jeudi 19 janvier 2017

Entretien sur Sputnik : Les hackers russes, entre mythe et réalité


Chers visiteurs,

Permettez-moi de relayer ma dernière intervention sur la Radio Sputnik relative aux allégations de plusieurs services de renseignement américains quant à une immixtion du gouvernement russe dans le processus des élections présidentielles. Je fais bien entendu référence au document révélé publiquement le 6 janvier 2017, co-signé par la CIA, le FBI et la NSA. 25 pages condensant les propos tenus par les responsables de ces institutions envers la Russie et les supposés pirates russes.

Supposés en effet car au grand désenchantement des experts qui se frottaient préalablement les mains en espérant disposer d'informations circonstanciées, la douche fut particulièrement froide tant les preuves furent insignifiantes. Le document se focalisant sur des éléments de stratégie informationnelle visant notamment les médias russes retransmis aux États-Unis et accessibles pour le public américain. Il relate aussi certaines déclarations prononcées par des dirigeants publics et privés depuis la Russie. Si cela permet en effet d'obtenir une compilation d'éléments d'intention pouvant être interprétés, elle ne s'accompagne pas cependant de l'obtention de détails techniques ou de faits réellement probants, il demeure très difficile de se prononcer avec certitude au sortir de la lecture dudit document. Certes l'on se doute bien que le DNC Hack a surtout avantagé Donald Trump considéré comme plus pragmatique envers la Russie mais encore fallait-il l'utiliser à bon escient, et surtout être certain que ces révélations seraient à même d'emporter la décision. Qui plus est, et sans préjuger de l'origine de ces révélations par Wikileaks, la pasionaria démocrate s'était aliénée durant sa campagne nombre d'adversaires qui avaient tout intérêt à sa défaite (à commencer par son propre camp, et plus particulièrement Bernie Sanders qui en dépit de son opiniâtreté, fut le principal vaincu de la primaire démocrate en raison d'une mobilisation partiale de l'appareil du parti en sa défaveur).

Autre point à ne pas négliger, au coeur même de cette problématique : le concept d'attribution. Je développe dans le peu de temps imparti cette notion d'imputabilité, liée à celle de la duplicité, une caractéristique essentielle dans l'affaire présente. Car en ce domaine l'on ne peut que se reposer sur un faisceau d'indices et non une certitude absolue. Mais comme je le précise très clairement : l'attribution est d'abord une décision politique bien plus que technique.

Enfin, il y a tout lieu de s'interroger sur le fait de ne désigner qu'un seul fauteur de trouble, la Fédération de Russie (ce qui au passage lui octroie le titre de cyberpuissance majeure capable de déstabiliser les rouages politiques de la première économie mondiale) et d'écarter indirectement toute autre cybermenace, tant étatique que privée.

Pour clore ce billet, je rappelle à escient en détail les cyberattaques très ciblées (secteur financier) dont a été victime la Russie ces derniers mois, histoire de bien démontrer que nul ne saurait être à l'abri des cybermenaces :
  • 8 novembre : plusieurs banques russes sont visées par des cyberattaques par DDoS, paralysant les serveurs et par conséquent rendant inaccessibles certaines opérations liées à leurs activités.
  • 2 décembre : des pirates ont réussi à dérober deux milliards de roubles (29,3 millions d’euros) en piratant des comptes ouverts à la banque centrale russe.
  • 5 décembre : le deuxième groupe bancaire russe, VTB, est victime d’une attaque par DDoS.

En vous souhaitant une bonne écoute.


mercredi 4 janvier 2017

La nouvelle doctrine informationnelle russe de décembre 2016

Chers visiteurs,

Comme certains d'entre vous ont pu en prendre connaissance, de manière très parcellaire et malheureusement trop souvent erronée, une nouvelle doctrine de sécurité informationnelle russe (Доктрина информационной безопасности Российской Федерации) est parue officiellement le 5 décembre 2016.

Première précision utile : il ne s'agit en aucune manière de la première doctrine du genre publiée par les autorités de la Fédération de Russie. Je renvoie avec à propos les commentateurs hâtifs à l'étude de mon ouvrage La cyberstratégie russe où l'oukaze du 9 septembre 2000 est disséqué du premier au dernier caractère.

Seconde précision non moins nécessaire : lorsque l'on cite un texte, il est de bon ton d'indiquer la source exacte, a fortiori lorsque celui-ci est en langue étrangère. Malheureusement la maladie de la duplication à grande échelle de l'information principale (appelée aussi plus vulgairement copier/coller) a pour principal et néfaste effet de passer au second plan cette nécessité.

Ce qui frappe l'expert en premier lieu c'est la concision du texte. Rien à voir avec la très lourde compilation d'articles du premier opus répartie entre quatre parties dont la lecture était compliquée par des redondances et des changements de perspective.

Ensuite, dès le début, une définition est offerte de ce que les autorités nomment espace informationnel, avec la mention expresse du réseau Internet (sans s'y cantonner toutefois). C'est une différence radicale avec le texte initial qui ne mentionnait en aucune manière Internet, ne se départissant pas d'une stricte neutralité sur le plan technologique, puisque sans donner de définition complète, les rédacteurs avaient opté pour une énumération des secteurs et points techniques visés.

Présentement le propos diffère sensiblement et, sans perdre de vue l'orientation générale, évoque à quelques reprises le réseau des réseaux.

La définition est par conséquent la suivante : « La sphère informationnelle doit être comprise comme un ensemble d'objets, de systèmes, de sites sur le réseau Internet, de réseaux de télécommunications, de technologies, d'entités dont la fonction repose sur la formation et le traitement de l'information, le traitement et le développement des technologies afférentes, la sécurité de l'information ainsi que les mécanismes de régulation des relations publiques ».

La suite est au final une reconduction des principes établis par la doctrine de l'an 2000. Avec un rappel affirmé de la défense des intérêts nationaux, notamment dans le cadre de la sphère informationnelle. Précision loin d'être anodine : dès l'article 2 il est évoqué au commencement les trois niveaux de cette sécurité informationnelle, là où la vision américaine se fonde sur les trois couches (logicielle, matérielle, informationnelle), son alter-ego russe prend pour base un autre triptyque fondé sur l'individu, la société et l'État. C'était déjà couché sur le texte il y a seize ans mais pas aussi distinctement. Cette particularité est par ailleurs rappelée au point 20.

En matière de sécurité informationnelle, est proposée une définition relativement touffue mais qui a bénéficié des réflexions produites par les textes de ces dernières années : « La sécurité informationnelle est l'implémentation des moyens juridiques, organisationnels, opérationnels, d'investigation, d'analyse, de renseignement, de contre-renseignement, technologiques et scientifiques destinés à prédire, détecter, dissuader, prévenir et repousser les menaces ou à en effacer les conséquences ».

Pour attester de cette cohérence, il est aussi mentionné que cette doctrine, outre le fait de réactualiser celle de 2000, fait suite à la Stratégie de Sécurité Nationale de la Fédération de Russie du 31 décembre 2015 (Стратегия национальной безопасности Российской Федерации).

Le texte explicite par la suite ce que constitue les intérêts de la Fédération de Russie dans la sphère informationnelle. Aucun hiatus par rapport aux éléments dressés en 2000, juste quelques précisions avec une insistance sur la nécessité d'employer les technologies de l'information pour non seulement améliorer la démocratie et les relations entre la société civile et l'État mais aussi préserver l'essence même de la Russie, à savoir son héritage culturel, cultuel, spirituel et moral de son espace multi-ethnique. Ce point réitéré est symptomatique de la vision civilisationnelle propre aux textes russes, cet aspect étant souvent escamoté dans leurs contreparties occidentales.

La référence au développement de l'industrie des technologies de l'information et de l'électronique russe comme objectif est un rappel quant à lui d'un document passé inaperçu lors de sa publication mais essentiel sur le fond comme sur la forme : la Stratégie de développement de l’industrie des technologies de l'information dans la Fédération de Russie pour 2014- 2020. Et où l'accent sur la protection et le développement de cette industrie avait été très appuyé, en citant les moyens pour y parvenir, notamment en observant le succès des entreprises américaines ainsi qu'en mobilisant le secteur militaro-industriel. Le présent texte de 2016 n'est rien de moins qu'une affirmation de cet objectif considéré comme stratégique. Cet aspect est complété ultérieurement à l'article 17 par une mention sur la souveraineté technologique, que celle-ci doit être viable par un tissu d'entreprises nationales de taille critique dans les secteurs de l'IT et de l'électronique. Ce même texte paru en 2014 est aussi repris au point 18 lorsqu'il est déploré que la recherche dans les domaines visés reste bien trop limitée, pénalisant l'émergence d'un cadre de sécurité informationnelle global.

Plus loin est évoqué, là aussi un rappel du texte de 2000, le besoin de produire une information plus précise sur les sujets traitant de la Russie et de ses actions. Tant à destination du public russophone que de l'international. L'on songe d'office à la structure Rossia Segodnia montée en 2013 pour ce faire, fusionnant La Voix de la Russie et RIA Novosti.

L'objectif d'assurer la souveraineté de la Russie est derechef évoqué dans le texte, en des termes très laconiques mais impératifs. Cet objectif est-il rappelé, doit s'effectuer par une coordination au niveau international. Ce qui n'est pas étonnant puisque la Russie avait déjà déposé un texte auprès du bureau du secrétariat de l'ONU en ce sens, et supporte l'Union Internationale des Télécommunications dans de telles démarches. Précisons en relation avec cette problématique que depuis la loi fédérale N 242 FZ du 21 juillet 2014, les données concernant des citoyens russes doivent être hébergées sur des serveurs présents physiquement sur le territoire national. Si Google et Apple se sont pliés à cette exigence en avril et septembre 2015 respectivement, le réseau professionnel LinkedIn a en revanche été déconnecté du réseau russe sur demande expresse des autorités russes. À charge pour les sociétés contrevenantes de procéder à une location de serveurs russes ou de délocaliser les leurs en Fédération de Russie.

Il est énoncé la dualité de l'espace informationnel et des technologies connexes : d'un côté un essor de l'économie et de l'amélioration des rapports entre l'administration et ses administrés, de l'autre l'introduction de menaces spécifiques pouvant destabiliser le pays.

Le point 13 cible spécifiquement, et c'est une novation car le document de 2000 ne l'explicitait pas de façon aussi nette, la menace terroriste, individuelle ou en organisation, pouvant affecter l'espace informationnel. Celle-ci pouvant paralyser de façon critique les infrastructures ou diffuser de la propagande attentatoire aux intérêts de la Fédération.

La cybercriminalité est ciblée ultérieurement, et notamment sa variante financière. Ce qui en 2000 était déjà le cas et présentait une prescience remarquable alors que les outils et réseaux n'étaient pas aussi évolués. Cet aspect pouvait difficilement être absent de la nouvelle doctrine au regard de certaines occurrences en matière de cybercriminalité ayant frappé les institutions bancaires en Russie en novembre puis décembre 2016 (telle la Banque Centrale avec deux mlliards de roubles dérobés).

Le cyber militaire est mentionné à quelques reprises mais très succintement, et sans apport réel par rapport à d'autres textes officiels dédiés et bien plus diserts. L'article 21 détaille légèrement plus le rôle de la sécurité informationnelle pour les forces armées en ses quatre composantes : dissuasion et prévention de tout conflit pouvant survenir suite à l'usage des technologies de l'information ; amélioration de la préparation et des moyens liés à la guerre informationnelle au sein du secteur militaire ; préparation à la protection des intérêts de la Russie dans l'espace informationnel ; neutralisation des opérations psychologiques informationnelles visant à pervertir l'héritage patriotique et historique relatif à la nation russe. Ce dernier élément dénote tout l'intérêt porté par les autorités russes quant à cet aspect de la guerre, héritage d'une longue tradition soviétique en la matière.

L'article 23 se présente comme une litanie des actions de la sécurité d'État via l'espace informationnel se devant d'être mises en place. Fondamentalement la liste est un résumé de tous les points évoqués précédemment, par exemple sur la souveraineté du pays, la protection des infrastructures informationnelles, l'emploi de contre-mesures pour éviter l'atteinte aux valeurs propres à la Russie, la préférence pour des produits des technologies de l'information locaux répondant à l'obligation d'un niveau de sécurité informationnelle, etc. Un point très laconique mais qui mérite toute l'attention est celui qui se réfère à la vigilance envers les actes d'une force étrangère au travers d'individus, de services spéciaux (comprendre de renseignement) et d'organisations susceptibles d'employer les technologies de l'information pour menacer la sécurité de l'État. C'est prendre clairement acte que le cyberespace, ou espace informationnel, est stratégique au point de mettre en péril par ses acteurs, ses outils ou ses fruits la stabilité politique-économique-financière-militaire d'un État.

Autrement plus développée est l'imbrication entre la sécurité informationnelle et le secteur économique. L'on y retrouve les préoccupations de la doctrine de 2000 avec le besoin de disposer d'une industrie IT et électronique locale à même de limiter l'importation de produits d'origine tierce. Tant pour les biens que pour les services. L'article pourrait être résumé de la sorte : protection, innovation, compétitivité et sécurité d'un maillage national industriel en matière de technologies de l'information. Le terme de préoccupation n'est pas usurpé au regard de l'insistance de cette problématique présente dans plusieurs textes officiels depuis 2000. L'on se retrouve dans une configuration élaborée par le théoricien et praticien du protectionnisme Friedrich List puisque les préconisations sont identiques : protéger les entreprises dans un secteur industriel naissant, les accompagner et les favoriser jusqu'à ce qu'elles soient compétitives puis les laisser affronter le marché mondial une fois matures.

Cette stratégie sur le plan économique est identique dans le domaine de l'éducation, la formation et la recherche scientifique. C'est le même raisonnement qui y est employé : créer les conditions d'un soubassement solide pour lui faire atteindre un niveau de compétitivité. Cette similitude n'est pas fortuite : elle dénote une stratégie plus globale qui n'entend pas scinder l'effort par secteurs mais par étapes de progression.

Enfin, il y a une volonté affichée, identique à celle précisée en 2000, de promouvoir une vision commune internationale sur le concept de sécurité informationnelle. Il est à ce propos précisé que l'espace informationnel est un champ conflictuel pouvant être utilisé pour déstabiliser des États en raison de visées politico-militaires. In fine, c'est la protection de la souveraineté de la Fédération de la Russie qui est recherchée par la conclusion de partenariats et un cadre international en matière de sécurité informationnelle. Un détail demeure cependant relativement imprécis, c'est lorsqu'est suggéré un segment de gestion national du réseau Internet (qui est formellement nommé une fois encore) [1]. S'agirait-il d'un nouveau projet de réseau national sécurisé assuré par un système d'exploitation souverain? Ou s'agirait-il de cloisonner, ou plutôt filtrer, la partie russe du réseau Internet? Ce point mériterait d'être explicité ultérieurement par les autorités car le propos est bien trop restreint à ce stade pour en tirer une quelconque prospective tangible.

Les articles 30 et suivants sont principalement des rappels juridiques, avec en point d'orgue la mention que le Président de la Fédération de Russie demeure le seul à définir l'orientation en matière de politique de sécurité informationnelle (secondé plus que vraisemblablement par le Conseil de Sécurité de la Fédération voire la Commission Militaro-Industrielle). La liste des acteurs de premier ordre concerné par la sécurité informationnelle est fournie, et sans surprise intègre toutes les composantes de l'exécutif et ses établissements sous tutelle (même indirectement comme la Banque de Russie).

La volonté de préserver les droits des citoyens tout en respectant les objectifs en matière de sécurité informationnelle est évoquée. De même que le renforcement et l'interconnexion des moyens de sécurité informationnelle entre les différentes composantes des structures de force militaires et civiles, aux divers degrés territoriaux.

Pour suivre la progression des effets de cette doctrine, le secrétaire du Conseil de Sécurité de la Fédération délivrera un rapport annuel.

Le texte n'est par conséquent en rien révolutionnaire. Il est à la fois une réaffirmation de la doctrine de 2000 et un condensé de documents connexes parus à sa suite, agrémenté il est vrai de quelques points spécifiques ayant bénéficié des expériences de ces dernières années. Ainsi l'intérêt pour la sécurité informationnelle des champs économique et financier a été renforcé, et le réseau Internet est nommé à plusieurs reprises (c'est par ailleurs la seule concession d'un texte très neutre technologiquement). 
Sur la forme, un effort substantiel a été effectué pour le rendre plus lisible que son prédécesseur, et sur le fond l'on perçoit nettement les orientations futures empreintes de pragmatisme. 

Nul doute que des documents officiels sectoriels vont suivre peu après, à l'instar de la publication de la doctrine de septembre 2000.


[1] д) развитие национальной системы управления российским сегментом сети «Интернет»

Doctrine de sécurité informationnelle de décembre 2016 (russe) :
https://rg.ru/2016/12/06/doktrina-infobezobasnost-site-dok.html

Stratégie de sécurité nationale de décembre 2015 (russe) :
http://www.consultant.ru/document/cons_doc_LAW_191669/61a97f7ab0f2f3757fe034d11011c763bc2e593f/

dimanche 1 janvier 2017

Meilleurs voeux pour cette nouvelle année 2017

Bonne Année 2017!

Glückliches neues Jahr 2017!  

С новым годом 2017!

Feliz Año Nuevo 2017!
 

Happy New Year 2017!
 
Szczęśliwego Nowego Roku 2017!

Feliz Ano Novo 2017!