Articles Tagués ‘cyberdefense’

PLAN-X : un outil de visualisation du cyberespace de bataille

Publié: 25 juillet 2016 dans C4ISR et CMI, Informatique et IA, Non classé, Réalité Virtuelle et Augmentée
Tags:, , , , , , , , , , , ,
0

 

planx3

Oui, je sais, je parle beaucoup des projets DARPA. Mais avec plus de 3 milliards de budget, il n’est pas étonnant que des projets ébouriffants voient le jour régulièrement. Celui-ci concerne la cyberdéfense, et s’appelle PLAN-X. Et il est pour l’instant doté de 125M$/an (depuis 2012).

L’idée est de disposer d’un outil permettant, en temps réel, une navigation dans le cyberespace, une visualisation interactive des données, et l’élaboration de plans graphiques d’opérations. Comme dans les meilleurs films de science-fiction, l’opérateur de PLAN-X peut visualiser les réseaux et, le cas échéant, les intrusions en temps réel.

planx1

L’outil est présenté par la DARPA comme un outil d’unification des systèmes de cyberattaque et de cyberdéfense, sous forme d’une interface facile d’utilisation pour les « hackers militaires américains » (je cite) et a vocation à fournir un partage de la situation tactique (situational awareness) du cyberespace d’opérations. Ouf.

planx4

PLAN-X permet d’explorer des réseaux visuellement, et de déclencher des plans d’opération (envoi d’une sonde, scan d’un réseau, recherche de cibles ou de vulnérabilités, etc…). L’utilisateur est littéralement « projeté » dans le cyberespace, par l’utilisation de techniques de visualisation de données immersives. Il s’agit réellement d’une extension des techniques de cartographie militaire au cyberespace : un opérateur peut ainsi donner une mission de défense d’un « périmètre virtuel clé » : serveurs, routeurs, passerelles, ou toute autre zone sensible du cyberespace. Vous trouverez ci-dessous une vidéo de présentation par le chef de projet de la DARPA Frank Pound assez longue (je vous conseille de regarder la partie démo vers 28 minutes).

Pour construire leur modèle de données, les développeurs de PLAN-X  se sont inspirés du modèle CybOX, un acronyme signifiant « Cyber Observable Expressions », disponible en suivant ce lien. Il s’agit d’un langage structuré permettant de représenter des évènements cyber-observables, par exemple la création d’une clé de registre, le trafic réseau parvenant à une adresse IP donnée, etc… Le système a été notamment développé par la société américaine MITRE. PLAN-X agrège nombre de ces techniques : ainsi des standards pour échanger des informations sur les menaces Cyber comme STIX ou TAXII, ou le langage de programmation visuelle SCRATCH permettant de construire graphiquement des plans d’action.

Le développement de PLAN-X a été confié à quelques géants comme Raytheon BBN et Northrop Grumman, mais de plus petites structures ont également été sollicitées. Ainsi, le système a été adapté à des lunettes de réalité virtuelle de type OCULUS RIFT avec l’aide de deux sociétés : Frog Design et Intific.

planx2

La démonstration permet de se projeter dans l’environnement virtuel du cyberespace en 3 dimensions, et de « tourner » autour des données (l’image ci-dessous, assez déformée, montre ce que voit l’opérateur à travers ses lunettes).

planx5

 Après avoir été testé lors des exercices CyberFLAG et CyberGUARD en juin dernier, le système est annoncé pour une mise en service opérationnelle en 2017. Le premier objectif est de permettre à la Cyber Mission Force (CMF) de conduire des opérations coordonnées dans le cyberespace, via cet outil immersif véritablement impressionnant. Un pas de plus vers un futur à la « Minority Report ».

Utiliser l’intelligence artificielle pour réagir aux cyberattaques

Publié: 26 avril 2016 dans Contre-terrorisme, Informatique et IA, Non classé
Tags:, , , , , ,
1

 

ai2

L’idée n’est pas nouvelle. Dans une ancienne vie, j’avais moi-même travaillé sur l’utilisation de réseaux de neurones et de techniques d’intelligence artificielle pour la modélisation du comportement normal d’un réseau de télécommunications, afin de détecter les écarts à la normale, pouvant signifier l’occurrence d’une intrusion. Le projet s’appelait M>Detect et avait été réalisé avec Matranet (pour les nostalgiques). Et cela fonctionnait… jusqu’au rachat de Matranet, mais ceci est une autre histoire.

Aujourd’hui, le monde entier s’enthousiasme pour l’intelligence artificielle (IA) – au passage, cet enthousiasme galopant est consécutif à la définition d’un concept marketing alliant réseaux de neurones et puissance de calcul, sous la dénomination de « deep learning ». Bref. En l’occurrence, il s’agit d’un projet du célèbre laboratoire CSAIL (Computer Science and Artificial Intelligence Laboratory) du MIT (Massachussetts Institute of Technology), qui a développé un système baptisé AI2 afin d’examiner les enregistrements (logs) d’un réseau afin d’y détecter toute anomalie pouvant être caractéristique d’une cyberattaque.

L’idée est toujours la même : permettre aux experts de réaliser un tri dans le volume gigantesque de données transitant par le réseau, sans avoir de silence (i.e. manquer une attaque).

Finalement, la technique est relativement classique : enseigner à un système la signature caractéristique de prémices d’une attaque comme par exemple une augmentation subite de connexions sur un compte utilisateurs, pouvant indiquer une attaque visant, par la force brute, à « cracker » un mot de passe.

ai3

AI2 fonctionne par apprentissage. Le premier jour, le système utilise des règles et heuristiques déterminées à l’avance, et réagit en identifiant des anomalies (les 200 anomalies les plus caractéristiques par phase d’apprentissage). Ces anomalies sont présentées à un expert ou à un groupe d’expert qui n’indique que les signatures correspondant véritablement à des attaques. Puis le système apprend, et continue à présenter les signaux aux experts, et ainsi de suite. La vidéo ci-dessous présente le concept.

Rien de nouveau sinon que AI2 semble fonctionner là où d’autres systèmes plafonnent péniblement. Sans doute de par l’impressionnante puissance de calcul disponible aujourd’hui, après 3 mois d’analyse (soit 3.6 milliards de logs réseaux analysés), AI2 identifiait 85% des signes caractéristiques d’attaques (alors qu’un simple apprentissage non supervisé n’atteint qu’un taux de succès de 8%). AI2 est le premier système à atteindre un tel niveau de performances, sans doute par l’apprentissage non supervisé de signaux caractéristiques dans les logs réseaux, et un apprentissage supervisé utilisant les retours des experts.  Au lieu d’examiner plusieurs milliers de logs par jour, une fois le système « éduqué », chaque expert ne doit plus examiner qu’entre 30 et 40 événements par jour : une tâche réalisable sans problème par un opérateur humain.

Le laboratoire a présenté un article lors du  IEEE International Conference on Big Data Security à New York. Un travail à suivre, notamment afin de déterminer si, en miroir à cette technique, il serait possible de dériver un système capable d’imaginer des stratégies de réponse, voire d’attaque.

Une visualisation du réseau anonyme TOR et de ses relais

Publié: 17 septembre 2015 dans Contre-terrorisme, Informatique et IA
Tags:, , , ,
0

Tor1

Alors que l’université d’été de la Défense a souligné l’importance du contrôle Cyber dans la défense et la sécurité, (et au passage a démontré qu’il est difficile d’assister à un tel évènement et de garder en même temps le rythme du blog – désolé pour cette parenthèse), voici OnionView, un portail web permettant de visualiser le développement du réseau TOR.

tor4

On rappelle que TOR est un réseau dont le nom est l’acronyme de « The Onion Router » ( !) car il repose sur le principe du « routage en oignon ». Conçue initialement par le Naval Research Laboratory en 1990, cette technologie permet de faire « rebondir » les échanges TCP au sein d’Internet afin de transmettre des flux de manière anonyme. On peut l’assimiler à un réseau superposé à Internet, dans lequel chaque client choisit un chemin aléatoire parmi des nœuds TOR. Chacun des nœuds n’a accès qu’à l’adresse IP du précédent et du suivant. De plus, chaque nœud repose sur une cryptographie hybride : il dispose d’une clef secrète qui lui est propre et ne connaît que son prédécesseur et son successeur au sein du chemin.

tor2

 

Je simplifie évidemment l’explication : si vous souhaitez comprendre le principe de TOR, vous pouvez aller consulter cette page.

En 2010, le réseau TOR comptait 2000 nœuds. Il en compte près de 6500 aujourd’hui. Le portail OnionView (dont vous comprenez maintenant le nom) a pour but de compter les nœuds et de suivre l’expansion du réseau. Pour mémoire, voici le « top 3 » des pays ayant le plus de « nœuds TOR » :

  • Allemagne : 1364
  • USA : 1328
  • France : 714

Le centre d’excellence de l’OTAN en cyberdéfense a néanmoins montré que l’anonymat procuré par TOR n’était pas garanti à 100% – mais que sa combinaison avec d’autres technologies (comme les VPN) pouvait améliorer significativement les performances d’un tel réseau. Se posent alors un certain nombre de questions légales et judiciaires, comme la responsabilité légale des opérateurs d’un nœud, ou la valeur juridique d’une collecte de preuves ayant transité par le réseau.

tor3

Dans le contexte de l’expansion des cyberterroristes liés à des organisations comme Daech (ou au « DarkWeb » comme SilkRoad – voir image ci-dessus), se pose néanmoins la question de la surveillance du réseau TOR, et de sa faisabilité technique et juridique. Autant de questions qui devraient intéresser la toute nouvelle réserve dédiée à la cyberdéfense. Il y a peu, le US Homeland Security Dept a essayé d’intimider une petite bibliothèque de Lebanon (New Hampshire) afin qu’elle ferme son hébergement d’un nœud TOR. Après une brève fermeture…elle a ouvert de nouveau l’accès au réseau.

Pour accéder à OnionView et visualiser l’expansion de TOR, suivez ce lien.

L’US Navy et Windows XP : payer plus pour innover moins

Publié: 26 juin 2015 dans Informatique et IA
Tags:, ,
0

The Microsoft Windows XP log-in screen is displayed on a lap

Oui, je sais bien que c’est un blog sur l’innovation technologique de défense. Mais parfois, l’innovation, ou simplement la modernité, n’est pas un luxe mais une nécessité. Alors que de nombreuses innovations proviennent des Etats-Unis, on apprend aujourd’hui que l’US Navy (pas la moindre des marines nationales) paie plus de 31 millions de $… pour conserver le support Microsoft à Windows XP.

L’US Navy – en fait le United States Navy’s Space and Naval Warfare Systems Command (SPAWAR) – a en effet demandé à maintenir ce support (et les patchs de sécurité correspondants) jusqu’en 2017. Or le support de Windows XP a officiellement pris fin chez Microsoft en 2014. Le souci : de nombreuses applications nécessitent des upgrades, des modernisations. Tant que cette phase n’est pas achevée, la Navy n’a d’autre choix que de payer. Mais ce n’est pas la seule ! 15% des PC mondiaux tourne encore sur cet OS…ainsi que la majorité des distributeurs de billets.

xp2

Une faille considérable compte tenu de la vulnérabilité du système, et de la réalité de la cybercriminalité. Si l’on revient à l’US Navy, on parle de 9 millions de $ par an, et de plus de 100 000 PC concernés. Le support concerne aussi Exchange 2003, Server 2003 et Office 2003. La directive de l’Amirauté s’appelle Windows XP Eradication Efforts. Elle peut être consultée ici.

xp3

Mais ramenons les choses dans leur contexte : 31 millions de $, c’est toujours moins que les dépenses de la marine américaine en papier toilette. Maintenant, quid de nos armées ? A l’heure où les Etats-majors déménagent à Balard (et ses bureaux rivetés – je n’oserais pas dire boulonnés – au sol), sommes-nous certains de la modernité des OS des machines utilisées par nos ingénieurs, officiers et soldats ? Et si la lutte contre la cybercriminalité et le cyberterrorisme est aujourd’hui une priorité, peut-être peut-on poser le problème en toute ingénuité.

Je ne fais que poser la question…bien sûr…

Cyber DiploHack : La Chaire Castex remporte le prix du Capacity Building

Publié: 31 mars 2015 dans Informatique et IA
Tags:, , , , ,
0

dhlogoblack

Dans la suite directe de mon précédent article,un succès français dans un concours de cyberdéfense. Le Cyber DiploHack était en effet organisé les 26 et 27 mars 2015 par le Center for Strategic and International Studies (CSIS) et l’ambassade des Pays-Bas à Washington.

L’équipe de jeunes chercheurs de la chaire, animée par Frédérick Douzet, était composée d’Alix Desforges, Enguerrand Déterville, Danilo d’Elia, Camille François, Aude Géry, Vincent Joubert, Kenza Kabir, Jean-Rémi de Maistre et Louis Pétiniaud et regroupait des étudiants de l’Institut Français de Géopolitique de l’Université Paris 8, de l’Université Paris Ouest, de l’Université de Rouen, et de l’Université Paris Dauphine.

diplohack

Rappelons que la chaire Castex de Cyberstratégie est le fruit de l’engagement de la Fondation d’entreprise Airbus Group auprès du fonds de dotation Cercle des partenaires de l’IHEDN dans le domaine de la cybersécurité et de la politique de soutien à la recherche académique. Elle reflète aussi la volonté de l’Institut des Hautes Etudes de Défense Nationale d’étendre, à travers son fonds de dotation, ses actions de recherche stratégique et d’analyse en soutien de sa mission de formation, de sensibilisation et de rayonnement.

Créé en 2010, le fonds de dotation « Cercle des partenaires de l’IHEDN » porte le développement des nouveaux axes d’action de l’Institut en direction des jeunes des quartiers les moins favorisés, dans une logique de responsabilité sociétale et de pacte citoyen. Il a notamment pour objet la création de chaires d’enseignement – recherche. La chaire Castex de Cyberstratégie est la première chaire créée par ce fonds de dotation et en janvier 2014, a été créée la Chaire Économie de défense.

Durant deux jours intenses de compétition, l’équipe de la Chaire a affronté des équipes de Georgetown University, Oxford University, Delft Institute of Technology with Leiden University, dans un exercice fondé sur le scénario d’une cyberattaque d’Etat à Etat, en concentrant les efforts sur deux aspects : la mise en place d’une cyberstratégie par l’Etat attaqué, et le renforcement de ses capacités cyber (cyber capacity building).

Trois prix étaient en jeu : Overall Award (premier prix, finalement remporté par l’Université « University of Maryland University College »), le prix spécial de Capacity Building, remporté par la Chaire Castex de cyberstratégie et le prix spécial de National Strategy, remporté par George Washington University.

Vous pourrez trouver le scénario complet de l’exercice ici,  et l’intégralité des présentations des équipes peut être visionnée ci-dessous  (intervention de la chaire Castex à 36’30) :

La tenue de cette compétition constituait le prélude de la Global Conference on Cyberspace 2015 qui se tiendra à la Haye les 16 et 17 avril.

Au Royaume-Uni, la plus grande simulation de cyberattaque vient de s’achever

Publié: 31 mars 2015 dans Contre-terrorisme, Informatique et IA
Tags:, , ,
0

cyber3

Le croiseur HMS Belfast est connu de tous les touristes qui se rendent à Londres. Amarré sur la Tamise, c’est aujourd’hui un remarquable musée flottant dont les canons pointent vers le London City Hall. Mais la semaine du 12 mars, le navire est devenu l’enjeu d’une cyberguerre, dont le but était d’empêcher le groupe cyberterroriste Flag Day Associates de prendre son contrôle – et le contrôle de ses systèmes d’armes.

HMSBelfast

Baptisé CyberSecurity Challenge Masterclass, il s’agit du plus grand exercice de Cybersécurité au monde, et le point culminant du CyberSecurity Challenge UK, une compétition durant 10 semaines afin de sensibiliser les jeunes talents au domaine, et d’identifier les futurs nouveaux professionnels de la cybersécurité et de la cyberdéfense. Le concours est sponsorisé par de grands noms tels que BT, GCHQ, National Crime Agency (NCA), Lockheed Martin, Airbus Group, PGI, C3IA ou Palo Alto Networks. L’ambition de ces acteurs est également de trouver un vivier d’embauches potentielles dans un secteur qui connait aujourd’hui une pénurie. Pour avoir une vue du challenge 2015, voir ci-dessous:

L’exercice a rassemblé 42 finalistes pendant 2 jours, et a consisté, pour les « cyberdefenders », à identifier les vulnérabilités et failles placées délibérément dans le système d’exploitation simulé des armes du navire, pour en reprendre le contrôle. Tout ceci, en traitant en parallèle d’autres attaques simulées, sur des infrastructures critiques comme des centrales électriques, ou le réseau de distribution d’eau.

Vous pouvez lire un reportage immersif de la BBC en suivant ce lien

cyber2

Le grand gagnant, Adam Tonk, a 21 ans et est étudiant à Cirencester. Le challenge a lieu tous les ans ; il serait intéressant pour les structures et industriels français de s’en inspirer, même s’il existe aujourd’hui quelques exercices analogues dans le domaine. On pourrait ainsi imaginer nos principaux industriels de défense, associés à des écoles un peu disruptives et innovantes comme l’école 42 de Xavier Niel et à des structures telles que l’ANSSI, la DGSI ou la DGSE, afin d’identifier de potentiels collaborateurs, ou tester les infrastructures existantes. Voire à jouer des exercices multinationaux connectés avec nos alliés. Une idée à creuser…

Images (c) BBC, Cyberchallenge.org

Au Salon du Livre 2015, quelques ouvrages sur l’innovation technologique de défense

Publié: 24 mars 2015 dans Aéronautique, Informatique et IA, robotique
Tags:, , , , , ,
0

salonlivre

La Défense nationale était présente lors de l’édition 2015 du Salon du Livre, et présentait quelques ouvrages dans les domaines qui nous intéressent ici. Ce ne sont pas tous des nouveautés, mais je profite de leur présence au Salon pour les signaler ici.

En premier lieu, sur le stand de l’Armée de l’Air, les drones sont les sujets de deux livres :

livre1

Les Drones Aériens, de Lionel Chauprade. Le pitch du livre : « En réalisant une photographie globale du monde des drones, secteur industriel en constante évolution, cet ouvrage établit un point de situation sur le sujet et tente en particulier de définir la plus-value réelle de ces machines, ainsi que leur complémentarité par rapport aux aéronefs habités. »

Une très riche iconographie, avec les caractéristiques et faits saillants concernant les drones aériens civiles et militaires, mais surtout un ouvrage dense et complet (historique, les drones comme systèmes de systèmes, les pays émergents, les drones civils etc…).

téléchargement (1)

Un autre bel ouvrage sur le même sujet, plutôt  orienté sur la photographie : Drones, l’aviation de demain ? par Michel Polacco aux éditions Privat.

Un livre plus grand public, mais remarquablement illustré, avec des images assez rares de drones en opérations.

L’armée de l’air était décidément en première ligne, avec plusieurs ouvrages sur les centres mythiques d’essais dont CEAM 1933-2013, Une histoire de l’armée de l’air par Louis Pena.

livre3

Ce livre raconte, à l’occasion de son 80e anniversaire, l’histoire du centre d’expériences aériennes militaires. On y trouve les différentes expérimentations dont celles concernant les avions de chasse (Mirage F1, Mirage 2000, Rafale…), mais également celles des avions de transport et de liaisons, des drones ou encore des radars. Un beau livre, un peu cher mais très riche.

L’autre tendance du stand Défense, c’est la présence d’ouvrages sur la cyberdéfense. En particulier :

livre4

Attention : Cyber ! : Vers le combat cyber-électronique par le COL Aymeric Bonnemaison et le LCL Dossé : un ouvrage très complet (malgré une couverture dont l’esthétique peut être discutable) qui propose une description synthétique du combat cyber-électronique contemporain, avec une mise en perspective historique et prospective.

livre5

Sur le même sujet, le désormais classique Cybertactique : Conduire la Guerre Numerique, par Bertrand Boyer. Un ouvrage sorti en 2014, qui considère l’arme numérique, décrit les opérations de cybertactique, et souligne que l’action numérique s’inscrit dans la continuité de spécialités déjà existantes comme la guerre électronique.

Je n’ai pas (encore) lu l’intégralité de ces livres, mais cette édition du Salon du Livre montre, s’il en était encore besoin, la réalité des deux grandes tendances de l’innovation technologique de défense : la robotique autonome et les drones, et la cyberdéfense.

 

Cybersécurité (suite) – une carte en temps réel

Publié: 22 février 2015 dans Informatique et IA
Tags:, , , ,
1

norsePour faire suite à mon post sur la cybersécurité, je me suis souvenu qu’en visitant le Microsoft Innovation Center à Issy-les-Moulineaux, un mur d’images présentait une carte du monde des cyberattaques en temps réel. Après une rapide recherche, c’est la société NORSE, pour promouvoir son service IPViking, qui a mis en ligne cette carte.  Pour être précis, il s’agit d’attaques contre un « pot de miel » (honeypot), donc un ensemble de serveurs préparés pour servir de leurres informatiques aux pirates. Mais c’est tout de même impressionnant.

Pour voir cette carte en temps réel, cliquez ici.

Le projet Manhattan de la cybersécurité

Publié: 20 février 2015 dans Informatique et IA
Tags:, , , ,
5

On est aux Etats-Unis, bien sûr. L’agence (russe) Kaspersky vient de révéler que depuis 2001, les US se sont dotés d’un « projet Manhattan » de la cybersécurité. Pourquoi ne l’ont-il pas révélé avant? Sans doute parce que ledit projet est purement… offensif.

Le travail réalisé par Kaspersky est impressionnant. Ils ont capturé, analysé, disséqué plusieurs familles de « malware », et ont montré leur lien avec un groupe de la National Security Agency, dont l’identité vient d’être révélée: the « Equation Group ». Ce groupe est actif depuis au moins 2001, et correspond à l’unité d’opérations « sur mesure » de la NSA (NSA Tailored Operations Unit). Bien que les capacités de la NSA dans le domaine soient mieux connues depuis que l’hebdomadaire allemand Der Spiegel a publié un document de 50 pages sur les outils technologiques et malwares de l’Agence, en 2013, c’est la première fois que l’Equation Group est exposé.

Et ils ne sont pas inactifs. D’après Kaspersky, ces malwares – la NSA les appelle des implants – ont été déployés discrètement. Dans la première phase, ils ont servi de « validateurs » pour cibler les portes d’entrée à des cibles potentielles. L’implant est diffusé sur le web (dans un forum par exemple), infecte discrètement la victime, et le processus de validation décide si l’ordinateur infecté possède ou non un intérêt pour la NSA. Dans le cas contraire, l’implant se désinstalle (et vous n’en saurez jamais rien).

La deuxième phase est plus intéressante: si l’ordinateur est une cible, alors le validateur déclenche le téléchargement à partir d’un site discret de la NSA d’une version plus sophistiquée. Cette version contient un « bootkit » qui  prend le contrôle du système d’exploitation de votre machine. Et les logiciels antivirus ne le trouveront jamais : il s’installe au plus profond du régistre Windows, et est bien sûr crypté. Ces outils, qui peuvent ensuite lire, écrire, transmettre ou détruire votre machine, sont de plusieurs générations plus avancés que ceux que l’on trouve aujourd’hui dans le cyberespace.

Et nous, Français, dans tout cela? Oui, la cybersécurité est une des priorités du Livre Blanc. Et oui, l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) a vu ses moyens augmenter considérablement. Certes, nous n’avons pas non plus le budget de 10 milliards de dollars annuels de la NSA. Toutefois, il conviendrait au moins de se poser la question de l’opportunité de concevoir des outils de cyberdéfense offensifs. Cela nécessitera un véritable débat doctrinal, car après tout « la dissuasion existe dès lors que l’on a de quoi blesser à mort son éventuel adversaire, qu’on y est très résolu, et que lui même en est bien convaincu. « . Ce n’est pas moi qui l’ai dit, c’est le Général de Gaulle en parlant de la dissuasion nucléaire, mais dans le conflit asymétrique qui menace aujourd’hui toutes les nations modernes dans le cyberespace, peut-on faire l’économie de cette réflexion?

(illustration : L’étage du centre opérationnel de la NSA en 2012. (c) http://bigbrowser.blog.lemonde.fr/2013/06/27/album-de-famille-lhistoire-de-la-nsa-racontee-en-photos/)