APT. Trois lettres qui font frémir les CxO, cauchemarder les actionnaires, fantasmer les vendeurs de produits de sécurité. Car le propre de l’APT, c’est précisément d’être discrète, invisible, capable de demeurer tapie des années durant telle la taupe d’un roman de John le Carré, et probablement de générer plus encore d’articles anxiogènes dans les colonnes des quotidiens en ligne. Et bien cette taupe, cette APT, Microsoft annonce sa quasi élimination, par un discret billet de blog.L’APT est sur le point de faire partie de l’histoire ancienne grâce à l’arrivée de Windows Defender Advanced Threat Protection (WDATP,aka ATP pour les intimes). ATP repose sur deux composantes. D’une part le noyau Windows 10 et ses mécanismes de défense natifs, d’autre part un service Cloud qui, en enrichissant progressivement sa base de connaissance, sera à même de signaler l’existence de menaces potentielles. Cet outil est également –est surtout- conçu pour analyser le plus rapidement possible le « qui-quoi-comment » d’une attaque réussie pour ensuite prévenir les administrateurs et ainsi parer le plus vite possible à cette attaque. Une grande partie de cet outil de détection fait appel à des moteurs d’analyse comportementale.
Attendue pour l’automne prochain, la version définitive d’ATP viendra compléter l’éventail des services de sécurité dans le nuage tels que Office 365 Advanced Threat Protection et Microsoft Advanced Threat Analytics.
Parfaits sur le papier, inexploitables sur le terrain, résume un récent rapport du Center for a New American Security sur l’usage des systèmes d’armes autonomes. C’est le New York Times qui dévoile l’affaire et, par la même occasion, remet en mémoire quelques remarquables fiascos de l’industrie de l’armement US. A commencer par le retard de livraison des chasseurs F22 frappés, en 2007, par un bug destructeur chaque fois que l’appareil franchissait la ligne de changement de date. Mentionnons également quelques jolis ratés du côté des drones : un appareil tombé entre les mains des hackers Iraniens en 2011, ou l’absence de chiffrement des flux vidéo de ces mêmes drones que les opposants Iraquiens ont su exploiter, du moins politiquement, en 2009.
Mais ce ne sont là que des détails bénins à côté de ce qui nous attend, expliquent les experts chargés du rapport. Certes, les systèmes d’armes autonomes sont capables de déterminer avec précision la nature d’une cible potentielle. Pas nécessairement de la même manière qu’un humain, mais avec une efficacité comparable. Ce qui pose problème n’est pas l’acquisition et l’identification d’un objet, mais les décisions que prend l’I.A. face à cet objet. Une décision « qui dépasse totalement la logique et l’entendement humain ». Un niveau de « pensée » tellement différent qu’il peut provoquer des engagements militaires non souhaités « capable d’entraîner des dommages collatéraux d’un niveau inacceptable » expliquent en substance les rédacteurs de l’étude. Sont soulevées également d’autres questions sur le taux de pannes de ces systèmes, des conséquences d’un mauvais fonctionnement entre le moment ou l’engin « devient fou » et se met à tirer sur tout ce qui bouge et le moment ou un opérateur humain parvient à reprendre les commandes… sans évoquer bien sûr les risques élevés d’un acte de piratage informatique. Un rapport à mi-chemin entre Robocop et Terminator… en plus inquiétant.
Tout au long de l’année 2015, sur 3930 incidents recensés, plus de 736 millions d’enregistrements ont été exposés, affirment les analystes de DatalossDB. Que nenni ! rétorquent les statisticiens de Gemalto. Ce sont très exactement 707 509 815 enregistrements qui ont encouru des risques, et les intrusions n’ont pas excédé 1673 cas officiellement déclarés (46 d’entre elles comptant plus d’un million d’enregistrements).
DatalossDB dépend de l’Open Security Foundation, organisation à but non lucratif qui chapeaute également Open Source Vulnerability Database (OSVDB), mais qui confie la publication de cette étude à l’un de ses « partenaires » commerciaux, RiskBased Security. Gemalto est une entreprise de droit privé, premier fournisseur mondial de cartes à puces. Et malgré cette notable différence et ces éventuels conflits d’intérêt, force est de reconnaître que les chiffres sont assez proches les uns des autres. La barrière des 700 millions d’enregistrements compromis a largement été dépassée.
Si l’on en croît DatalossDB, 64% des incidents seraient le fruit non pas d’accidents involontaires mais de hackings caractérisés et que dans 77% des cas, les risques de fuites auraient été provoqués par des agents extérieurs à l’entreprise. Il n’a fallu que 4 hacks majeurs en 2015 pour compromettre près de 238 millions d’enregistrements, et 46 d’entre eux (chiffre strictement identique à celui estimé par Gemalto) exposait plus d’un million d’enregistrements chacun. Il faut avouer que le piratage des serveurs de l’ U.S. Office of Personnel Management (OPM) et ses 22 millions de fiches, les 43 millions d’identités de la Korean Pharmaceutical ou les 78 millions de dossiers ayant fuité des archives d’Anthem Insurance ont fortement contribué à cette inflation.
Au hit parade des pays les plus touchés, les USA (476 millions d’enregistrements), la Turquie (50 millions), la Corée du Sud (44 millions), le Canada (45 millions), la Fédération de Russie (26 millions), le Royaume Unis (21 millions) et l’Allemagne (13 millions).
Bien qu’arrivant en dixième place dans le nombre d’incidents déclarés, la France n’apparaît pas dans le top-ten de la sinistralité en termes de volume de données compromises, révèle le rapport d’OpendatalossDB. Rappelons que, quelle que soit l’étude concernée, les analyses ne portent que sur les chiffres publiés dans la presse. Or, en notre pays de France, les divulgations d’incidents de sécurité sont réservées aux seules oreilles de l’Anssi.
San Francisco, RSA Conference. Beaucoup d’agitation autour du stand 1727 en ce premier jour de RSA Conference : Bruce Schneier, patron de Resilient System (ex Co3 Systems), annonce officiellement l’absorption de son entreprise par IBM. Resilient commercialise une plateforme de réponse sur incident et aurait été reprise pour un montant de 100 M$. Schneier explique ce désir de rapprochement en raison des efforts que les ingénieurs de Resilient ont déployé pour intégrer la plateforme au sein du SIEM de « Big Blue division sécurité ».
C’est la seconde fois qu’une entreprise pilotée par Bruce Schneier est achetée par un groupe d’envergure internationale. La précédente OPA avait été lancée par British Telecom et visait Counterpane. Un mariage plus d’argent et de raison que de véritable amour, que Schneier résume en ces termes : « It’s a sad reality in tech is that too often acquisitions don’t work out for either the acquirer or the acquiree. Deals are made in optimism, but the reality is much less rosy ». Mais le billet du père Twofish s’achève tout de même sur un panégyrique à la gloire d’IBM.
Eric Ciotti, député Républicain et Président du Conseil Départemental des Alpes Maritimes, propose, dans un amendement, que dans « le cadre d’une enquête relative à une infraction terroriste, les opérateurs de télécommunication, les fournisseurs d’accès à internet, tout fabricant d’outils de télécommunication, soient tenus de communiquer l’ensemble des informations pertinentes pour la résolution de celle-ci. La violation de cette obligation sera punie d’une amende de 2 millions maximum et de l’interdiction de la commercialisation de ces outils pendant une durée d’un an ». Un amendement à la loi sur la réforme de la procédure pénale relevé par nos confrères du Figaro.
A gauche,on est un tantinet moins gourmand puisque, fait remarquer Guillaume Champeau de Numérama, le député Yann Galut ne demande qu’un million d’Euro pour « contraindre les constructeurs de smartphones et de tablettes, Apple et Google notamment, à fournir à la justice les codes pour l’exploitation du contenu de leurs appareils ».
Etre député c’est être aguerri à une certaine intelligence politique. Aucun amendement n’est déposé sans qu’une armada de conseillers techniques ne vienne assister l’élu dans son travail. Or député ou conseillers, aucun n’aura manifestement pensé que l’installation d’un système d’écoute ou de fragilisation des systèmes de chiffrement, tant des outils de communication que des systèmes de stockage ou de traitement, pouvait être la voie ouverte à tous les risques d’espionnage tant mafieux qu’industriels ou orchestrés par des puissances étrangères. Ces amendements étant déposés en toutes connaissances de cause, on pourrait presque s’interroger sur les motivations profondes qui ont dicté la rédaction de tels amendements …
Cryptome publie le journal de Laura Poitras, la journaliste qui a littéralement ouvert les vannes des révélations Snowden. La série de notes débute le 4 novembre 2012, évoquant le désir de réaliser quelques reportages sur les fichiers antiterroristes de la CIA, la vie de Houari Boumediene ou ce qui deviendra Death of a Prisonner (2013), un film sur les conditions de détention dans le camp de Guantanamo.
Ce même journal s’achève par une remarque datée du 15 mai 2013. « I should also destroy this fucking notebook ».
Entre ces deux dates, les persécutions de la NSA, près de 40 arrestations arbitraires, des interrogatoires sans fin à chaque passage de la frontière US, et surtout, la longue préparation de la rencontre avec « Citizen Four », pour enfin pouvoir écrire cette ultime phrase : « Two weeks later I flew to Hong Kong with Glenn Greenwald to meet Edward Snowden ».