dimanche 31 mai 2009

La stratégie de Cybersécurité du Président Obama

Alors que le gouvernement français multiplie les dispositions législatives répressives reliées à l'Internet (Hadopi et Loppsi 2), l'administration Obama vient de rendre public un document directeur faisant le point sur la politique de cybersécurité qui sera mise en oeuvre au cours des prochaines années.

La conséquence la plus médiatisée de cette politique est la nomination imminente d'un "Tsar de la cybersécurité" qui sera directement rattaché à la Maison Blanche, sur le modèle du poste de "Tsar de la lutte contre la drogue" qui n'a jamais réellement réussi à se distinguer par son efficacité ou son originalité en matière de politique pénale. Cependant, outre cette annonce médiatique, le contenu du rapport mérite un examen plus approfondi.

Tout d'abord, celui-ci propose une vision assez apocalyptique des problèmes de cybersécurité, où un amalgame potentiellement dangereux est fait entre les menaces que font peser sur la sécurité nationale les attaques provenant de puissances étrangères (la Chine ou la Russie pour ne pas les nommer) et les manifestations quotidiennes d'une délinquance informatique uniquement guidée par le profit. Ce manque de distinction entre les différents types de menaces risque de brouiller encore plus les frontières entre les tâches qui relèvent du système pénal (police et justice) et celles réservées au monde beaucoup plus secret des agences de renseignement et des forces armées. Les libertés individuelles et la transparence de l'information risquent d'être les premières victimes de ce grand fatras intellectuel, même si le rapport cherche à rassurer les défenseurs de la vie privée en leur donnant de nombreux gages d'inclusion dans les débats à venir.  

L'analogie choisie pour illustrer l'importance des enjeux est également significative: on associe le besoin d'agir en ce domaine au spectre du retard technologique que les États Unis ont pensé connaître lors du lancement par l'URSS du satellite Spoutnik en 1957. Le constat de la "dépendance digitale" des États Unis s'accompagne en effet d'une exhortation à maintenir la compétitivité intellectuelle par le biais d'une revalorisation des études en sciences "dures" et en mathématiques. Le ton alarmiste du document sur les dangers qui guettent le pays et les moyens requis justifie donc des mesures extrêmement ambitieuses.

Parmi celles-ci, on peut relever la volonté d'homogénéiser le cadre législatif afin de le rendre plus cohérent et de l'adapter aux contraintes des acteurs publics et privés qui devront l'appliquer. Des campagnes de sensibilisation et de formation à la cybersécurité devraient également être mises en oeuvre et destinées principalement aux lycéens et aux étudiants. Un partage avec le monde de la recherche des données relatives aux incidents est également prévu, afin que ceux-ci puisse analyser les facteurs de vulnérabilité et concevoir des réponses innovantes.  

Des partenariats avec le secteur privé sont envisagés, et des mécanismes reposant sur des incitatifs financiers et réglementaires sont également mis de l'avant (comme des crédits d'impôt, une redéfinition de la responsabilité civile des vendeurs d'équipements et de services informatiques ou encore la mise en place de subventions et de systèmes d'indemnisation). Il est également prévu de limiter la prolifération des partenariats, afin de ne pas diluer leur potentiel.

Sur la scène internationale, le document propose l'adoption par les États Unis d'une approche visant à diffuser auprès des enceintes multilatérales des normes et des standards technologiques qui correspondent à ses exigences. Il est prévu que des alliances seront conclues avec des pays "amis" afin de veiller à la diffusion de ces normes auprès de la douzaine d'organismes internationaux disposant d'un mandat en matière de cybersécurité. Le gouvernement américain se réserve également la possibilité "d'aider" certains pays à mettre en oeuvre des moyens d'enquête et de lutte appropriés, certainement sur le modèle de ce qui avait été fait au cours des années 1980 en matière de lutte contre le trafic de drogue.   

Il est encore trop tôt pour savoir si cette quatrième stratégie de cybersécurité en l'espace d'une quinzaine d'années sera plus efficace que les précédentes, mais on doit quand même reconnaître au travers de ce document la mise en place d'objectifs ambitieux servis par une approche intégrée (parfois à l'excès) relativement bien adaptée à la nature distribuée d'Internet. On verra bien au cours des prochaines années si cette approche systémique aura plus de succès que l'approche essentiellement étatico-répressive privilégiée par la France. 

mercredi 20 mai 2009

La Chine renforce son cadre réglementaire pour lutter contre la cybercriminalité

La revue en ligne CIO.com (en anglais) signale la mise en place au cours des dernières semaines par le gouvernement chinois de mesures réglementaires plus rigoureuses destinées à lutter contre la cybercriminalité. Selon les statistiques officielles, environ 1,2 millions d'ordinateurs chinois auraient été compromis en 2008 et seraient contrôlés par les pirates dans le cadre de botnets. 

Les nouvelles mesures créeraient l'obligation pour certaines agences gouvernementales et les fournisseurs d'accès public de mettre en place des technologies de surveillance et d'élimination des logiciels malicieux qui permettent aux botnets de fonctionner. Les procédures d'attribution des noms de domaine seront également revues afin rendre plus difficile l'établissement de sites douteux favorisant la distribution de logiciels malicieux en Chine et à l'étranger. Enfin, le partage d'informations entre les autorités et les opérateurs de télécom est renforcé en cas d'incident relié à la cybercriminalité.

Dans un pays aussi centralisé que la Chine, qui déploie des ressources considérables pour surveiller et censurer les communications sur Internet sur une échelle unique au monde, ce type de mesure sonne comme un véritable aveu de faiblesse quand à la capacité des agences gouvernementales à contrôler efficacement les activités des internautes. Certains États démocratiques engagés eux-aussi dans la conception de nouvelles formes de régulations seraient bien inspirés de prendre acte de ces limites.

Mesures législatives de lutte contre la cybercriminalité: un avant-goût du projet de loi Loppsi 2

Le quotidien Le Monde publie aujourd'hui un article qui donne quelques précisions sur les nouveaux pouvoirs d'enquête qui pourraient être bientôt conférés aux policiers français dans le cadre du projet de loi Loppsi 2 (pour Loi d'orientation et de programme pour la performance de la sécurité intérieure). 

On y retrouve des mesures qui feront certainement couler beaucoup d'encre dans les mois à venir, comme la possibilité pour les services d'enquête d'installer des chevaux de Troie sur les ordinateurs des personnes surveillées afin d'accéder à l'insu de celles-ci au contenu de leurs communications ou de leurs disques durs. Ces logiciels espions, qui sont déjà utilisés fréquemment par les fraudeurs informatiques pour s'emparer des informations personnelles de leurs victimes, seraient installés pour une période de 4 mois renouvelable.

D'autres dispositions, comme la création d'un délit d'usurpation d'identité sur Internet, seront certainement accueillies de manière moins polémique. Il faut également souligner que ce projet de loi n'est pas uniquement axé sur la lutte contre la cybercriminalité, comme l'auteur de l'article le laisse entendre, mais qu'il concerne aussi plus largement la modernisation des moyens technologiques de la Police Nationale et de la Gendarmerie, avec notamment le déploiement d'un système de lecture automatisé des plaques d'immatriculations (LAPI), l'acquisition de mini-drônes ou encore l'installation d'ordinateurs embarqués à bord des véhicules de police. Le milliard d'euros ainsi prévu sur cinq ans ne concerne donc pas exclusivement la lutte contre la cybercriminalité, loin de là.

mardi 19 mai 2009

Certaines bases de données du Department of Homeland Security piratées

La plateforme informatique mise en place par le Department of Homeland Security (le ministère de l'intérieur ou de la sécurité publique américain) afin de faciliter l'échange d'informations entre les diverses agences fédérales d'application de la loi, les services de police locaux et les services internes de sécurité du secteur privé a été piratée à la fin du mois de mars de cette année, selon le magazine Federal Computer Week. Ces intrusions dans le Homeland Security Information Network ont permis aux pirates de se procurer des informations personnelles sur un petit nombre de fonctionnaires travaillant dans le domaine de la sécurité intérieure. La technique de piratage employée n'est pas spécifiée, mais l'accès se serait fait par le biais de comptes d'usagers du service dont les mots de passe auraient été compromis. 

samedi 16 mai 2009

Comment les narcos brésiliens utilisent des satellites militaires américains pour communiquer

Cet article de Wired ne traite pas à proprement parler de cybercriminalité ni de vol d'identité, mais il nous éclaire sur les logiques de co-évolution entre les nouvelles technologies et la sécurité. Dans ce vaste pays qu'est le Brésil, où les infrastructures de communication restent encore peu développées dans les régions isolées, le piratage des satellites militaires de la marine américaine est devenu une activité très répandue. 

Ces satellites qui seront remplacés d'ici la fin de l'année ont été mis en orbite dans les années 1970. Ils permettent aux militaires américains et même à la Maison Blanche d'échanger des messages cryptés avec des unités sur le terrain. Mais alors que la technologie embarquée des satellites remonte à plusieurs décennies, les avancées de l'électronique sur Terre signifient que l'équipement nécessaire pour les utiliser comme de simples antennes relais est largement disponible à très bas prix. Pour moins de 500$, les camionneurs brésiliens peuvent ainsi s'équiper et rester en contact, y compris en plein coeur de l'Amazonie. 

Outre le fait que cette utilisation "pirate" peut s'avérer problématique pour les forces armées américaines en cas de besoins accrus de bande passante (en cas de crise par exemple), elle représente également une ressource mise involontairement à la disposition d'intérêts criminels. En effet, la police brésilienne saisit fréquemment de l'équipement destiné à communiquer par le biais de ces satellites lors de perquisitions visant le crime organisé ou des camps de bûcherons clandestins qui exploitent illégalement la forêt amazonienne. Une vidéo qui illustre cet usage est disponible sur YouTube ici.



Ainsi, une technologie conçue il y a de nombreuses années et réservée alors à un usage strictement militaire a intégré de manière naturelle la panoplie des outils indispensables à tout narcotrafiquant bien organisé. Ce décalage entre des systèmes rudimentaires conçus il y a plusieurs décennies (mais toujours en fonction) et la démocratisation d'outils informatiques et technologiques extrêmement puissants pouvant être utilisés pour les pirater est ainsi à l'origine de nombreuses vulnérabilités structurelles auxquelles il est très difficile et coûteux de remédier.