent) de toute l'histoire.

Michael Chertoff

Pour prévenir tout risque d'escalade, et faisant ainsi écho à Hamadoun Touré, patron de l'UIT (Nouvel Ordre Mondial et Clickskrieg), l'ancien chef du Department of Homeland Security US, Michael Chertoff, veut faire de la définition de règles d'engagement (voir Les règles d'engagement en 10 questions du CDEF pour une définition du terme) une priorité des gouvernements autour du globe. Et ceci, afin de responsabiliser les dirigeants qui aujourd'hui se réfugient souvent derrière l'opacité du réseau des réseaux
By setting rules, we can adjust incentives to make countries take responsibility for what is going on within their borders

L'idée étant de définir des modalités de réponse appropriées à la sévérité de l'attaque :
While theft is bad, murder is worse, and the first could not justify action against a whole country, while second would

Même s'il peut paraître difficile de définir des accords généraux et génériques, Michael Chertoff pense qu'il est possible de se mettre autour de la table pour discuter de types d'attaques qui impacteraient potentiellement des intérêts partagés :
Countries could agree on zero-tolerance for attacks on air traffic control systems and financial trading systems, for example

Il appelle les acteurs du secteur IT à faire du lobbying auprès des gouvernants pour aller dans ce sens. Ce qui impliquerait, pour permettre la traçabilité des attaques, rendue absolument nécessaire dans le cadre du jus ad bellum, de renforcer l'authentification des utilisateurs sur Internet. Ce qui, pour Bertoff, ne signifie en aucune manière restreindre leur liberté et le respect de la vie privée... d'aucuns pensent différemment.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

jeudi 21 octobre 2010

Colloque "Espace et Défense" le 15 novembre

Le Club Participation et Progrès organise le 15 novembre prochain un colloque "Espace et Défense", présidé par Jaqcues Blamont de l'Académie des Sciences et sous le parrainage du député Jacques Myard (auteur de La France dans la guerre de l'information que je cite dans Quelques ouvrages relatifs à la cyberguerre).



Le colloque aura lieu de 9h à 18h à la Salle Colbert (126 rue de l'Université, Paris VIIème), et verra l'intervention de nombreux spécialistes de renom.

Je ne citerai ici qu'Olivier Kempf qui parlera de la défense antimissile de l'OTAN (vaste sujet, voir notamment sur son blog à propos de la venue de M. Rasmussen à l'IFRI) et Alain de Nève qui tentera de répondre à la question "Existe-t-il un projet chinois d'arsenalisation de l'espace ?".

Le programme exhaustif ainsi que le coupon réponse (l'inscription est obligatoire) sont en ligne.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

mercredi 20 octobre 2010

L'Europe de la défense un an après le Traité de Lisbonne, par l'Institut Thomas More

L'Institut Thomas More me signale la parution de sa Note de Benchmarking intitulée "L'Europe de la défense un an après le Traité de Lisbonne : état des lieux et perspectives", dont voici la présentation :

Alors que le traité de Lisbonne est entré en vigueur le 1er décembre 2009, l’Union européenne (UE) se débat dans une crise économique qui met à mal une construction déjà fragile en raison de la diversité des histoires et traditions politiques sur le continent européen. La priorité est aux économies budgétaires.

Replacées dans l’évolution globale des dépenses de défense de ces dix dernières années, les récentes restrictions budgétaires renforcent le sentiment d’une Europe qui se refuse à se donner les moyens de devenir un acteur global. Les Européens seraient ainsi entrés dans cette « fin de l’Histoire » annoncée par le philosophe Francis Fukuyama dans les années 1990. Les recompositions bouleversant les anciennes hiérarchies de puissance, l'émergence désormais nette de nouveaux centres de pouvoir hors du monde occidental et l’augmentation générale des dépenses de défense sont pourtant autant de facteurs d’instabilité.

Près d'un an après l'adoption du traité de Lisbonne et à l’heure où les membres de l’OTAN négocient un nouveau « concept stratégique », les mois qui viennent seront l’occasion de s’interroger – une nouvelle fois – sur la place et les ambitions de l’« Europe de la défense ». La présente note ouvre une série de publications dans le cadre d'un programme de recherche intitulé « Défense et Sécurité : le coût de la non-Europe ». Elle s’inscrit dans la perspective du débat sur l'avenir de l'OTAN et de l'Europe de la Défense en dressant un état des lieux de l’évolution des politiques de défense des États membres de l’UE ces dernières années, ainsi que des perspectives offertes par le traité de Lisbonne.


Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

lundi 18 octobre 2010

Propagande : le low tech a encore de beaux jours devant lui

On parle actuellement beaucoup de cyberguerre et du cyberespace, à l'occasion notamment du thème du mois d'octobre de l'Alliance Géostratégique (Stratégies dans le cyberespace).


John Arquilla

Je n'arrive plus à trouver l'interview de John Arquilla, l'inventeur, avec David Ronfeldt, du terme "cyberwar", dans laquelle il explique (on doit être juste après les attentats du 11 septembre) que l'Internet doit permettre la diffusion et la progression des idées démocratiques, notamment au Moyen-Orient ou en Asie Centrale. Une opinion qui s'inscrit dans la droite lignée de Voice of America ou Radio Free Europe. Perçue par les uns comme progressiste, elle est au contraire pour d'autres la manifestation caractérisée de l'impérialisme américain et occidental qui veut imposer ses valeurs au monde entier.

Il est évident que le réseau des réseaux permet la dissémination des opinions (toutes les opinions) au-delà des frontières, même si certains états font bout pour s'y opposer.

Cependant, en lisant l'article Le Tadjikistan menacé de "talibanisation" du Figaro, on ne peut s'empêcher de relever assez ironiquement que là encore, le "low tech offline" a encore de beaux jours devant lui ; et qu'il ne faut pas surestimer le pouvoir de propagande pur de la Toile, qui n'amènera pas de lui-même la paix universelle sur le monde, fut-il connecté.


Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

samedi 16 octobre 2010

John Arquilla sur la cyberguerre

Le co-auteur, avec David Ronfeldt, du célèbre "Cyberwar is coming", explique dans cette petite vidéo son point de vue sur l'impact que peut avoir l'utilisation du cyberespace sur les doctrines et les tactiques militaires.


La vidéo complète se trouve ici.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

jeudi 14 octobre 2010

Liberté d'expression des officiers et faillite des généraux

Lors du Café Stratégique du 7 octobre dernier, le général Desportes a évoqué l'exemple du colonel Gian Gentile et de son avis sur la COIN comme exemple typique de la liberté d'expression des officiers américains, contrastant avec la situation qui prévaut en France. J'en ai d'ailleurs déjà parlé sur ce blog ; voir par exemple Officiers, exprimez-vous... mais bien et pas trop ?

Le Lieutenant Colonel Paul Yingling

Un autre exemple qui vient à l'esprit est celui du Lieutenant Colonel Paul Yingling, envoyé trois fois en Irak et auteur du célèbre "A failure in generalship" (La faillite des généraux) publié dans l'Armed Forces Journal en 2007. Sur le fond, ce qu'il dit n'est pas en accord avec Gentile, puisqu'il promeut la spécificité du COIN. Mais c'est le ton de la charge qui est assez emblématique, puisqu'il remet totalement en question le système actuel de promotion et d'évaluation (y compris la validation du grade de départ en retraite) des officiers généraux :

For the second time in a generation, the United States faces the prospect of defeat at the hands of an insurgency.
[...]
America’s generals have failed to prepare our armed forces for war and advise civilian authorities on the application of force to achieve the aims of policy. The argument that follows consists of three elements. First, generals have a responsibility to society to provide policymakers with a correct estimate of strategic probabilities. Second, America’s generals in Vietnam and Iraq failed to perform this responsibility. Third, remedying the crisis in American generalship requires the intervention of Congress.
[...]
America’s swift defeat of the Iraqi Army, the world’s fourth-largest, in 1991 seemed to confirm the wisdom of the U.S. military’s post-Vietnam reforms. But the military learned the wrong lessons from Operation Desert Storm. It continued to prepare for the last war, while its future enemies prepared for a new kind of war.
[...]
Given the lack of troop strength, not even the most brilliant general could have devised the ways necessary to stabilize post-Saddam Iraq. However, inept planning for postwar Iraq took the crisis caused by a lack of troops and quickly transformed it into a debacle.
[...]
After going into Iraq with too few troops and no coherent plan for postwar stabilization, America’s general officer corps did not accurately portray the intensity of the insurgency to the American public.
[...]
The intellectual and moral failures common to America’s general officer corps in Vietnam and Iraq constitute a crisis in American generalship. Any explanation that fixes culpability on individuals is insufficient. No one leader, civilian or military, caused failure in Vietnam or Iraq. Different military and civilian leaders in the two conflicts produced similar results. In both conflicts, the general officer corps designed to advise policymakers, prepare forces and conduct operations failed to perform its intended functions.
[...]
The need for intelligent, creative and courageous general officers is self-evident. An understanding of the larger aspects of war is essential to great generalship. However, a survey of Army three- and four-star generals shows that only 25 percent hold advanced degrees from civilian institutions in the social sciences or humanities. Counterinsurgency theory holds that proficiency in foreign languages is essential to success, yet only one in four of the Army’s senior generals speaks another language.
[...]
First, Congress must change the system for selecting general officers. Second, oversight committees must apply increased scrutiny over generating the necessary means and pursuing appropriate ways for applying America’s military power. Third, the Senate must hold accountable through its confirmation powers those officers who fail to achieve the aims of policy at an acceptable cost in blood and treasure.
[...]
As matters stand now, a private who loses a rifle suffers far greater consequences than a general who loses a war. By exercising its powers to confirm the retired ranks of general officers, Congress can restore accountability among senior military leaders.

Le système français permet-il que l'on voie émerger des Yingling ou des Gentile de ce côté de l'Atlantique (et de la Manche) ?

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

mercredi 13 octobre 2010

Le site de l'IFRI hacké ?

Le site Web de l'IFRI (http://www.ifri.org), premier think tank français de relations internationales, semble être actuellement infecté par un malware qui redirige ses visiteurs vers un site malveillant.







Une coïncidence, alors que le thème du mois de l'Alliance Géostratégique est justement consacré au cyberespace et à la cyberguerre ? Attaque plus ou moins ciblée ? Accident dû à une mauvaise manipulation ?

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

Une petite vidéo sur la stratégie américaine en termes de cyberguerre

Adam Segal, du Council on Foreign Relations, explique ce qu'est la cyberguerre, quelle est la stratégie des Etats-Unis sur le sujet, et revient notamment sur les attaques subies par Google, ainsi que sur les menaces pesant sur les infrastructures de la première puissance du monde, en lien avec la montée en puissance de la Chine et de la Russie.


Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

mardi 12 octobre 2010

Café Stratégique du 7 octobre avec Desportes : le compte-rendu

Le compte-rendu (texte, audio, vidéo) du premier Café Stratégique organisé par l'Alliance Géostratégique le 7 octobre, en présence de Vincent Desportes est en ligne : La pensée stratégique française par le général Desportes.



Allez-y, c'est garanti sans langue de bois, et n'hésitez pas à réagir. L'invité, le thème et la date du prochain Café seront bientôt annoncés.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

lundi 11 octobre 2010

Entretien avec Amaury Bessard, président fondateur de l'Observatoire Français des Think Tanks

Amaury Bessard, président fondateur de l'Observatoire Français des Think Tanks (OFTT) et animateur du blog Think Twice, a accepté de répondre à quelques questions relatives à la situation des think tanks français. Cet entretien a déjà été publié sur le site de l'Alliance Géostratégique.


oftt-logo


Pouvez-vous présenter l'OFTT en quelques mots ?

L’Observatoire Français des Think Tanks est une initiative associative née en 2006. La vocation première de l’OFTT est d’étudier de comprendre et d’analyser l’émergence du phénomène think tank puis de diffuser au plus grand nombre cette connaissance acquise pour la débattre et l’enrichir. C’est la mission de notre site web www.oftt.eu, de notre magazine trimestriel Think, et plus récemment de mon blog intitulé Think Twice.


Au-delà des tentatives de définition, quel est, s'il existe, le plus petit dénominateur commun à tous les think tanks ?

La production d’innovation politique constitue l’essence du think tank.


Selon l'étude "The Global Go-To Think Tanks" publiée en 2009 par le FPRI, voir p. 27), un seul think tank français, l'IFRI, figure parmi les 25 plus influents du monde (hors think tanks américains). Est-ce représentatif de la situation française, au regard notamment de ce qui se passe chez les Anglo-saxons ?

Il est toujours difficile de tirer des conclusions de classements internationaux qui comparent autour de mêmes critères des organisations qui évoluent dans des systèmes différents. Toutefois, nous pouvons voir apparaître la faiblesse budgétaire des organisations françaises, qui pour la plupart, ne disposent pas de chercheurs salariés en leur sein.Un autre volet de cette représentation française au sein de la « concurrence » internationale réside dans la culture centraliste de l’Etat français et l’organisation de notre recherche scientifique (via le CNRS) qui ont généré un modèle politique propre à notre pays, peu comparable aux traditions anglo-saxonnes, probablement moins favorable aux corps intermédiaires issus de la société civile. Enfin, la majorité des « think tanks » français poursuit une ambition nationale, seuls quelques-uns (dont la qualité des publications est d’ailleurs souvent reconnue) développent une vision européenne mais cela s’arrête là. Ce classement a le mérite de souligner l’importance de l’IFRI (créé en 1979 sous une impulsion publique) au niveau international et la qualité de ses recherches.


Depuis les débuts de l'OFTT, avez-vous perçu des évolutions majeures en ce qui concerne l'influence ou la perception des think tanks en France ?

Je vous avoue ne pas avoir perçu d’évolution majeure en 4 ans. Ce qui me paraît logique car nous étudions un mouvement de fond plus qu’une mode. Toutefois, je remarque une attention croissante des médias et des élus pour ces boîtes à idées. Pour le journaliste pressé, le think tanker constitue un formidable commentateur de l’actualité. Voire même le concept central et l’objet d’une émission entière (Cf. l’émission Think tank sur LCI). Pour l’élu, les think tanks représentent (aussi ou surtout selon les cas) une caution intellectuelle. A la veille de grandes échéances électorales, rares sont les personnalités en lice dépourvues de leur think tank…. Il y a un effet d’halo médiatique sur le phénomène. Cela peut être favorable à leur essor et à leur visibilité auprès du grand public mais constitue dans le même temps un risque : celui de la gadgetisation.


Quelle est votre perception des effets de la production des think tanks dans le domaine de la défense et de la pensée stratégique ?

Les think tanks français ont-ils une influence dans la pensée stratégique française… Je ne suis pas un expert en relations internationales mais on peut se demander s’il existe une pensée stratégique française aujourd’hui. Vous serez plus à même que moi d’y répondre. Au-delà de ce questionnement initial, la France dispose de quelques centres de recherche spécialisés de très grande qualité. Nous avons cité l’’IFRI de Thierry de Montbrial et Dominique Moïsi plus haut, nous pouvons aussi évoquer la Fondation pour la Recherche Scientifique (qui vient de relooker son site web pour info), ou encore l’IRIS de Pascal Boniface.

J’en oublie certainement mais selon moi, il est évident que leurs travaux nourrissent la réflexion stratégique de l’Etat. Ce n’est certainement pas aussi visible que l’action du PNAC aux USA sous l’ère Bush mais il y a des signes qui ne trompent pas. Regardez la proximité culturelle entre le personnel de ces think tanks et celui de l’administration par exemple. Selon moi, ils partagent la même matrice intellectuelle. Mais votre questionnement demanderait une étude plus approfondie.


Les think tanks peuvent-ils s'adresser directement à l'opinion publique ?

Je pense qu’ils le peuvent et même qu’ils doivent le faire. L’opinion est une partie prenante importante dans nos systèmes politiques. Tout ne peut pas venir d’en « haut ». Pour ne pas rester prisonnier dans une tour d’ivoire intellectuelle, les think tanks ont tout intérêt à partager leurs réflexions avec le plus grand nombre. La première étape reste la mise à disposition de leurs publications et l’organisation de conférences. Ensuite, ils peuvent aller plus loin en interpellant directement le grand public comme l’Institut Montaigne avec son blog ou ses spots TV. Ils peuvent aussi, plus rare, le faire participer à leurs travaux à l’image de confrontation Europe qui tente souvent de réunir une diversité de population issue de représentants de la société civile pour construire ces réflexions. Enfin, les tribunes et autres chroniques dans les journaux leur permet également de diffuser leurs idées au plus grand nombre. Ne disons nous pas que la connaissance est la seule chose qui s’accroît quand on la partage. Il est de leur intérêt de faire rayonner leurs idées, directement auprès des décideurs et indirectement auprès des citoyens (grassroots)


L'évolution du Web (réseaux sociaux et autres plates-formes collaboratives) peut-elle favoriser l'émergence de "réservoirs de pensée" plus distribués et peut-être moins institutionnels ?

Les think tanks comme tout autre acteur participatif à la vie de la cité doivent s’adapter à l’évolution de notre société. Le développement de nouveaux usages de communication doivent évidemment être intégrés. La Fondapol de Dominique Reynié a d’ailleurs eu la bonne idée de lancer son initiative « politique 2.0 », une veille consacrée aux effets du web 2.0 sur les pratiques politiques. Aux USA, les grands think tanks démocrates utilisent les réseaux sociaux avec habilité. Regardez par exemple ce que fait le CAP (Center for America Progress) sur le web. Et je ne parle pas que d’une page Facebook ou d’un compte Twitter ! Je ne sais pas si leurs travaux seront plus participatifs au final mais leur communication sera certainement plus impactante.


Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

samedi 9 octobre 2010

Regain d'activité sur le front franco-britannique

Loin de moi l'idée de comparer mon modeste blog à Google (qui arrive à prédire les épidémies de grippe deux semaines avant les instituts de veille sanitaire), cependant parfois les logs de connexion sont un bon indicateur de la tendance du moment.



Je ne suis pas l'actualité défense 24h/24 ni même 7j/7, aussi fus-je surpris ces derniers jours de voir un grand nombre de visites provenant de Google avec pour mots-clés des combinaisons de "France", "Royaume-Uni", "têtes nucléaires britanniques", "dissuasion franco-anglaise" ; en plus des récurrents "angleterre Rafale" ou même "Rafale dernier chasseur français".

En fait aucun mystère, puisque les deux pays parlent de coopération en matière nucléaire, comme le rapporte Jean-Dominique Merchet : Vers une collaboration franco-britannique sur les têtes nucléaires. Pas totalement inattendu, dans la mesure où le sujet (bien plus ambitieux) d'une force océanique conjointe de dissuasion a déjà été évoqué : Dissuasion nucléaire franco-britannique ?

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

vendredi 8 octobre 2010

Quelques ouvrages relatifs à la cyberguerre

Pour approfondir la réflexion en cours sur l'Alliance Géostratégique, voici une petite liste d'ouvrage relatifs à la cyberguerre ou à des thématiques connexes (sécurité dans le cyberespace, guerre de l'information, guerre électronique...).

Il ne s'agit bien évidemment pas d'une bibliographie exhaustive, d'ailleurs je vous remercie d'avance pour toutes vos suggestions additionnelles.


***

Cyberguerre et guerre de l'information. Stratégie, règles et enjeux

Ouvrage collectif, sous la direction de Daniel Ventre, Lavoisier, 2010

Une exploration du concept de cyberguerre et des rapports de force dans le cyberespace. A signaler, l'article "Intelligence, the first defence ? La guerre de l'information dans son rapport à la surprise stratégique" de Jospeh Henrotin

couverture_cyberguerre-daniel-ventre

La guerre de l'information

Daniel Ventre, Lavoisier, 2007

Une analyse en profondeur du concept de guerre de l'information, avec des descriptions très poussées de la situation aux États-Unis, en Chine, en Inde, en Russie, au Japon et à Singapour.

daniel-ventre-guerre-info

La cybersécurité

Nicolas Arpagian, PUF, 2010

Une introduction dans le format "Que sais-je ?" aux tenants et aboutissants de la cybersécurité, avec parfois quelques raccourcis (notamment sur les aspects techniques) et un manque de liant entre les différents chapitres

nicolas-arpagian-cybersecurite_g

La cyberguerre. La guerre numérique a commencé

Nicolas Arpagian, Vuibert, 2009

Une analyse des récents évènements en Estonie, en Géorgie ou en Chine ainsi que des différentes parties prenantes étatiques, internationales ou privées qui se disputent la gouvernance du cyberespace, depuis l'apparition d'ARPANET en 1969.

nicolas-arpagian-cyberguerre

Surveillance électronique planétaire

Duncan Campbell, Allia, 2003

Le rapport rédigé pour le Parlement européen sur Echelon, le système de surveillance électronique mis en place par les Etats-Unis, permettant d'espionner conversations téléphoniques, fax ou emails à l'échelle du globe.

campbell_surveillance

War 2.0. Irregular Warfare in the Information Age

Thomas Rid et Marc Hecker, Praeger Security International, 2009

Le titre est autoporteur, mais voir également l'article de Stéphane Taillat consacré à l'ouvrage sur Alliance Géostratégique (L'internet social et la guerre 2.0).

war202

Cyberwar: the next threat to national security and what to do about it

Richard A. Clarke, ECCO Press, 2010

Les cyberarmes sont légion, les USA sont vulnérables, le Pentagone est pénétré par des espions étrangers... un appel d'un expert américain au lancement du débat public sur les risques de cyberguerre.

cyberwar

Inside Cyber Warfare. Mapping the Cyber Underworld

Jeffrey Carr, O'Reilly, 2009

Des informations assez fouillées sur la cybercriminalité et notamment le marché aux logiciels malveillants, aux cyberdonnées volées, ou la géographie des pirates informatiques des Etats-Unis à la Russie. Ce livre décrit notamment le processus de développement d'un malware ou de planification d'une cyberattaque.

cyberwarfare

La France dans la guerre de l'information. Information, désinformation et géostratégie

Jacques Myard, L'Harmattan, 2006

Rapport parlementaire, principalement focalisé sur les stratégies de désinformation médiatique à l'ère de l'Internet (avec des gros morceaux de offline), développant notamment les exemples du Rwanda et des préparatifs et du début de l'opération Iraqi Freedom.

jacques-myard1

La guerre électronique. Maître des ondes, maître du monde...

Général Jean-Paul Sifre, Lavauzelle, 2005

Ouvrage posthume d'un des pionniers de la guerrélec en France. Assez technique, mais offrant un panorama assez complet du champ de bataille électromagnétique, complément essentiel du cyberespace.

guerre-electronique-sifre1

Terroristes et Internet

Limore Yagil, Trait d'Union, 2002

Un essai assez intéressant, vu son âge (huit ans, soit une éternité dans le cyberespace), sur les enjeux et les dangers de la rencontre du terrorisme et du réseau des réseaux.

terroristes-et-internet

Halting State

Charles Stross, Orbit, 2008

Un roman, pas facile d'accès pour les non-initiés, qui fait le trait d'union parfait entre le thème du mois consacré aux stratégies dans le cyberespace et celui d'août sur les jeux stratégiques.

halting_state_large_uk



Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

mercredi 6 octobre 2010

Reminder : Café Stratégique avec le général Desportes le 7 octobre !

On bat le rappel : demain soir, de 19h à 21h, aura lieu la première édition des Cafés Stratégiques organisée par l'Alliance Géostratégique.



Le sujet en sera l'actualité de la pensée stratégique française, autour du général (2S) Vincent Desportes, ancien directeur du CID, symbole s'il en est de la liberté d'expression des officiers français.

Les réjouissances auront lieu au café Le Concorde, 239 bd Saint-Germain (métro Assemblée Nationale).


Venez nombreux, et à l'heure, car si l'entrée est libre, le nombre de places est inévitablement limité !

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

[Le blog de la semaine] : Le blog de Carl Pépin

Cette semaine, je signale le blog de Carl Pépin, historien québécois, découvert par l'intermédiaire de Clio&Mars.

Semblant être en période de croisière depuis le mois d'août dernier, il contient à la fois des articles assez développés relatifs à des batailles célèbres ou à des thématiques plus larges (infanterie, cheval, armée française...) et des actualités principalement consacrées au Québec et au Canada.

A rajouter dans sa blogroll et/ou à suivre.

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

lundi 4 octobre 2010

Quelques fondamentaux de la sécurité de l'information

Puisque le thème du mois d'octobre d'AGS est lié au cyberespace (Stratégies dans le cyberespace), quoi de plus normal, avant les développements sur la cyberstratégie, la dissuasion cybernétique ou la gouvernance de l'Internet que de commencer par quelques fondamentaux sur la sécurité de l'information ? Let's get back to basics!

Une information est une collection organisée de données qui a un sens et qui a donc une valeur (pas nécessairement pour tout le monde). Mon objectif est à la fois de m'assurer que je protège mon information, tout en tentant de compromettre celle de mes adversaires. Ceci est d'autant plus important en ce début de XXIème siècle alors que l'Internet représente un médium de plus en plus utilisé à l'échelle planétaire, et que parallèlement les forces armées s'appuient de façon croissante sur la quatrième dimension, la mise en réseau et l'échange d'informations.

Les trois (voire quatre) piliers de la sécurité de l'information


La sécurité de l'information repose sur trois piliers qui constituent le fameux acronyme anglophone CIA :


Confidentiality : l'accès à l'information n'est possible qu'aux personnes autorisées. Différents niveaux de confidentialité peuvent être définis, donnant des accès différentiés en fonction de la sensibilité de l'information. Il s'agit donc de protéger la lecture et la diffusion de l'information (coordonnées bancaires, informations personnelles, plan de bataille, liste d'agents infiltrés...).


Integrity : l'information ne doit pas être altérée par quelqu'un qui n'en a pas l'autorisation, volontairement ou accidentellement. Il s'agit donc de protéger l'écriture de l'information. L'intégrité doit être assurée d'un bout à l'autre de la chaîne, et ne concerne pas uniquement des attaques mais aussi les erreurs pouvant être commises par des opérateurs humains ou des dysfonctionnements d'origine matérielle/logicielle.


Availability (Disponibilité) : l'information doit être disponible et pouvoir être accessible pour les entités qui en ont besoin, au moment où elles en ont besoin. La disponibilité concerne à la fois les bases de stockage de l'information, les processeurs qui traitent l'information mais également l'ensemble du réseau qui la transmet. Il s'agit de lutter contre les interruptions de service, qu'elles soient causées par des évènements d'ordre

  • physique : catastrophes naturelles, bombardements, coupures d'électricité, pannes diverses...

  • numérique ou électromagnétique : attaques de type Déni de Service (DoS, usuellement par envoi de très nombreuses requêtes depuis des ordinateurs piratés qui saturent une machine et la rendent HS) ou brouillage

Il est clair, comme l'affaire Stuxnet l'a montré, que des actions offensives dans le cyberespace visant à corrompre l'intégrité du fonctionnement d'un logiciel peuvent mettre en péril la disponibilité d'un équipement industriel (ou autre) bien physique.

On peut également ajouter un quatrième élément, Accountability (Responsabilité), qui permet de tracer toutes les modifications de l'information et donc notamment d'assurer la non-répudiation (ne pas pouvoir nier avoir accompli une action). Un exemple trivial en est la signature : si un document porte ma signature, en principe j'aurai du mal à contester l'avoir émis. Le concept de signature électronique, s'appuyant sur la cryptographie, étend cette idée dans le cyberespace.


En synthèse, la sécurité doit pouvoir prévenir et faire face autant que possible non seulement à des attaques volontaires, mais également des accidents, des pannes et plus prosaïquement à des erreurs humaines.


Différents moyens permettent de contribuer à la sécurité de l'information


Le C peut être atteint à l'aide de

  • dispositifs physiques : portes, cadenas, barrières, systèmes de surveillance, détecteurs de mouvement, gardiennage, coffres...

  • cryptographie : consiste à protéger une information secrète au moyen de clés de chiffrement/déchiffrement, et répond à la cryptanalyse, dont l'objectif est de percer ses défenses

  • pare-feus (permettant de laisser passer ou de bloquer les flux d'information et de découper un réseau en zones contingentées) et anti-virus, logiciels de supervision...

  • maîtrise du spectre électromagnétique : cages de Faraday, compression des émissions, évasion de fréquence, protection TEMPEST

  • évidemment, le respect de procédures et de bonnes pratiques par tous les maillons de la chaîne. On touche là à l'humain, probablement le maillon le plus incontrôlable de cette chaîne de confidentialité.


Court développement sur la cryptographie


La cryptographie permet à un émetteur de transformer un message lisible en un ensemble de données illisibles pour ceux qui n'ont pas l'autorisation (chiffrement), mais également, à l'autre bout de la chaîne, de retransformer un message pour que son récepteur puisse le lire (déchiffrement).


Pour simplifier à l'extrême, elle repose sur deux éléments : l'algorithme, qui est la méthode de transformation de l'information, et la clé, qui est un paramètre (mot, nombre...) donné en entrée du chiffrement et du déchiffrement. Le niveau de sécurité dépend de la complexité de l'algorithme et de la longueur de la clé. Sans rentrer dans les détails, il existe des méthodes dites

  • symétriques : la clé est tenue secrète (partagée par l'émetteur et le récepteur) et est la même pour le chiffrement et le déchiffrement

  • asymétriques : il existe deux clés, une pour le chiffrement et une autre pour le déchiffrement, la première étant publique, la deuxième secrète et uniquement connue pour le récepteur. Ces méthodes sont très largement utilisées dans le civil pour tout ce qui touche à l'authentification, notamment pour le commerce électronique et la distribution de certificats numériques.

La cryptographie est une discipline très ancienne, l'exemple le plus simple et le premier enseigné aux étudiants étant le code Jules César, utilisé par son créateur sur les champs de bataille dans l'Antiquité. L'algorithme est simple : il s'agit d'un simple décalage des lettres de l'alphabet, la clé étant l'amplitude du décalage. Par exemple, avec une clé de 2, A devient C et Z devient B.


Cette méthode permet d'exposer un concept très important de la sécurité de l'information : la péremption. Bien sûr, le code Jules César, qui sert à transmettre les ordres de mouvements, est extrêmement "trivial", et les ennemis de l'Empire Romain peuvent, avec un peu de jugeote et de travail, le casser. Mais l'important n'est pas là pour ses utilisateurs : il s'agit uniquement de s'assurer que l'adversaire ne puisse déchiffrer les messages à temps.


Aujourd'hui, la cryptographie est au coeur de la sécurisation de la plupart des télécommunications militaires et civiles (notamment grâce à l'essor d'Internet).

Concernant le I, la sécurité physique et la cryptographie peuvent également jouer un rôle : cette dernière permet notamment d'affirmer si un message a été altéré à réception, souvent grâce à des algorithmes asymétriques. Elle ne permet cependant pas de remédier à cette altération, ni de savoir d'où elle provient.


Dans le domaine des télécommunications, il existe également des méthodes de contrôle de l'intégrité des données échangées et de correction des erreurs.


Enfin, le A est assuré (plus ou moins bien) par des dispositifs de type redondance, mise en place de systèmes tolérants aux pannes (i.e. capables de continuer à fonctionner, éventuellement en mode dégradé, quand un ou plusieurs de leurs composants tombent en panne), une surveillance régulière des bases d'informations, l'utilisation de logiciels anti-virus, ou la mise en place de honey pots servant à leurrer les cyberattaquants, qui s'acharnent sur eux pendant que les systèmes utiles continuent tranquillement à fonctionner...


De l'authentification


L'accès à l'information protégée se fait par des processus d'authentification, c'est-à-dire de vérification de l'identité (contribuant à la confidentialité, l'intégrité, la disponibilité et la non-répudiation). Celle-ci peut reposer sur trois grands types d'éléments :

  • ce que je possède : une clé, un badge...

  • ce que je suis : l'empreinte de mon pouce ou de ma rétine, ma voix ou les veines de ma main (biométrie)

  • ce que je sais : un mot de passe, un code PIN

Souvent plusieurs de ces éléments sont utilisés en conjonction : un code PIN n'est utile que si on l'applique à la puce adéquate. Pour des exemples plus exotiques, se référer à n'importe quel film d'espionnage hollywoodien.

Quelques remarques en vrac pour finir


  • Attention à ce que le dispositif de sécurisation ne soit pas plus coûteux que les conséquences les plus dramatiques de la non-confidentialité, non-intégrité ou indisponibilité

  • Une chaîne est aussi forte que le plus faible de ses maillons : ce n'est pas la peine de construire une porte blindée avec des verrous de sécurité si les murs autour sont épais comme du papier, pour parler de façon imagée

  • Le maillon humain est souvent le plus faible : inutile d'imaginer des dispositifs ultra sophistiqués si les hommes et femmes ne respectent pas les règles les plus élémentaires de discrétion et de prudence (sans parler de la corruption et des agents doubles). On se rappelle notamment de la mise à genou de l'Intranet de la Marine à cause d'une clé USB infectée (Virus informatique et négligence humaine au menu de la Marine) ou du haut responsable de Scotland Yard photographié avec des documents confidentiels sous le bras (The Weakest Link puissance 100)

  • D'une manière générale, il est illusoire de penser que le simple fait de cacher l'existence d'un secret (la dissimulation) suffit à le protéger. Autrement dit, la stéganographie pure (i.e. sans complication de "type cryptographique") est à éviter en général.

  • Parfois, il n'est pas nécessaire d'avoir accès au contenu exact d'un message (et donc de le décrypter) pour en tirer des informations. Par exemple, le simple fait de détecter un signal et de localiser sa provenance peut être signifiant : ainsi, pendant la Première Guerre Mondiale, l'écoute de l'activité électromagnétique des stations Zeppelin en Allemagne ont permis de prévoir les bombardements à venir sur Paris. Autre exemple, les "parasites" d'un signal émis depuis un appareil volant permettent de savoir s'il s'agit d'un avion ou d'un hélicoptère.

  • En guise de conclusion : il n'existe pas de système inviolable, infalsifiable et éternellement fiable

***

Courte bibliographie :


Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine