Articles Tagués ‘cybersecurité’

Tor1

Alors que l’université d’été de la Défense a souligné l’importance du contrôle Cyber dans la défense et la sécurité, (et au passage a démontré qu’il est difficile d’assister à un tel évènement et de garder en même temps le rythme du blog – désolé pour cette parenthèse), voici OnionView, un portail web permettant de visualiser le développement du réseau TOR.

tor4

On rappelle que TOR est un réseau dont le nom est l’acronyme de « The Onion Router » ( !) car il repose sur le principe du « routage en oignon ». Conçue initialement par le Naval Research Laboratory en 1990, cette technologie permet de faire « rebondir » les échanges TCP au sein d’Internet afin de transmettre des flux de manière anonyme. On peut l’assimiler à un réseau superposé à Internet, dans lequel chaque client choisit un chemin aléatoire parmi des nœuds TOR. Chacun des nœuds n’a accès qu’à l’adresse IP du précédent et du suivant. De plus, chaque nœud repose sur une cryptographie hybride : il dispose d’une clef secrète qui lui est propre et ne connaît que son prédécesseur et son successeur au sein du chemin.

tor2

 

Je simplifie évidemment l’explication : si vous souhaitez comprendre le principe de TOR, vous pouvez aller consulter cette page.

En 2010, le réseau TOR comptait 2000 nœuds. Il en compte près de 6500 aujourd’hui. Le portail OnionView (dont vous comprenez maintenant le nom) a pour but de compter les nœuds et de suivre l’expansion du réseau. Pour mémoire, voici le « top 3 » des pays ayant le plus de « nœuds TOR » :

  • Allemagne : 1364
  • USA : 1328
  • France : 714

Le centre d’excellence de l’OTAN en cyberdéfense a néanmoins montré que l’anonymat procuré par TOR n’était pas garanti à 100% – mais que sa combinaison avec d’autres technologies (comme les VPN) pouvait améliorer significativement les performances d’un tel réseau. Se posent alors un certain nombre de questions légales et judiciaires, comme la responsabilité légale des opérateurs d’un nœud, ou la valeur juridique d’une collecte de preuves ayant transité par le réseau.

tor3

Dans le contexte de l’expansion des cyberterroristes liés à des organisations comme Daech (ou au « DarkWeb » comme SilkRoad – voir image ci-dessus), se pose néanmoins la question de la surveillance du réseau TOR, et de sa faisabilité technique et juridique. Autant de questions qui devraient intéresser la toute nouvelle réserve dédiée à la cyberdéfense. Il y a peu, le US Homeland Security Dept a essayé d’intimider une petite bibliothèque de Lebanon (New Hampshire) afin qu’elle ferme son hébergement d’un nœud TOR. Après une brève fermeture…elle a ouvert de nouveau l’accès au réseau.

Pour accéder à OnionView et visualiser l’expansion de TOR, suivez ce lien.

verigame1

Cette réplique extraite du film « Wargames » de John Badham pourrait fort bien s’appliquer au studio de jeux Verigames. Verigames comme « verification games ». Un studio de jeu subventionné par… la DARPA. Explication.

L’identification de failles de sécurité dans les logiciels est un enjeu majeur, qui nécessite de vérifier formellement des dizaines de millions de lignes de code pour chaque logiciel critique.  La DARPA s’est donc posé la question de savoir comment recruter des milliers de volontaires pour l’aider. Et la solution est simple : transformer une tâche fastidieuse de cybersécurité en un jeu !

verigame2

Au travers du programme Crowd Sourced Formal Verification (CSFV), la DARPA a donc financé un portail de jeu dont chaque titre contient des énigmes. Lorsque le joueur parvient à en résoudre une pour passer au niveau supérieur, il génère – sans le savoir – des annotations et des vérifications de preuves mathématiques pour prouver l’absence de failles dans des programmes C ou JAVA. Le portail est accessible ici.

Des titres comme Stormbound ou Xylem servent donc à identifier des parties de code potentiellement dangereuses ou vulnérables, et permettent aux analystes de la DARPA de se consacrer en priorité à ces menaces, plutôt que de devoir vérifier l’intégralité du code.  Les jeux sont gratuits, mais réservés au plus de 18 ans non en raison de leur contenu, mais parce que les joueurs sont considérés comme « travailleurs volontaires ».

verigame3

Une excellente innovation en cybersécurité, qui permet d’accélérer considérablement la vérification de logiciels open source ou sur étagères, susceptibles d’être utilisés dans des systèmes gouvernementaux (c’est en tout cas l’objet de la campagne). Et un modèle dont, encore une fois, la France pourrait s’inspirer compte tenu de ses atouts à la fois en mathématiques, en termes de créativité en jeu vidéo, et par le nombre de communautés qu’elle héberge dans le domaine des loisirs numériques.

salonlivre

La Défense nationale était présente lors de l’édition 2015 du Salon du Livre, et présentait quelques ouvrages dans les domaines qui nous intéressent ici. Ce ne sont pas tous des nouveautés, mais je profite de leur présence au Salon pour les signaler ici.

En premier lieu, sur le stand de l’Armée de l’Air, les drones sont les sujets de deux livres :

livre1

Les Drones Aériens, de Lionel Chauprade. Le pitch du livre : « En réalisant une photographie globale du monde des drones, secteur industriel en constante évolution, cet ouvrage établit un point de situation sur le sujet et tente en particulier de définir la plus-value réelle de ces machines, ainsi que leur complémentarité par rapport aux aéronefs habités. »

Une très riche iconographie, avec les caractéristiques et faits saillants concernant les drones aériens civiles et militaires, mais surtout un ouvrage dense et complet (historique, les drones comme systèmes de systèmes, les pays émergents, les drones civils etc…).

téléchargement (1)

Un autre bel ouvrage sur le même sujet, plutôt  orienté sur la photographie : Drones, l’aviation de demain ? par Michel Polacco aux éditions Privat.

Un livre plus grand public, mais remarquablement illustré, avec des images assez rares de drones en opérations.

L’armée de l’air était décidément en première ligne, avec plusieurs ouvrages sur les centres mythiques d’essais dont CEAM 1933-2013, Une histoire de l’armée de l’air par Louis Pena.

livre3

Ce livre raconte, à l’occasion de son 80e anniversaire, l’histoire du centre d’expériences aériennes militaires. On y trouve les différentes expérimentations dont celles concernant les avions de chasse (Mirage F1, Mirage 2000, Rafale…), mais également celles des avions de transport et de liaisons, des drones ou encore des radars. Un beau livre, un peu cher mais très riche.

L’autre tendance du stand Défense, c’est la présence d’ouvrages sur la cyberdéfense. En particulier :

livre4

Attention : Cyber ! : Vers le combat cyber-électronique par le COL Aymeric Bonnemaison et le LCL Dossé : un ouvrage très complet (malgré une couverture dont l’esthétique peut être discutable) qui propose une description synthétique du combat cyber-électronique contemporain, avec une mise en perspective historique et prospective.

livre5

Sur le même sujet, le désormais classique Cybertactique : Conduire la Guerre Numerique, par Bertrand Boyer. Un ouvrage sorti en 2014, qui considère l’arme numérique, décrit les opérations de cybertactique, et souligne que l’action numérique s’inscrit dans la continuité de spécialités déjà existantes comme la guerre électronique.

Je n’ai pas (encore) lu l’intégralité de ces livres, mais cette édition du Salon du Livre montre, s’il en était encore besoin, la réalité des deux grandes tendances de l’innovation technologique de défense : la robotique autonome et les drones, et la cyberdéfense.

 

norsePour faire suite à mon post sur la cybersécurité, je me suis souvenu qu’en visitant le Microsoft Innovation Center à Issy-les-Moulineaux, un mur d’images présentait une carte du monde des cyberattaques en temps réel. Après une rapide recherche, c’est la société NORSE, pour promouvoir son service IPViking, qui a mis en ligne cette carte.  Pour être précis, il s’agit d’attaques contre un « pot de miel » (honeypot), donc un ensemble de serveurs préparés pour servir de leurres informatiques aux pirates. Mais c’est tout de même impressionnant.

Pour voir cette carte en temps réel, cliquez ici.