Archives de catégorie : Réflexions

L’action n’empêche pas la réflexion ;p

Il faut savoir prendre du recul sur ce qu’on fait, notamment en informatique, où on fonce trop souvent tête baissée sans savoir dans quelle direction on va ni où on met les pieds.

Attaque et défense

La défense semble une posture normale pour tout entité, vivante ou organisationnelle. Il va de soi qu’un Etat va chercher à se défendre et à défendre ses concitoyens, tout comme n’importe quel individu. L’attaque dépend d’autres facteurs, et cette capacité a longtemps eu une place à part en informatique, car cela a toujours été considéré comme l’apanage des méchants. L’informatique était considérée comme un outil de production, qu’il fallait protéger et garder en état de marche.

Or dans la vraie vie, l’attaque fait partie de la stratégie des individus comme des nations, et les capacités offensives commencent à se faire jour. De plus, avec l’importance croissante de l’informatique dans la richesse et les capacités de production (parfois vitales) des pays, elle devient aussi une cible stratégique.

C’est la guerre ?

Je ne parle pas des nord-coréens qui ne pensent qu’à détruire cette méchante Amérique qui fait rien que les embêter. Je parle de ce que la cyberguerre est désormais une réalité si tangible qu’elle est l’objet de discussion et même d’un projet de traité au sein des Nations-Unies. 

Or il semble que le sujet soit si sensible que treize années de négociations n’ont pas pu aboutir1. Point de traité donc, notamment parce que certains pays souhaitent que le cyberespace reste en dehors des conflits et que sa militarisation (c’est-à-dire la définition de ce que serait une attaque et une réponse dans ce cybermonde) risquerait de conduire à de réels conflits armés2.

L’intention est évidemment bonne, mais l’effet ne sera-t-il pas au contraire une escalade des conflits dans cet espace au mépris de toute règle ? Les attaques informatiques peuvent avoir un impact économique (et donc humain) majeur, et l’absence de principes ou de contrôles pourrait tout au contraire exacerber les tensions et conduire également à de vrais conflits militaires. L’Europe a relancé une action3 pour tenter de formaliser tout ça afin de stabiliser le cyberespace, mais il est difficile de savoir sur quoi cela va aboutir.

Ça change ?

Oui : on estime que seuls deux états avaient des capacités offensives en 2007, et ils seraient une trentaine en 2017. Les activités quasi-militaires prennent tant d’importance que l’ONU s’en inquiète et propose d’instaurer une sorte de code de bonne conduite via un cadre légal4, qui risque cependant d’être très difficile à faire respecter s’il venait à voir le jour.

Localisation

Historiquement, les Etats-Unis, la Chine et la Russie font partie des nations ayant une forte activité (en attaque comme en défense). Mais certains pays émergents profitent de la demande pour proposer des services d’attaque et de compromission, de type APT : l’Iran et le Vietnam commencent à se faire une réputation dans ce domaine5.

Ça chauffe ?

On dirait : à l’aube des élections présidentielles russes de 2018, les Etats-Unis accusent ouvertement la Russie6 d’avoir perturbé le fonctionnement des réseaux énergétiques (et d’autres choses7) via une attaque informatique, avec des mesures de rétorsion diplomatiques notables8 en retour. Il semble acquis (en août 2018) que des pirates910 ont bel et bien réussi à pénétrer un réseau pouvant agir sur la distribution d’électricité, mais sans n’avoir rien déclenché11 (ou perturbé).

Ce qu’il y a de nouveau ne sont pas les conséquences dans les relations internationales mais l’outil employé pour peser dans ces relations : l’informatique. Les attaques sont désormais tellement structurées et les conséquences tellement visibles que les attaques informatiques constituent un moyen de pression mais aussi un moyen d’action contre ses ennemis.

D’autres exemples

En août 2017, une usine pétrochimique située en Arabie Saoudite aurait été visée par un programme malveillant dont le but aurait été une destruction physique12 d’installations de cette usine. La complexité de l’attaque est telle qu’il est peut probable qu’elle soit le fait d’un petit groupe isolé : les auteurs avaient de l’information, du temps, et de moyens. L’attaque n’a échoué qu’à cause d’une seule une erreur dans le code.

En janvier 2017, d’autres structures d’Arabie Saoudite avaient été touchées par un programme ayant effacé une grande partie des disques durs touchés. Une attaque qui rappelle celle ayant eu lieu cinq ans plus tôt (le 15 août 2012) où les 3/4 des disques durs ont été effacés13, ce qui était une des attaques les plus marquantes de l’époque en raison justement de cette destruction physique de données.

En juin 2018, des observateurs ont noté une baisse notables des attaques d’un groupe supposé nord-coréen (Covellite14) vers des cibles américaines. Curieusement, cela correspond à une période de réchauffement des relations15 entre les deux pays, au moment où rencontre entre Potus (@potus est le compte twitter du President Of The United States [of America]) ) et Kim Jong Un (le leader nord-coréen) est prévue.

Les forces en présence

Des attaques militaires

En 2010, une corvette militaire sud-coréenne a été coulée (incident de Baengnyeong). Récemment, des analystes ont émis l’hypothèse que des cyberattaquants nord-coréens auraient tenté à de nombreuses reprises de compromettre le service météo sud-coréen16 afin de prévoir la route de patrouille empruntée par la corvette.

Ça continue !

Les accusations contre la Russie qui compromettrait des installations industrielles continuent à fleurir au début de l’année 2018 (presque autant que des fuites d’informations sur AWS S3).

On se défend

Comme on peut. Que ce soit contre la manipulation, ou contre les pirates soutenus par des Etats, les grands acteurs de l’informatique se liguent et s’unissent pour protéger nos intérêts. Ou les leurs. Ou les deux. Tous les grands noms y sont, sauf Apple, Amazon et Google. Ne me demandez pas pourquoi.

Guerre offensive

En 2019, il n’y a plus guère de doutes sur les tentatives de manipulation des élections américaines de 2016, au point qu’on sait désormais qu’il y a eu des mesures de rétorsion17 sur « l’usine à trolls » russe, aboutissant à la destruction de données (via un contrôleur RAID a priori).

Voir aussi

Sources

Russie, NotPetya

Etats

Attaques

APT

Cryptologie

La cryptologie est la science de l’écriture secrète, comprenant la cryptographie (technique de chiffrement de message) et la cryptanalyse (technique de déchiffrement d’un message).

Principes

Stéganographie

La stéganographie est la dissimulation du message sur un support d’apparence anodine (une tablette gravée puis recouverte de cire, le crâne rasé du messager qui laissera ensuite repousser ses cheveux, etc.).

Transposition

La transposition consiste en la permutation de lettres, sans en changer la valeur, comme dans un anagramme. Le secret réside dans le choix de la transposition :

  • En dents de scie, et autres dérivés ;
  • La scytale spartiate, où le secret est le diamètre de la scytale.

Substitution

La substitution est le remplacement d’une lettre par un autre caractère, sans modifier sa position. Il en existe différentes formes

  • Monoalphabétique : l’alphabet reste le même durant tout le chiffrement (ex : César)
  • Polyalphabétique : l’alphabet change lors du chiffrement (ex : Vigénère)
  • Homophonique : plusieurs substitutions sont possibles pour un même caractère.

Cryptanalyse

Les débuts de cryptanalyse sont liées à l’évolution des mathématiques, des statistiques et de la linguistique. Les premiers principes furent appliqués pour ordonner chronologiquement les chapitres du Coran, en fonction de la fréquence d’usage de mots modernes par exemple. L’analyse des fréquences d’usage des lettres fut également étudié.

La faiblesse de Vigénère

Longtemps considéré comme sûr, il reste vulnérable à l’analyse des fréquences, pourvu que le texte chiffré soit assez long et la clé relativement courte : si la clé fait 5 caractères de long, on se retrouve finalement face à 5 substitutions monoalphabétiques (car la clé se répète de façon cyclique lors du chiffrement), d’où on peut conjecturer les lettres les plus fréquentes.

Il faut toutefois connaître la longueur de la clé ; or on peut la déduire de l’espacement des séquences de lettres répétées dans le texte chiffré (là encore si le texte est assez long), qui sera probablement le plus grand diviseur commun des espacements entre les séquences répétées.

Le chiffre indéchiffrable : le masque jetable

Vigénère était plus robuste que tout chiffrement monoalphabétique, mais restait sensible à l’analyse des fréquences. Les Américains eurent l’idée d’une clé de la longueur du message pour utiliser Vigénère : l’analyse de fréquence devient alors impossible si la clé est suffisamment aléatoire, puisque qu’il n’y a aucune répétition prévisible. Il fut finalisé par la major Mauborgne, d’après les travaux de Vernam qui donna son nom au système (« chiffre de Vernam »).

Théoriquement incassable, il est malheureusement très difficile d’emploi :

  • Il faut des clés (masque) vraiment aléatoires, aussi longues que les textes à chiffrer, et nombreuses car chaque masque est jetable (on parle de livre de chiffre pour l’ensemble des feuillets dont chacun décrit une clé jetable). Or un vrai aléas est très difficile à obtenir ;
  • Il faut que l’émetteur et le récepteur disposent de la même liste de masques et les utilisent dans le même ordre (puisque chacun ne peut être utilisé qu’une fois). Toute interception de la liste des masques compromet alors l’ensemble des communications !
  • Il doit impérativement être jetable, car il suffit de deux textes chiffrés avec le même clé pour que la cryptanalyse redevienne possible.

Son usage sur un champ de bataille est rendu quasi-impossible par la nécessité que tous les points de communications doivent avoir le même livre de chiffres (non compromis) et le temps nécessaire au chiffrement et déchiffrement aurait nécessité un travail colossal.

Son usage restera en pratique limité à quelques communications ultra-confidentielles, de fréquence modérée, avec un échange de clés (de livre de chiffres) bien sécurisé.

Exemples de chiffres marquants

  • Enigma
  • Chiffre de Lorenz
  • Chiffre de Beale

Informatique quantique

Voir l’article dédié à l’informatique quantique.

Anecdotes

  • Marie Stuart, reine d’Ecosse, correspondit avec des textes chiffrés pour comploter contre la reine d’Angleterre.
  • George Pérec écrivit en 1969 un livre entier de 200 pages ne contenant pas la lettre e. Sa traduction anglaise réussit le même exploit !
  • Le téléphone rouge entre présidents américain et russe utilise un mécanisme de masque jetable.
  • Ce fut Sacha Guitry qui amena un exemplaire de la machine Enigma en Angleterre12 juste avant l’invasion de la Pologne par les forces allemandes.

Sources

Fiche de lecture : 2253150975 / 978-2253150978

Logarithme discret

Voir aussi

Éthique

L’éthique est une valeur essentielle de tout pirate professionnel de sécurité informatique. L’affaire des failles AMD vaudrait sûrement une radiation des employés de CTS-Labs par exemple, si toutefois ils étaient certifiés CISSP.

Codé d’éthique du CISSP

En anglais

Preamble
  • The safety and welfare of society and the common good, duty to our principles, and to each other, requires that we adhere, and be seen to adhere, to the highest ethical standards of behavior.
  • Therefore, strict adherence to this Code is a condition of certification.
Canons
  • Protect society, the common good, necessary public trust and confidence, and the infrastructure.
  • Act honorably, honestly, justly, responsibly, and legally.
  • Provide diligent and competent service to principles.
  • Advance and protect the profession.

En français

Préambule
  • La sécurité et le bien-être de la société et du bien commun, le devoir envers nos principes et envers les autres, exige que nous adhérions aux normes éthiques de comportement les plus élevées et soyons perçus comme tels. Par conséquent, une adhésion stricte à ce Code est une condition de la certification.
Canons1
  • Protéger la société, le bien commun, la nécessaire confiance publique et les infrastructures.
  • Agir honorablement, en toute honnêteté, avec raison et responsabilité, et dans la légalité.
  • Apporter à ces principes un concours diligent2 et qualifié.
  • Faire avancer et protéger la profession.

Perte Estimée Unique

La Perte Estimée Unique est un élément de mesure utilisé dans le cadre de la gestion de risques.

xx1

xxx
{Perte\ estimee\ Unique\ (PEU)} = {Valeur\ Actif\ (VA)\ } \times {\ Facteur\ d’Exposition\ (FE)}
xxx