Géopolitique
Cyberdéfense
Philosophie
Politique
Géoéconomie

Internet est un espace à part

Publié le par Adrien Gévaudan - 0 commentaire(s) à cet article

En ces temps (de) troubles, les oracles sont Légion. On nous prédit un Internet étatique, enfin contrôlé, enfin domestiqué. Un retour au bon vieux monde réel, celui où il était possible d’exercer sa puissance sur l’autre sans que celui-ci ait nécessairement les moyens d’y répondre.

Pour ces oracles, l’Internet hétérogène et libertaire n’aura été qu’une bulle nécessaire à son explosion, à sa démocratisation, et au final à sa réappropriation par le classique.

Mais cette vision linéaire et déterministe est crevassée, et son défaitisme implicite occulte complètement certaines réalités tout comme d’éventuelles voies alternatives.

 

Physique décentralisé

L’Internet est le réseau des réseaux. Sa structure même en fait un espace diffus, à géométrie variable. Basée sur des protocoles de routage, la transmission de données n’est pas univoque : la multitude de trajets menant à un endroit n’a d’égal que le nombre de véhicules pouvant être empruntés. Cet aspect décentralisé de l’Internet, contrairement aux idées reçues, n’a eu de cesse de se renforcer, le maillage acquérant au fil du temps une structure fractale, et par conséquent chaotique.

Réseau protéiforme, l’Internet est doté d’un cœur, centre névralgique des communications, mais qui n’est pourtant en rien le point de passage obligatoire de toutes données. Ce cœur n’en est un que par la force des choses ; il évolue en permanence, son centre de gravité se déplaçant au gré des développements technologiques et de l’intensification de la transmission de données entre certains acteurs.

Cette approche de l’Internet est celle du réseau méduse, développée par des chercheurs de l’université de Bar Ilan. Son corollaire direct est que, bien que reposant sur des structures physiques identifiables, et donc susceptibles de faire l’objet de mesures de contrôle, l’aspect décentralisé de l’Internet en fait une structure sans cesse plus difficile à contrôler. La densification des moyens de communication, conséquence des développements économiques et de la démocratisation de certaines technologies, transforme la périphérie en cœur, l’innervant peu à peu.

Il n’est pas question ici de nier que, le temps aidant, les techniques de contrôle se perfectionnent, et rendent la surveillance de l’Internet plus aisée. Mais en aucun cas cela ne signifie que le cloisonnement du cyberespace est une fatalité.

Certains régimes développent leurs propres réseaux, implémentant des techniques de contrôles, surveillant chaque nœud, et faisant naître un internet à leur image. Cette tendance risque de conduire à un renouveau des frontières, qui retrouveraient ici leur but de premier de pare-feu. Mais parler de cette voie en des termes absolutistes et fatalistes, est un abus de langage qui pourrait bien se révéler autoréalisateur. Cela équivaut également à faire insulte à toutes les voies alternatives (Commotion Wireless, Freedom Box, Pirate Box) qui, anticipant la tendance réactionnaire de certains Etats, œuvrent chaque jour pour défendre une certaine idée de la liberté de communication.

Si le risque de la transformation de l’Internet en espace contrôlé, frontiérisé, est réel, il n’est pas une certitude mathématique. En parallèle peut exister, voire dominer, la liberté de communication totale basée sur les réseaux ad-hoc. L’universalisation plus que la démocratisation.

 

Sociologie du chaos

L’hétérogénéité du cyberespace a souvent été louée en raison de son caractère rassembleur. De vieux manifestes annoncent la fin des nationalités, et l’avènement d’une existence virtuelle, indépendante des préoccupations classiques (raciales, linguistiques, religieuses, et donc culturelles). Pour certains, cette utopie a vécu ; pour d’autres, il vaut encore la peine de se battre pour elle.

Ce qui caractérise les premiers est une incapacité à comprendre le chaos, l’attractivité du désordre. Pour beaucoup de hackers le plaisir réside dans la méthode plus que dans la raison. Le comment plutôt que le pourquoi. Et s’il est évident que les mentalités ont évolué depuis les premiers pas du Net (individualisation à outrance, mort des communautés de savoirs), cette fascination qu’opère le chaos, au sens d’absence d’ordre (et non de désordre), est toujours vivace dans le cyberespace.

Il n’y a qu’à voir les actions du groupe Lulzsec, qui n’avaient pour autre but que de jouir de l’amusement généré par le déroulement d’une opération, et non dans son succès. Cela va bien plus loin que le simple proof-of-concept ; la seule justification à tous ces piratages médiatisés était méthodologique : ils l’ont fait parce qu’ils le pouvaient.

Au-dessus s’ajoutent des considérations plus politiques que philosophiques, comme la conviction que toute information doit être librement accessible à chaque citoyen. Mais au final, ce mélange original entre libertarisme, libéralisme, marxisme et anarchisme est unique dans l’histoire des idées. Et si le réel agit sur le cyber, en tentant de le structurer pour le contrôler, la réciproque est également vraie ; en témoigne l’essor de mouvements politiques comme le Parti Pirate. Un monde ne se fond pas dans l’autre ; les deux s’interpénètrent et s’influencent mutuellement.

C’est bien pour cela que tout raisonnement dans l’absolu ne peut être que réducteur. Très loin de la vision bipolaire d’un cyberespace en devenir, qui ne serait que classicisé (donc contrôlable) ou libéralisé (donc anarchique), il est probable que, comme toujours, la réalité s’inscrive dans une voie intermédiaire ; une voie où les deux visions précédemment décrites cohabiteraient, et où chacune lutterait pour sa suprématie.

 

Unicité conceptuelle

Il n’est de frontières que sémantiques. Le fait que l’on ait recyclé des concepts classiques dans le monde virtuel, par le très subtil ajout systématique du préfixe cyber, ne légitime en rien la vision du cyberespace comme excroissance du matériel. Un activiste n’a que peu de choses en commun avec un hacktiviste ; sans compter que l’on a déjà vu la difficulté qui existe à penser en termes de but quand le cheminement importe plus que le lieu d’arrivée.

L’Internet est un espace à part, unique. La volonté de rationalisation, humaine, ne peut ôter à certains de ses concepts fondateurs leur indépendance vis-à-vis du monde réel. Mais cette réalité historique est susceptible d’évolution, et l’unicité conceptuelle du Net n’est pas éternelle. Au final, il importe donc moins de tenter de saisir une réalité nécessairement volatile que de se demander : que souhaitons-nous qu’Internet soit ? Un espace d’expression libre et chaotique, une alternative à certaines contraintes du monde réel ; ou bien une agora contrôlable et contrôlée, transposition virtuelle de l’espace public réel ?

De nos actions et de nos choix dépendront nos libertés futures.

Cet article a été classé dans Cyberdéfense et taggué par , , , , , , .

Relations internationales et cyberstratégie : la tentation moutonnière

Publié le par Adrien Gévaudan - 9 commentaire(s) à cet article

L’histoire des relations internationales montre que l’influence d’un pays dépend en grande partie de sa capacité à assimiler les innovations technologiques et à les intégrer dans une perspective global(isant)e. Il y a des pays qui ont compris ce principe, et d’autres qui loupent le coche. Les premiers se dotent d’un avantage stratégique décisif, quand les seconds passent leur temps à combler leur retard ; quand ils ne nient pas, purement et simplement, l’importance du tournant qu’ils ont pourtant manqué.

Stratégie, influence et innovation

La puissance forte cherchera à conserver l’avantage qu’elle possède en investissant massivement dans l’innovation qu’elle a perçu comme décisive. La moyenne, inquiète de voir le rapport de force se creuser avec la première, tentera de l’imiter, au risque de s’inscrire dans la réaction plus que dans l’action, et donc de ne jamais faire preuve d’imagination. La faible, enfin, aura à cœur de saisir l’occasion de combler, au moins dans un domaine, l’écart de puissance qui la sépare des deux premières ; elle prendra pour cela des risques importants, dont certains se révèleront payants, et sera définitivement force de proposition et facteur d’innovation.

Ainsi, Superpuissance et Micropuissance sont les deux idéaux-types de pays les plus susceptibles de contribuer à des percées décisives, dans quelque domaine que ce soit ; la première de par la confiance et les moyens que lui confèrent les avantages de son statut, la seconde avec l’énergie du désespoir.

Il ne fait jamais bon être une puissance moyenne. Adepte des comportements moutonniers, elle se trompe souvent de débat, pérore, et la tentation d’imiter le fort aura tendance à lui ôter toute imagination.

La France et le cyberespace

Le cyberespace, en tant que lieu virtuel, est le nouvel environnement à occuper. Sa maîtrise est un enjeu stratégique majeur pour chaque Etat désirant maximiser son influence. Conformément à la tendance énoncée dans les précédents paragraphes, certains l’ont vite compris, quand d’autres tentent de suivre les locomotives technologiques.

Où est la France dans tout cela ? Puissance moyenne par excellence depuis un siècle (et souvent frustrée de cela), est-elle tombée dans le piège confortable de l’imitation des puissants, ou a-t-elle su avoir l’intelligence de saisir rapidement les opportunités que lui offrait l’irruption du cyberespace dans les relations internationales ?

S’il est évident que seule l’Histoire permet de lever le voile sur les stratégies étatiques, le secret ne doit pas nous empêcher de nous interroger sur la réalité d’une situation. Un pays ne dévoilera ses grandes orientations stratégiques que s’il y voit un intérêt : orchestration d’une propagande, afin de faire croire qu’il ne fait rien de plus que d’autres Etats ; désinformation classique, dans le but de tromper ses adversaires sur ses priorités ; ou bien même, psychologie inversée oblige, transmission d’informations (relativement) véridiques mais sur lesquelles on fait planer un doute raisonnable, laissant supposer aux autres Etats que telle n’est pas la réalité.

Les seules informations en sources ouvertes concernant la stratégie française en matière de cyberdéfense ne nous permettent pas d’être optimistes quand à sa place dans ce nouveau concerto international. Les colloques, séminaires et autres conférences se caractérisent par une tendance absolument stupéfiante au verbiage et à l’aveuglement.

Verbiage, car les intervenants s’occupent bien trop souvent de sémantique, et jamais de technique. Aveuglement car le présupposé dominant est que l’espace cyber se doit d’être appréhendé comme un nouvel espace classique (terre, mer, air, espace), susceptible d’être contrôlé par les mêmes méthodes ; alors même que la logique voudrait que, ne répondant à aucune des règles physiques et sociologiques traditionnelles, il soit l’objet d’un intense travail théorique.

Lors du colloque du 29 novembre 2011 consacré à la Cyberstratégie, un des intervenants s’est réjoui de la moyenne d’âge du public, plus proche des 40 ans que des 50, contrairement à d’habitude, quand il aurait du déplorer que des quadragénaires écoutent pendant une journée des septuagénaires, certes militairement décorés et sans aucun doute extrêmement compétents dans leur domaine d’expertise d’origine, mais parfaitement aux fraises quant il s’agit de traiter d’un espace nouveau à ce point demandeur de pensées novatrices.

Pierre Desproges définissait l’Académie française ainsi : « gérontodrome où les quarante papy-la-tremblotte se réunissent, pour que chacun se déguise périodiquement en guignol vert avec un chapeau à plumes à la con et une épée de panoplie de Zorro, le tout afin de savoir s’il y a un N ou deux à zigounette ».

Malheureusement, et avec tout le respect que l’on doit aux militaires de carrières constituant l’essentiel des intervenants des conférences consacrées au cyberspace, ce n’est pas en ergotant sur des termes qu’une stratégie claire peut être définie ; ce n’est pas en inventant des concepts à chaque instant ni en recyclant des termes d’autres disciplines (« coalescence », « fractal » et autre « hologrammatique ») que l’horizon international d’une puissance moyenne comme la France s’éclaircira ; ce n’est pas, enfin, en ajoutant « cyber » devant chaque notion traditionnelle, et/ou « stratégique » à la fin de chaque phrase que le fossé avec les grandes puissances se comblera.

Décalage générationnel

Pourtant, force est de constater l’extrême compétence de nombreux experts francophones. Le pays regorge de talents, de volontés d’innovation et de changement ; alors peut-être les gens intéressants n’ont-ils rien à dire (n’est ce pas, Messieurs de l’ANSSI ?), mais tout comme la montée en puissance de l’Allemagne pré et post-bismarckienne a coïncidé avec l’arrivée au pouvoir de jeunes aux idées nouvelles, il s’agit de s’interroger sur le difficile renouvellement des générations qui caractérise la France actuelle.

De nouvelles idées supposent bien souvent de nouvelles personnes. Or, le microcosme de la cyberstratégie est (sur)occupé par des intervenants, certes très intelligents et passionnés, mais plus prompts à tenter de calquer leurs anciennes stratégies classiques sur le nouvel espace cyber qu’à essayer de penser autrement.

Peut-être tout cela participe-t-il d’une stratégie extrêmement complexe de déception (au sens anglo-saxon du terme), et les programmes de cyberstratégie français sont-ils en réalité à la pointe ; peut-être font-ils jeu égal avec leurs équivalents américains, chinois et israéliens. Mais il est également possible, pour ne pas dire probable, que les informations disponibles en sources ouvertes sur la cyberstratégie française reflètent un tant soit peu la réalité, et que le pays soit tombé dans le piège classique et confortable de la puissance moyenne moutonnière. Dans ce cas, seule l’union de talents aussi différents et complémentaires que des experts en sécurité informatique, en relations internationales, en stratégie et en géopolitique peut permettre à la France, non pas de rattraper un quelconque retard (car cela [pré]supposerait une vision linéaire), mais de créer sa propre voie/voix dans un monde où les conflits asymétriques viennent de trouver un nouvel espace d’expression.

Les péripéties du drone américain RQ-170 : piratage réel ou guerre de l’information ?

Publié le par Félix Aimé - 5 commentaire(s) à cet article

 

Un drone ultra-sophistiqué d’espionnage américain tombé aux mains de l’Iran, qui, selon le régime d’Ahmadinejad serait intact, il n’en faudrait pas moins pour en faire l’introduction du scénario d’un énième film d’action. Cependant, c’est bien ce qu’il s’est passé il y a quelques jours après la perte de communication d’un RQ-170, drone furtif d’espionnage américain, à 250 km à l’intérieur de l’espace aérien iranien.

Tout s’est accéléré jeudi dernier, lorsque la chaîne de télévision iranienne IribNews [LIEN] a présenté aux yeux du monde entier le drone récupéré, partiellement intact, possédant une simple éraflure sur son aile gauche. Téhéran précisait par la voix de son ambassadeur à l’ONU que ses services de SIGINT (Signal Intelligence) avaient réussi à pirater les communications du drone afin d’en prendre le contrôle pour, ensuite, le faire atterrir en douceur. Toutefois, il restait encore quelques zones d’ombres, notamment sur un possible drone factice présenté aux yeux des caméras alors que le vrai drone avait été abattu. Mais le 11 décembre une nouvelle vidéo émanant semble-t-il de l’agence de presse IRNA venait démontrer le contraire, cette derrière dévoile bien un drone en train d’atterrir sur une piste [LIEN].

Vraie prise de contrôle du drone par l’Iran ou vaste campagne de désinformation du gouvernement de Téhéran destinée à augmenter la pression sur les pays occidentaux ? Voici un court article et quelques pistes à suivre pour y voir plus clair.



Le reportage d’IribNews, présentant le drone récupéré par l’Iran. 

 

Le RQ-170 Sentinel, un drone de reconnaissance furtif

Le drone de reconnaissance RQ-170 Sentinel a fait son apparition en 2007 sur l’aéroport international de Kandahar dans le sud de l’Afghanistan mais n’a été officillement reconnu qu’en 2009 par l’USAF. Spécialisé dans la reconnaissance mais avant tout furtif, beaucoup de spécialistes étaient certains de son emploi, non pas sur les terres afghanes mais bien au dessus de l’Iran et du Pakistan depuis plusieurs années : ses capacités furtives étant inutiles dans un pays où les armes des insurgés restent principalement les IED, RPG et tristement célèbres AK-47.

Ce n’est qu’après cet incident du 5 décembre, où un drone fut perdu au dessus de l’Iran que des officiels militaires américains, sous couvert de l’anonymat, ont précisé qu’il effectuait bel et bien des missions reconnaissance aériennes liées au programme nucléaire iranien pour le compte de la CIA – et indirectement du Mossad…




Le RQ-170 sentinel sous différentes vues – CC-BY-SA-3.0 Truthdowser 
 

Ayant une forme d’aile volante rappelant incontestablement le bombardier furtif américain Northrop B-2 Spirit [LIEN] ou son ancêtre allemand l’Horten Ho 229 [LIEN], le RQ-170 ne fait objet que de spéculations concernant ses usages mais également sur l’ensemble de ses dispositifs techniques. Ainsi, même son envergure réelle restait inconnue jusqu’à sa capture. A priori le RQ-170 est uniquement réservé à la reconnaissance en haute altitude même si certains spécialistes penchent également sur la possibilité que ce drone soit armé de charges utiles dans le cadre d’opérations de guerre électronique (brouillages, piratages, etc).

 

L’Iran reconnaît le piratage du RQ-170 Sentinel, info ou intox de la part du régime ?

C’est d’ailleurs ce que revendique Mohammad Khazaï, ambassadeur de l’Iran à l’ONU [LIEN] : un piratage des communications du RQ-170 Sentinel ayant permis à l’armée iranienne d’en prendre le contrôle afin de le faire atterrir. Cette possibilité de piratage a été reprise par les médias comme une thèse probable concernant la récupération du drone. Ce n’est pas la première fois qu’un drone militaire voit ses communications piratées. Les initiés se rappelleront des drones Predators de l’armée américaine [LIEN], ayant fait l’objet d’actes de piratages de leurs images vidéos en Irak [LIEN] par les insurgés à l’aide du logiciel Skygrabber [LIEN], un simple shareware récupéré sur Internet pour la modique somme de 26 USD : oui, ses flux vidéo n’étaient pas chiffrés à cause d’une possible latence dans la transmission.

Toutefois, entre la récupération passive d’un flux vidéo non chiffré et la prise de contrôle d’un drone furtif ennemi sans aucune connaissance préalable du protocole de communication et du chiffrement en oeuvre, il existe un énorme fossé technique extrêmement difficile – voir impossible – à combler, même lorsqu’on est une armée se vantant d’avoir des capacités avancées de SIGINT. Alors, quel crédit apporter à un possible piratage ? Pour ma part, j’émets de réels doutes concernant cette thèse.

En effet, il existe deux principaux problèmes techniques liés à la réalité de ce piratage. Tout d’abord, les flux de communication étaient sans doutes chiffrés. Ceci implique qu’il faut, préalablement à toute étude du protocole de communication, casser le chiffrement de ce même protocole. Aujourd’hui encore, il s’avère impossible de casser des chiffrements de hauts niveaux sans exploiter une erreur située dans leur implémentation. Pour connaître une possible erreur, il faut alors avoir accès au code source générant le flux chiffré, chose que l’armée iranienne – sauf campagne d’espionnage réussie ou autre drone abattu pour être étudié – ne possédait pas.

Ensuite, l’étude par ingénierie inversée – reverse engineering – d’un protocole de communication inconnu, entre deux systèmes eux-mêmes inconnus est proche de l’impossible. Nous ne pouvons pas savoir quel effet aura l’envoi de certaines données si nous ne pouvons pas observer la réaction des systèmes impliqués pour l’étude du dit protocole. Je ne parle d’ailleurs pas de l’ensemble des instruments propices au pilotage d’un drone, qui tout comme un avion, sont de l’ordre de plusieurs dizaines (sans entrer dans les instruments embarqués pour la mission), chacun devant fournir des données en temps réel par satellite aux opérateurs.

 

Que s’est-il donc passé dans l’espace aérien iranien ?

Rien n’est certain ; toujours est-il qu’une fois la piste du piratage, pur et simple, des télécommunications écarté, il reste deux scénarios somme toute bien plus réalistes : une panne en plein vol ou une destruction à partir d’un missile sol-air ou air-air. Cette dernière hypothèse est aujourd’hui dans les capacités techniques de l’Iran.

Ainsi, ce deuxième scénario ne serait pas aussi exceptionnel que ce que les médias prétendent. La première phase aurait consistée à repérer le drone grâce à l’usage d’un radar détectant les avions, non par leur réflexion ou leur diffraction, mais bien grâce à leurs multiples émissions électromagnétiques – le drone étant furtif. C’est d’ailleurs ce type de radar que vient de livrer, début automne, la Russie à l’Iran [LIEN]. Coïncidence ? Ce dispositif, possédant le doux nom d’Avtobaza [LIEN] possède toutes les capacités techniques d’interception de signaux – au sens physique du terme – permettant de connaître plusieurs paramètres de l’appareil en vol : altitude, vélocité, azimut, taille de l’objet, angle de progression etc. Le RQ-170 ayant un revêtement furtif mais envoyant constamment des données par satellite à ses opérateurs situés au Nevada s’est sans doute pris dans les mailles de système de détection Avtobaza, ni plus, ni moins.

Une fois l’ensemble des paramètres physiques de vol connus, il était alors beaucoup plus simple d’appréhender le drone à l’aide d’un missile sol-air, air-air ou encore de brouiller l’ensemble de ses communications satellitaires à l’aide d’autres appareils de SIGINT (tels qu’un système embarqué ou de stations au sol), tout cela dans le but de le rendre totalement aveugle ; car aveugle, un drone est perdu.

 

Une guerre de l’information qui elle, est bien réelle.

Jeudi dernier, une vidéo a fait le tour des médias internationaux. Cette dernière, montrant le drone quasiment intact, attestait la thèse selon laquelle le système du drone avait été piraté pour le faire atterrir. Bizarrement, ses trains d’atterrissage étaient cachés et aucunes éraflures – ou presque – n’étaient présentes sur ce dernier. Un drone tombant de plusieurs milliers de mètres d’altitude serait-il intact après être rentré en contact avec le sol ? Non. Ceci nous amène donc à se demander si les images présentées ne seraient pas celles d’une vaste maquette – thèse présentée par certains experts – afin de faire naître de nouvelles craintes concernant la capacité militaire iranienne ?

Une nouvelle vidéo – issue, semble-t-il (à prendre avec des pincettes car publiée sur Youtube) de l’agence de presse Iranienne IRNA – publiée le dimanche 11 décembre allait faire renaître la thèse de la prise de contrôle du drone furtif [LIEN VERS LA VIDEO]. En effet, elle présentait l’atterrissage d’un drone similaire au RQ-170 dans un environnement semi-désertique. Toutefois, à y regarder de plus près ces images étaient issues d’archives de chez Lockheed Martin promotionnant un autre drone américain, le Polecat. [LIEN].

Une chose est sûre : l’Iran à gagné la guerre de l’information face au Pentagone qui a mis longtemps à réagir sur cette affaire, au grand bénéfice du régime de Téhéran. Cet énième cas complète celui d’une longue liste : U2 pendant la guerre froide [LIEN], F117-A pendant la guerre du Kosovo [LIEN], H-60 Blackhawk furtif [LIEN] pendant l’assassinat de Ben-Laden, tous issus de projets secrets et récupérés par des pays adverses après des défaillances ou des crashs.

 

Qu’adviendra-il des débris du RQ-170 récupérés par l’Iran ?

Le RQ-170 renferme différentes technologies (furtivité, système de propultion, système de communication, aérodynamisme etc.) mais ce sont ses capteurs qui vont faire l’objet de toutes les attentions. En effet, connaitre la précision des capteurs d’un ennemi permet de connaitre la qualité des informations pouvant être receuillies dans un monde où le renseignement est le nerf de la guerre. En outre, l’étude des capteurs recueillis permettra d’en faire des copies pour de nouveaux projets militaires.

Ainsi, nous pouvons supposer que, dans un premier temps, le drone sera étudié par les autorités iraniennes pour connaître l’ensemble de ses secrets. Il pourra ensuite faire l’objet de monnaie d’échange contre des technologies évoluées (Missiles S-300, Matériaux rares, technologies nucléaires [LIEN]…) entre l’Iran et ses alliés, principalement la Chine et la Russie. En effet, ces derniers ont accusé un lourd retard – notamment la Russie – dans ce pan de l’aéronautique militaire. Quoi qu’il en soit, piratage des communications ou simplement destruction, les péripéties de ce drone furtif n’ont pas dit leur dernier mot dans un monde où la capacité militaire de l’Iran ne cesse de soulever des interrogations.

Merci à G. et A. pour leurs multiples corrections et avis.

Cet article a été classé dans Cyberdéfense et taggué par , , , , , , , , .

Duqu et Stuxnet : deux cyberarmes, un maître d’oeuvre?

Publié le par Félix Aimé - 4 commentaire(s) à cet article

Stuxnet et Duqu sont assez exceptionnels (au sens premier du terme) parmi les logiciels malveillants. En effet, ces deux malwares se sont illustrés ces deux dernières années dans le cyberespace par leur complexité, mais aussi par l’utilité stratégique de leur objectif : le programme nucléaire iranien. Que peut-on savoir d’eux dans un cyberespace où l’anonymat, le secret défense et l’absence de frontières règnent en maître ? Essai d’analyse.

 

Stuxnet : l’Iran, cible de la première cyberarme.

Juin 2010, un nouveau ver pour Windows fait son apparition dans les laboratoires de recherche de la société biélorusse VirusBlokAda spécialisée en sécurité informatique. Utilisant quatre failles non connues de Windows et profitant d’une mauvaise configuration dans le système de gestion (PLC) Siemens des centrifugeuses, ce ver, dénommé rapidement Stuxnet, allait devenir aux yeux des experts du monde entier la première cyberarme, car sans doute réalisée uniquement dans le but de détruire ou paralyser tout ou partie du système industriel d’un pays.

Outre les multiples craintes qu’ont fait naître Stuxnet, ce logiciel malveillant avait une cible précise : les centrifugeuses permettant la réalisation d’un uranium hautement enrichi, et donc à visées militaires. Ce n’est qu’à la rentrée 2010 que l’Iran, pris dans la tourmente médiatique, a du avouer son impuissance concernant l’attaque dont il a fait l’objet, ayant selon certains experts, reculé de cinq ans le programme de la bombe iranienne. Stuxnet était bel et bien une arme, composée comme telle, avec un système de propulsion : des vulnérabilités permettant sa diffusion dans les réseaux informatiques, mais également une charge utile, c’est à dire un code d’exploitation permettant de saboter le système de contrôle (PLC) des centrifugeuses d’enrichissement.

Le petit monde des experts en sécurité n’avait jamais rien vu de tel, quatre vulnérabilités non connues affectant uniquement le système Windows présentes dans un seul et même ver informatique. Ce dernier utilisait de plus des certificats permettant de signer son code source devenant à terme un logiciel légitime aux yeux du système ciblé. Cela devenait une évidence pour tous, du fait de son ingéniosité et de ces nombreux codes d’exploitation embarqués, Stuxnet était l’œuvre d’un État, indéniablement en possession de capacités avancées en Lutte Informatique Offensive (LIO).

 

En 2011 : Duqu, un RAT à la furtivité intrigante.

Récemment, un autre logiciel malveillant a fait son apparition dans le cyberespace. Dénommé par les occidentaux “Duqu”, suite aux noms des fichiers qu’il laissait sur les systèmes infectés, ce Remote Administration Tool (RAT) a été recensé dans plusieurs pays, dont principalement l’Iran. Toutefois, contrairement à Stuxnet, Duqu était cette fois-ci dédié à une campagne d’espionnage, envoyant vers des serveurs distants des informations extraites à partir des ordinateurs infectés. Il n’avait pas de mode de propagation autonome en tant que tel mais était déployé sur les ordinateurs grâce à une charge utile contenue dans un document Word envoyé par mail aux acteurs ciblés.

Sa méthode de déploiement était triviale, toutefois son code diffère des autres trojans habituellement rencontrés dans ce type de campagne d’espionnage. En effet, tout comme Stuxnet, ce dernier utilisait une vulnérabilité non connue propre à Windows (CVE-2011-3402 [LIEN]) permettant d’élever ses privilèges pour, ensuite, se rendre persistant sur le système ciblé ; et donc silencieux auprès des possibles antivirus installés sur la machine. Une autre particularité était frappante chez Duqu : il utilisait des certificats (chose non commune pour ce genre d’attaques) et deux clés de chiffrement identiques au célèbre Stuxnet : 0xAE790509 & 0xAE1979DD. Mais les similitudes ne s’arrêtent pas là. Ainsi, une simple comparaison des deux codes sources à l’aide du logiciel BinDiff [LIEN] nous révèle d’étranges correspondances entre les deux logiciels malveillants :

BinDiff sur une des méthodes RPC de Duqu et Stuxnet
Comparaison d’un extrait du code entre Stuxnet et Duqu,
laissant penser que les deux sont l’oeuvre d’un seul et même groupe (Source [LIEN]).

 

Duqu a été repéré la première fois en octobre 2011 par un laboratoire hongrois de sécurité informatique dénommé Crysys. Nous ne savons pas d’où vient l’exemplaire qu’ils ont eu entre les mains. Toutefois, il semble que l’existence de Duqu soit beaucoup plus vieille que ce mois d’octobre 2011. En effet, en début d’année, l’Iran se disait, par l’intermédiaire de son agence de presse nationale [LIEN], victime d’un malware appelé “Stars”. Cela devient intéressant quand on est au courant que Duqu utilise une image représentant deux galaxies [LIEN] comme vecteur de communication entre les ordinateurs infectés et les serveurs de contrôle… Duqu serait-il donc le malware Stars ? Cette hypothèse est plus que probable.

Mais alors, depuis combien de temps Duqu est présent dans les réseaux informatiques iraniens ? Personne ne le sait vraiment. La politique en la matière, que ce soit en Iran, en France ou dans d’autres pays, est de disséminer le moins d’informations possibles concernant une attaque. Ainsi, après la découverte tardive du malware Stars, l’Iran a préféré garder le malware bien au chaud dans ses laboratoires de recherche afin d’en étudier la complexité et prévoir une désinfection de son parc informatique gouvernemental. Il pourrait alors faire partie d’une attaque antérieure à Stuxnet ou parallèle à ce dernier, même si sa découverte officielle demeure récente.

 

Stuxnet et Duqu, œuvres de quel(s) auteur(s) ?

Ces similitudes dans les codes des deux logiciels malveillants peuvent nous amener à la question des auteurs de ces mêmes logiciels. Un faible nombre de pays est actuellement en mesure de déployer des projets de LIO et de réaliser des programmes informatiques malveillants d’une grande complexité (les attaques dites “chinoises” (APT) utilisant le plus souvent des versions modifiées de programmes connus du grand public, telles que le célèbre Poison Ivy [LIEN]). Ainsi, on retrouve principalement sur le banc des accusés liés à Duqu deux pays ayant fait parler d’eux avec l’affaire Stuxnet, les États-Unis et Israël, ayant tous deux des programmes de LIO développés.

Il est plus que probable que ces attaques soient le fruit des mêmes auteurs, le tout avec une coopération forte entre des services secrets de différents pays, alimentant le renseignement sur les cibles. Toutefois, rien ne fait pencher la balance en faveur d’un pays particulier, même si certaines pistes, présentes dans le code peuvent laisser présager une implication réelle d’Israël [LIEN]. Cette piste demeure à prendre avec des pincettes, cependant. En effet, dans le cyberespace il est toujours possible de mener des attaques informatiques lançant de fausses pistes, inscrites dans le code même du logiciel malveillant (compilation [DEF] avec une version chinoise de compilateur, par exemple) ou dans la prétendue origine d’une attaque. A ce jour, connaître les auteurs de ces attaques s’avère impossible car le secret défense est de mise, tant chez l’attaquant que chez la cible. Cependant, des fuites d’informations ou des attaques à venir pourraient nous permettre d’y voir plus clair.

Les deux cyberarmes, Duqu et Stuxnet ont étonné une grande partie des chercheurs dans ce domaine. Au delà de la simple question de la complexité de la réalisation de ces cyberarmes, l’existence même des deux malwares pose la question de la difficulté d’attribution des attaques dans le cyberespace. Mais dans tous les cas, le Rubicon semble avoir été franchi, et la cyberguerre est, aujourd’hui, une réalité.

Cet article a été classé dans Cyberdéfense et taggué par , , , , , , .

Commotion Wireless : interview of Josh King

Publié le par Adrien Gévaudan - 0 commentaire(s) à cet article

[This interview was made in prevision of a different article, about cyber-dissidency and its repercussions in International Relations. This interview is extracted from an exchange of emails between Josh King, Sascha Meinrath, and me. I would like to thank them for their patience.]

 

Adrien Gévaudan: Why are you developing Commotion? It seems that it’s a very common question, but I mean: if we agree that there are two big ways to see the future (of the) Internet, a Facebook/Google one, and a 4chan one, in which do you recognize you the most? Certainly Commotion is a (future) tool that will serve the anonymity of its users, and thus be closer to a way of seeing Internet as a space of anonymous liberty (close to the 4chan point of view), but can you acknowledge this ideological proximity? How do you conceive the Internet?

Josh King: We’re developing Commotion primarily because we see a great need, in efforts like the Arab Spring protests, for activists to have the ability to communicate securely and anonymously in a local fashion, as well as share sparse sources of Internet connectivity. It deals only obliquely with the question of identity and anonymity on the Internet. However, I think most of the rest of the team at OTI would probably agree with me though that for the purposes of upholding and protecting freedom of speech on the Internet, though we may not hang out on 4chan, we consider a disaggregated and distributed system that protects peoples’ privacy to be preferable to an authoritative system that always reveals your true identity. I personally think that true security and anonymity can only be accomplished through the architecture of the network and the mathematics of strong cryptography, not through the good-will and sufferance of corporate institutions.

 

AG: How would you describe the philosophical, sociological filiation of your project? (any relations with Indymedia, a specific (hacker?) philosophy, etc.)

JK: The Commotion Project doesn’t have any specific affiliations, but many people at OTI (including myself) are Indymedia veterans. Since the project is run as a Free Software project, and is aimed at activists, it implicitly aligns with those philosophies. But beyond that, we’re attempting to be as open to uses and philosophies as possible as long as those uses don’t conflict with the core architecture of the project as being open-source and for secure communication.

 

AG: How do you see the support of your government? I think you know very well how suspicious some people can become when they learn that a US department is supporting a project, even regarding the little amount that your subvention represents. So do you see it as in « we don’t care, we need money, and if they think they can instrumentalize us they will be disappointed », or like in « the official support is a pledge of credibility, and we shouldn’t fall in a Manichean pseudo-anarchist vision of the State »?

JK: We’re very conscious of the perceptions associated with something like this, and it’s definitely something that we discussed internally before accepting the grant. However, the State Department has been very hands-off on the way the project has been managed and we’re ensuring the credibility of our assertions that we’re not creating surveillance tech or something like that by releasing everything open-source. On the whole, they’ve been very supportive of our efforts and are committed to demonstrating that this is not a government project. In the end, working with them was a natural fit, simply because they wanted to fund exactly what we wanted to do anyway, for exactly the stated reasons that we wanted to do it, with no strings that could redefine the mission of the project.

 

AG: What will happen after the release of Commotion? Are you working on other projects? How will you release it? Under which license?

JK: Commotion will continue to expand and be developed after the grant period expires, and we’re hoping to participate in deploying the technology both domestically and abroad. A big goal of the project is to build an open-source development community around it, and we’re also seeking additional funding to carry our paid development efforts forward. I definitely intend to keep working on the project for the foreseeable future, funding or no funding ;-)

All original code will be released under the GPLv3, LGPL, or AGPL where appropriate. Since we’re working with a bunch of other open-source software projects, contributed parts might be under other open-source licenses. The project will be released both as sourcecode and as application bundles for multiple platforms (think Tor browser bundle), along with the embedded images for router devices.

 

AG: [a member of Intelligence-Stratégique.eu, Félix Aimé, developed a few weaknesses; you can find his article: here (in french); the following questions are mainly extracted from it] The protocol OLSR has well known vulnerabilities (such as DDoS, hijacking of nodes, false announcement): how do you plan to secure Commotion?

JK: It’s true that the OLSR protocol wasn’t designed with security in mind, but that doesn’t mean that it’s impossible to secure. In order to address concerns around false announcements and control traffic trying to alter routers, each router in the network will utilize public key encryption and have its own key, which it will use to sign all of its control traffic. These public keys will form the basis of a trust metric that will allow for untrusted and suspicious nodes being ‘downvoted’ so that traffic is not passed through them. Establishing secure transport between nodes via opportunistic IPSEC encryption will help ensure that traffic passing through a given node is not eaves droppable. DDoS is not a problem of OLSR specifically and is much harder to address in a completely comprehensive way, but restriction of packet flooding via MPRs and detection of excessive and suspicious flows at the edges of the network will hopefully go a long way towards mitigating it.

 

AG: The Onion Router (TOR) is part of Commotion, right? But the problem when you incorporate other softwares in a project is that you incorporate their weaknesses, too. How do you plan to resolve this? For instance, the last node in a TOR network is vulnerable because the data isn’t encrypted at this point. Another example: a lot of people are using TOR as Internet proxy, and they only configure it in their navigator, but forgetting to configure their plugins as well. This could permit to get the IP address of a TOR user with a simple object in Flash/Silverlight/Java or another protocol (FTP, SMB, DNS, etc.)

JK: We’re working with the TOR project, but it’s unlikely that TOR itself is going to be used as the basis of security and anonymity inside the network. We’re probably going to end up creating a simpler, TOR-like onion routing system that optionally runs inside of the network (in order to deal with resource constraints on embedded devices), and then provide the option to run Torrouters at the edges to transit traffic onto the Internet. Torrouters are a subproject of TOR for creating a router firmware that transparently proxies all traffic onto the TOR network without user intervention or configuration.

 

AG: A part of a MAC address of a device composes an IP address of a Commotion node (the 4th, 5th and 6th byte). Therefore, knowing the IP address of a Commotion node will permit to locate it geographically. If we know the geographic position of the node that has access to the Internet in a Commotion network, isn’t it possible to find a source node, using a triangulation based on the intensity of the signal emitted by the node? And next you only need WIFI jammers to scramble an area…

JK: It’s true that currently by default the backhaul network is an IPv4 network where the node address is derived from the MAC address of the node. This is largely a function of attempting maintain compatibility with other community wireless network solutions that do the same thing. It’s currently in the works to change the default addressing mechanism to IPv6, with optional anonymization of the MAC address. Since most networks probably wouldn’t have publicly-routable IPs for all nodes, you couldn’t necessarily tell the location by doing IP-geolocation from the Internet side. Given a picture of the whole network, if you have enough connections and enough known geographical locations, you might be able to narrow down the physical location of a given node, but we’ll be working to minimize the amount of information that any given node knows about the network through Fisheye, MPRs and Onion Routing. Of course there’s no way to completely defeat jamming, but given the relatively low power of the wireless connections it will be at least difficult to detect and jam enough nodes to bring down an entire network such that it can’t route around the areas of jamming, without doing broad-spectrum jamming across that entire band for a whole geographical area. One of our aims is to make these attacks prohibitive in their consequences.

 

AG: Of course, nothing can be perfectly securized, and there is always « the human vulnerability ». So which softwares do you recommend the use, as a complement of Commotion?

JK: The same software that you would use to secure your connection over the open Internet. SSH tunnels, SSL connections, VPNs and Tor are all good choices. Since, as you said, perfect security is impossible, it is best to use a variety of tools in combination where possible in order to minimize single points of failure. A major focus of the project is being informative and educational with regards to exactly how much security you’re getting and what the ramifications are of using the network.

 

AG: How would you do, you the Commotion creators, to break it? :-) I will reformulate: what are the known vulnerabilities of Commotion?

JK: It’s difficult to speak about known vulnerabilities when we’re so early in the project that most of the security architecture isn’t written yet ;-) We definitely intend to pentest our networks, and possibly even offer a reward for people who are able to break it, in order to ensure that we can refine our security model and address problems with it.

Cet article a été classé dans Cyberdéfense
Page 1 sur 3123