Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

Le 12/03/2021 à 09:55, Nemo123 a dit :

Concernant cette dernière campagne d'attaque, appelée ProxyLogon ou Hafnium, nous avons pu observer 10 groupes différents déployer la première étape de backdoors. Ces groupes ne semblent pas disposer de procédures particulières laissant penser à un sponsor étatique, mais plutôt à des acteurs mafieux.

Un post scriptum pour Hafnium (faille MS Exchange MASSIVEMENT exploitée).

Des milliers de serveurs restant vulnérables (par manque de compétence, ou par ignorance de leur propriétaire), le FBI a fini par demander à un juge ...
la permission de les pirater pour combler la faille.

https://www.phonandroid.com/le-fbi-pirate-des-milliers-de-pc-a-linsu-des-utilisateurs-pour-les-proteger-contre-hafnium.html

Bref, du piratage "vertueux", qui pose toujours autant de problème éthique (la gendarmerie française l'avait fait aussi pour tuer un botnet).
Mais vu la gravité et l'étendue de la faille, y avait pas trop le choix ... Et au moins ils avaient demandé l'autorisation au judiciaire (en théorie, il aurait fallu au moins prévenir les autres pays concernés, extra territorialité et tout ça)

Lien vers le commentaire
Partager sur d’autres sites

Dans mon flux d'actualité, je vois à nouveau les mots clé "Huawei" et "espionnage" (opérateur mobile hollandais KPN/Fortinet).
(Comme d'habitude) En creusant un peu plus (et en remontant à la source), je nuance fortement l'histoire :

Un résumé plus juste serait plutôt:
"Vers 2010, l'opérateur mobile n°1 KPN avait sous-traité la maintenance de son coeur de réseau  ... à Huawei ... ce qui a donné l'accès au système des écoutes téléphoniques (+base des écoutes)... " (6 employés Huawei au siège du client + serveurs en Chine)

Le sous traitant avait obtenu les clés de l'accès administrateur ....
Et comme il n'y avait pas de piste d'audit, c'est impossible de savoir si et combien d'abonnés ont été écoutés (potentiellement, l'opérateur avait 6.5M d'abonnés)

Suite à un rapport d'audit de Cap Gemini de 2010, l'opérateur affirme avoir pris conscience des risques, et prétend avoir repris en main le contrôle de son réseau mobile. (rapport enterré : normal, avec un coup pareil, l'opérateur risque de perdre la licence d'exploitation ...)

Commentaire perso:
Je ne fais pas d'angélisme : à la place des SR chinois, si j'avais une opportunité pareille, je l'aurais exploitée à fond.

Ici, le problème fondamental, c'est 1) la sous traitance à l'étranger par l'appât du gain pour des infrastructures vitales, qui conduit à compromettre la sécurité nationale... Avec peut-être aussi un soucis de manque de compétence chez l'opérateur, pour contrôler les activités des sous-traitants.
Les éventuels SR chinois sont en n°3.

Une info pertinente quand même dans l'article : Huawei était à l'époque 4 fois moins cher que les concurrents...
ça fait un sacré appât pour les réductions de coût.

Source (hollandais) (paywall)
https://www.volkskrant.nl/nieuws-achtergrond/huawei-kon-alle-gesprekken-van-mobiele-kpn-klanten-afluisteren-inclusief-die-van-de-premier~bd1aece1/

Résumé et réactions plus honnêtes de gens plus techniques (en français)
https://www.nextinpact.com/lebrief/46801/huawei-pouvait-ecouter-clients-principal-operateur-mobile-neerlandais

Revue de presse (festival de titres trompeurs par des pigistes qui ne maitrisent pas le domaine)
https://news.google.com/stories/CAAqOQgKIjNDQklTSURvSmMzUnZjbmt0TXpZd1NoTUtFUWlzZ2VEem9JQU1FV3VscERXOVVaUGVLQUFQAQ?hl=fr&gl=FR&ceid=FR%3Afr

Modifié par rogue0
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

https://www.lesnumeriques.com/vie-du-net/le-comite-europeen-de-la-protection-des-donnees-veut-faire-interdire-la-reconnaissance-faciale-n163071.html

Quote

Le Comité européen de la protection des données veut faire interdire la reconnaissance faciale

L'autorité des Cnil européennes est très claire : elle souhaite que la reconnaisse biométrique à distance soit interdite dans les pays de l'Union par la réglementation sur l'intelligence artificielle en discussions à Bruxelles.

En discussion au sein de la Commission européenne, un projet de réglementation des usages de l'intelligence artificielle a été récemment dévoilé. Une disposition qui aura le double objectif de rassurer les citoyens quant aux dérives de cette technologie et de proposer aux acteurs du marché un cadre juridique plus clair. Défendu par les commissaires européens Margrethe Vestager et Thierry Breton, ce texte pourrait aussi devenir référent en matière de reconnaissance faciale. Un point sur lequel le Comité européen de la protection des données (CEPD) tenait à se faire entendre.

En effet, cet organe faisant autorité sur les Cnil européennes déplore que ce projet n'inclut pas une interdiction de l'IA pour l'identification biométrique à distance, et donc la vidéosurveillance par reconnaissance faciale. Or, ce sont bien les Cnil qui, dans chaque pays, devront faire appliquer la réglementation européenne. C'est dire si cette sortie est importante dans le cadre des débats actuels autour de ce projet. Car pour le CEPD, il est "absolument nécessaire d'interdire les technologies d'identification biométrique à distance".

"Une intrusion non démocratique dans la vie privée des citoyens"

Si le CEPD ne limite pas sa position à la reconnaissance faciale, c'est parce que les intelligences artificielles déployées permettent également d'identifier des individus en se basant sur d'autres paramètres tels que la démarche, la voix et l'analyse comportementale. Il souhaite donc qu'une définition assez large englobant aussi la reconnaissance faciale ou les empreintes digitales soit adoptée. Pour le CEPD, le moment est venu de défendre une approche plus stricte et encadrée des nouveaux usages de l'identification à distance.

Pour ce comité, cette technologie se base sur une intrusion "profonde" et "non démocratique" dans la vie privée des individus souvent mal informés du fait qu'ils sont filmés et peuvent ainsi être identifiés. Une approche qu'avait retenue la Commission européenne au départ, mais qui avait été assouplie pour certains types d'affaires criminelles, la recherche d'enfants disparus et la lutte contre le terrorisme.

Nous pouvons aussi compter sur les professionnels du secteur pour monter au créneau. Eux veulent s'inscrire dans la volonté de Bruxelles de faire de l'Europe une locomotive mondiale pour les technologies liées à l'intelligence artificielle, ce qui nécessite un cadre plus souple que celui demandé par le CEPD. Ils craignent également que ce genre de prises de position figées ne diabolisent une technologie dont il ne faut pas analyser les fondements ou les capacités, mais les usages réels. C'est exactement ce que compte faire le CEPD, en poussant en faveur d'un refus total de l'identification biométrique à distance. Reste à voir ce qu'en dira le Parlement européen et les États membres de l'Union.

 

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 25/03/2021 à 21:38, gustave a dit :

Ce qui explique le concept d'attribution, qui n'est pas une certitude scientifique mais une décision politique résultant d'un faisceau de présomptions autant géopolitiques, politiques, que techniques...

"décision politique", tout de suite... :sleep:

Nul doute que certaines "attributions" en découlent, mais les états qui ont le plus investi dans ce champ ont probablement des dispositifs susceptibles de les aider grandement. Par exemple des sources chez l'ennemi, des dispositifs de pot-de-miel susceptibles d'apporter certaines informations sympa, la possibilité peut être de recouper des informations inaccessibles  au commun des sociétés de sécurité.

Autant l'attribution est un art bien compliqué, autant partir du principe qu'à chaque fois que les états osent ouvertement affirmer "nous pensons que ça vient de là", c'est toujours en fait au hasard, c'est faire un pari hasardeux. Des gens comme Google ou Facebook doivent aussi avoir de sacrés moyens à disposition.

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas ce que je dis, seulement qu'en ce domaine, et notamment du fait que la certitude est quasiment impossible à obtenir matériellement, la décision d'attribuer (ou non) une cyber attaque est toujours une décision d'ordre politique, quand bien même elle se base évidemment sur des éléments collectés plus ou moins probants.

Lien vers le commentaire
Partager sur d’autres sites

il y a 36 minutes, gustave a dit :

Ce n'est pas ce que je dis, seulement qu'en ce domaine, et notamment du fait que la certitude est quasiment impossible à obtenir matériellement, la décision d'attribuer (ou non) une cyber attaque est toujours une décision d'ordre politique, quand bien même elle se base évidemment sur des éléments collectés plus ou moins probants.

La décision de le révéler, oui., mais l'attribution en tant que telle peut être certaine ou suffisamment certaine sans qu'il soit possible pour qui "sait" de révéler comment, par exemple si les attaquants ont eux-même été pénétrés.
On a quand même vu sortir en source ouvertes les coordonnées complètes d'une centaine d'agents russes il n'y a pas si longtemps, par exemple, si je ne m'abuse. Ça venait bien de quelque part, et j'imagine que ce n'étaient pas les informations les plus croustillantes à leur propos.

Les malins qui se croient à l'abri des filets de la NSA doivent bien faire deux ou trois fautes de temps en temps, toquer à la mauvaise porte, emprunter les mauvais routeurs, choisir par mégarde une porte dérobée créée là à leur intention, certains doivent se vanter, certains doivent trahir ou craquer devant certaines offres. Bref : si conflit il y a, surtout ne pas croire que les américains ou les anglais sont systématiquement des manches.

Sur ce, avant de démêler le vrai du faux, on a le temps de finir barbu...

Lien vers le commentaire
Partager sur d’autres sites

Le 27/04/2021 à 17:49, g4lly a dit :

J'étais passé à coté de ça... C'est assez énorme comme nouvelle. J'ai du mal à croire que ça pourrait se faire !

Je suppose que ça dépendra très fortement des couleurs politiques de chaque pays. Y compris en France.

Lien vers le commentaire
Partager sur d’autres sites

Le 27/04/2021 à 21:48, Boule75 a dit :

Les malins qui se croient à l'abri des filets de la NSA doivent bien faire deux ou trois fautes de temps en temps, toquer à la mauvaise porte, emprunter les mauvais routeurs, choisir par mégarde une porte dérobée créée là à leur intention, certains doivent se vanter, certains doivent trahir ou craquer devant certaines offres.

Le truc, c'est que t'as besoin d'énormément de moyens et de ressources pour choper 3 scripts kiddies, qui, comment tu l'as indiqué, auront fait le pas de trop. Peut-être qu'un jour tu pourras te faire plaisir en attrapant un APT, mais ce sera l'exception. Et probablement pas celui que tu souhaites attraper. Donc je remplacerais ton premier mot "Les" par "Des". Certains font des erreurs et seront retrouvés, mais l'immense majorité, non.

Sur la majorité des investigations post-compromission que j'ai pu étudier, on a quasi systématiquement trouvé de multiples attaquants qui s'étaient infiltrés, de bords différents, parfois à l'insu des uns des autres, parfois pas. Donc espérer tous les identifier et les choper... c'est quasi impossible.

  • Aujourd'hui, pour protéger une société du CAC 40, t'as entre 30 et 200 mecs (Gaussienne) dédiés à la cybersécurité au sens large (et encore j'exclus l'armée de consultants GRC, Gouvernance Risques et Conformité). Ce nombre de personnes double lors d'une attaque en rameutant la crème de la crème (ANSSI, éditeurs de logiciels de sécurité, ...).
  • Et pour compromettre ce type de sociétés, un groupe de 4-5 attaquants pas trop mauvais peuvent en péter une par mois (et derrière ils se feront peut-être 50-100 PME / ETI par mois). Ce qui explique que généralement les attaquants entrent en campagne pour quelques mois (généralement de 3 à 6 mois), puis se mettent en sommeil pendant quelques mois (souvent plus longtemps que les campagnes d'attaques) pour exploiter leurs intrusions et digérer les énormes quantités d'occasions créées, redévelopper des outils, techniques, & co, récupérer les rançons, négocier, blanchir l'argent récoltée, recruter d'autres copains, gérer les problèmes humains au sein de l'équipe, etc...
  • Très très très grosse maille, on est à un ratio de 1 attaquant pour 100 défenseurs (c'est peut-être 1/50 ou 1/1000 selon plein de critères, mais c'est surement pas 1/1).

Ensuite, calcule le nombre d'ingés (ou équivalent) cyberdéfense (donc avec un profil technique, pas les chefs de projets, avec tout le respect que je leur dois) sur le marché de l'emploi et qui sont formés tous les ans (2-3 ans d'XP minimum pour être efficace). Inversement, estime l'évolution du nombre de black hat qui arrivent sur le marché tous les ans. Pour indice, le budget cyberdéfense mondial augmente de 15% par an quand les revenus des attaquants augmentent de 30% par an (600% avec la covid depuis 2020, mais on espère que c'est une exception et que ça va retomber). Le décalage est là, indéniable, et ses conséquences sont inéluctables.

Maintenant tu peux crier :biggrin:

 

Le 27/04/2021 à 21:48, Boule75 a dit :

Bref : si conflit il y a, surtout ne pas croire que les américains ou les anglais sont systématiquement des manches.

 

Ah, parce qu'il n'y a pas déjà conflit ?

On est, certes, surtout dans des démarches de fuite de données, mais les actes de sabotage, ou de préparation, sont déjà légions. C'est d'ailleurs la menace n°1 annoncée par l'ANSSI.

 

N'oublions pas :

  • L'exception c'est d'être protégé, et le fait d'être vulnérable est la règle de base et le cas de quasi toutes les sociétés du monde (SolarWinds a même montré que la crème de la crème US s'était faite péter),
  • L'attaque (intrusion) est beaucoup plus simple que la défense (protection / détection / nettoyage), cf mon laïus au dessus,
  • Oui, ça pue :bloblaugh:

 

 

Petite note au cas où ça ne serait pas évident : que ce soit dans la sphère attaquante ou défensive, la porosité des milieux privés et publics et énorme, et les niveaux techniques des experts est globalement équivalents, de ce que j'ai pu en constater.

Modifié par Nemo123
  • J'aime (+1) 2
  • Merci (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 27/04/2021 à 23:48, Boule75 a dit :

Les malins qui se croient à l'abri des filets de la NSA doivent bien faire deux ou trois fautes de temps en temps, toquer à la mauvaise porte, emprunter les mauvais routeurs, choisir par mégarde une porte dérobée créée là à leur intention, certains doivent se vanter, certains doivent trahir ou craquer devant certaines offres. Bref : si conflit il y a, surtout ne pas croire que les américains ou les anglais sont systématiquement des manches.

Sauf que, s'il est déjà coûteux, difficile et chanceux d'établir un lieu et/ou profil d'origine, comme il s'agit rarement d'un pays coopératif pouvoir confirmer et préciser cela s'avère encore plus complexe sinon impossible s'agissant d'attaques commanditées par l'état en question.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, gustave a dit :

Sauf que, s'il est déjà coûteux, difficile et chanceux d'établir un lieu et/ou profil d'origine, comme il s'agit rarement d'un pays coopératif pouvoir confirmer et préciser cela s'avère encore plus complexe sinon impossible s'agissant d'attaques commanditées par l'état en question.

Oui, mais partir du principe systématique que toutes les attribution relèvent de l'affabulation n'est pas très raisonnable non plus.

@Nemo123 : ce qui me gêne profondément dans ces approches "cybersécurité" en général, c'est qu'elles sont très souvent en mode réactif plutôt que préventif. Les hiérarchies ne sanctionnent pas les bévues monumentales des équipes d'intégration, ont une énorme tendance au "j'veux ça tout de suite", imposent des choix technologiques ou d'architecture, favorisent les lèche-bottes qui fournissent du "résultat" en sacrifiant MCO et MCS, n'investissent pas dans les outils d'infra, de gestion de conf, etc, etc... externalisent à tout va sur la base d'analyses économiques vaseuses et à la fin s'étonnent que leur SI ait été retourné.

Lien vers le commentaire
Partager sur d’autres sites

Je ne suis pas trop d'accord, l'armée de consultants GRC à laquelle je faisais référence sont 100% dans une démarche de prévention. Idem pour toute la partie infra, audits et SOC. Et à eux seuls, ils représentent 95% des effectifs d'une boite dans la sécurité informatique.

Après, faut comprendre que la sécurité informatique (et l'informatique en général, sauf cas exceptionnels type banques) est vu comme un centre de coûts, avec de lourds investissements et un RoI à zéro, qui doit être réduit au maximum, surtout en ces temps difficiles. Sachant que pour avoir une sécurité préventive en best practice demande un coût inaccessible, il est nécessaire de choisir ses combats (donc les choix d'investissements en cyber défense) en fonction d'analyses de risques (très précises, pour en avoir fait moultes), où on prend la perte d'exploitation conséquente à une attaque potentielle (+ remédiation et d'autres trucs), multipliée par la probabilité d'occurrence, et on met en face le coût des moyens de mitigation de risque, et on laisse le décideur choisir le niveau (on propose plusieurs formules : caleçon, ceinture, bretelles, ou ceinture + bretelles + pare-balle).

Le RSSI, qui est responsable devant la loi des pertes de sa société lors d'un hack, est systématiquement audité pour vérifier s'il a pris ou non les bonnes décisions et s'il convient de le poursuivre pénalement. Et même dans les bas étages, la chasse aux sorcières est systématique. Après, c'est vrai que c'est très peu médiatisé, mais les retombées (légales ou en management interne) sont réelles. Surtout que l'armée de consultants armée en renforts pour répondre à l'incident va se faire un malin plaisir à pointer du doigt toutes les défaillances, aussi bien techniques que stratégiques (oui, faut bien justifier la facture -très salée - du rapport). Autant dire que ça donne du grain à moudre pour savoir qui a chié dans la colle.

Après, c'est sûr que dans le milieu bancaire, les décideurs sont plutôt du genre à choisir la formule "ceinture + bretelles + pare-balle", alors que dans le milieu du luxe ou de l'industrie non stratégique, on est plutôt sur du "caleçon". Disons qu'il y a des tendances, mais pour le justifier, les impacts ne sont pas les mêmes, et ne justifient pas les mêmes montants de dépense, donc ça me semble cohérent.

Je pense que ta vision sur les caprices ou l'incompétence des directions était vraie il y a 10-15 ans, et elle existe encore dans quelques boites, mais elle est assez rare aujourd'hui, surtout dans les grands groupes, et elle ne peut pas exister dans les OIV à cause des exigences de la LPM. Aujourd'hui, l'immense majorité des RSSI et mêmes DSI / CTO sont compétents. Il leur faut juste du budget. Sauf que les analyses de risque ne le justifient pas souvent à la hausse.

 

Pour faire une analogie très approximative : théoriquement, si on avait un flic à tous les carrefours, un prof derrière chaque élève et un médecin derrière chaque petit vieux, tout irait bien, mais le budget de l'état ne le permet pas. Alors il organise ses budgets en fonction d'une analyse de risque et quand le système craque (covid, des flics qui se sont attaquer, décrochage scolaire massif) on lui demande des comptes, des rapports sont rédigés, la presse livre ses analyses, et les électeurs jugent.

Lien vers le commentaire
Partager sur d’autres sites

il y a 53 minutes, Nemo123 a dit :

best practice demande un coût inaccessible

C'est là où je ne suis pas d'accord. Cette démarche de meilleures pratiques est d'ailleurs pratiquée à grande échelle par les Gafam, parce que la hiérarchie a investi dedans, parce qu'ils se sont dotés des outils qui vont avec, et elle leur bénéficie lourdement sur d'autres postes comme le MCO, la fiabilité, la performance, etc... C'est une informatique de grosses équipes, avec des méthodes de gestion spécifiques, et qui est incompatible avec les sempiternelles micro-équipes et guéguerres de clocher que les directions tolèrent ou encouragent partout en France, par incompétence crasse.

Et là nous sommes profondément à la ramasse, ANSSI et "sociétés de sécurité" comprises : on mène, en pataugeant, la guerre d'avant. Les SSII comme les règles d'appel d'offre et d'emploi public y contribuent puissamment.

Lien vers le commentaire
Partager sur d’autres sites

1 hour ago, Nemo123 said:

Après, c'est sûr que dans le milieu bancaire, les décideurs sont plutôt du genre à choisir la formule "ceinture + bretelles + pare-balle", alors que dans le milieu du luxe ou de l'industrie non stratégique, on est plutôt sur du "caleçon". Disons qu'il y a des tendances, mais pour le justifier, les impacts ne sont pas les mêmes, et ne justifient pas les mêmes montants de dépense, donc ça me semble cohérent.

Euhhh comment dire ... pas forcément ... du moins pas forcément sur tous les postes ou tous les services. Et les autorités de contrôle sont pas forcément non plus ultra exigeantes ... du moins pas sur tout ...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Boule75 a dit :

C'est là où je ne suis pas d'accord. Cette démarche de meilleures pratiques est d'ailleurs pratiquée à grande échelle par les Gafam, parce que la hiérarchie a investi dedans, parce qu'ils se sont dotés des outils qui vont avec, et elle leur bénéficie lourdement sur d'autres postes comme le MCO, la fiabilité, la performance, etc...

Concernant les GAFAM, ça n'a rien à voir : il s'agit (parmi d'autres activités) d'éditeurs de logiciels de sécurité et non pas de clients (sauf Facebook, qui n'en produit pas). Le positionnement n'est donc pas comparable, car c'est en quelques sorte leur métier qui gère la sécu.

Mais a contrario, prends justement un Facebook ou un Tesla (pour prendre des symboles), et je ne suis pas sûr qu'ils soient beaucoup plus efficaces que nos gros groupes en France (d'autant plus qu'ils doivent être davantage ciblés).

Attention à ne pas confondre la sécu contre les actes malveillants et contre le risque de panne. Je relève, car tu évoques "le MCO, la fiabilité, la performance, etc" qui sont purement attraits au risque de panne. Ça n'est pas le même métier, ni les mêmes compétences, ni le même état d'esprit, même si c'est, en partie, les mêmes personnes qui font les deux (archi + admins de l'infra en phases de think, build et run).

 

Il y a 3 heures, Boule75 a dit :

C'est une informatique de grosses équipes, avec des méthodes de gestion spécifiques, et qui est incompatible avec les sempiternelles micro-équipes et guéguerres de clocher que les directions tolèrent ou encouragent partout en France, par incompétence crasse.

Et là nous sommes profondément à la ramasse, ANSSI et "sociétés de sécurité" comprises : on mène, en pataugeant, la guerre d'avant. Les SSII comme les règles d'appel d'offre et d'emploi public y contribuent puissamment.

Alors là, ça dépend tellement d'une boite à l'autre que tu ne peux pas généraliser. Pour être aussi vindicatif, je suppose que tu as eu une expérience malheureuse, mais ça n'était (à mon avis) pas représentatif de la majorité. Oui, il y a souvent de la politique et des gueguerres à la con, mais c'est pareil chez les américains, chinois, japonnais et israéliens (les autres, je ne connais pas).

De mon avis, les problèmes de management sont davantage liés à la culture du diplôme et de l'ancienneté plutôt que de la réelle compétence de l'individu. Mais de ce que j'ai vu, plus on est dans un milieu technique, plus on s'éloigne des gueguerres, de la politique, des placardisés, des contre-productifs, etc... Et en cybersécu, un mec qui n'est pas à sa place dans la hiérarchie se fait dégager assez vite, qu'il soit chez un éditeur, une ESN de sécu, ou un client. En fait, je pense que c'est un secteur d'activité qui fait un peu exception : y a assez peu de mauvais, et encore moins dans la hiérarchie où il faut souvent engager sa responsabilité en son nom propre. C'est assez dur de se planquer, et faut suivre techniquement et ça bouge très vite, donc ça nettoie. Beaucoup de gens se font virer de mission ou repositionner, moi-même ça m'est arrivé plusieurs fois, pour différentes raisons, c'est la norme, ça n'a rien de scandaleux ou honteux, on est toujours challengés et la moindre erreur est auditée / analysée pour capitaliser dessus. Tout ceci amène une émulation formidable dans le milieu, et c'est tant mieux. Rien à voir avec ce que tu m'as décrit. Après, je te parle de la partie cybersécu, et pas de l'informatique en général (auquel je ne connais pas grand chose, en fait).

L'ANSSI et les sociétés de sécurité, à la ramasse ? Vraiment ? Comme dans tous les milieux privés, il y a de tout, mais pour très bien connaitre les deux (ANSSI + ESN de cybersécu), ce n'est vraiment pas comme ça que je les qualifierais, mais bon...

 

Il y a 2 heures, g4lly a dit :

Euhhh comment dire ... pas forcément ... du moins pas forcément sur tous les postes ou tous les services. Et les autorités de contrôle sont pas forcément non plus ultra exigeantes ... du moins pas sur tout ...

Je parlais pour la cybersécu. Le reste, je n'y connais rien.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, Boule75 a dit :

@Nemo123Oui, mais partir du principe systématique que toutes les attribution relèvent de l'affabulation n'est pas très raisonnable non plus.

Il ne me semble pas avoir jamais dit cela,  ou je me suis mal exprimé.  Ce que j'affirme est que l'attribution est une décision de nature politique,  mais elle se base évidemment sur des éléments techniques ou de renseignement.

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 30/04/2021 à 15:27, Nemo123 a dit :

Concernant les GAFAM, ça n'a rien à voir : il s'agit (parmi d'autres activités) d'éditeurs de logiciels de sécurité et non pas de clients (sauf Facebook, qui n'en produit pas). Le positionnement n'est donc pas comparable, car c'est en quelques sorte leur métier qui gère la sécu.

Mais a contrario, prends justement un Facebook ou un Tesla (pour prendre des symboles), et je ne suis pas sûr qu'ils soient beaucoup plus efficaces que nos gros groupes en France (d'autant plus qu'ils doivent être davantage ciblés).

Attention à ne pas confondre la sécu contre les actes malveillants et contre le risque de panne. Je relève, car tu évoques "le MCO, la fiabilité, la performance, etc" qui sont purement attraits au risque de panne. Ça n'est pas le même métier, ni les mêmes compétences, ni le même état d'esprit, même si c'est, en partie, les mêmes personnes qui font les deux (archi + admins de l'infra en phases de think, build et run).

Alors là, ça dépend tellement d'une boite à l'autre que tu ne peux pas généraliser. Pour être aussi vindicatif, je suppose que tu as eu une expérience malheureuse, mais ça n'était (à mon avis) pas représentatif de la majorité. Oui, il y a souvent de la politique et des gueguerres à la con, mais c'est pareil chez les américains, chinois, japonnais et israéliens (les autres, je ne connais pas).

De mon avis, les problèmes de management sont davantage liés à la culture du diplôme et de l'ancienneté plutôt que de la réelle compétence de l'individu. Mais de ce que j'ai vu, plus on est dans un milieu technique, plus on s'éloigne des gueguerres, de la politique, des placardisés, des contre-productifs, etc... Et en cybersécu, un mec qui n'est pas à sa place dans la hiérarchie se fait dégager assez vite, qu'il soit chez un éditeur, une ESN de sécu, ou un client. En fait, je pense que c'est un secteur d'activité qui fait un peu exception : y a assez peu de mauvais, et encore moins dans la hiérarchie où il faut souvent engager sa responsabilité en son nom propre. C'est assez dur de se planquer, et faut suivre techniquement et ça bouge très vite, donc ça nettoie. Beaucoup de gens se font virer de mission ou repositionner, moi-même ça m'est arrivé plusieurs fois, pour différentes raisons, c'est la norme, ça n'a rien de scandaleux ou honteux, on est toujours challengés et la moindre erreur est auditée / analysée pour capitaliser dessus. Tout ceci amène une émulation formidable dans le milieu, et c'est tant mieux. Rien à voir avec ce que tu m'as décrit. Après, je te parle de la partie cybersécu, et pas de l'informatique en général (auquel je ne connais pas grand chose, en fait).

L'ANSSI et les sociétés de sécurité, à la ramasse ? Vraiment ? Comme dans tous les milieux privés, il y a de tout, mais pour très bien connaitre les deux (ANSSI + ESN de cybersécu), ce n'est vraiment pas comme ça que je les qualifierais, mais bon...

Je parlais pour la cybersécu. Le reste, je n'y connais rien.

Ce que je tente de faire valoir ici - et c'est pour ça que j'ai l'impression que l'ANSSI est dans la guerre d'avant, indépendamment de la qualité de ses personnels, dont j'ai bonne opinion - c'est que l'informatique des GAFAM, pour les prendre globalement, est d'un autre ordre que celle que l'on rencontre partout en France, pour ce que j'en vois : sa gestion est programmatique.
Tout est sous gestion de configuration, que l'on parle du réseau (routeurs, commutateurs, pare-feux), des serveurs eux-même jusqu'au plus bas niveau (UEFI & Co, système bien sûr), logiciels d'infrastructure (la gestion de configuration et les outils de déploiement et de tests compris, mais également la métrologie/supervision), couches de virtualisation, stockage, logiciels (hors certaines maquettes j'imagine). Tout passe par des systèmes de révision de code et de test, éventuellement même par des chaînes de compilation automatisées permettant de s'appuyer su les sources plus que sur des bianires (ou des conteneurs) produits on-ne-sait-comment. Le résultat net est une grande plasticité : les systèmes peuvent se ré-instancier, être testés avant déploiement de masse, surveillés spécifiquement si souhaités, les paramétrages peuvent être audités, etc, etc... Quand une faille est crée, elle l'est sur plusieurs systèmes, mais elle est - généralement - corrigeable extrêmement vite, et les méthodes invitent à la détection des bêtises. Quand il faut monter de version, c'est prévu, etc, etc... Et il y a beaucoup moins de boulettes, de verrues ad hoc, de raccourcis de tel ou tel équipe ou individu qui aurait dû faire vite fait - mal fait, et donc moins de failles ou beaucoup plus de facilité pour les corriger.
L'ensemble va avec des méthodes, avec des organisations spécifiques et rigoureuses visant conjointement la qualité et l'agilité ; c'est parfois dur d'ailleurs.

Je parle là de l'informatique "en entier", pas tellement de l'aspect sécurité, mais à mon sens ce dernier en bénéficie énormément, parce que les failles sont identifiables plus simplement, et si le correctif ou l'évolution coûte en mise au point, son déploiement est mille fois moins douloureux que dans des organisations traditionnelles morcelées comme on en croise encore beaucoup.

Du point de la qualité générale de ce qui est produit, ça n'a rien à voir non plus, y compris sur des aspects profondément bénéfiques à la sécurité : généralisation et standardisation des mécanismes d'authentification interne durs, systématisation du suivi des transactions de bout en bout, filtrage fin, chiffrement de flux comme des données stockées (et par le client, pas par le média), remontée, centralisation des logs, analyse temps réel et en profondeur de ceux-ci, générations d'alertes, etc, etc... Les audits sont simplifiés aussi, alors même que la complexité des piles techniques les rend plus complexes.

Il y a un prix, fort, à payer. Mais c'est une démarche en amont qui, tout en facilitant la remédiation, prend un bon paquet de problèmes impactant la sécurité à la racine en permettant la systématisation des "bonnes pratiques".

Modifié par Boule75
Lien vers le commentaire
Partager sur d’autres sites

Ce que tu décris là semble bien correspondre à des méthodologies de développement sécurisé et efficace de logiciels dans le meilleur des mondes, probablement appliqué chez les GAFAM qui sont des éditeurs, et plus ou moins appliqués partout, y compris chez les (meilleurs) éditeurs français. Après, je t'accorde que les produits des GAFAM sont beaucoup plus utilisés, donc il y a plus de chercheurs de vulnérabilités qui se penchent dessus (sans parler du faire que les primes et les bug bouties sont plus rémunérateurs), donc les produits sont moins truffés de vulnérabilités évidentes.

Mais tout ceci est un problème d'éditeurs qui n'a rien à voir avec l'activité des acteurs de sécurité que sont les auditeurs, ESN de cybersécu et l'ANSSI. Donc je ne vois pas trop le rapport avec ce que je disais, mais j'ai peut-être mal compris ce que tu voulais dire. Leur job n'est pas de développer proprement, mais plutôt d'auditer, recommander, certifier des solutions et d'intervenir sur des incidents en cours. Du coup, je ne vois pas trop en quoi l'ANSSI fait la guerre d'avant.

Après, c'est sûr que la qualité (sous entendu le niveau de sécurité, aka présence de vulnérabilités ou non dans le code) des softs produits par les différents éditeurs est assez (très) variables. Mais étonnamment, les GAFAM ne remportent pas forcément la palme. Si tu connais des pentesteurs, je t'invite à les questionner sur la sécurité d'AWS par exemple, ou d'Azure, ils s'en frottent les mains ! Sans pour autant parler d'erreurs de configuration de la part des admins / archis, il y a légion de vulnérabilités régulièrement révélées, pour lesquelles les PoC sortent bien avant les patchs, sur plein d'outils d'infra des clouds publics (donc développés par eux-même, je ne parle pas d'images d'éditeurs tierces qu'on pourrait ajouter dans une infra en IaaS). On pourrait parler du WAF AWS par exemple.

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, Nemo123 a dit :

Ce que tu décris là semble bien correspondre à des méthodologies de développement sécurisé et efficace de logiciels dans le meilleur des mondes, probablement appliqué chez les GAFAM qui sont des éditeurs, et plus ou moins appliqués partout, y compris chez les (meilleurs) éditeurs français.

Ce dont je parle-là ne relève pas tellement des logiciels finalement exposés aux clients (c'est certes important !), mais plus du domaine de l'intégration et de la gestion en production des piles techniques complètes qui sont dessous, des micrologiciels des serveurs ou routeurs aux logiciels fonctionnels tout en haut de la pile en passant par toutes les couches d'infrastructure et les moyens de contrôler tout ça : tout est déployé et géré de manière programmatique. Les fonctions assurées ne sont plus attachées au matériel, elles sont déplaçable, ré-instanciables, élastiques, idem pour les entrepôts de données.

Ca signifie que s'il faut changer tel paramètre moisi sur tel ensemble, c'est faisable. S'il faut mettre à jour tel ou tel truc : pareil. S'il faut entièrement déplacer tel ou tel ensemble de fonctions qui sont hébergées sur des systèmes qui ne sont plus maintenus ou considérés comme moisis : c'est possible aussi, c'est prévu.

Ca signifie aussi que ces déploiements sont auditables avant déploiement, peuvent être soumis à l'approbation des pairs, qu'on peut revenir dessus, "simple" retour arrière en cas de bévue, mais aussi reprise sous gestion d'autres personnels ou d'autres équipes.

Je ne mésestime pas la complexité de la chose et suis persuadé qu'il y a des angles morts, des choses mal faites, des verrues de-ci de-là comme partout, mais au global ils disposent d'ensemble informatiques plastiques qu'ils font évoluer de manière remarquable.

 

Quand je compare avec certaines prescriptions du type "tel système est audité, on n'y touche pas" même si ont été révélées des failles majeures le concernant, et avec la pratique courante consistant à acter la fin d'un projet à la date de passage en production (par opposition à la date de fin d'usage...), par exemple, je me dis qu'on n'est pas dans le même monde. Certains corrigent les failles au fur et à mesure, même si c'est un peu mou parfois, d'autres attendent littéralement leur exploitation en croisant les doigts.

Vers 2016, j'ai entendu ébahi un contact me dire "on a tel système qui fonctionne encore sous Red Hat 3" et c'était un système exposé et lourdement utilisé pour une fonction importante. Dans le meilleur des cas, il n'était plus maintenu depuis 9 ans, au pire il ne l'était pas depuis sa mise en route. Du point de vue sécurité, c'est délirant, et ça n'est pourtant pas un exemple isolé.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, Boule75 a dit :

Ce dont je parle-là ne relève pas tellement des logiciels finalement exposés aux clients (c'est certes important !), mais plus du domaine de l'intégration et de la gestion en production des piles techniques complètes qui sont dessous, des micrologiciels des serveurs ou routeurs aux logiciels fonctionnels tout en haut de la pile en passant par toutes les couches d'infrastructure et les moyens de contrôler tout ça : tout est déployé et géré de manière programmatique. Les fonctions assurées ne sont plus attachées au matériel, elles sont déplaçable, ré-instanciables, élastiques, idem pour les entrepôts de données.

Ca signifie que s'il faut changer tel paramètre moisi sur tel ensemble, c'est faisable. S'il faut mettre à jour tel ou tel truc : pareil. S'il faut entièrement déplacer tel ou tel ensemble de fonctions qui sont hébergées sur des systèmes qui ne sont plus maintenus ou considérés comme moisis : c'est possible aussi, c'est prévu.

Ca signifie aussi que ces déploiements sont auditables avant déploiement, peuvent être soumis à l'approbation des pairs, qu'on peut revenir dessus, "simple" retour arrière en cas de bévue, mais aussi reprise sous gestion d'autres personnels ou d'autres équipes.

Je ne mésestime pas la complexité de la chose et suis persuadé qu'il y a des angles morts, des choses mal faites, des verrues de-ci de-là comme partout, mais au global ils disposent d'ensemble informatiques plastiques qu'ils font évoluer de manière remarquable.

 

Quand je compare avec certaines prescriptions du type "tel système est audité, on n'y touche pas" même si ont été révélées des failles majeures le concernant, et avec la pratique courante consistant à acter la fin d'un projet à la date de passage en production (par opposition à la date de fin d'usage...), par exemple, je me dis qu'on n'est pas dans le même monde. Certains corrigent les failles au fur et à mesure, même si c'est un peu mou parfois, d'autres attendent littéralement leur exploitation en croisant les doigts.

Vers 2016, j'ai entendu ébahi un contact me dire "on a tel système qui fonctionne encore sous Red Hat 3" et c'était un système exposé et lourdement utilisé pour une fonction importante. Dans le meilleur des cas, il n'était plus maintenu depuis 9 ans, au pire il ne l'était pas depuis sa mise en route. Du point de vue sécurité, c'est délirant, et ça n'est pourtant pas un exemple isolé.

La magie de l' "infra as code" :smile:

Et du DevOps en général (pour la partie infra que tu évoques) : Ansible, Puppet, Terraform & Co. Mais il existe plein d'autres tools selon les sous rubriques du SI à automatiser.

J'ai envie de dire que toute société qui se respecte et qui développe un logiciel a d'ores et déjà une maturité sur ces méthodes. Après, y a encore probablement des sociétés old school qui ne se respectent pas, mais il ne doit pas/plus y en avoir beaucoup. C'est à mon sens très généralisé en France et dans le monde.

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Nemo123 a dit :

La magie de l' "infra as code" :smile:

Et du DevOps en général (pour la partie infra que tu évoques) : Ansible, Puppet, Terraform & Co. Mais il existe plein d'autres tools selon les sous rubriques du SI à automatiser.

J'ai envie de dire que toute société qui se respecte et qui développe un logiciel a d'ores et déjà une maturité sur ces méthodes. Après, y a encore probablement des sociétés old school qui ne se respectent pas, mais il ne doit pas/plus y en avoir beaucoup. C'est à mon sens très généralisé en France et dans le monde.

Hum... Eh bien je connais des endroits où ça n'est pas le cas, ou alors où ces outils sont répandus mais avec incohérence. Typiquement avec de la concurrence entre outils, avec autant d'instances de ce type d'outils que d'équipes, etc, etc... Au final, la situation est certes meilleure que s'ils n'existaient pas, mais la plasticité du parc y gagne à peine, il reste fragmenté.

Lien vers le commentaire
Partager sur d’autres sites

Pour coller au sujet du thread, je reviens vers vous avez 2 actus :

Côté iranien, 2 groupes ont été identifiés, ayant des liens avec l'Iran's Islamic Revolutionary Guard Corps (IRGC), le IRGC Quds Force (IRGC-QF), et l'Iran's Ministry of Intelligence and Security (MOIS).
Le premier d'entre eux (Fox Kitten, ayant lancé la campagne nommée Pay2Key) avait un objectif de destruction et sabotage d'une douzaine de cibles israéliennes et a opéré entre Novembre et Décembre 2020,
Le second groupe (sous le couvert de la société Emen Net Pasargard), identifié sous les noms Read My Lips ou encore Lab Dookhtegan a lancé une campagne non pas à but destructif, mais plutôt de demande de rançon (en Bitcoin) après chiffrement des éléments critiques du SI des cibles. La campagne a commencé à s'organiser à l'été dernier (2020) et d'après les documents récoltés par des chercheurs en sécurité, il était prévu de passer à l'offensive entre le 18 et le 21 Octobre.

Côté chinois, un groupe soutenu par l'état a été pris la main dans le sac en train d'essayer d'exfiltrer des données de chez un sous traitant (Rubin Design Bureau) ayant pour contrat de designer les SNA et SNLE de la Marine Russe (ils ont été impliqués dans 85% des projets depuis que les russes créent des sous marins).
 

Lien vers le commentaire
Partager sur d’autres sites

Les attaques sont légions à toutes les secondes sur le globe, mais certaines méritent qu'on s'y penche sur ce forum pour des raisons de sécurité nationnale. C'est celles que je me permets de vous remonter en priorité ici.

Colonial Pipeline, qui transporte 45% du carburant consommé sur la côte est des États-Unis, a annoncé samedi avoir interrompu ses opérations en raison d'une attaque par ransomware, démontrant une fois de plus à quel point l'industrie est vulnérable aux cyberattaques.

"Le 7 mai, la Colonial Pipeline Company a appris qu'elle était victime d'une attaque de cybersécurité", a déclaré la société dans un communiqué publié sur son site Internet. «Nous avons depuis déterminé que cet incident impliquait des ransomwares. En réponse, nous avons mis certains systèmes hors ligne de manière proactive pour contenir la menace, ce qui a temporairement interrompu toutes les opérations de pipeline et affecté certains de nos systèmes informatiques.

Colonial Pipeline est le plus grand pipeline de produits raffinés aux États-Unis, un système de 8 851 km (5,500 miles) impliqué dans le transport de plus de 100 millions de gallons de la ville texane de Houston au port de New York.

 

Côté procès (sur une autre affaire qui n'a rien à voir et qui est vieille) :

Quatre ressortissants d'Europe de l'Est risquent 20 ans de prison pour le chef d'Racketeer Influenced Corrupt Organization (RICO) après avoir plaidé coupable d'avoir fourni des services d'hébergement "bulletproof" entre 2008 et 2015, qui ont été utilisés par des cybercriminels pour distribuer des logiciels malveillants à des entités financières à travers les États-Unis.

Les individus : Aleksandr Grichishkin, 34 ans, et Andrei Skvortsov, 34 ans, de Russie, Aleksandr Skorodumov, 33 ans, de Lituanie et Pavel Stassi, 30 ans, d'Estonie, ont été accusés d'avoir loué leurs infrastructures bulletproof à des clients cybercriminels, qui ont utilisé l'infrastructure pour diffuser des logiciels malveillants tels que Zeus, SpyEye, Citadel et Blackhole Exploit Kit, capables d'enroler de manière malveillante les PC victimes dans un botnet et voler des informations sensibles. Le déploiement de logiciels malveillants a causé ou tenté de causer des millions de dollars de pertes aux victimes américaines, a déclaré vendredi le département américain de la Justice (DoJ) dans un communiqué.

Un service d'infrastructure bulletproof, c'est un service fourni par certaines sociétés (officielles ou non) d'hébergement qui s'appuient soit sur du Cloud (cloud public AWS, Azure, GCP ou Alibaba, mais aussi souvent privé avec ses propres serveurs physiques chez soi derrière sa box internet) qui permet à leurs clients (spammeurs, les cybercriminels, les hackers et les fournisseurs de jeux d'argent en ligne ou de pornographie illégale) une clémence considérable dans les types d'activités qu'ils peuvent entreprendre, sans être risquer de poursuite légales à la suite de plaintes et de rapports d'abus (formels). Les infrastructures privées "on premise" (physiquement derrière une box internet dans une cave) sont généralement dans des pays peu recommandables et pas très coopératifs avec la justice internationale. Alors que les services de cloud public sont souvent hébergés dans des pays de bonne confiance type US ou Europe Occidentale pour augmenter leur score de fiabilité, mais souvent cachés derrière des sociétés fantomes et techniquement bien maquillés.

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Pour changer un peu :

Le célèbre bureau d'étude russe Rubin (spécialiste des sous-marins et drones UUV) aurait récemment été la cible d'une tentative de piratage via phishing (document RTF vérolé envoyé au PDG de la société ... ).
 

liens

Mes commentaires.

  1. Aucune certitude sur l'attribution du hack, mais le malware utilisé nom de code Royal Road est souvent utilisé par des APT chinois.
    (et la backdoor Portdoor est intéressante...).
    EDIT: Et souvent, quand le hack vient des SR occidentaux,  les firmes de cyberdef occidentales ne donnent pas d'attribution (voire les passent parfois sous silence... ).
    Exception récente qui a fait scandale : https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/
     
  2. Le document de phishing est aussi notable, parce qu'il présente des informations crédibles (non confirmées) sur un UUV russe baptisé Cephalopode.
    La suite sur les fils de soum russe.
     
  3. il n'y a aucune certitude sur l'attribution, mais en terme d'espionnage et de défense, il n'y a pas d'ami, il n'y a que les intérêts nationaux qui comptent.
    Vu que la Chine et la Russie ont de fortes convergences d'intérêts (pour s'opposer aux USA), il n'y aura pas de conséquences visibles publiquement...
    (cf les reproches russes sur la version chinoise des Flanker pas vraiment licensée J-11B )

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...
Quote

Positions of Two NATO Ships Were Falsified Near Russian Black Sea Naval Base

The tracking data of two NATO warships was faked off the coast of a Russian controlled naval base in the Black Sea while the actual ships were moored 180 miles away, USNI News has learned.

The U.K. Royal Navy’s HMS Defender, a Type-45 Daring-class destroyer, and the Royal Netherlands Navy’s HNLMS Evertsen, a De Zeven Provinciën-class frigate, pulled into Odessa in Ukraine on June 18. The group had been monitored by Russian warships while exercising in the Black Sea, according to U.S. Navy photos dated on June 17.

According to an automatic identification system (AIS) signal, which transmits position details to improve maritime safety, the pair left Odessa just before midnight on June 18. The data shows that they sailed directly to Sevastopol, approaching to within two nautical miles of the harbor entrance. The strategic port houses the headquarters of Russia’s Black Sea fleet.

Despite the AIS track, there is clear evidence that the two warships did not leave Odessa. Live webcam feeds show that they did not leave Odessa, however. This was anyway the known situation in defense circles, and local media. Anyone in Odessa can see that they did not leave. The webcams are broadcast live on YouTube by Odessa Online. Screenshots archived by third party weather sites like Windy.com show the two warships present in Odessa overnight.

Positioning two NATO warships at the entrance at the entrance of a major Russian naval base would be widely seen as a provocative action, based on conflicting claims of sovereignty . Most of the international community, including the U.S, Britain and the Netherlands, do not recognize Crimea as part of Russia.

U.K. Royal Navy destroyer HMS Defender, USS Laboon and Dutch frigate HMNLS Evertsen take station for close proximity sailing as a Russian warship watches from afar (rear of picture) in the Black Sea on June 17, 2021. US Navy Photo

While the motives for the deception are unclear, the move raises questions about the efficacy of open-source intelligence data, such as AIS, which is becoming more common in both defense and by journalists. There is compelling evidence that the AIS tracks were faked. NATO representatives did not immediately respond to requests for comment and the tracks were confirmed as false by Dutch naval warfare news site Marineschepen.nl.

The AIS positions were shared with AIS aggregator MarineTraffic.com by a receiver station in Chornomorsk, close to Odessa. Other AIS aggregators also reported the false positions. HMS Defender was shown under the credentials that she is currently using, IMO 4907878. HNLMS Evertsen was reported as “Netherlands Warship,” MMSI 244942000. It is unclear how the false AIS data was introduced to the feed.

Both Defender and Evertsen are part of CSG21, the carrier strike group centered around HMS Queen Elizabeth (R08). The main body of CSG21 has remained in the Mediterranean, while the two warships temporarily deployed to the Black Sea, where they have been performing freedom of navigation missions and exercising with allies. They have visited Turkey and Ukraine and will also exercise with Romania and Georgia. They have also met with the U.S. Navy’s Arleigh Burke-class destroyer USS Laboon (DDG-58).

https://news.usni.org/2021/06/21/positions-of-two-nato-ships-were-falsified-near-russian-black-sea-naval-base

  • Merci (+1) 2
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Un acteur malveillant soupçonné d'avoir des liens avec le Pakistan a infiltré des organisations gouvernementales et énergétiques (services publics, production et transport d'électricité) d'Inde et Afghanistan pour déployer un système d'accès à distance non autorisé. L'opération aurait commencé au moins en janvier 2021.

Pour rappel, ce type de stratégie s’insère dans un cadre géopolitique visant à rendre persistant un accès dans le système d'information contrôlant un composant vital pour la nation, en l'occurrence l'accès à l'électricité pour une population.

La cyberwarfare est l'exemple type de la lutte non conventionnelle moderne : pas de mort directe, un moyen de dissuasion digne d'une bombe nucléaire, l'aspect immoral en moins.

Pour rappel, la France a, via l'ANSSI, déclaré que les attaques étatiques cyber contre ses infrastructures vitales étaient la menace n°1 identifiée pour le pays en cas de conflit important, et que depuis quelques années, la France dispose d'une doctrine offensive pour répondre à une agression (dans le cas où l'acteur serait identifié). En effet, la surface à défendre demandant des moyens humains et financiers démesurés, il est établi qu'aucun pays ne peut et pourra prétendre pouvoir se protéger de telles attaques. La réponse offensive cyber devient donc, au même titre que le nucléaire avec les SNLE et leur capacité de frappe a posteriori, un élément important du système de défense. Seul problème : cela ne fonctionne que contre les acteurs étatiques, mais pas les groupes criminels.

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 003
    Total des membres
    1 749
    Maximum en ligne
    pandateau
    Membre le plus récent
    pandateau
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...