L'avenir du futur

Bon matin ☕

Pour bien débuter ce vendredi, voici votre dose "cyber à bas bruit" 😊 Pour rappel, cette petite infolettre gratuite est ma pierre à l'édifice de l'information de qualité. Bonne lecture !

Hack the hackers, une approche qui a de l'avenir

L'histoire se fait devant nos yeux : LockBit aujourd'hui, mais Encrochat ou encore Emotet (et je vais éviter le catalogue à la Prévert de tous les marchés du darkweb) avant, sont tous ciblés par les efforts des forces de l'ordre dans le cadre d'opérations de coopération internationale dédiée. Autrement dit, les autorités ont développé leurs propres capacités à franchir les frontières techniques et nationales pour s'attaquer aux cyberméchants.

Cette approche est bien accueillie car on peut maintenant comprendre ce que fait la police. Cependant, la tendance qu'on voit pose plusieurs questions politiques difficiles. Le think tank international Carnegie Endowment publie une étude passionnante où sont retracées l'évolution des interventions des forces de l'ordre et les diverses difficultés en matière de coopération internationale dans ce domaine. Sont notamment abordés les rôles des services de renseignement et des acteurs privés ou encore les risques que ces opérations posent pour les libertés fondamentales.

L'objectif de ce document est donc de fournir un défrichage du sujet en direction des gens qui font les politiques publiques. Le sujet est loin d'être simple, et il importe d'une prise de conscience. La tendance est clairement à l'intensification de ces opérations, et avec elle la nécessité de cadre clair se fait de plus en plus sentir. Bref, l'étude est super, bonne lecture 🤓

Vulnérabilités cherchent analystes

On connaît bien le sigle CVE. On connaît moins bien le sigle NVD.

La NVD, pour National Vulnerability Database, fournit la liste la plus complète de CVE. Elle recense les failles de sécurité dans le matériel et les logiciels et distribue cette liste au public. Ces données permettent aux organisations de prendre les mesures de sécurité appropriées lorsqu'une nouvelle vulnérabilité est découverte, de disposer de références importantes et de mesurer la gravité d'une vulnérabilité donnée. La NVD est gérée par le NIST américain depuis 2000 et a franchi le cap des 150 000 vulnérabilités documentées et publiées en 2021.

Outre la liste des CVE régulièrement publiés, la NVD évalue les vulnérabilités à l'aide du système CVSS, qui diffère souvent de la note de gravité initiale attribuée par le chercheur qui découvre la vulnérabilité ou par l'entreprise ou l'organisation à l'origine du produit ou du logiciel affecté. Aucune autre organisation ou entreprise privée ne dispose d'une liste de vulnérabilités aussi complète que celle du NVD, ni ne l'offre gratuitement comme le fait le NIST.

Tout cela est bel et bon... Sauf qu'on ne devrait pas perdre de vue le backlog dingue que cumule la NVD : en date du 9 avril 2024, les 5 799 CVE publiées depuis le 15 février 2024 n'avaient toujours pas été analysés. Cette retard d'analyse se traduit par l'indisponibilité d'éléments techniques ou encore l'attribution d'un score CVSS incorrect quand il n'est pas tout simplement absent.

On est arrivé au point de saturation craint depuis un moment déjà (dans une précédente vie où je travaillais à temps plein sur les approches existantes de gestion de vulnérabilités, j'avais discuté le géant aux pieds d'argile qu'est l'approche de la NVD). La NVD ne parvient plus à suivre le rythme d'identification de vulnérabilités ; breaking news: l'analyse prend du temps. Or, sans analyse, pas de qualification correcte, donc pas de prise en charge adéquate.

Comment faire ? Quel avenir pour la NVD ? Un bout de la newsletter hebdo de Talos explore les réponses possibles à ces deux questions. La vraie question sous-jacente est la clé pour trouver une réponse : qu'est-ce qu'on gagne à être l'alpha et l'omega de cette activité ? Être en mesure d'attribuer - officiellement ! - des CVSS à des vulnérabilités est un levier gigantesque. La NVD est à l'heure actuelle la seule organisation qui attribue un score CVSS officiellement, le calculant suite à son analyse de la vulnérabilité. Donc, l'arbitrage du véritable score CVSS ne peut pas se faire si on est juge et parti ; ainsi, faire un consortium public-privé qui gère et opère l'analyse et la qualification des vulnérabilités semble être un conflit d'intérêts.

Cette histoire de l'arbitrage et de la maintenabilité des efforts d'analyse et de qualification exclue de facto toute approche open source qui se grefferait dessus ou voudrait remplacer la NVD. Pourquoi ? Parce que c'est un travail exigeant, qui prend énormément de temps et qu'on ne peut pas raisonnablement confier à des bénévoles. Et plus prosaïquement, vous voyez un gus dans son garage faire barrage à Microsoft pour recalculer le CVSS d'une vulnérabilité ? On ne peut pas risquer la santé mentale des gens et les clashes qui ne tarderont pas à arriver en se cachant derrière "on a qu'à en faire un projet open source", une sorte de cache-sexe qui revient à chaque fois que des acteurs puissants refusent de prendre leurs responsabilités.

☁En mars, j'avais participé à une table ronde à la Bourse de Londres portant sur le cloud et les difficultés de faire de la conformité réglementaire dans les environnements cloud. L'enregistrement et le billet avec les points principaux de notre discussion sont disponibles 👇

Oui, on peut utiliser une voiture connectée pour harceler son ex

Depuis que je l'ai lu en 2018, je garde cet article dans toutes mes slides et j'en parle souvent en conf ou en enseignement : la domotique et les objets du quotidien sont devenus des leviers de harcèlement. C'est un peu le bébé malaisant de Chucky et Toy Story, quoi : le partenaire abusif que vous pensiez avoir sorti de votre vie se met à agir sur les objets connectés du quotidien, faisant clignoter les ampoules pendant la nuit ou déréglant le chauffe-eau pour que vous n'ayez que de l'eau froide pour vous laver... Comment on en arrive là ? Par le contrôle partagé d'abonnement téléphonie et data.

Et pour une fois, on ferait bien de s'inspirer des 'Ricains : dès fin 2022, ils ont adopté une loi, le Safe Connections Act, qui permet la déconnexion entre le partenaire abusif et la victime directement au niveau de l'opérateur et ce, même quand le contrat est aux deux noms. Parmi d'autres mesures de soutien aux victimes de violences domestiques, la loi permet l'accès à un abonnement à prix réduit pendant les 6 premiers mois après la séparation pour permettre à la victime de maintenir le contact avec ses proches et de trouver un emploi. Dans tous les cas, les opérateurs telco doivent aussi arrêter de montrer les appels à des hotlines et des centres d'aide aux victimes sur les relevés.

Cette loi donne aussi mandat à la FCC (un peu comme leur Arcep à eux) de continuer à faire évoluer les mesures de protection des victimes. La FCC étudie désormais les moyens de protéger les victimes de violences domestiques et sexuelles contre le pistage par leurs agresseurs au moyen des fonctions connectées des véhicules modernes. En effet, ces dernières années, les constructeurs automobiles ont augmenté le nombre de services de communication inclus dans les voitures. Il s'agit notamment de GPS et de fonctions de démarrage à distance qui sont proposés comme des commodités, mais qui peuvent être utilisés par les agresseurs pour suivre ou harceler leurs victimes.

Vous pensez que cette histoire de voitures qui pistent et permettent une surveillance inquiétante est une fantasmagorie parano ? Une petite lecture s'impose alors.

Renouveler nos représentations

Je viens de vous parler de comment on anticipe les mésusages de technos telles que les fonctions de navigation avancées dans les véhicules connectées... C'est visiblement une édition de cette Cyber-revue qui va parler de comment on prépare un avenir désirable pour tout le monde.

Cet article de la RAND m'a bien fait cogiter : il rappelle quelques raisons qui font que se reposer sur "l'IA" (quoi que ça veuille bien dire...) dans des situations relevant de la sécurité est loin d'être une bonne idée. En effet, on se repose de plus en plus sur des décisions algorithmiques, sans que les dérives potentielles de ces solutions de facilité aient jamais été clairement évoquées. Je suis toujours effarée qu'il n'existe pas de traduction française de l'expression future proofing pour traduire le processus qui consiste à anticiper l'avenir et à développer des méthodes pour minimiser les effets des chocs et des contraintes des événements futurs sur l'objet ou la techno qu'on développe. Effarée parce que nommer, c'est faire exister. (On pourrait utiliser "détournement de finalité" mais cela présuppose qu'on ait bien cadré la finalité d'une fonction, ce qui n'est justement jamais vraiment le cas.)

Du coup, on pourrait pousser la réflexion plus loin : si aujourd'hui pour déverrouiller son téléphone, j'accepte le face scan, est-ce que je finirais par accepter l'entretien avec un chatbot comme étape de vérification obligatoire prélable à une obtention de visa ? Et que se passerait-il si son LLM sous-jacent déduit quelque chose de sensible à mon sujet, par ex. mon orientation sexuelle ou mon risque de dépression, et me demande ensuite de confirmer ce trait comme preuve de mon identité ? Cette histoire de découverte et publicisation de l'orientation sexuelle contre la volonté de l'utilisateur n'est pas une invention à la Cassandre : un rapport (PDF) du think tank CDT notait en 2023 que 19% des étudiant-es dont les écoles utilisent l'IA ont constaté une identification publicisée de leur orientation sexuelle à l'insu de leur plein gré.

L'article place l'enjeu de comment on crée des outils intégrant de "l'IA" au coeur de notre identité et sa façon future/émergente de s'exprimer dans la société. Comment on protègera ce qui fait de moi, eh bien moi ? Et comment ce qui fait de moi moi sera communiqué aux différents acteurs avec qui j'interagis ?

Côté cyber, on peut très bien envisager les dégâts que pourrait causer une rédaction de rapport d'incident ou crise d'origine cyber touchant des infrastructures critiques pour le pays. A partir du moment où ce rapport est, avant tout, un outil d'aide à la prise de décision au plus haut niveau étatique, comment pourrait-on se décharger - et se déresponsabiliser - de sa rédaction précautionneuse ? Chaque mot veut dire quelque chose de précis et provoque une réaction donnée : est-on suffisamment aveugles par un hype ambiant pour nous laisser aller à tant de risques ?

Fais attention à ce que tu souhaites, ça peut arriver

L'autre jour, j'ai parlé au Parisien d'APT28 qui a encore mis son nez là où il ne devrait pas : dans les affaires internes du SPD allemand ou encore dans les mails du gouvernement tchèque.

APT28 agit notamment pour semer la confusion, la discorde et, par là, déstabiliser l’opinion publique. L’un de ses faits d’armes les plus notables est la compromission du parti Démocrate aux US en 2016 dans les mois précédant l’élection qui a amené Donald Trump au pouvoir. Il s’agissait d’un type d’opération qu’on appelle hack-and-leak, à savoir on s’introduit illégitimement dans les systèmes informatiques (ici les mails) d’une organisation pour subtiliser des documents confidentiels et les publier en ligne.

Ils sont immanquablement actifs pendant les périodes d’élections ; par ex. en 2020 aux US. APT28 s’intéresse évidemment à des informations confidentielles ; certaines de ses campagnes ont été dirigées contre des organisations FR, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion (think tanks). Il y a quelques mois, c’était à l'UK de décrire une activité hostile de la part d’APT28. Enfin, APT28 s’intéresse également à la défense active des intérêts russes. On se souvient par ex. de leur tentative, en 2018, d’empêcher les investigations sur les armes chimiques utilisées sur le territoire du Royaume-Uni ou encore du hack-and-leak contre l'Agence internationale anti-dopage.

Vu l'activité d'un tel acteur malveillant, il est légitime de se demander si les pays ciblés devaient répondre et, si oui, comment. Cette question est d'autant plus naturelle si on se met dans le contexte de l'OTAN dont ces pays sont aussi membres.

En fait, it's complicated... Si l’on parle de réponse, on passe dans un autre registre, bien plus inquiétant : une réponse implique une action. Et là est toute la complexité de la chose lorsqu’on parle de numérique, soit d’immatériel : à partir de quel moment peut-on estimer qu’une cyberattaque demande une réponse ?

Dans le cas de l’OTAN, cette question de seuil d’intensité se pose depuis quelques années déjà. L’OTAN rassemble des membres qui coopèrent dans le cadre du Traité de l’Atlantique Nord. Ce Traité parle en réalité de la manière d’assurer la défense collective. Son Article 5 est ce qui nous préoccupe ici : il est la pierre angulaire de la défense collective, indiquant que si un pays de l'OTAN est victime d'une attaque armée, chaque membre de l'Alliance considérera cet acte de violence comme une attaque dirigée contre l'ensemble des membres et prendra les mesures qu'il jugera nécessaires pour venir en aide au pays attaqué.

La cyberdéfense fait partie de la défense collective, et l’OTAN a modifié la rédaction de l’Art. 5 pour inclure les cyberattaques dans le cadre des attaques pouvant demander une réponse de tous les membres. Ainsi, en 2021, l’OTAN a reconnu que l’impact d’importantes activités cybermalveillantes cumulatives pourrait être considéré comme équivalant à une attaque armée. Le mot-clé est “cumulatif” : nous voilà donc à la case départ de la discussion sur le seuil d’intensité à partir duquel on peut avoir des velléités de répondre.

D'ailleurs, si on regarde côté UE, on est dans un cas similaire. L'Article 42(7) du Traité de l'UE porte précisément sur une clause de défense mutuelle. Sauf qu'il n'y a, à ce jour, aucune définition du seuil d'intensité à partir duquel cette clause peut être invoquée. Et comme il n'existe pas de doctrine cyber unifiée au niveau européen, la difficulté est réelle d'appréhender les menaces hybrides, les seuil d'agression, etc. (D'ailleurs, j'en ai fait un sujet pour les élections européennes auxquelles, vous savez, je me présente ☺)

Ces réflexions n'ont pas eu leur place dans l'article du Parisien. Il est essentiel de pousser cette réflexion jusqu’au bout pour comprendre ce qui se cache réellement derrière un côté un peu vindicatif de “réponse” et pour informer les réflexions sur l'avenir de notre cyberdéfense. Parce que les tensions continuent à être élevées et nombreuses ; le moment approche où on sera obligé de se pencher sur les modalités d'activation d'une clause de coopération. Et, qu'on se le dise, ce sera un point de non-retour.

La cyber-revue hebdo est ma petite pierre à l'édifice d'une meilleure information sur les sujets de cybersécurité. Je fais beaucoup de veille, et ça sert à beaucoup de gens. Mais l'information pertinente est difficilement audible. La veille est qualifiée justement parce qu'elle fait émerger de l'information pertinente 😉

Donc, la raison d'être de La cyber-revue hebdo est de regrouper quelques infos "bas bruit", chaque semaine. La notion de "bas bruit" indique ici des contenus à forte valeur ajoutée qui sont souvent perdus dans le battage médiatique. J'ai choisi de publier le vendredi parce que ça permet de profiter de cette journée un peu plus "lente" pour prendre le temps de la lecture.