Un imprévu fécond

Retenu à Mulhouse suite à un incident d’avion, Jean-Marie Bockel, auteur du Rapport d’information sur la "cyberdéfense"  réalisé pour la Commission des affaires étrangères, de la défense et des armées, n’a pu intervenir dans le débat. La réunion s’est toutefois tenue animée par les membres présents et leurs invités.

Un constat partagé par tous d’abord : la France part de loin dans le domaine de la cyberdéfense en termes de moyens financiers et humains. Loin des Etats-Unis mais aussi de la Grande Bretagne ou de l’Allemagne. Ce Rapport a de ce fait et malgré ses faiblesses selon Pierre, le mérite de marquer une prise de conscience du politique. Prise de conscience qui s’est traduit notamment, selon Emmanuel, stratégiste, par la création d’une chaire de cyberdéfense à l'initiative des écoles militaires de Saint-Cyr Coëtquidan, en phase avec deux partenaires industriels, Sogeti (filiale de Capgemini, NDLR) et Thales.

Pour d’autres, le Rapport ne va pas assez loin. Alors que Jean-Marie Bockel pointe par exemple du doigt la "menace" chinoise, Bertrand, hacker et cyberactiviste, et Michel Ferrand, avocat, déplorent, quant à eux, la trop grande dépendance envers la technologie américaine y compris dans le domaine – oh ! Combien stratégique - de la défense. Et Michel Ferrand de citer le cas de la frégate Aquitaine, tête de série des frégates européennes multi-missions (FREMM), dont toute l’exploitation, sauf l’armement, est basée sur Windows XP de Microsoft !

Quelques pistes d’amélioration ont été explorées. Bertrand suggère par exemple d’inclure les hackers, comme le font notamment les Allemands et les Américains, dans une démarche citoyenne de cyberdéfense afin de répondre aux besoins criants en moyens humains. Mais aussi d’utiliser,  en particulier dans les domaines hautement stratégiques, des technologies françaises. Michel Ferrand pour sa part met en garde contre les risques d’insécurité qui peuvent être induits par l’asymétrie technologique. Et de citer le cas du Hezbollah libanais. Peu confiant dans la sécurité des communications transitant par les opérateurs officiels libanais, il a, dans le plus grand secret, construit un système de communication filaire parallèle. Lorsque la guerre éclate, en 2006 entre le Hezbollah et les Israéliens, ces derniers réalisent qu’ils étaient "sourds" et "aveugles". Ne pouvant entendre les communications, ils étaient dans l’incapacité de briser la chaîne de commandement et de localiser les forces adverses.

"Think Outside the Box" (penser de façon non conventionnelle) a été, me semble-t-il, le mot d’ordre de ce moment d’intelligence collective. Et vous qui étiez présents, qu’en pensez-vous ?

Share

Commentaires

@ tous : merci chers amis d'enrichir le débat et de continuer, sur la toile, à " Thinking ouside the Box " !
Amitié

Les hackers ont tendance à s'identifier comme la résistance du 21 siècle face aux États qui détiennent le monopole de la violence légitime.

L'histoire parle pour eux : SOPA, PIPA, ACTA, EDVIGE et ses cousines, NDAA, INDECT, Protect IP Act etc. etc.

Sans compter sur le comportement prédateur de certain État... que les Hackers savent de mieux en mieux utiliser à la manière de l'Aïkido.

La vigilance n'est pas une forme de paranoïa.

Tu es encore bien vert pour un retraité, ta sagesse est grande mais je ne pense pas que tu ais réussi, pour l'instant, à prendre le train de la loi de Moore sur les questions informationnelles. ;)

J'attire ton attention sur ce doc qui est dans la droite ligne de tout les autres links:

http://www.youtube.com/watch?feature=player_embedded&v=LnozJMdXO3w

Film documentaire de Robert Kane Pappas, 2005. Etat des lieux sans concession du système médiatique américain par des journalistes de renom, des professeurs d'université, un membre du Congrès, l'ancien procureur de Los Angeles,des producteurs de TV ( 60 minutes )

Le montage fait très ex union soviétique, tu ne devrai pas être trop dépaysé.

@mities

Sky.

Merci pour ce compte-rendu et ces commentaires. Je n'étais pas présent mais ai eu la chance d'échanger auparavant avec le patron de l'ANSSI ainsi que M. Bockel sur ces sujets.

Pour ma part, voici quelques éléments :
- le rapport Bockel a le mérite d'exister, et même si il ne dit pas tout, va probablement aider dans la prise de conscience collective que tout n'est pas si rose au pays d'Internet. Tant mieux.

- l'ANSSI, j'ai l'impression, est en train de tenter une copie à échelle réduite de la NSA (il faut voir la liste des postes ouverts au recrutement pour avoir une idée des métiers). Bonne chose pour l’État, mais il y a deux erreurs majeures, qu'ils sont en train de commettre. D'une part, perdre de vue la réalité à force de paranoïa : on ne peut pas interdire les iPad, par exemple, ou avoir une vision fermée du monde. Irréaliste, inconcevable. D'autre part, il est très dommageable d'attirer tous les spécialistes sécurité SI dans leur structure, à un tel point que les officines et bureaux de conseil privés se trouvent démunis pour protéger les entreprises françaises...

Pour en revenir au sujet, et ayant vécu la journée IE d'entreprise une semaine auparavant, je sens que l'on veut se battre alors que le ver est déjà entré dans la pomme (sans malice!). Les méthodes ne sont pas adaptées, il faudrait une autre approche que l'Europe peine à trouver pour s'adapter à la menace.

Mais au fait ? De quoi veut-on se protéger ? Et pourquoi ? J'ai la nette impression que ces fondamentaux ont été simplement mis de côté ces derniers temps...

Discipliné ça veut dire quoi ?

Laisser fouler au pied nos constitutions,nos entreprises, nos droits fondamentaux, sous prétexte que la situation est exceptionnelle ?

Les Hackers sont des vigilants et ne sont en aucune façon acculés, les " états " du moins la ploutocratie l'est en revanche, obligée d'agir en secret pour "discipliner", "soumettre" de la manière la plus crasse une population au seuil d'une révolte mondiale.

Les Hackers connaissent trop bien les dérives qu'un fichage généralisé entraîne...

http://www.youtube.com/watch?v=sol8T7S8sW4

"Celui qui sacrifie sa Liberté pour sa Sécurité ne mérite ni l'une ni l'autre"

Benjamin Franklin

Sky

@ sky et les autres

Une fois encore, l'action décisive vient des Etats-Unis. La NSA a décidé de stocker toute l'info du net, pour disposer le cas échéant des pièces à conviction pour "pincer" les délinquants.

Hurlements, pas seulement aux USA, mais dans le monde entier.

Chacun dénonce les agissements de l'autre, d'autant plus fort que l'autre est plus puissant. Et au bout du compte, chacun prend peur et "combat à mort" quand il est lui même coincé.

Notamment les hackers, qui sont acculés et condamnés à la coopération, car il n'y a plus d'espace d'impunité...

Bientôt la même chose en France.
Combat à mort ? Faites vous peur si vous voulez, mais vous resterez bien vivants et serez enfin disciplinés.

amicalement

PhT

Que dire du rapport de Jean-Marie Bockel ?

Son "représentant" après avoir subi mon argumentaire qui n'avait pas la forme habituelle des salons feutrés du sénat, résume très bien la situation morbide de la France : " Ce n'est qu'un rapport Sénatorial (sic), et on ne peut pas TOUT dire...".

Ceci en référence au faite que les USA, depuis 30 ans, nous appliquent sur les questions de Cyber-défense exactement la même doctrine que leur politique étrangère, que l'on peut résumer par : " Mythomanie chronique, fourberie, comportement prédateur ".

Les Hackers Français, nos braves militaires, ainsi qu'un nombre grandissant d'entreprise tricolores ne sont plus dupes contrairement à l'Inteligencia Française, formaté, déconnecté, intoxiqué, qui fait preuve d'une auto censure purement et simplement contre productive, à la limite du misérabilisme de l'impuissance.

Le rapport de Jean-Marie Bockel a le mérite d’être lisible par les analphawebs du monde politique qui aiment les choses aussi pertinentes qu'un filet d'eau tiède. Cette caste est sans le savoir en train de créer un monstre législatif sous prétexte de cyber-défense, le tout en cultivant leur cécité concernant les réels problèmes.

Voir ici entre autre : http://rt.com/news/assange-internet-control-totalitarian-943/

et ici : http://www.youtube.com/watch?v=TC4ZJZX1wkY

Que dire de l'Agence nationale de la sécurité des systèmes d'information ( ANSSI ) ?

Rien.

J'ai été poser publiquement une question au président de cette officine : " Avez vous entamé un dialogue avec la communauté des Hackers via forum, IRC etc etc pour savoir comment l' ANSSI et tout ce remue-ménage autour de la Cyber sécurité étaient perçu par la communauté ? "

Réponse : " Non, Ça ne m’intéresse pas ".

Extraordinaire n'est-il pas?

Pour répondre @HPS, Oui les Hackers ne sont pas réfractaires à devenir des Corsaires pour l’intérêt général ( voir la devise du Labo de virologie, cryptologie d' Eric Filiol ), faut-il encore que le capitaine ressemble à autre chose qu'à un dandy, sourd, poudré, perruqué, obtus, sous peine de voir des hordes de pirates appliquer leur code d'honneur à ce qu'ils pourraient identifier comme une menace par incompétence.

http://www.youtube.com/watch?v=sfoD61_mh7c

http://www.youtube.com/watch?v=ZX6o3L0T7nI

Jean-Marie Bockel a réussi à ouvrir le débat et une partie des Hackers lui sont reconnaissants, son rapport est profondément incomplet doublé d'une pudeur politicienne d'un autre temps. La communauté serait je pense enchantée de le croiser sans cravate dans les nombreux regroupements de Hackers, pour qu'il puisse compléter, moderniser son prisme de lecture, mais surtout trouver des alliés puissants pour défendre la France.

Sky.

https://www.youtube.com/watch?feature=player_embedded&v=plJlAoKXTJk

Les capacités technologiques de la NSA surpassent de loin tout ce qui a jamais existé. LA NSA est en train de construire dans l’Utah un immense centre de surveillance capable d’un niveau de surveillance et d’enregistrement de données jamais atteint, chiffrable en yottabytes (les plus grandes capacités de stockage actuelles ne dépassent pas un millième de ces capacités) sur les emails, les communications de téléphone portable, les messages textuels, les achats réalisés, les interventions sur les réseaux sociaux.

Cinquante centres chargés de la collecte et de la fusion de ces données sont en cours de construction aux Etats-Unis. L’activité de ces centres est maintenue strictement confidentiel, et il ne semble pas y avoir aucune agence responsable, mais nous savons qu'elles existent, et nous savons que leur but est d'acquérir, agréger et agir.

Sky

Non, bertrand, ne tombe pas dans la paranoia.
Les politiques, évidemment, abusent, mais ils sont élus !
La presse, évidemment, abuse, et arrive même à casser des vies ! Comment faire ? Un vrai sujet, mais c'est aux journalistes de prendre la tête de la croisade de la discipline dans la presse.
Les banquiers, évidemment, abusent, mais là le problème c'est que le lobby financier est hautement persuadé qu'il rend service et qu'il doit continuer à être rémunéré aussi bien...

Bertrand, l'impunité est vaste, immense.
Or on ne la combat pas avec une autre impunité, mais avec la vertu et le travail.

amitiés

PhT

Il est pour le moins surprenant de se proclamer Hacker (avec un H majuscule) urbi et orbi.
Wikipedia donne la définition suivante du terme hacker:
n the computer security context, a hacker is someone who seeks and exploits weaknesses in a computer or computer network. Hackers may be motivated by a multitude of reasons, such as profit, protest, or challenge.[1] The subculture that has evolved around hackers is often referred to as the computer underground but it is now an open community.[2] While other uses of the word hacker exist that are not related to computer security, such as referring to someone with an advanced understanding of computers and computer networks,[3] they are rarely used in mainstream context. They are subject to the long standing hacker definition controversy about the true meaning of the term hacker. In this controversy, the term hacker is reclaimed by computer programmers who argue that someone breaking into computers is better called a cracker,[4] not making a difference between computer criminals (black hats) and computer security experts (white hats).[5] Some white hat hackers claim that they also deserve the title hacker, and that only black hats should be called crackers.
Le distingo entre "white hats" et "black hats" est intéressant car il met bien en évidence la dichotomie d'une communauté qui flirte avec la bande jaune sinon rouge.
Si la France accuse un retard dans la sécurité informatique, ce n'est pas en faisant appel à des "corsaires" même très doués qu'on luttera contre les pénétrations de systèmes informatiques.
Les diplômés de nos grandes écoles ont préféré se spécialiser'dans les mathématiques financières (avec les conséquences que l'on connaît) plutôt que s'investir dans l'informatique pure et dure et "pisser des lignes de code". Il n'est pas trop tard pour redresser le tir et faire comme certains pays voisins: enseigner des éléments de langages de programmation dès le secondaire.

@ sky:

Discipline (dico Robert) : règle de conduite commune aux membres d'un corps, d'une communauté et destinée à y faire régner un bon ordre.

La communauté internet veut de l'ordre sur le net. Si des acteurs entendent utiliser le net et y discourir pour faire valoir leurs idées ou leurs revendications, ils ne doivent pas ce faisant abuser de ce moyen en cassant ce que d'autres ont construit, et ainsi porter préjudice à d'autres utilisateurs, fussent-ils ceux à qui ce discours s'adresse.

Comme les " abuseurs " ont tendance à auto justifier leur abus, avec comme seul argument (envers eux mêmes) qu'ils sont en situation d'impunité, le seul moyen de leur faire comprendre qu'ils doivent arrêter d'abuser, c'est de les punir s'ils continuent à abuser.

Ce constat comme quoi les abus prospèrent quand il y a impunité est vieux comme le monde, c'est dans la nature humaine.
Ce ne sont pas les hackers qui ont inauguré le genre, et ce ne sont pas les hackers qui seront les derniers à le pratiquer. L'ivresse de l'impunité a fait dans l'Histoire beaucoup d'adeptes mais aussi in fine bien des désenchantés.

bien à toi

Pour compléter le wiki :

Eric Filiol donne la définition suivante du terme hacker : Il est tout d’abord essentiel de rappeler ce que le terme de « hacker » recouvre. Contrairement à l’idée reçue et malheureusement véhiculée – surtout en Europe – ce terme ne désigne en aucun cas une personne dotée de mauvaises intentions, contrairement au pirate informatique. Le terme de hacker désigne toute personne capable d’analyser en profondeur un système – que ce système soit technique comme un ordinateur ou un téléphone, mais également humain, social, législatif – de sorte à en comprendre les mécanismes les plus intimes, en privilégiant le résultat sur la méthode (contrairement souvent à l’approche académique).
Un hacker, par définition, n’hésite pas à s’écarter de toute forme d’orthodoxie en particulier technique et scientifique pour parvenir à ses fins. C’est principalement ce trait de caractère – généralement couplé à un certain anticonformisme, un soupçon d’autisme et d’esprit quelquefois perçu, à tort, comme asocial – qui dans l’opinion générale fait du hacker une personne peu recommandable. C’est une profonde méconnaissance de ce qu’est le mouvement et l’esprit hacker.

http://blogs.lesechos.fr/intelligence-economique/paroles-de-hacker-a5543...

[youtube http://www.youtube.com/watch?v=vuIK-cwAZQk?feature=player_embedded&w=640...

@ PT

Je te laisse, interconnecter et re-contextualiser cette vidéo avec la réalité : Des entreprises, des états et des particuliers.
Et ainsi faire les passerelles avec la situation macro-économique ravagée, sous estimée, gangrenée...

http://www.youtube.com/watch?v=TuET0kpHoyM

Sun Tzu dit : Il y a neuf sortes de lieux qui peuvent être à l'avantage ou au détriment de l'une ou de l'autre armée. 1° Des lieux de division ou de dispersion. 2° Des lieux légers. 3° Des lieux qui peuvent être disputés. 4° Des lieux de réunion. 5° Des lieux pleins et unis. 6° Des lieux à plusieurs issues. 7° Des lieux graves et importants. 8° Des lieux gâtés ou détruits. 9° Des lieux de mort.

IX. Enfin, par des lieux de mort, j'entends tous ceux où l'on se trouve tellement réduit que, quelque parti que l'on prenne, on est toujours en danger ; j'entends des lieux dans lesquels, si l'on combat, on court évidemment le risque d'être battu, dans lesquels, si l'on reste tranquille, on se voit sur le point de périr de faim, de misère ou de maladie ; des lieux, en un mot, où l'on ne saurait rester et où l'on ne peut survivre que très difficilement en combattant avec le courage du désespoir.

Si vous êtes dans des lieux de mort, n'hésitez point à combattre, allez droit à l'ennemi, le plus tôt est le meilleur.

Sky

Bravo pour le CR réellement "impossible" à faire, tant les échanges ont été riches, parfois vifs, voire touffus.
Le précédent des "pirates" devenus "corsaires" au service du roi, qu'évoque Henri-Paul Soulodre, est tout à fait pertinent et nos "rois" devraient s'en inspirer. Mais, cernés par des conseillers confits dans leurs certitudes, auront-ils l'intelligence pratique de prendre ce risque ?

Merci Meriem pour ce compte rendu ! c'est vrai que nous avons eu de vrais moments d'échanges et que ce petit-déjeuner était très intéressant.

J'ai pour ma part été frappée que notre ami Sky regrette dans le rapport Bockel le fait qu'on pointe du doigt les "méchants Chinois alors que cela fait trente ans que les Américains nous trappent"...
L'un de nous lui a répondu que "Ça ne s'écrit pas que les US nous attaquent !!! " alors que, pourtant, l'Express de la semaine (celle du 21 novembre) écrivait (page 59) : "Presque rien n'a filtré. Pourtant, en mai, l'équipe de Nicolas Sarkozy a été victime d'une opération d'espionnage informatique hyper sophistiquée. Les sources de l'Express concordent : le coup vient de...l'ami américain".

Bref, nous sommes un peu tous des Béotiens en la matière, et en premier nos gouvernants... Je soutiens donc ceux qui défendent le rapport Bockel en insistant sur le fait qu'il s'agit avant tout d'un "rapport d'alerte", dans un contexte où "le politique ne comprend pas toujours l'urgence".

Enfin, pour ma part, je partage totalement l'idée qu'aujourd'hui il ne faut sans doute pas se limiter à recruter des ingénieurs (notamment à l'ANSSI),, mais aussi "des hackers, habitués à gérer des attaques non conventionnelles"... Faisons revivre les "Corsaires du Roi", dont Henri-Paul nous rappelle avec pertinence l'intérêt !

je n'étais pas présent mardi matin pour Bockel, car je l'ai déjà entendu au Sénat sur ce sujet. J'ai donc raté un débat impromptu, mais je lis l'excellent CR de Meriem, et les non moins excellents commentaires.

Dans la cyberguerre, qui tire sur qui ? Telle qu'est posée la question, la réponse patauge forcément.
Je rappelle que Napoléon avait ordonné le blocus de l'Angleterre, mais qu'il lui achetait du charbon.
Sortons donc de notre scotome culturel français, qui interdit toute forme de coopération dès lors qu'il y a concurrence, compétition ou guerre d'intérêt.
Je suis assez d'accord avec Bertrand Calinou quand il trouve ridicule les prétentions étatiques françaises pour prendre le leadership des actions françaises contre la cybercriminalité. Mais je ne le rejoins pas quand il pointe du doigt tel ou tel État comme grand méchant à pourfendre. Chacun joue son jeu, et la guerre des services, des polices, et des entreprises à l'intérieur d'un État est aussi vive que la guerre entre États. Ne nous trompons donc pas de cible : il faut élaborer des règles, des principes de protection et des sanctions au niveau mondial, comme cela a (enfin) été fait pour supprimer la piraterie aux 17ème et 18ème siècles. Et bienvenue aux Hackers dans cette tâche (merci Henri-Paul pour cet apport).

Les échanges ont en effet été très intéressants et abondants...
La rencontre de points de vue et d'analyses différents a été très riche.

En lisant l'article de Meriem, je me dit que nos stratégistes oublient parfois que c'est de la zone des "angles morts" que viennent souvent les difficultés inattendues pour les "pilotes"...

Par ailleurs, j'ai pour ma part émis l'idée de faire une analogie historique concernant les "hackers".

Comme à l'époque des grandes aventures sur les mers du Globe (ces mers sont l'équivalent du réseau physique d'Internet), où on a vu de nombreux services marchands naître sous forme de voyages de bateaux transportant des marchandises (choses qui sont un peu l'équivalent des données-informations véhiculées sur le Net), on a vu apparaître des acteurs souvent irruptifs dans la douce vie des marchands voire des militaires...

On les appelait des "pirates" et souvent il avaient leur quartier général dans une petite île située zone internationale, donc hors de portée d'actuib des souverains du moment.

Certains pirates, pris d'un goût immodéré pour la reconnaissance sociale et les honneurs, sont entrés au service des Rois de l'époque et se firent appeler "Corsaires du Roi".

Nous en connaissons tous les noms.

Du rôle de hors-la-loi certains sont donc passés au service de la loi.

Que pensent les "hackers", qui liront ce blog, de cette belle histoire ?

@ PT :

Et tu ne penses pas que le seul contre pouvoir qu'il nous reste est la communauté des Hackers ?

Ou en est l'impunité des politiques ? De la presse? des banquiers ?

Qui est devenu l’ardillon de la démocratie... ? Les hackers.

http://www.youtube.com/watch?v=coGIG8jNcZk

Sky

@ Meriem : je viens de lire votre billet, je l'ai trouvé très intéressant, complet, et j'ai beaucoup aimé votre conclusion sur " think outside the box". Vous avez réussi à reprendre tous les principaux éléments du débat de façon claire et concise.

Bonjour,

Attention Scoop passé inaperçu!
Comment la France fait partir ses meilleurs atouts pour la protection de son économie, de ses entreprises et de ses citoyens, alors qu'elle disposait de pointes de diamant qui voulaient protéger la patrie ! La société Française VUPEN déménage aux USA (NSA) https://twitter.com/VUPEN/status/390887493786034176
Idem pour SUICHE à Hong Kong. Maintenant nous sommes totalement sans défense face au pillage non conventionnel car il semble que l'ANSSI refuse systématiquement l'aide des HACKERS. Merci FRANCE de faire fuir tes jeunes Hackers obligés d'aller à l'étranger pour survivre mais qui :" N'impressionnent pas l'officine Française chargée de nous protéger "...

https://www.facebook.com/photo.php?fbid=538837476205372&set=a.4633502070...

Sky

Surveillance de la NSA : "Les Etats-Unis n'ont pas d'alliés, que des cibles ou des vassaux"

Le Monde.fr | 21.10.2013 à 18h30 •

http://bit.ly/1fQA2IA

Sky :
Date: décembre 1, 2012 @ 10 h 41 min

:« Les USA, depuis 30 ans, nous appliquent sur les questions de Cyber-défense exactement la même doctrine que leur politique étrangère, que l’on peut résumer par : Mythomanie chronique, fourberie, comportement prédateur. »

L'Allemagne ne veut plus du matériel réseau des entreprises américaines

https://www.nextinpact.com/news/87697-lallemagne-ne-veut-plus-materiel-r...

Ben ca alors ... Le club des vigilants le 30 novembre 2012 ( voir papier et commentaires si dessus )

À partir du 6 juin 2013, Snowden rend publiques par l'intermédiaire des médias, notamment du Guardian6 et du Washington Post7, des informations classées top-secrètes de la NSA concernant la captation des métadonnées des appels téléphoniques aux États-Unis, ainsi que les systèmes d'écoute sur internet des programmes de surveillance PRISM, XKeyscore, Boundless Informant et Bullrun du gouvernement américain8,9,

Sky

http://www.youtube.com/watch?v=2FXdelCTYmU

Ajouter un commentaire