jeudi 27 mars 2014

L'ingénieur de la DGA Guillaume Poupard nommé à la tête de l'ANSSI

[via rpdefense]
"26.03.2014 Par Olivier Berger, grand reporter à La Voix du Nord.

L'ingénieur en chef de l'armement, Guillaume Poupard (au centre de la photo), a été nommé en conseil des ministres ce mercredi 26 mars directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il succède à Patrick Pailloux parti pour la direction technique de la DGSE.
Ça tombe bien, nous avions rencontré Guillaume Poupard en janvier au forum de la cybersécurité à Lille, où il nous parlait de l'implication technique de la Direction générale de l'armement (DGA) en matière de cyberdéfense... et de l'imbrication dans ce domaine entre le civil et le militaire.

L'ingénieur était alors responsable du pôle de sécurité des systèmes d'informations à la DGA, situé à Bruz près de Rennes (lire ici le texte de l'époque consacré au rôle de la DGA en cyber). Le pendant technique du CALID, le centre d'analyse en lutte informatique défensive de l'état-major des armées.
Lors d'une audition devant la Commission de Défense de l'Assemblée nationale en juillet 2013, Guillaume Poupard avait aussi évoqué les liens avec l'Agence nationale de la sécurité des systèmes d'information qu'il va donc diriger : " Nos liens avec l’ANSSI sont forts et anciens : il n’y a pas là de séparation entre civils et militaires. Nous travaillons ensemble pour concevoir et réaliser des produits de sécurité, notamment en réponse à des besoins de souveraineté, en matière de cryptographie par exemple. Le développement est réalisé par la DGA, avec des industriels et l’approbation, en vue de classification défense, est faite par l’ANSSI : cette organisation est bien rodée. "
Cette nomination n'a donc rien d'illogique d'autant que ce docteur en cryptologie passa avant 2010 chez le prédécesseur de l'ANSSI, la direction centrale de la sécurité des systèmes d'information. Et comme Patrick Pailloux, il est un acharné de " l'hygiène informatique " : " Ce n’est pas si facile : nous faisons tous des erreurs de sécurité. Ce travail sur l’hygiène informatique est pourtant essentiel ; il faut le mener dans les entreprises, mais aussi dès l’école (...) S’agissant des entreprises, la protection du patrimoine scientifique et technique est absolument essentielle. "
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié mardi 21 janvier des classifications, des modalités pour renforcer la cybersécurité des systèmes industriels. Après la définition de douze secteurs d'importance vitale (lire le détail dans cette note de janvier), l'ANSSI a identifié 218 opérateurs français, publics et privés, à cyberprotéger en priorité..."

mercredi 19 mars 2014

La Crimée, la Russie, des cyberattaques, les médias.

La situation en Ukraine est aujourd'hui extrêmement complexe. Le cyberespace est par nature un espace complexe. Les attaques informatiques sont elles aussi, dans beaucoup de cas, complexes, et comprendre leur fonctionnement exige des compétences de haute qualité en informatique.

Malheureusement, de nos jours, le buzz prévaut. Aussi quand une multinationale à la réputation établie (BAE Systems, pour ne pas la nommer) y va de son "l'Ukraine est la cible d'une cyberattaque extrêmement sophistiquée", dont le programme malveillant est écrit en russe qui plus est, il n'y qu'un pas pour y avoir l'invasion du pays par les forces armées Russes.

Non content de mélanger cyberespionnage avec les exemples passés d'attaques en Estonie et en Géorgie, la presse ne semble pas non plus percevoir l'intérêt commercial que représente cette révélation opportune pour ces entreprises de solutions de sécurité des systèmes d'information (cf. le précédent du "Rapport Mandiant").

Heureusement, certaines entreprises font mieux leur travail, et proposent des analyses remettant les éléments dont on dispose actuellement en perspective:

mardi 11 mars 2014

Digital Dao: Russian Cyber Warfare Capabilities in 2014 (We are...

Digital Dao: Russian Cyber Warfare Capabilities in 2014 (We are...: Ukrainian hackers deface Russian newspaper Russia's latest offensive against Ukraine over Crimea has revealed how little Russian expertise the U.S. has (see this New York Times article) as well as the failure of the U.S. Intelligence Community to anticipate Russian military actions against Georgia in 2008 and Ukraine in 2014 (See former DCI Michael Hayden here).

Source : Digital Dao (Jeffrey Carr's Blog)

jeudi 27 février 2014

Brazil, Europe plan undersea cable to skirt U.S. spying

Crédits photo: Reuters/François Lenoir
[Reuters] Brazil and the European Union agreed on Monday to lay an undersea communications cable from Lisbon to Fortaleza to reduce Brazil's reliance on the United States after Washington spied on Brasilia.

At a summit in Brussels, Brazilian President Dilma Rousseff said the $185 million cable project was central to "guarantee the neutrality" of the Internet, signaling her desire to shield Brazil's Internet traffic from U.S. surveillance.

"We have to respect privacy, human rights and the sovereignty of nations. We don't want businesses to be spied upon," Rousseff told a joint news conference with the presidents of the European Commission and the European Council.

"The Internet is one of the best things man has ever invented. So we agreed for the need to guarantee ... the neutrality of the network, a democratic area where we can protect freedom of expression," Rousseff said.

Rousseff postponed a state visit to Washington last year in protest at the U.S. National Security Agency spying on her email and phone and is now seeking alternative routes to U.S. cables.

Brazil relies on U.S. undersea cables to carry almost all of its communications to Europe. The existing cable between Europe and Brazil is outdated and only used for voice transmission.

EU leaders are sympathetic to Brazil's call following the revelations of fugitive former NSA contractor Edward Snowden that showed the agency also eavesdropped on German Chancellor Angela Merkel's mobile phone and some EU institutions.

U.S. President Barack Obama has since banned spying on the leaders of close allies, but trust has been damaged.

Brussels is threatening the suspension of EU-U.S. agreements for data transfers unless Washington increases guarantees for the protection of EU citizens' data.

MERCOSUR'S MISSED DEADLINES

At the one-day summit, there was no public criticism of the United States, which remains the European Union's closest ally.

But Rousseff clearly took heart from Merkel's calls this month for a European Internet that is protected from U.S. surveillance, even if there are questions about the practicalities of setting up alternative networks in Europe.Rousseff said Brazil and the European Union have "similar concerns" about U.S. dominance of fiber-optic cables and hoped to have a cable running from the Portuguese capital Lisbon to the northeastern Brazilian of Fortaleza from next year.

Under current plans, a joint venture between Brazilian telecoms provider Telebras and Spain's IslaLink Submarine Cables would lay the communications link. Telebras would have a 35 percent stake, IslaLink would have a 45 percent interest and European and Brazilian pension funds could put up the remainder.

One official said that because Brazil had more to gain from the project than the European Union, its overall stake in the project would have to be larger than 50 percent and so Brazilian funds would put up more.

The cable agreement marks rare progress for Rousseff in her ties with the European Union, the top foreign investor in Brazil, because negotiations to agree a long-promised free-trade deal have been delayed again, officials said at the summit.

With talks between the EU and the South American trade bloc Mercosur dependent on Argentina's willingness to come to the negotiating table, Rousseff initially cancelled her trip to Brussels because she expected to have little to discuss.

Fifteen years after talks between the EU and Mercosur were first launched, both sides have missed self-imposed deadlines to swap offers for opening markets in a pact that would encompass 750 million people and $130 billion in annual trade.

The latest date will be decided after a technical meeting of negotiators on March 21, European Commission President Jose Manuel Barroso said, who said offers could then be swapped at some time "in the foreseeable future".

Brazil, one of the world's largest and most influential emerging economies, is ready to do a deal. It is backed by Uruguay and Paraguay but the question is whether Argentina, one of the most protectionist members of the Group of 20 countries, will join in opening its economy to greater EU imports.

(Additional reporting by Anthony Boadle in Brasilia and Francesco Guarascio in Brussels; Editing by Alison Williams)

dimanche 23 février 2014

La Corée du Sud veut lancer son Stuxnet contre les centrales nucléaires Nord-Coréennes.

C'est le quotidien Yonhap qui dévoile l'information,qui émane d'un "officiel du ministère de la défense" sud-coréen. L'annonce doit cependant être remise dans son contexte, où Séoul entend accélérer ses efforts de développement de ses capacités de cyberdéfense, ce qui inclut inévitablement un volet offensif.

Dès lors, l'intérêt porté par le gouvernement sud-coréen à propos du développement de capacités informatiques permettant de mettre à mal ou neutraliser les centrales nucléaires du voisin nord-coréen est parfaitement compréhensible.

Au-delà de ces capacités offensives, cette annonce intervient après une année de scandale dans lequel le Cyber Command sud-coréen s'est trouvé impliqué, et qui a donné lieu à la mise en examen de 11 fonctionnaires pour avoir utilisé les outils militaires pour influencer la campagne présidentielle de 2012. Ces personnes, parmi lesquelles se trouve le directeur de l'unité de Guerre Psychologique du Cyber Command Sud-Coréen, auraient posté plus de 300 000 messages sur les réseaux sociaux critiquant le perdant de la dernière élection.

Il s'agit donc également de tourner la page de cet incident pour le Cyber Command et de se consacrer enfin à ses missions premières.

mardi 18 février 2014

Time for a U.S. Cyber Force

[Toutes les réactions et commentaires ouvrant le débat sur ce sujet seront les bienvenus]

Proceedings Magazine - January 2014 Vol. 140/1/1, 331

By Admiral James Stavridis, U.S. Navy (retired) and David Weinstein.

"Instead of each armed service having its own version of a cyber command, why not create a separate entity altogether that would serve all branches?

In November 1918, U.S. Army Brigadier General Billy Mitchell made the following observation: “The day has passed when armies of the ground or navies of the sea can be the arbiter of a nation’s destiny in war.” General Mitchell’s comments came in the context of a vigorous debate involving a then-new domain of warfare: the skies. Nearly a century later, we are confronted with yet another contested domain. Cyberspace, like airspace, constitutes a vital operational venue for the U.S. military. Accordingly, it warrants what the sea, air, and land each have—an independent branch of the armed services.

Eight months before Mitchell’s clairvoyant statement, President Woodrow Wilson had signed two executive orders to establish the U.S. Army Air Service, replacing the Aviation Section of the U.S. Signal Corps as the military’s aerial warfare unit. This small force served as a temporary branch of the War Department during World War I and looked much like the Pentagon’s joint task forces of today. It was relatively small and consisted of personnel on assignment from the different services. In 1920, the Air Service’s personnel were recommissioned into the Army. The decision was backed by the popular belief that aviation existed exclusively to support ground troops.

A significant debate was under way within the armed services. The minority camp, led by Mitchell, advocated on behalf of establishing an independent service for aerial warfare. He contended that air power would serve a purpose beyond supporting the Army’s ground movements, and that gaining and maintaining preeminence of the skies required an entirely autonomous branch with indigenous manning, personnel, logistics, and acquisition duties. His opponents, on the other hand, favored integrating aviation into the existing services. Budgets were tight, and Army brass were eager to garner additional funding streams." (Lire la suite)

vendredi 14 février 2014

L'Union Européenne se positionne pour une mondialisation des fonctions de l'ICANN

[via clubicpro]

La Commission européenne cherche à se placer en tant que médiateur dans les négociations mondiales sur la gouvernance de l'Internet. L'organisme demande à ce que la gestion du fonctionnement du réseau soit opérée au niveau mondial et ne dépende plus d'une autorité dépendante des Etats-Unis.

icann logoL'Europe tente de peser sur les éventuelles négociations relatives à la gouvernance d'Internet. Dans ce cadre, la Commission européenne propose de réformer la gestion et l'exploitation d'Internet. Elle demande ainsi à « favoriser une transition sans heurts vers un modèle mondial, tout en préservant les valeurs sous-jacentes de gouvernance multipartenaire ouverte de l'Internet ».

Pour rappel, le fonctionnement actuel en matière de DNS est l'apanage de l'ICANN, une société de droit californien. Elle gère 13 serveurs racines mais certains pays se sont affranchis de cette gestion. Depuis le 1er septembre 2006, la Chine n'utilise donc plus les serveurs de l'ICANN, le pays ayant constitué son propre DNS. Une initiative qui fait craindre la dislocation du réseau des réseaux, chaque pays pouvant potentiellement créer une telle infrastructure.

De son côté, la Commission européenne souhaite fixer un calendrier précis pour la mondialisation des fonctions de l'ICANN et de l'IANA, mettre en place une plateforme en ligne capable de favoriser la transparence des politiques liées à l'Internet. Son ambition est également de « s'engager à créer un ensemble de principes de gouvernance de l'internet qui préserve le caractère ouvert et non morcelé du réseau ».

C'est pourquoi l'Europe dit vouloir mondialiser les principaux processus de prise de décision comme la coordination des noms de domaine et des adresses IP.