janvier 28th, 2013

Chaque année, au Grand Palais de Lille, la gendarmerie nationale et la région Nord Pas de Calais organisent le forum international sur la cybersécurité (FIC). L’édition 2013 se déroulera les 28 et 29 janvier prochain.

Manifestation hybride et mouvante que cette rencontre des différents corps de cyberpolice. En l’espace de 5 ans, les forces régaliennes sont passées de la lutte contre le « méchant pirate auteur de virus et casseur d’ordinateur » au métier de cyber-défenseur (cyber-combattant également) chargé de bloquer les assauts d’activistes politiques, d’extrémistes confessionnels, voir d’autres forces régaliennes. Le FIC 2013 sera avant tout le FIC de la « digestion du phénomène Stuxnet » et des intrusions dans les réseaux Scada, de l’adaptation des moyens face aux menaces d’autres Etats-Nations, sans pour autant négliger la pression grandissante des activités mafieuses internationales traditionnelles. Car en matière de risques informatiques, les dangers ne se remplacent pas en fonction de leurs natures, ils s’additionnent.

Ce FIC 2013 est également celui d’un franchissement d’étape, celui du passage de la cyber-sécurité nationale du stade « plus tout à fait adolescent » à celui du « pas franchement adulte ». D’un côté, une Agence Nationale de la Sécurité des systèmes d’information (Anssi) de plus en plus structurée et puissante, de l’autre l’amorce d’une prise de conscience des politiques face aux cybermenaces. Avec le rapport Bockel notamment, mais également la création du pôle « cloud à la française » constitué d’un Numergy et d’un CloudWatt financièrement supportés par l’Etat et censés nous protéger des affres d’un Patriot Act qui siffle sur nos têtes. La France recentre ses activités informatiques industrielles et renforce ses cyberdéfenses. Mais, contrairement à la quasi-totalité des autres pays membres de la Communauté Européenne, cette même France hésite encore à s’intéresser à la protection informatique de ses citoyens. Toujours pas de Cert grand public et encore trop peu d’effectifs dans les services cyberspécialisés de la Police et de la Gendarmerie pour assurer la sécurité des foyers.

Mais ni Paris, ni les premiers firewalls ne se sont faits en un jour. Les priorités de la cyberdéfense, en ce début 2013, sont clairement institutionnelles si l’on en juge par le programme des conférences de ces deux journées : quelle politique de sécurité en Entreprise, comment protéger les infrastructures Scada, peut-on sécuriser les « informatiques territoriales » des communes, peut-il exister un Cloud souverain et protégé, quelles limites doit-on fixer à la rapide invasion des réseaux sociaux dans l’entreprise, que faut-il craindre de l’activisme et de l’hacktivisme, les APT font-elles encore peur… autant de questions, autant de débats qui se dérouleront durant ces deux journées. Notons au passage que ces journées du FIC 2013 seront l’occasion pour le Clusif de présenter publiquement les résultats de son enquête annuelle sur le panorama de la cybercriminalité.

Le ZDI (Zero Day Initiative) vient de publier les nouvelles modalités de participation à son prochain concours «P0wn20wn » qui a traditionnellement lieu début mars à l’occasion de la conférence de sécurité Canadienne CanSecWest.

Parmi les changements notables, trois points importants. En premier lieu, une très forte augmentation des primes offertes aux gagnants des concours, puisque la dotation totale dépasse le demi-million de dollar (US). En second lieu, le concours s’ouvre aux exploits satellites avec la création d’une section « plug-in pour I.E.9 sous Windows 7 » constituée de trois catégories : ◦Adobe Reader XI, Adobe Flash et Java.

Mais le point qui risque fortement de faire grincer quelques dents peut se lire en fin de communiqué : « les participants fourniront à HP-ZDI un exploit fonctionnel et tous les détails de la vulnérabilité exploitée durant l’attaque. Si de multiples vulnérabilités ont été mises en jeu pour permettre une exécution de programme, les détails sur l’ensemble des vulnérabilités en question (corruption mémoire, fuite d’information, augmentation de privilèges etc.) ainsi que l’ordre dans lequel elles sont été utilisées devront être fournis pour recevoir le montant de la récompense »

On se rappelle le coup d’éclat de l’an passé provoqué par l’un des gagnants, le Français Vupen, qui avait refusé de révéler les secrets de cuisine qui lui avait permis de remporter l’épreuve. Pour Vupen, le montant de la prime est en deçà de ce que l’on peut attendre de la commercialisation de l’exploit fourni dans le cadre d’un logiciel de test de pénétration. En quelques années, les revendications des chercheurs en sécurité sont passées du « no more free bugs » au « non au CDD sous-payé de la recherche de faille »

A l’occasion du Forum International sur la Cybercriminalité– FIC 2013, la Revue trimestrielle de la Gendarmerie Nationale consacre son numéro de début d’année sur le thème de la cybersécurité.

Cloud, bigdata, infrastructures mobiles… vous en rêviez ? et bien tentez de protéger maintenant, explique en substance le tout dernier rapport de l’Enisa, European Network and Information Security Agency. Cette institution Européenne publie chaque année un état des lieux sur la sécurité des systèmes d’information au sein de la Communauté, rapport qui compte cette année 96 pages denses et truffées de chiffres. Et s’il ne fallait qu’une seule page pour résumer la situation ? La troisième, qui clôt l’Executive Summary : la majorité des menaces est en constante évolution à l’exception d’une seule, le spam, qui chute depuis bientôt 3 ans. Les « Drive By Exploits », la compromission d’informations confidentielles, les attaques ciblées, le vol d’identité, les fuites d’information se portent bien dans pratiquement tous les secteurs : informatique mobile, infrastructures critiques, Cloud, Bigdata… et surtout réseaux sociaux. « Surveillez, et surtout collectez vous-même vos propres statistiques de vulnérabilités, établissez un tableau de bord ayant du sens » demande l’Enisa. Et de continuer en suggérant d’établir des « silos d’informations » segmentés et isolés les uns des autres, technique qui ne diminuera pas le nombre d’attaques mais qui limitera les risques en cas de sinistre.