jeudi 27 février 2014

Lectures cyber du moment et annonces à venir


Blogue passablement ralenti ces dernières semaines, mais pas en abandon pour autant. Du travail d'analyse, des conférences et beaucoup d'écriture m'ont tenu éloigné de celui-ci.
Cependant, cette activité prépare des annonces imminentes que je divulguerai courant de semaine prochaine à la fois sur le monde du cyberespace et sur la géopolitique.

En attendant, permettez-moi de vous recommander chaleureusement deux ouvrages de qualité que toute personne intéressée par les questions liées au cyber se doit de prendre connaissance. D'autant qu'ils comblent un manque manifeste dans le domaine et qui prouvent que les esprits français ne sont pas en reste dans leur réflexion et analyse des mouvements et mutations de ce nouvel espace stratégique.

Le premier est Attention : Cyber! Vers le combat cyber-électronique, paru chez Economica par les auteurs Aymeric Bonnemaison et Stéphane Dossé que les lecteurs d'Alliance GéoStratégique connaissent fort bien.

Les télécommunications puis l’informatique ont révolutionné les sociétés humaines et l’art de la guerre depuis deux siècles. La conflictualité dans le cyberespace n’est que la dernière évolution d’une longue succession de combats dans, pour et contre les réseaux. Le cyber s’impose actuellement comme un cinquième milieu de confrontation, après la terre, la mer, l’air et l’espace. Sans changer la nature de la guerre, il oblige parfois à penser autrement l’engagement des forces et permet d’agir différemment.
Cet ouvrage dépasse les vulgarisations ou les théories hors-sol, hors-temps et hors pratique opérationnelle qui fleurissent dans les littératures stratégique et technique récentes. Il propose une description synthétique du combat cyber-électronique contemporain, avec une mise en perspective historique et prospective concrète. Ce combat ne permet pas à lui seul de gagner la guerre mais dès maintenant, perdre dans le cyber, c’est perdre tout court ! C’est cela que les auteurs vous proposent de découvrir.


Le second est le grand gagnant du prix du livre cyber 2014 décerné par le FIC fin janvier : Cybertactique, conduire la guerre numérique de Bertrand Boyer. Auteur de chez Nuvis, déjà remarqué pour son Cyberstratégie, l'art numérique de la guerre salué par la critique. Deux ouvrages parus dans la collection Cyberespace et cyberdéfense dirigée par Nicolas Arpagian au même titre que La cyberstratégie russe.

Que l'on évoque l'opération Olympic Cames, les programmes de surveillance des communications électroniques (PRISM) ou les campagnes d'espionnage massif attribuées à la Chine, plus aucun décideur ne peut aujourd'hui s'affranchir d'une étude du sujet ni même d'une évaluation de ses conséquences dans la conduite des affaires du monde.
L'auteur revient alors sur les aspects théoriques de la tactique générale pour les confronter au monde numérique, il en tire des conclusions découlant des principes stratégiques appliqués au cyberespace puis nous entraine dans le cœur des opérations. Décrivant des modalités de la tactique numérique en présentant des modèles offensifs et défensifs, l'ouvrage explore également le concept d'insurrection numérique. Les évolutions récentes des outils offensifs sont mises en perspectives sans rebuter les moins technophiles. Une dernière partie étudie l'impact du cyberespace sur différentes fonctions telles que le commandement et le management, le processus décisionnel, et le renseignement. Privilégiant une approche pluridisciplinaire où géopolitique, technique, tactique et histoire se mêlent, l'ouvrage vient enrichir le courant naissant d'une école française de cyberstratégie.
Véritable guide à l'usage du décideur confronté à la conflictualité numérique, ce livre pose les bases d'une «tactique» adaptée au cyberespace.


mardi 18 février 2014

La Russie, cyber repaire de la flibuste?

Un article récent de Michael Gregg, Superior Solutions, paru dans le Huffington Post, s'est voulu assez provocateur sous le titre de Should We Blame Russia for the Target Breach?
Prenant pour point de départ la fraude survenue fin décembre dans le système de paiement de l'enseigne américaine Target (ayant donné accès aux données de quarante millions de cartes bancaires), l'article pointe du doigt les occurrences en matière de cybercriminalité étrangère sur le territoire américain et provenant en grande partie du côté de la Russie. Au fil de la lecture, l'on est en mesure de percevoir une distinction opérée par son rédacteur entre le cyberespionnage d'origine chinoise et la cybercriminalité d'origine russe menaçant les intérêts étatsuniens. Si l'auteur ne met pas formellement en cause le gouvernement russe dans le corps du texte, il lui reproche néanmoins de ne pas être suffisamment actif dans les procédures pénales à engager pour enrayer le phénomène, tout en rappelant que les activités cybercriminelles coûteraient chaque année près de 113 milliards de dollars selon Symantec. Et de conclure que la Russie serait un hébergeur jugé très accomodant pour les pirates.
The Target breach -- possibly the largest hack in U.S. history, affecting over 110 million consumer accounts -- used Russian-made malware to pull it off. That should come as no surprise to anyone. After all, some of the most notorious malware that's targeted U.S. consumers, banks and retailers over the past few years has originated from Russia or former Soviet states: ZeuS, Citadel, SpyEye, CryptoLocker, to name just a few.
A report by the Russian cybercrime intelligence firm Group-IB cited a number of reasons for Russia's failure to thwart the proliferation of this activity inside the country: inadequate laws, weak penalties and legal loopholes for those convicted; a need for more advanced investigative capabilities and better law enforcement training; and improved coordination with other countries. In its defense, Russian authorities did arrest the creator of the BlackHole exploit kit. But they've failed to stop the vast majority of high-profile crimeware rings -- from ZeuS to CryptoLocker.
Russia's failure to act against the cybercrime industry operating within its borders poses an advanced persistent threat to the U.S. economy. Our government officials can no longer ignore the consequences of Russia's inability or unwillingness to act. If we're going to hold China responsible for the cyber-espionage attacks emanating from its IP addresses, isn't it time we confront Russia for harboring the vast majority of the world's cybercrime industry?

Malgré tout, cette vision sombre de pirates russes à l'affût du moindre butin occidental doit être relativisée. Notamment par l'existence sur le propre territoire de la Fédération de Russie d'ingénieurs en informatique hautement qualifiés et oeuvrant dans le domaine de la cybersécurité (plus communément appelés les white hats). Et relayant souvent des informations de première importance comme la récente affaire du troyen sous Android.
Ainsi Dr Web, l'éditeur d'antivirus fondé en 2003 a découvert le premier bootkit braqué sur le système d'exploitation Android. Ce maliciel se logerait dans la mémoire protégée, ou ROM et plus précisément dans le secteur d'amorce. Ce qui fait qu'un effacement du fichier infectieux ne saurait être efficace même avec un formatage en règle puisqu'il aurait la possibilité de se re-dupliquer (au passage si vous trouvez sur votre appareil le fichier Android.Oldboot.1.origin, vous faites partie des malheureux élus).
De façon étonnante, et ce dans une écrasante majorité des cas relevés, ce sont des mobiles utilisés en territoire chinois qui sont les plus largement impactés.  Serait-ce le résultat d'un clonage d'un OS vérolé sur une ligne de production en Chine?
To spread the Trojan, which entered the Dr.Web virus database as Android.Oldboot.1.origin, attackers have used a very unusual technique, namely, placing one of the Trojan components into the boot partition of the file system and modifying the init script which is responsible for the initialisation of OS components.
This malware is particularly dangerous because even if some elements of Android.Oldboot that were installed onto the mobile device after it was turned on are removed successfully, the component imei_chk will still reside in the protected memory area and will re-install the malware after a reboot and, thus, re-infect the system.

Enfin, se focaliser sur les pirates russes, et sans pour autant lénifier leurs compétences, serait omettre qu'il y a aussi tout un monde qui vit autour. En atteste, un exemple parmi tant d'autres : Careto, un virus de cyberespionnage ciblant prioritairement grandes entreprises et gouvernement et qui semblerait avoir opéré depuis 2007 tout en communiquant... en espagnol!
Un expert en cyber sécurité de chez Kaspersky explique « Careto intercepte tous les canaux de communication et recueille les informations les plus essentielles de l'appareil de la victime. Le détecter est extrêmement difficile en raison des capacités de discrétion de ce logiciel furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber-espionnage. ». Le virus Careto espionnait toutes les données à partir des smartphones et des tablettes, les conversations skype, ce que tapait l'utilisateur et les services ou les appareils synchronisés avec ces derniers.
Avec un fort soupçon d'une implication étatique par derrière...

Et puis comme quoi qu'en Russie ne poussent pas que des cybercriminels, La Russie d'Aujourd'hui dévoile la liste de trente créateurs dans le secteur du numérique.

Enfin, pour prendre connaissance de tout ce qui gravite autour du cyberespace russe, n'oubliez pas que l'ouvrage La cyberstratégie russe est disponible chez tout bon libraire, qu'il soit en ligne ou non, et sur le site des éditions Nuvis.


vendredi 14 février 2014

Légalité contre légitimité : y a-t-il vraiment débat?


Réflexion relativement courte suite à une discussion que j'avais amorcée dans le cadre du Forum Mondial de la Démocratie en off en compagnie de quelques participants.

L'on oppose souvent légalité et légitimité. Ce n'est ni à tort ou à raison mais plutôt les deux. En vérité, il s'agit surtout d'une conjonction de circonstances et d'aménagements institutionnels.

La légalité tire sa force de la légitimité, ce qui revient à dire que sans elle, tout ce qui découle de la légalité ne saurait avoir de fondement stable et pérenne. Certes, cela ne signifie pas que les tenants des structures légales soient incapables de s'imposer mais leur déficit de légitimité les conduit le plus souvent vers la surenchère : qu'elle soit de nature financière (achat de la paix sociale), communicationnelle (désinformation) et policière (répression de toute force contestataire), chacune dans des proportions variables et pouvant être cumulées. La conclusion est le plus souvent funeste : elle résulte généralement en un tarissement des forces vives, une implosion par l'impossibilité de juguler toutes les forces résistances (y compris de manière passive), une fuite en avant par méconnaissance de la réalité et parfois, vers un conflit inter-étatique.

De la même manière, la légitimité peut exister sans la légalité. La légalité sert le plus souvent à lui donner une visibilité et une stabilité même relative car la légitimité est sensible aux revers de fortune pouvant prendre la forme d'impondérables (ex. maladie) ou de vicissitudes provoquées (ex. diffamation). La légitimité est souvent la rencontre d'aspirations initiales et de réponses à celles-ci. Que ces dernières ne soient pas encore matérialisées ou non. Cette légitimité trouve généralement sa source dans la compétence, l'expérience et la renommée d'un individu.

Dans un idéal-type, l'élection permet la rencontre de la légitimité et de la légalité. En théorie seulement. En pratique il y a de sérieuses distorsions et discussions en la matière. Ainsi quel crédit peut-on accorder à une élection qui ne présenterait aucun candidat capable de remplir la fonction en jeu, et qui sanctionnerait un choix par élimination et non par adoption? Pis, à quoi servirait une élection dont les différents participants ne sont que des décalques d'un même programme? C'est là l'un des enjeux démocratiques des années à venir où le vote tel qu'il est pratiqué actuellement rencontre ses limites, et surtout s'enlise dans une politique unique, ce qui l'affaiblit et lui retire progressivement sa légitimité. Ne restera à terme que le côté légal sans que pour autant il ne reçoive l'assentiment général. Si les votes contestataires ou l'abstention sont des dérivatifs, ils ne constituent pas des solutions au problème posé puisqu'ils sont les stigmates de cette impasse. L'autre versant critique se situe quant à l'abondance de l'aspect communication pour vendre les qualités supposées d'un individu à une population afin de le légitimer a priori ou a posteriori : cela se produit dans le champ politique mais peut être extrapolé vers les domaines artistique, sportif ou entrepreunarial. C'est un travers qui n'a eu de cesse de progresser ces dernières décennies avec l'avènement des médias de masse (excepté Internet qui en raison de son architecture décentralisée est plus difficilement régulable et orientable que les autres médias).

D'où l'intérêt soit de rénover un système qui manifestement ne répond plus aux attentes et à son temps en l'ouvrant aux technologies contemporaines (qui pour certaines datent déjà d'une bonne dizaine d'années), tout en faisant intervenir plus largement le demos, c'est à dire la population. Ainsi qu'en offrant la parole et la possibilité d'actions à un panel d'experts en lieu et place d'aréopages d'affidés ou de retraités du corps politico-social dont sont composés de trop nombreux conseils et autres comités. Soit de prendre le contre-pied du phénomène et de proposer un mode de sélection non basé sur la légitimité intrinsèque mais sur la structure de l'élection (ex. la stochocratie, désignation par tirage au sort) où la légitimité tiendrait à l'égalité absolue devant le hasard, pondérée le cas échéant par un jury filtrant les candidatures farfelues, sur des critères rationnels.
Mais peut-être aussi serait-il bon que les dirigeants cessent de croiser les doigts en ayant l'oeil fébrile fixé sur les indicateurs économiques? Le propre d'un politique, et au fond sa légitimité, est qu'il puisse avoir une action sur une communauté de destin et non de s'en remettre à des facteurs qu'ils ne comprend et ne veut maîtriser.

samedi 8 février 2014

Guy Debord et le jeu de la guerre



C'est suite au désir de le lire suivi de son achat que j'ai enfin pu me plonger dans cet ouvrage assez atypique d'un homme, Guy Debord, (1931-1994), trop souvent ramené à l'ère situationniste (1957-1968) alors que son activité déborda bien au-delà. Révolutionnaire critique du mouvement de mai 1968, il s'exerça aussi au cinéma et à l'écriture comme... à la stratégie!

C'est en effet en 1965 que Guy Debord dépose le brevet du Jeu de la Guerre qu'il aurait élaboré une dizaine d'années plus tôt, avant d'en entamer la commercialisation en 1977. Cet esprit affuté et cinglant, qui n'hésita pas dans son célèbre La société du spectacle à fustiger en visionnaire le processus de marchandisation de la culture et sa transformation en un monde où elle n'est plus que le vecteur de l'asservissement des masses par la classe au pouvoir. Tout comme il permit de redécouvrir, grâce à son ami et éditeur Gérard Lebovici, August von Cieszkowski et son Prolégomènes à l'historiosophie. Le Jeu de la Guerre est singulier dans le sens où il ne s'agit pas d'un essai ou uniquement de règles de jeu mais du détail d'une partie répertoriant une situation donnée avec un éventail relativement large des coups disponibles. Il ne faut pas s'attendre par conséquent à une exégèse ou une analyse détaillée mais plutôt à la démonstration des mécanismes d'un jeu de stratégie se déroulant principalement à l'ère napoléonienne. Mentionnons que Debord connaissait et appréciait Carl von Clausewitz, Ardant du Picq ou encore Antoine de Jomini. Officiers-essayistes qu'il intégra au sein de la collection Stratégie de la maison Champ Libre. En conséquence de quoi l'homme savait de quoi il parlait, et s'était mis en tête de produire un système où quatre types de pions pourraient interagir (cavalerie, infanterie, artillerie et transmission) sur un ensemble géographique composé de 500 cases (25X20). 

Plusieurs cases spécifiques ont une importance primordiale : les arsenaux qui représentent l'approvisionnement logistique, les montagnes qui constituent un obstacle naturel et les cols qui sont le seul passage autorisé sur la ligne montagneuse. Ensuite, plusieurs règles encadrent les mouvements de chaque pion (ex. l'artillerie à pied ne disposera que d'un déplacement d'une case alors que l'artillerie à cheval pourra se mouvoir sur le double de la distance). De même qu'une offensive doit être minutieusement coordonnée puisqu'elle fait appel à l'ensemble de la force tactique des pions employés à cet effet, ainsi que du soutien de l'artillerie. Mais le plus intéressant dans ce domaine est le rôle essentiel des transmissions qui font office de relais logistique. Sachant que toute unité désolidarisée des lignes logistiques est paralysée et logiquement vulnérable car incapable d'action offensive ou défensive (simulant de fait la déréliction, en raison d'une coupure avec le reste de l'armée). Le moyen le plus radical et le moins brutal de mettre fin à une partie est de prendre possession des deux arsenaux de la partie adverse, d'où l'obligation de varier sa stratégie en fonction de son objectif et des mouvements de l'ennemi. L'aspect du barrage d'artillerie est aussi pris en compte par la neutralisation des forces adverses, même numériquement supérieures en obligeant une partie de la ligne offensive à rester à couvert.

À travers cinquante-cinq schémas Debord explicite l'intérêt de se tenir prêt à réorienter sa stratégie initiale et ne sous-estimer en aucune manière la préservation de ses lignes logistiques. Quatre phases peuvent en être extraites : le déploiement, la manoeuvre, la bataille, l'exploitation.

Les bémols que l'on peut adresser sont d'un double ordre : le moral et la fatigue ne sont pas pris en compte, ce dont Debord s'excuse dans le corps de règles ; la carte n'est pas générée aléatoirement par une modification des tuiles comme cela se pratique actuellement mais sur un ensemble géographique déterminé et immuable. L'auteur précisant en outre que le contexte se prêterait plus à celui d'un conflit se déroulant peu ou prou à la Guerre de Sept Ans qu'à celui de la Révolution Française bien que pourtant l'on pourrait aussi s'imaginer dans un champ de bataille digne de l'épopée napoléonienne.

Il est difficile de recommander la lecture de l'ouvrage co-écrit avec Alice Becker-Ho. Non en raison de sa qualité intrinsèque mais par l'évaluation de son apport réel. Il permet certes de découvrir par les annexes et les documents retrouvés un Guy Debord passionné par la stratégie militaire et son grand intérêt porté aux questions des communications mais il est limité dans le sens où l'on dispose plus d'un livre de règles commenté que d'un recueil sur l'art de la guerre. Il est autrement plus judicieux de l'appréhender comme un ouvrage atypique, à l'image d'un homme clairvoyant sur son temps et ses contemporains, et qui ne manquera pas de fonder les bases du jeu de stratégie des années 1980, lequel trouvera à cette époque un nouveau souffle sur un nouveau support en plein essor : les ordinateurs personnels.

Pour une version informatisée, se rendre sur le site suivant : http://r-s-g.org/kriegspiel/about.php