Forum International de Cybersécurité 2015

Cyber Pirates (Crédits : René Le Honzec/Contrepoints.org, licence Creative Commons)

Un compte rendu détaillé du FIC 2015 par Thierry Berthier, qui y fut autant spectateur qu’intervenant en expert en matière de cybersécurité.

Par Thierry Berthier.

Cyber Pirates (Crédits : René Le Honzec/Contrepoints.org, licence Creative Commons)La septième édition du Forum International de Cybersécurité FIC 2015 a eu lieu à Lille les 20 et 21 janvier dernier. Comme on peut facilement l’imaginer, FIC 2015 avait cette année une tonalité particulière et une réelle solennité, quinze jours à peine après les attentats terroristes qui ont durement touché la France. La vague d’attaques par défacements qui a déferlé sur les sites français à la suite des attentats étaient elle aussi bien présente à l’esprit des experts réunis à Lille Grand Palais.

Toutefois, les 1300 attaques qui ont impacté plus de 22 000 sites français doivent raisonnablement être classées dans la catégorie des cyberattaques de basse intensité et ne doivent pas masquer des attaques plus complexes et bien plus dommageables qui interviennent tout au long de l’année. FIC 2015 a réuni presque 4000 visiteurs, civils, militaires, policiers, gendarmes, entrepreneurs, RSSI, et chercheurs autour des thématiques de la cybersécurité et de la cyberdéfense. Le ministre de l’Intérieur M.Bernard Cazeneuve et son homologue allemand M. Thomas de Maizière étaient réunis à l’occasion de la session inaugurale et ont prononcé des discours remarqués. L’idée forte de ce discours d’ouverture réaffirme notre entrée en guerre contre le cyberterrorisme, sujet central de cette septième édition du FIC.

Les grandes lignes du discours d’ouverture du Ministre Bernard Cazeneuve

Tout au long de son discours, le ministre de l’Intérieur a défendu une vision européenne de la lutte anti-terroriste appliquée notamment au cyberespace. Il a également insisté sur la parfaite coopération franco-allemande dans ce domaine complexe. Ce sont bien les partenariats européens qui apporteront des réponses pertinentes.

TB1

Quelques extraits du discours de Bernard Cazeneuve permettent de comprendre le positionnement du gouvernement français en matière de cyberdéfense :

« Le terrorisme frappe sans distinction de pays ni de continent. Nous sommes tous confrontés aux mêmes défis et à la même nécessité d’adapter nos réponses sécuritaires aux nouveaux usages numériques – je pense notamment à la lutte contre la propagande et le recrutement de terroristes sur Internet, qui est depuis des mois un sujet majeur de réflexion parmi les services européens de renseignement et de sécurité. Une meilleure coordination entre pays européens est un élément décisif de la réponse que nous devons apporter aux terroristes. Face à la récente progression des phénomènes de radicalisation violente et d’endoctrinement sur Internet, aboutissant au départ pour la Syrie et l’Irak de plusieurs centaines de jeunes français – et au départ, plus généralement, de nombreux jeunes Européens –, le Gouvernement a soumis au Parlement, qui les a adoptées dans la loi dite de programmation militaire du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, des mesures visant spécifiquement la diffusion de contenus illicites sur Internet – notamment des contenus de propagande terroriste et d’apologie du meurtre de masse ou de l’assassinat tels que ceux de notre compatriote Hervé Gourdel ou de l’Américain Peter Kassig. »

Le ministre a souligné le défi principal de garantir la sécurité sur le cyberespace tout en préservant les libertés individuelles :

« Nous devons tout faire pour que le cyberespace soit avant tout un lieu où l’exercice des libertés fondamentales et la protection de la vie privée soient garantis. Garantir la sécurité sur Internet n’est en effet rien d’autre qu’étendre aux territoires numériques – au cyberespace – la protection que nous devons à nos concitoyens. De même, le droit de vivre de son travail, c’est-à-dire d’innover et de développer une activité économique – ce qui de plus en plus implique une dimension numérique –, doit être garanti. Une telle responsabilité engage la Nation tout entière. »

Il a ensuite évoqué le rôle stratégique des réseaux sociaux dans la projection des conflits sur le cyberespace :

« Comme je vous le disais, les groupes terroristes qui nous ciblent sont extrêmement actifs sur les réseaux sociaux tels Facebook, Twitter et Youtube, tout en maintenant des canaux de transmissions plus traditionnels comme les forums djihadistes. Il apparaît nettement que les groupes islamistes radicaux les plus structurés (notamment Al-Qaida et Daesh) voient en Internet une tribune et un excellent vecteur de recrutement. À cet égard, entre 2013 et 2014, le nombre de signalements parvenus au ministère de l’Intérieur par le biais de la plateforme Pharos, créée à cet effet au sein de la Direction centrale de la Police judiciaire, a été multiplié par trois. Le fait que la grande majorité de ces signalements concerne des contenus détectés sur des réseaux américains, ne diminue en rien l’impact de ces actes de propagande sur nos ressortissants ou sur les étrangers résidant habituellement dans notre pays. Les attentats auxquels nous avons dû faire face il y a une dizaine de jours, nous ont eux aussi démontré, si besoin était, que toute crise majeure – notamment terroriste – comporte désormais une forte dimension de cybersécurité. Ils ont ainsi confirmé la nécessité pour le ministère de l’Intérieur de se préparer à affronter les nouvelles menaces numériques en se dotant des outils et des ressources appropriés.

Les réseaux sociaux servant de vecteur de communication aux terroristes, les supports numériques découverts ont été et sont encore exploités et analysés – entre autres par la sous-direction de la police judiciaire à la lutte contre la cybercriminalité – dans les délais très brefs imposés par la gravité et l’urgence de la situation. Il a fallu ensuite faire face aux cyber-attaques malveillantes, prenant en la circonstance l’aspect d’un phénomène de masse inédit, modifiant les pages d’accueil ou exploitant les fragilités de milliers de sites institutionnels et privés. Plus de 1 300 attaques ont en effet été revendiquées par des équipes de hackers se revendiquant d’organisations islamistes ou saisissant l’opportunité de démontrer leur capacité malfaisante. Nous avons donc dû organiser très rapidement une réponse judiciaire commune que la sous-direction à la lutte contre la cybercriminalité a pilotée. Le réseau des investigateurs spécialisés en cybercriminalité de la police et de la gendarmerie nationales a également été mobilisé. »

Bernard Cazeneuve a confirmé l’enregistrement sur la plateforme Pharos de 25 000 signalements de contenus illicites sur Internet :

« La plateforme Pharos, elle-même mise à mal, a, durant la crise, traité en quelques jours plus de 25 000 signalements de contenus illicites sur Internet ; depuis les attentats, elle continue de veiller toujours aussi activement, grâce à la détermination sans faille des opérateurs policiers et gendarmes. Enfin, une veille sur les réseaux sociaux a également été mise en place, exploitant, dans un tel contexte de crise, les contacts privilégiés noués avec les sociétés de service de l’Internet, plus particulièrement avec Twitter, Facebook, Google et Dailymotion. Un traitement particulier et en urgence a ainsi pu être accordé aux demandes de retrait des vidéos mises en ligne liées aux attaques terroristes. De manière complémentaire, les demandes de gel des données techniques liées aux demandes de retrait des vidéos ont été traitées 24H sur 24H pour le compte de l’ensemble des services de la police et de la gendarmerie nationale. »

Le ministre de l’Intérieur a achevé son discours sur l’effort et les moyens déployés dans la lutte contre la cybercriminalité :

« Enfin, le type de menace classique dont nous devons tenir compte vise les particuliers, particulièrement vulnérables aux escroqueries en tous genres, qui s’accompagnent parfois de chantage sous forme numérique. Ainsi, les escroqueries représentent actuellement 80% des plaintes cyber traitées par les services de police et de gendarmerie. En 2013, l’usage frauduleux de cartes bancaires dans les transactions sur Internet s’élevait à 155 millions d’euros. Les paiements à distance ne représentent que 11% de la valeur des transactions nationales par carte bancaire, mais comptent pour 65% du montant de la fraude. Quant aux différentes formes de chantage sur Internet, on observe malheureusement le développement de plusieurs pratiques telles que le chantage suite à des vols massifs de données internes ou de clients d’entreprise, le chantage à la webcam (sextorsion), ou encore le chantage via l’utilisation de « rançongiciels ». Là aussi, nous devons tout faire pour protéger nos concitoyens de telles menaces, qui violent par ailleurs leur intimité, ou ciblent leurs activités professionnelles. »

Le discours inaugural de Bernard Cazeneuve fournissait ainsi une feuille de route définissant les grands axes en matière de cyberdéfense et de cybersécurité. Ces axes doivent désormais mobiliser les énergies pour mieux :

  • Développer des outils statistiques et analytiques apportant une vision claire des cybermenaces,
  • Renforcer les capacités d’analyse et les capacités opérationnelles, en particulier, la mise en place de veille sur les réseaux sociaux et l’augmentation des compétences et des capacités cyber au sein des sections de recherche de la gendarmerie,
  • Développer les initiatives de sensibilisation et de prévention des risques auprès des entreprises et administrations en s’appuyant sur les compétences de la DGSI pour les entreprises stratégiques et sur celles de la Gendarmerie pour les PME-PMI,
  • Renforcer la coopération internationale,
  • Renforcer la sécurité des ministères,
  • Développer la R&D en associant les laboratoires de recherche universitaires aux filières industrielles françaises et européennes du domaine cybersécurité.

Ces objectifs seront suivis de près par le nouveau « Cyber-Préfet », Jean-Yves Latournerie nommé en décembre 2014 à ce poste stratégique.

Communauté cyber et faits marquants du FIC 2015

1- Le marché de la cybersécurité

Axelle Lemaire, secrétaire d’État au Numérique a fort logiquement orienté son discours sur le marché de la cybersécurité et sur l’opportunité de la demande en termes de création d’innovation et de richesse. Sa première phrase donne la tonalité générale de son intervention : « J’espère que les cerveaux chauffent, les réseaux aussi et que les contrats se signent !.. ». Selon Axelle Lemaire, la cybersécurité ne doit pas être envisagée par l’entreprise comme un frein à son développement ou comme un élément anxiogène mais plutôt comme un facteur d’apport en qualité et en confiance. La confiance numérique passe avant tout par la sécurité numérique. L’innovation se construit sur un socle de confiance et a besoin de sécurité pour diffuser de manière pertinente. La cybersécurité est donc une composante à part entière de la transition numérique.

La secrétaire d’État a ensuite rappelé la mesure prévue par la Loi de Programmation Militaire (LPM) qui impose aux opérateurs d’importance vitale (OIV) de notifier aux autorités les failles de sécurité détectées. Le décret d’application devrait intervenir très rapidement. Il s’agit d’un point absolument stratégique dans la construction d’une cyberdéfense résiliente.

Axelle Lemaire a ensuite remis les 17 premiers labels France du plan de Redressement Industriel. Le label France est une sorte d’AOC pour le secteur industriel de cybersécurité. Construit sur un cahier des charges très précis, ce label impose en particulier que les solutions de cybersécurité soient développées et maintenues sur le territoire national (cf. livre blanc de l’AFDEL, éditeurs de logiciels).

TB2

Le secteur industriel français de la cybersécurité pèse aujourd’hui 13 milliards d’euros et devrait continuer sa progression dans les prochaines années. La demande est importante et elle favorise naturellement l’innovation technologique sous toutes ses formes. La lutte contre les cyber-escroqueries doit donner lieu à une offre claire et visible, accessible aux PME-PMI comme au citoyen consommateur.

2- L’avantage à l’attaquant

Il existe un assez large consensus pour affirmer que l’avantage demeure du côté de l’attaquant face au défenseur du système numérique. Il est en effet beaucoup plus difficile de défendre efficacement que de construire une attaque pertinente. Ce déséquilibre systémique est d’ailleurs renforcé par la complexité croissante des dernières APT référencées (Attaque Persistante Avancée). Les pessimistes n’hésitent pas à affirmer qu’il n’existe que deux catégories d’entreprises : celles qui ont été attaquées et celles qui ont été attaquées mais qui ne le savent pas encore. Les associations de RSSI (comme le Cesin qui regroupe plus de 200 RSSI) militent pour un renforcement des défenses tout en se préparant aux attaques massives par un entraînement régulier à la gestion de crise.

L’empilement des solutions de sécurité installées dans les systèmes d’information des entreprises depuis des années sera tôt ou tard mis en défaut par une attaque plus pertinente que les précédentes. Ce même empilement finit par créer de la complexité et de la fragilité au sein du système. Dans le même temps, la fréquence et le niveau des attaques augmentent. Les phases d’ingénierie sociale sont de plus en plus complexes. Elles s’inscrivent parfois dans la durée pour créer la confiance auprès des cibles puis déployer des agents logiciels furtifs destinés à la collecte de données.

3- Le coût des cyberattaques…

La question de l’estimation du coût d’une cyberattaque a été traitée par plusieurs experts présents au FIC 2015. Quelles sont les conséquences économiques de l’attaque subie par Sony Pictures ?

Pour répondre à cette question, il faut tenir bien entendu compte des coûts directs de l’attaque mais aussi des coûts liés à la dégradation de l’image de l’entreprise… L’évaluation est donc un problème difficile. Un simple défacement de site web doit être classé dans la catégorie des attaques de basse intensité à faible niveau de technicité. Pour autant, les conséquences d’un défacement de bas niveau peuvent être très importantes en termes d’image de marque. C’est le niveau de confiance du client après attaque qui doit être mesuré et qui conditionne le coût global de l’agression numérique.

La société MacAfee a publié une étude très complète sur le sujet qui évalue à 350 milliards d’euros par an le coût global des attaques. Le coût réel immédiat d’une cyberattaque est souvent inversement proportionnel à sa visibilité. Certaines APT furtives s’inscrivent dans un temps long qui conduit à la collecte de données à haute valeur. Ces APT n’ont, par définition, aucune visibilité mais induisent parfois de lourdes pertes pour l’entreprise ciblée.

4- Les acteurs industriels du marché « cybersécurité »

L’offre des solutions de sécurité se porte bien. En témoigne le nombre des sociétés de sécurité présentes dans les stands du Grand Palais. De la micro-startup hyperactive spécialisée dans un produit innovant « de niche » aux classiques géants Thales, Airbus, Sogeti, Atos… tous affichaient des offres intéressantes souvent construites sur les mêmes approches.

J’ai eu le plaisir de discuter longuement avec des responsables de l’offre cybersécurité du groupe IBM. Leader des solutions Big Data, IBM développe une approche Big data de la sécurité avec des protocoles de collecte et d’analyse des signaux faibles d’incidents. Le sixième V du Big Data, celui de la Véracité d’une donnée fait l’objet de développements spécifiques orientés vers la détection de fraudes. L’analyse fine de données voisines au sens d’une métrique propre permet de détecter des doublons de comptes (plusieurs comptes pour un seul individu) et d’apporter une réponse pertinente à la fraude. Ces échanges avec le stand d’IBM ont confirmé l’intérêt du développement d’outils algorithmiques mesurant la similarité entre différents jeux de données. Ces outils dérivent souvent de la théorie algorithmique de l’information et de la complexité de Kolmogorov.

J’ai poursuivi mes visites sur les stands de Thales, d’Orange, de Sogeti, d’Atos, et d’Airbus Group pour constater le dynamisme des approches et pour mesurer le spectre des solutions de cybersécurité disponibles. On pouvait observer des outils de veilles actives construites sur une infrastructure Big Data, mais aussi des solutions de rétro ingénierie des exécutables, effectives jusqu’à la plus petite échelle du code. J’avoue avoir été particulièrement impressionné par la convergence des efforts et par la puissance des solutions mises en démonstration.

5- Les acteurs étatiques de la sécurité numérique

En pole position sur les stands du FIC 2015, les grands acteurs de la cybersécurité avaient déployé des moyens importants pour afficher leur détermination dans la sécurisation du cyberespace. Le stand du ministère de la Défense proposait des démonstrations ouvertes au public sur la gestion du volet cyber d’une crise. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANNSI) et son président Guillaume Poupard ont donné plusieurs interviews et conférences, insistant sur le rôle central de l’Agence en matière de lutte contre les cybermenaces.

TB3

Les stands de la Gendarmerie Nationale et la Police proposaient des démonstrations de solutions logicielles capables de géolocaliser un lieu à partir d’une simple photo de paysage sans autre indication. Impressionné par l’outil, j’imagine que l’architecture algorithmique sous-jacente s’appuie sur des bases de données cartographiques comme GoogleEarth, StreetView, et GoogleMaps pour construire une mesure de similarité permettant de relier la photo à une photo « la plus proche au sens de cette mesure » extraite de la base. Je pense aussitôt aux difficultés rencontrées par les développeurs de cette application en termes de reconnaissance d’images et de gestion des similarités d’information et je suis à nouveau… impressionné ! Ma visite se poursuit sur les stands de la Réserve Cyber Citoyenne RCC, du Pôle Cyber des Écoles Saint-Cyr et de la Chaire de Cybersécurité & Cyberdéfense Saint-Cyr – Thales – Sogeti.

TB4

6- Le remise du prix du livre Cyber 2015

Le mardi 20 janvier, le comité de sélection du prix du livre cyber de l’année a rendu public son classement et a choisi de récompenser :

1- Olivier Kempf, chercheur IRIS, pour deux de ses ouvrages consacrés à la cyberstratégie :
Cyberstratégie : Alliances et mésalliances dans le cyberespace publié chez Economica
et Penser les réseaux. Une approche stratégique, ouvrage collectif dirigé par Olivier Kempf, parrainé par EchoRadar, avec la contribution d’Eric Hazane, publié aux éditions L’harmattan.
On notera que les ouvrages de Yannick Harrel Cyberstratégies économiques et financières 2ème édition et Cyberdéfense : quel territoire ? Quel droit ? (à titre collectif) étaient eux aussi sélectionnés pour le prix cyber.

2- La revue Hérodote pour Cyberespace : Enjeux géopolitiques, ouvrage collectif sous la direction de Frédérick Douzet, titulaire de la chaire CASTEX de cyberstratégie.

J’ai le privilège et l’honneur de connaître les auteurs récompensés et suis particulièrement fier de mener certaines de mes recherches en binôme avec Olivier Kempf, co-fondateur du site EchoRadar. Bravo Frédérick, Olivier, Yannick et Éric !

7- La conférence du cryptologue américain Bruce Schneier

La conférence FIC 2015 qu’il ne fallait pas manquer était celle de Bruce Schneier, célèbre cryptologue américain à l’origine d’algorithmes de cryptographie particulièrement robustes (Blowfish, Twofish, MacGuffin, Yarrow, Fortuna, Skein et d’autres moins connus). Bruce Schneier a d’abord confirmé que l’attaquant est souvent en avance par rapport aux systèmes de sécurité qu’il cherche à déjouer. Les cybercriminels progressent selon lui sur tous les fronts et le hacking politique s’intensifie. La détection et la protection sont globalement en retard et souffrent du manque de résilience des installations. Chaque incident étant unique, c’est du côté de l’adaptabilité et de l’antifragilité des systèmes qu’il faut chercher des réponses aux problèmes de sécurité. Le cryptologue a ensuite insisté sur la nécessité de mettre en place au sein des systèmes de défense des boucles OODA (Observe, Orient, Decide, Act) issues des protocoles de l’armée de l’air US. Il faut alors travailler sur la vitesse de diffusion de l’information au sein de ces boucles OODA pour espérer limiter la portée d’une cyberattaque. Bruce Schneier a terminé sa conférence en souhaitant plus de souplesse et de liberté d’action au sein des services qui assurent la gestion des attaques.

TB5

8- Le Challenge Ethical Hacking CDAISI FIC 2015

Une visite sur l’espace réservé au Challenge Ethical Hacking FIC 2015 démontrait la vitalité des étudiants de l’EPITA et de la Licence Professionnelle Cyber défense, anti intrusion des systèmes d’information (CDAISI) de l’Université de Valenciennes. Les épreuves étaient réalisées cette année par les étudiants de l’IUT de Maubeuge. Les participants ont planché sur une série d’épreuves passionnantes couvrant les domaines variés : réseau, programmation, cryptographie, stéganographie, l’analyse de fichiers audio, l’analyse d’une image, l’analyse d’une capture réseau, la XOR dans tous ses états, la recherche de mot de passe… Le sujet complet et sa correction sont téléchargeables sur Zataz.

Mon intervention au FIC 2015

J‘ai eu le plaisir et l’honneur d’être invité à participer à la Table Ronde FIC 2015 « Threat Intelligence : quels outils et méthodes » (conférence du mercredi 21 janvier, 11h30-12h30). Le sujet de cette table ronde figurait dans le programme officiel sous la forme suivante : Pour compléter les systèmes de protection, les dispositifs de « cyber threat intelligence » sont désormais incontournables. Grâce à une veille à large spectre et à une analyse permanente de l’environnement de l’organisation, ils permettent en théorie de capter des signaux faibles et d’anticiper les menaces. Quelle est la réalité de ces dispositifs ? Ont-ils fait leurs preuves ? Quels sont les technologies, outils et services disponibles sur le marché ?

Participaient à la Table Ronde : Valéry Marchive (dirigeant le débat de la TR), Journaliste LeMagIT.fr/TechTarget, Charles Rami, Responsable Technique de Proofpoint, Thierry Berthier, Chercheur au sein de la chaire de cyberdéfense & cybersécurité de Saint Cyr, William Dupuy, Chef du Centre d’analyse de lutte informatique défense (CALID), Thibaut Signat, SE Manager Southern Europe de FireEye, David Bizeul, CSIRT de Airbus Defence and Space.

J’ai concentré mon intervention sur la possibilité de construire des prévisions de cyberattaques efficaces (qui ne sont pas des prévisions rétrospectives) lorsque l’on se restreint au contexte du hacking d’influence. Nous avons publié un article en binôme avec Olivier Kempf sur cette nouvelle approche de la cyberdéfense, orientée vers la prévision (article publié aux actes de la conférence C&ESAR – DGA 2014 et communication effectuée à cette même conférence en novembre 2014 à Rennes). La construction d’infrastructures prédictives s’appuyant sur des approches Big Data devient possible aujourd’hui en se limitant au sous-groupe des attaques produisant des revendications et de la donnée. L’analyse sémantique couplée à l’analyse humaine permettent de construire des ensembles de cibles et des temporalités. J’ai également insisté sur la nécessité d’étudier en profondeur la phase pré-attaque d’ingénierie sociale qui se complexifie à mesure que la sécurité augmente dans les infrastructures numériques. Pour dire les choses simplement, les consommateurs du numérique deviennent méfiants et tombent moins souvent dans le piège grossier. Les cellules de hacking l’ont parfaitement compris et ont adapté leurs phases d’ingénierie sociale dans le temps et dans l’espace. L’enjeu pour l’attaquant est de créer de toute pièce une confiance qui va permettre de construire son attaque (diffusion de malwares, trojan, keylogger, cryptolocker, ransomware…). La construction d’une confiance chez la cible s’affirme désormais comme une étape stratégique dans l’architecture d’attaque. Il convient donc d’étudier les structures fictives construites pour susciter la confiance et tromper la cible. Les approches des autres intervenants de la table ronde « Threat intelligence » se sont révélées très complémentaires des recherches que je mène actuellement…


Sur le web

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.