avons-nous vraiment retenu la leçon de 20 années d'incidents en cybersécurité?

Martin Libicki est intervenu ce mardi 28 octobre 2014 à l'Ecole Militaire lors d'une soirée organisée par la Chaire CASTEX de cyberstratégie. Le titre de son intervention était « Majors Events in Cyberspace - What We Learned and What We Should Have Learned ». Pour ceux qui n'ayant pu faire le déplacement, voici quelques notes et réflexions. Ce scientifique senior de la "RAND Corporation" intervient sur des sujets liés à la cybersécurité, à la place des technologies de l'information et leur impact sur les questions de sécurité nationale. C'est une personne reconnue dans le domaine de la sécurité et notamment sur les questions liées à la cyber-dissuasion et le cyber-terrorisme.

qu’avons-nous retenu des grands incidents en sécurité ?

« Avons-nous retenu les leçons que nous devions retenir ou est-ce qu'au contraire n'avons-nous retenu que les leçons que nous étions prédisposés à apprendre ? » Cette question est un peu perturbante mais fort pertinente : c’est de cette façon que Martin Libicki nous interpelle sur l'importance de conserver notre esprit critique et de ne pas nous arrêter aux conclusions trop évidentes, ce tout particulièrement dans le contexte du cyberespace.

Afin d'appuyer son propos, Martin Libicki est revenu sur plus d'une trentaine (!) d'évènements en sécurité informatique qui couvraient les 20 dernières années. Je vous propose quelques moments choisis.

  • 1992 - Le virus « Michelangelo »

Le virus Michelangelo de 1992 nous a appris qu'un code malicieux pouvait bloquer le fonctionnement d'ordinateurs personnels. Mais avons-nous retenu que les effets escomptés par l'auteur d'un virus peuvent aller au-delà de ce qu'il voulait initialement ? (Michelangelo était conçu pour n'infecter que des machines sous le système d'exploitation DOS mais le fonctionnement de son processus d'infection a eu pour conséquence de bloquer le démarrage d'autres systèmes d'exploitation que DOS).

  • 2000 – Le virus « I Love You »

En 2000, le virus « I Love You » nous a appris que les attaques virales pouvaient être particulièrement coûteuses. Mais avons-nous retenu que le coût des attaques informatiques est souvent très largement surévalué et que ces chiffres sont trop facilement pris pour argent comptant ?

  • 2001 – Les attaques du 11 Septembre

Les attentats du 11 Septembre 2001 nous ont  appris que les attaques informatiques ne sont pas le seul moyen pour un acteur non-étatique de menacer un grand état comme les Etats-Unis. Mais avons-nous appris que pour des terroristes monter des attaques informatiques est loin d'être simple et aisé ? (pour Martin Libicki, les risques liés au cyber-terrorisme sont un peu exagérés et montés en épingle un peu trop souvent)

  • 2007 – Attaques en DDoS à l’encontre de l’Estonie

En 2007, les attaques en DDoS à l'encontre de l'Estonie nous ont appris que les Russes pouvaient bloquer d'autres pays à distance. Mais avons-nous appris que l'intérêt d'une attaque en DDoS provient aussi du fait de la publicité?L’année suivant,  en 2008, les attaques en DDoS à l'encontre de la Géorgie ont reçu beaucoup moins de publicité, une fois que les sites web soient transférés sur des infrastructures robustes (Google en l'occurence).

  • 2009 – Opération « Snooping Dragon » de la Chine

L'opération "Snooping Dragon" de 2009 nous a appris que les Chinois pénètraient dans les réseaux informatiques de leurs opposants politiques (ici le Tibet). Mais avons-nous retenu que les Chinois restent indifférents et n'ont cure que le monde sache qu’ils agissent ainsi ?

  • 2009-2010 – le ver informatique « Stuxnet »

Le ver informatique "Stuxnet" de 2009-2010 nous a appris que les systèmes informatiques étanches/déconnectés ne le sont pas vraiment. Mais avons-nous retenu que regrouper autant de vulnérabilités de type "0-day" et de les coordonner ainsi, est particulièrement difficile ?

  • 2011 – Intrusion de la société RSA

L'intrusion de la société RSA en 2011 nous a appris que les sociétés spécialisées dans la sécurité d’informations sont aussi la cible d'attaques informatiques. Mais avons-nous retenu que ces sociétés spécialisées ne doivent pas se penser intouchables/invulnérables ni pêcher par excès de confiance ?

  • 2012 – Le ver informatique « Flame »

Le ver informatique Flame de 2012 nous a appris que le ver Stuxnet se "reproduisait". Mais avons-nous appris que les créations des auteurs de codes malicieux cèdent aussi à des tendances de "surpoids" dans leurs créations (bloatware), que certains sont en mesure de casser de la crypto ?

  • 2013 – Les révélations d’Edward Snwoden

Les révélations d'Edward Snowden de 2013 nous ont appris qu'il est nécessaire de regarder et de surveiller ceux à qui l'on fait confiance. Mais nous ont-elles appris que plus le nombre de personnes ayant accès à des données sensibles augmente, plus on s'approche du  100% de probablité de voir ces données compromises ?

  •  2014 – Les failles Heardbleed et Shellshock

La faille Hearbleed (et ShellShock) de 2014 nous ont appris que le code OpenSource contient de  nombreux bugs. Mais avons-nous retenu que de découvrir des bugs c'est aussi provoquer un déluge d'attaques ?

analyser les évènements passés pour s'améliorer

J'ai pu retenir de la présentation de Martin Libicki, qu'il est important de revenir sur les incidents de sécurité passés (externes ou internes) afin de les analyser et d'en tirer des leçons. Cette analyse doit être faite avec un esprit critique et en limitant les freins psychologiques qu'une organisation peut faire peser sur les personnes (cf. le "politiquement correct" ou "toutes vérités ne sont pas bonnes à dire").

stratégie équilibrée et infrastructures vitales

Martin Libicki a bien rappelé qu'il ne faut pas chercher à tout protéger car ; même dans le cas d'une attaque réussie ; les impacts sont encore assez limités. Une stratégie de sécurité doit être équilibrée en s'appuyant sur des mesures de prévention mais aussi de détection et de réaction sur incident.

Selon Martin Libicki, si il y a un domaine pour lequel il convient de mettre le focus, ce serait celui des infrastructures dites "vitales" (par exemple la distribution d'énergie électrique). On retrouve ici la démarche Française avec la LPM (Loi de Programmation Militaire) qui met l'accent sur les OIV (Opérateurs d'Infrastructures Vitales) et la protection de leurs systèmes d’information.

Jean-François (Jeff) Audenard

PS : Les propos et idées ici présentés n’engagent que moi et ne sont que des extraits de ce qui a été présenté.

 

 

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens