Cyberguerre : les attaques se multiplient, l'armée française s'entraine

Cyberguerre : les attaques se multiplient, l’armée française s’entraine

« Personne ne sait vraiment ce qui se passe en ligne »

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

11/10/2014 12 minutes
37

Cyberguerre : les attaques se multiplient, l'armée française s'entraine

La semaine dernière s'est tenu un exercice interarmées sur la question des cyberattaques : Defnet 2014. Arnaud Coustillière, contre-amiral et officier général à la Cyberdéfense, s'explique sur le but de cette manoeuvre, tandis qu'Alain Juillet, ex-directeur de la DGSE, évoque les questions de cybersécurité dans le « Cloud ». Deux approches pour un même problème de fond, la « Cyberguerre », alors que la DGA (Direction Générale de l'Armement) vient tout juste de poser la pierre d'un nouveau bâtiment de 10 000 m² dédié au « cyber ».

Il ne se passe quasiment plus une semaine sans qu'une affaire de cyberattaque ne remonte à la surface, que des pirates ou des gouvernements en soient à l'origine. Depuis le début de l'année, la France n'est pas épargnée avec le double piratage d'Orange par exemple. Mais il faut rappeler que seuls les opérateurs et FAI ont une obligation de communications en pareille circonstance.

 

Le cas des autres sociétés est à l'étude et le G29 (groupement des CNIL européennes) planche sur la question. À l'étranger, la situation n'est guère plus reluisante avec des fuites de données pour Home Depot, eBay, Avast, mais également les photos de stars volées et très récemment l'affaire JPMorgan. 

Et si le piratage de JPMorgan n'était que la partie visible de l'Iceberg ?

Le cas de cette dernière est d'ailleurs intéressant à plus d'un titre. Tout d'abord parce qu'il s'agit de l'une des plus grosses banques d'affaires des États-Unis et qu'elle a pignon sur rue dans de très nombreux États. De plus, le temps de réaction aurait été assez long puisque les pirates seraient restés près d'un mois dans les serveurs de la banque. La société n'a toutefois ni confirmé ni démenti cette information.

 

Mais cette intrusion pourrait n'être que la partie visible de l'Iceberg. En effet, selon le New York Times qui cite des sources proches du dossier, neuf autres institutions financières auraient été victimes du même groupe de pirates qui, selon des rumeurs persistantes, agirait depuis la Russie.

 

Nos confrères de l'AFP indiquent ainsi que plusieurs enquêtes ont été ouvertes par différents organismes outre-Atlantique, suite à l'annonce de la fuite de données de pas moins de 83 millions de comptes. « C'est parmi les attaques informatiques les plus troublantes et pas seulement à cause de son ampleur, mais parce qu'elle prouve qu'il n'y a quasiment aucune base de données qui ne peut être attaquée par des cybercriminels », indique ainsi Lisa Madigan, procureure de l'État de l'Illinois. Elle ajoute que la banque serait en train de « d'essayer de minimiser » l'étendue de l'attaque.

Quid de la sécurité des entreprises ?

Alain Juillet, ancien directeur de la DGSE en 2002/2003 et responsable de la cellule SGDN (Secrétariat de la Défense Nationale) de Matignon, tient à peu près le même discours que Mme Lisa Madigan concernant les cyberattaques. Alors qu'il est désormais président du CDSE (Club des Directeurs de Sécurité des Entreprises), il a été en effet interviewé par nos confrères des Echos : « les dirigeants d’entreprises ne sont pas prêts, même si on constate des avancées depuis quelques années. Il y a trente ans, il fallait protéger le patrimoine humain et le matériel, sécuriser les entrepôts et les bureaux. On maîtrisait. Avec le numérique et le cyberespace, tout est possible. On est entré dans un autre monde ».

 

C'est d'ailleurs un des principaux problèmes de la cybersécurité pour les entreprises : repenser son système informatique et allouer des ressources à ce poste qui peut rapidement devenir coûteux, tout en ne permettant pas de garantir une sécurité à 100 %. Alain Juillet ajoute qu'un « piratage peut coûter entre 5 et 10 % du chiffre d’affaires annuel ! Un tel risque, cela devrait faire réfléchir », mais trop de dirigeants ne se posent visiblement la question qu'une fois que le mal est fait, trop tard donc. Afin de bien faire passer le message, il cite une phrase « choc » de Patrick Pailloux, directeur technique de la DGSE et ancien directeur général de l'ANSSI : « Quand un patron informatique me dit qu’il ne s’est jamais fait attaquer, c’est soit qu’il est menteur soit qu’il est incompétent ».

 

ANSSI patrick pailloux cybersécurité
Patrick Pailloux 

Le cas du matériel étranger (américain/chinois) et la grande question du « Cloud »

Selon Alain Juillet, il faut également se méfier de la provenance du matériel utilisé : « tout ce qui passe par des systèmes d’origine américaine peut être intercepté. C’est la même chose avec le matériel chinois. Pour certaines activités, pas de problème. Pour d’autres… » C'est d'ailleurs un point qui avait poussé à la création d'un « Cloud souverain » il y a maintenant deux ans. Il ajoute que « personne ne sait vraiment ce qui se passe en ligne », reprenant ainsi un message que veut faire passer le film Sex Tape.

 

Le SGDN (Secrétariat Général de la Défense et de la Sécurité Nationale) vient d'ailleurs de publier un article - Vers une souveraineté numérique - abondant en ce sens : « les révélations d’Edward Snowden ont montré avec quel raffinement des agences de renseignement pratiquent l’espionnage technique en piégeant des matériels ou des logiciels informatiques du commerce ».

 

Afin de répondre à cette « menace majeure », le gouvernement développe « une offre nationale dans le domaine de la sécurité des systèmes d’information ». Le SGDN ajoute que « s’il est illusoire de vouloir redévelopper les composants des infrastructures qui portent le cyberespace, il est possible de se fixer pour objectif de maîtriser certaines technologies, comme les moyens de chiffrement, les sondes de détection d’attaque et certains équipements présents au cœur des réseaux de communication numérique ».

Quand on reparle du « Patriot Act à la Française »

Le thème en question nous replonge directement dans le fameux article 13 (devenu ensuite l'article 20) de la loi de programmation militaire adopté fin 2013. Pour rappel, il a pour but de créer un « Patriot Act à la Française ». Comment ? En ouvrant à de nombreuses administrations le droit de communication sur tous les « documents » et « informations » qui transitent via les opérateurs, ce qui va largement au-delà des simples métadonnées. Une puissance intrusive qui n’est pas sans soulever quelques questions, notamment après les affaires liées à la NSA.

 

Pour Allain Juillet, une solution intéressante pourrait être mise en place en suivant l'exemple d'un pays : « il faudrait créer davantage de liens entre les start-up et l’État. Comme peut le faire Israël : leurs jeunes experts font leur service militaire dans les services cyberdéfense ou cyberattaque de l’armée, puis ils financent ceux qui veulent monter leur start-up ». Reste qu'avec la journée citoyenne ce n'est pas gagné... et même à l'époque du service militaire, les compétences informatiques des jeunes n'étaient que trop rarement exploitées à leur juste valeur.

L'accord « safe harbor » avec les États-Unis remis en question

Concernant les citoyens, leur vie ainsi que leurs données privées des actions sont également menées. Il est ainsi question de « renégocier l’accord dit « safe harbor » entre I’UE et les Etats-Unis qui n’offre pas de garanties suffisantes en matière de protection des données lorsque celles-ci sont envoyées à des sociétés privées américaines ».

 

Un point de vue que partage également Andrus Ansip, futur commissaire européen au marché numérique. En effet, EurActiv rapporte que lors de son audition du 6 octobre, il tenait le discours suivant : « nous devons protéger la vie privée de chacun. La protection des données constituera une des clés de voûte du marché numérique. Les citoyens doivent avoir confiance en ce projet  ». De fait, il n'exclut pas de suspendre l'accord sur la sphère de sécurité (safe harbor) avec les États-Unis : « La sphère de sécurité n'est pas sûre. L'accord n'est pas à la hauteur de ses ambitions » indique-t-il.

 

Mais ce n'est pas la seule voix provenant du parlement, on se souviendra que Věra Jourová, commissaire à la justice, tenait le même discours dans sa lettre de mission publiée début septembre. Si l'on remonte un peu plus loin, c'était une partie du Parlement européen qui remettait en question le « safe harbor ». 

Defnet 2014 : La France vient de réaliser un exercice de cyberattaque

Mais la protection des services informatiques et des données personnelles n'est pas le seul angle à prendre en compte dans cette « Cyberguerre ». En effet, une cyberattaque peut également être mise en place par un pays contre un ennemi par exemple, ou à des fins de surveillance. Le cas de la NSA est d'ailleurs emblématique.

 

La France n'est pas en reste dans ce domaine et vient de terminer un exercice interarmées : Defnet 2014. Le ministère de la Defense explique que « l’exercice Defnet est, le premier du genre, est particulièrement innovant de par son caractère global. Il permet d’entraîner nos forces spécialisées depuis le niveau le plus bas jusqu’au niveau du commandement des opérations cyber ».

 

Defnet 2014

 

On apprend également que les objectifs sont à double sens : « d’une part, dans ses aspects opérationnels, qui sont d’entraîner les joueurs à la gestion de crise cyber et au déploiement de groupes d’intervention rapide (GIR) cyber ». D'autre part, il est aussi question « d'éprouver un modèle d’exercice reproductible dans le cadre de formations et de préparer les exercices à venir ».

 

Il est possible de revivre le Defnet 2014 via le compte @Defense_gouv avec le hasthag #Defnet2014. S'il s'agit là d'un premier excercice d'envergure, il ne restera pas orphelin bien longtemps puisque Defnet 2015 est d'ores et déjà annoncé pour... mars de l'année prochaine, soit dans cinq mois seulement.

La France « dispose aujourd’hui de capacités offensives »

De son côté, Arnaud Coustillière contre-amiral et officier général à la Cyberdéfense, a répondu aux questions de 01Net sur cet exercice grandeur nature. Mais avant d'entrer dans le vif du sujet, sachez qu'il rejoint lui aussi le constat évoqué plus haut et qui semble partagé par tout le monde : « pas une semaine ne passe sans qu’on ne parle d’une grosse attaque informatique ou d’une importante affaire de cyberespionnage ». Il ajoute ensuite que « de plus en plus de nations développent ces capacités offensives. Celles-ci font désormais partie des nouveaux systèmes d’armes que chaque grand pays veut posséder. C’est le cas notamment de l’Iran ou de la Corée du nord ».

 

Concernant la France, l'officier ne cache pas que le pays « dispose aujourd’hui de capacités offensives. C’est revendiqué, c’est écrit dans le Livre blanc sur la défense et la sécurité nationale ». Avant de continuer de plus belle : « nous utiliserons ces capacités de la même façon que les armées. À partir du moment où nous mènerons des opérations militaires autorisées dans tel cadre contre tel type d’ennemi, nous utiliserons aussi ces capacités ».

 

Mais comment se place la France vis-à-vis des États-Unis ? Sans grande surprise, la NSA a largement plus de moyens (l'affaire Prism en est un parfait exemple) tout en disposant d'une plus large « suprématie dans le cyberespace ». Il ajoute par contre que, « si l’on regarde nos alliés européens, les capacités sont tout à fait comparables et nous n’avons absolument pas à rougir ». Rien n'est prévu au niveau européen pour le moment.

Guerre cyber bouton monde
Crédits : cherezoff/iStock/ThinkStock

Un nouveau bâtiment pour la DGA/MI : un « laboratoire P4 » dédié au cyber monde

Mais au-delà des simulations d'attaque et de défense, la France vient de commencer la construction du nouveau bâtiment de « très haute sécurité » de DGA/MI (Direction Générale de l'Armement Maitrise de l'Information, anciennement CELAR) de 10 000 m² à Bruz en Ille-et-Vilaine.

 

Il est destiné à accueillir des activités de types « expertise technique » sur des plateformes nécessitant un haut niveau de sécurité et de cloisonnement. En rapport avec les laboratoires de recherche sur les virus les plus dangereux du monde (Ebola et Variole par exemple), le ministère de la Défense le compare à un « laboratoire P4 », mais dédié au monde du « cyber ».

 

Son rayon d'action est donc relativement large. Selon le ministère de la Défense, il concerne les points suivants :

  • Architecture et ingénierie des systèmes
  • Expertise et évaluation de l'utilisation du spectre des fréquences et des réseaux télécoms
  • Spécification, évaluation et validation des systèmes de commandement et de communication
  • Spécification et évaluation des systèmes de renseignement (capteurs spatiaux, drones…)
  • Évaluation de la sécurité des systèmes d'information, conception et évaluation de produits de sécurité
  • Évaluation des performances de systèmes d'armes, de guerre électronique et de guerre optronique
  • Expertise et évaluation des systèmes de missiles tactiques et stratégiques
  • Expertise de composants électroniques spécifiques pour la défense

Comme le rappel la SGDSN, « le numérique offre de formidables opportunités. Il expose également à des risques de grandes ampleurs qui touchent les individus, les entreprises et les États et limitent leur autonomie ». Si l’on met bout à bout l'exercice Defnet 2014, la mise en place de son nouveau centre technique ainsi que la mise en œuvre des articles phares de la loi de programmation militaire, le message qui veut être diffusé est clair : la France est prête, ou du moins se prépare, et elle veut le faire savoir. Néanmoins, cela ne devrait pas être suffisant pour ébranler la suprématie des États-Unis dans ce domaine... 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Et si le piratage de JPMorgan n'était que la partie visible de l'Iceberg ?

Quid de la sécurité des entreprises ?

Le cas du matériel étranger (américain/chinois) et la grande question du « Cloud »

Quand on reparle du « Patriot Act à la Française »

L'accord « safe harbor » avec les États-Unis remis en question

Defnet 2014 : La France vient de réaliser un exercice de cyberattaque

La France « dispose aujourd’hui de capacités offensives »

Un nouveau bâtiment pour la DGA/MI : un « laboratoire P4 » dédié au cyber monde

Commentaires (37)


Actu top bien <img data-src=" />


Article intéressant.&nbsp;


Comment savoir si la cyberguerre a débuté ? Une guerre avant se déclarait entre deux états, maintenant ce n’est plus le cas. Qu’est ce qu’une cyberguerre ? Est ce que c’est lorsqu’un groupe s’en prend a des intérêts nationaux ? On a l’impression que c’est déjà le cas depuis plusieurs années.

Etant donné que les cibles sont multiples (une grosse entreprise suffit), des moyens modestes peuvent faire de gros dégats et chacun peut la débuter avec un simple PC et quelques connaissances certainement déjà dispo quelque part dans le web

Pas de début, pas de fin, pas d’images visibles dans les JT…

&nbsp;


Et pendant ce temps,au lab P4 :



Responsable de service&nbsp; : “Technicien Guignol, pourquoi tu es dans mon service ?!

Guignol : “Chef, pour protéger les serveurs, chef !”

Responsable de service : “Donc tu es un administrateur ?!”

Guignol : “Chef, oui, chef !”

Responsable de service : “Fais moi voir ta gueule d’admin !”

Guignol : “Chef ?”

Responsable de service : “T’as une gueule d’admin ? Aaaaarrrrrrrhhh ! Ça c’est une gueule d’administrateur ! Là fais-moi voir ta gueule !”

Guignol : “Aaaaargghhh !”

Responsable de service : “Mon cul ! Autant dire que tu m’as pas convaincu ! Fais moi voir ta vraie gueule d’administrateur !”

Guignol : “Aaaaaaaaaargghhh !”

Responsable de service : “Tu m’fais pas peur ! Travaille moi ça !”

Guignol : “Chef, oui, chef !”


&nbsp;&gt;&nbsp;l’exercice&nbsp;Defnetest, le premier du genre …



&nbsp;Encore un truc à se jeter par la fenêtre



&nbsp;&gt;&nbsp;Son rayon d’action est donc relativement large. Selon le ministère de la Défense, il concerne les points suivants …



&nbsp;- titre d’un bouquin sur l’ingénierie&nbsp;informatique.

&nbsp;-&nbsp;intitulé&nbsp;d’un rapport de thèse qu’a l’air compliqué

&nbsp;- description fourretout trouvée sur un cahier des charges de SSII

&nbsp;- jeté aléatoire de buzzwords et autres termes high-tech




  • etc.

    &nbsp;

    Toi aussi ajoute tes cyberdisciplines de sécurité. Allez je me lance:

    &nbsp;

  • audit et qualification des surfaces d’exposition aux vecteurs d’attaques

  • vérification et validation des signaux multi-fréquences à usage stratégique

  • rétro-ingénierie des moyens techniques d’intrusion &nbsp;et d’interception



    &nbsp;<img data-src=" />&nbsp;


Article très INtéressant !


Le Papa du DPI n’a-t-il pas prévu la Cyberwar pour 2015, comme si ça venait des hackers-terroristes, je dirais que ce sont les gouvernements dirigés par qui vous savez qui mène la barque en bafouillant toutes les lois, soi-disant pour la sécurité, c’est du joli



C’est gentil de dire de se protéger, mais se sont les premiers à casser les protections



Si on promouvait le cryptage sécurisé, les choses seraient moins néfastes, mais pour pouvoir contrôler, il ne faut pas généraliser le cryptage, hein ? (après on s’étonne que la liberté n’en est pas, tous des numéros à IP contrôlée. Un retour de bâton pour les droits de l’homme, je ne cautionne pas les pirates ou hackers néfastes, mais défendre nos droits,c’est ce qu’ont fait les centaines de personnes durant les guerres, quelles qu’elles soient).



un avis personnel, cela dit


« tout ce qui passe par des systèmes d’origine américaine peut être

intercepté. C’est la même chose avec le matériel chinois. Pour

certaines activités, pas de problème. Pour d’autres… »



AMHA : Carabistouilles .. ça ne se cantonne pas aux américains et aux chinois&nbsp;

Peu importe la provenance , on est toujours obligé de mettre des points de trace d’entrée et sortie dans tous les hardwares à la conception. Et on les laisse pour des raisons de debugging&nbsp;

C’est valable dans les CPU, dans les chips réseaux ou ceux d’entrée/sortie peu importe la nationalité.



&nbsp;

Très bon article&nbsp;<img data-src=" />

&nbsp;&nbsp;

Merci




Reste qu’avec la journée citoyenne ce n’est pas gagné… et même à l’époque du service militaire, les compétences informatiques des jeunes n’étaient que trop rarement exploitées&nbsp;à leur juste valeur.

Faut relativiser un peu quand même, le service militaire a été abrogé en 1997, c’était la fin de la grande époque du minitel&nbsp;<img data-src=" />


&nbsp;Ça va être bien drôle dans les années à venir ^^



Leur exercice à déjà l’air bidon et est totalement inutile face à des moyens de guerre modernes que je ne citerai pas là.








zicklon a écrit :



&nbsp;Ça va être bien drôle dans les années à venir ^^



Leur exercice à déjà l’air bidon et est totalement inutile face à des moyens de guerre modernes que je ne citerai pas là.





Et pourquoi ça ? <img data-src=" />









DarKCallistO a écrit :



Et pendant ce temps,au lab P4 :



Responsable de service&nbsp; : “Technicien Guignol, pourquoi tu es dans mon service ?!

Guignol : “Chef, pour protéger les serveurs, chef !”

Responsable de service : “Donc tu es un administrateur ?!”

Guignol : “Chef, oui, chef !”

Responsable de service : “Fais moi voir ta gueule d’admin !”

Guignol : “Chef ?”

Responsable de service : “T’as une gueule d’admin ? Aaaaarrrrrrrhhh ! Ça c’est une gueule d’administrateur ! Là fais-moi voir ta gueule !”

Guignol : “Aaaaargghhh !”

Responsable de service : “Mon cul ! Autant dire que tu m’as pas convaincu ! Fais moi voir ta vraie gueule d’administrateur !”

Guignol : “Aaaaaaaaaargghhh !”

Responsable de service : “Tu m’fais pas peur ! Travaille moi ça !”

Guignol : “Chef, oui, chef !”





Que de poésie, la belle époque “Full Metal Telnet” ou encore “Full Metal Usenet”



Tout se perd ma pov’ Lucette … <img data-src=" />









2show7 a écrit :



Le Papa du DPI n’a-t-il pas prévu la Cyberwar pour 2015, comme si ça venait des hackers-terroristes, je dirais que ce sont les gouvernements dirigés par qui vous savez qui mène la barque en bafouillant toutes les lois, soi-disant pour la sécurité, c’est du joli



C’est gentil de dire de se protéger, mais se sont les premiers à casser les protections



Si on promouvait le cryptage sécurisé, les choses seraient moins néfastes, mais pour pouvoir contrôler, il ne faut pas généraliser le cryptage, hein ? (après on s’étonne que la liberté n’en est pas, tous des numéros à IP contrôlée. Un retour de bâton pour les droits de l’homme, je ne cautionne pas les pirates ou hackers néfastes, mais défendre nos droits,c’est ce qu’ont fait les centaines de personnes durant les guerres, quelles qu’elles soient).



un avis personnel, cela dit





Le bot est cassé dans la v6, il est encore plus incompréhensible que dans la v5 !



Pendant ce temps là, ulcan agit en tout impunité <img data-src=" />


Vous avez aussi des sigles chinois en lieu et place des guillemets sur les coms, ainsi que sur les choix de présentation de la page??? Je subis une cyberattaque?


C’est le genre de service qui avance mais avec un temps de retard.<img data-src=" />



A moins d’embaucher d’anciens pirates en informatique, je ne vois pas bien des fonctionnaires atteindre le même niveau, surtout de 8h00 à 17h00 du lundi au vendredi … alors que le délinquant a tout intérêt à progresser très vite, en changeant continuellement de stratégie. <img data-src=" />








DarKCallistO a écrit :



Et pendant ce temps,au lab P4 :



Responsable de service&nbsp; : “Technicien Guignol, pourquoi tu es dans mon service ?!

Guignol : “Chef, pour protéger les serveurs, chef !”

Responsable de service : “Donc tu es un administrateur ?!”

Guignol : “Chef, oui, chef !”

Responsable de service : “Fais moi voir ta gueule d’admin !”

Guignol : “Chef ?”

Responsable de service : “T’as une gueule d’admin ? Aaaaarrrrrrrhhh ! Ça c’est une gueule d’administrateur ! Là fais-moi voir ta gueule !”

Guignol : “Aaaaargghhh !”

Responsable de service : “Mon cul ! Autant dire que tu m’as pas convaincu ! Fais moi voir ta vraie gueule d’administrateur !”

Guignol : “Aaaaaaaaaargghhh !”

Responsable de service : “Tu m’fais pas peur ! Travaille moi ça !”

Guignol : “Chef, oui, chef !”











Yutani a écrit :



Que de poésie, la belle époque “Full Metal Telnet” ou encore “Full Metal Usenet”





Okay, j’ai souri <img data-src=" />









coket a écrit :



Vous avez aussi des sigles chinois en lieu et place des guillemets sur les coms, ainsi que sur les choix de présentation de la page??? Je subis une cyberattaque?



Oui, oui, cyberattaque. On a bien droit à des pages qui clignotent&nbsp;maintenant&nbsp;<img data-src=" />

Au moins avec des écrans 3270 c’était réactif..









SuperGreen13 a écrit :



Pendant ce temps là, ulcan agit en tout impunité <img data-src=" />





Haha ! Ulcan est pas près de faire tomber Next Inpact !&nbsp;<img data-src=" />



”… mais parce qu’elle prouve qu’il n’y a quasiment aucune base de données qui ne peut être attaquée par des cybercriminels »,



“pas la peine d’en rajouter” !!!

(comme : Pub. Bordeaux Chénel)



&nbsp;https://www.youtube.com/watch?v=0QEiSz8uc3s


la reaction de jp morgan me rappelle celle de sony ou adobe au debut : “un cyber atack, nan pensez donc, juste une carabistoille faite avec 2-3 kiddy scripts”. On a vu ce que ça donne après, moi je serais client chez eux, je me barre direct.


Un ordinateur est un objet. Celui qui le manipule un humain. Tous les deux peuvent détruits par balle ou par bombe. Il se vendra toujours plus d’armes. La cyber-guerre sera la plupart du temps invisible, sauf si elle touche notre quotidien avec les systèmes d’énergie.

On verra même pas les méchants robots si ça se trouve…


En effet il faudrait que l’état s’occupe plus des start ups mais il ne s’intéresse qu’aux grandes entreprises. Et quant il s’y intéresse c’est pour les voler au profit des plus gros, comme raconté dans cet article.








coket a écrit :



Vous avez aussi des sigles chinois en lieu et place des guillemets sur les coms, ainsi que sur les choix de présentation de la page??? Je subis une cyberattaque?






  Si tu es en https, autorise le domaine http://www.pcinpact.com...


Cela fait vraiment suer que tout l’Internet soit devenu -aussi- un champ de bataille.



Devant ce fait accompli, nous, e-pékins moyens, nous trouvons maintenant face à un dilemme (et non face à un choix, car le choix ne commence à exister qu’avec 3 possibilités minimum) que résume bien l’adage “damned if you do, damned if you don’t” : soit on s’y met sérieusement au niveau national et on va alors contribuer au gangrènement d’internet par la surveillance généralisée et l’intervention intrusive en loucedé, soit on s’abstient et on se fait pourrir la vie online et dévaliser les BDD de valeur par tous les e-bandits plus ou moins étatiques et/ou méchants qui ne respectent plus rien.



Je hais les dilemmes.



&nbsp;Mais j’apprécie cette news.








picoteras a écrit :



Cela fait vraiment suer que tout l’Internet soit devenu -aussi- un champ de bataille.



Devant ce fait accompli, nous, e-pékins moyens, nous trouvons maintenant face à un dilemme (et non face à un choix, car le choix ne commence à exister qu’avec 3 possibilités minimum) que résume bien l’adage “damned if you do, damned if you don’t” : soit on s’y met sérieusement au niveau national et on va alors contribuer au gangrènement d’internet par la surveillance généralisée et l’intervention intrusive en loucedé, soit on s’abstient et on se fait pourrir la vie online et dévaliser les BDD de valeur par tous les e-bandits plus ou moins étatiques et/ou méchants qui ne respectent plus rien.



Je hais les dilemmes.



&nbsp;Mais j’apprécie cette news.





Bien dit, je pensais la même chose en lisant cette news.

&nbsp;

Mais il ne faut jamais être totalement négatif pour autant, au lieu de faire la loi de la programmation militaire il aurait du obliger les moyennes et grosses entreprises d’avoir une sécurité renforcé comme c’est le cas en Allemagne où des tests de piratages sont effectués sur les installations les plus vitales ( centrales d’eau etc…).

&nbsp;

Il est repensé totalement sur le fond :




  • le fonctionnement des infrastructures tels que la secrétaire est-elle dans un environnement accessible et facilement piratable ?

  • La façon dont les communications internes s’effectuent

  • Jusqu’a changer l’emplacement des serveurs, et à restreindre les accès physique au bureau et machine.



    Reste un problème de taille, la sécurité informatique ?

    Très peu connaissent car “c’est un problème de geek” sauf quand il vient perturber la confiance dans l’entreprise et la stabilité de celle ci et c’est la que l’ont vient demander des comptes aux admins…

    &nbsp;









coket a écrit :



Vous avez aussi des sigles chinois en lieu et place des guillemets sur les coms, ainsi que sur les choix de présentation de la page??? Je subis une cyberattaque?



Ce n’est pas une cyberattaque, c’est la V6 qui galère. <img data-src=" /> (moi, j’ai ce problème sous Opera 12.17, mais certains l’ont avec d’autres navigateurs [cf. le topic dédié aux bugs de la V6 sur le forum]).









Z-os a écrit :



Oui, oui, cyberattaque. On a bien droit à des pages qui clignotent&nbsp;maintenant&nbsp;<img data-src=" />

Au moins avec des écrans 3270 c’était réactif..





+100



un bon RACF derriere et ca devient plus dur les attaques









Linuxation a écrit :



C’est le genre de service qui avance mais avec un temps de retard.<img data-src=" />



A moins d’embaucher d’anciens pirates en informatique, je ne vois pas bien des fonctionnaires atteindre le même niveau, surtout de 8h00 à 17h00 du lundi au vendredi … alors que le délinquant a tout intérêt à progresser très vite, en changeant continuellement de stratégie. <img data-src=" />





Fonctionnaires ?

Encore un qui confond l’armée avec le guichetier de la préfecture… <img data-src=" />



Sinon bon article <img data-src=" />









trash54 a écrit :



+100



un bon RACF derriere et ca devient plus dur les attaques





exactement et en mode&nbsp; “protectall”

<img data-src=" />



En attendant que les serveurs de la NSA se fassent pirater….


On apprends pas grand chose … Si, la défense se met un peut plus sérieusement aux techniques de hack !

Super !

J’y ai vu des stagiaires croire qu’avec une distrib redhat et un iptable de base ils pouvaient garder la baraque du mindef … J’ai bien ri.

Ou encore une fraichement nommée RSSI croire que son checkpoint fw1 était le cerbère ultime.



On passe tout ce qu’on veut dans http, icmp,SMTP etc : en l’État actuel des technos on ne peut rien sécuriser .

Quand on passera en ipv6. J’accepeterai peut être le challenge RSSI, mais là lol quoi !



Écoutez Éric filliol il résume tout.

Alors mon Amiral, avec tout le respect, vous me faites sourire, les ricains et les autres doivent bien se marrer….

&nbsp;


Autre détail : on a le nom et la photo du dirtech de la DGSE française, moi je dis juste : bien vu.


Bon y a plus qu’à apprendre le russe et le chinois, juste pathétique.



Il y a un excellent article sur les faiblesses de la France lors de la guerre de 7 ans dans guerre et histoire, aujourd’hui rien n’a changé…


Ils recrutent?








Linuxation a écrit :



C’est le genre de service qui avance mais avec un temps de retard.<img data-src=" />



A moins d’embaucher d’anciens pirates en informatique, je ne vois pas bien des fonctionnaires atteindre le même niveau, surtout de 8h00 à 17h00 du lundi au vendredi … alors que le délinquant a tout intérêt à progresser très vite, en changeant continuellement de stratégie. <img data-src=" />





J’ai bossé dans la FP en informatique, 10h/jour sans majoration ni récupération et souvent sans pause repas, rayon d’action de 300 km pour 15% de moins que dans le privée. C’est clair faut être motivé…









ledufakademy a écrit :



On apprends pas grand chose … Si, la défense se met un peut plus sérieusement aux techniques de hack !

Super !



Écoutez Éric filliol il résume tout.

Alors mon Amiral, avec tout le respect, vous me faites sourire, les ricains et les autres doivent bien se marrer….





Ce n’est pas d’hier que la Défense, du moins les services secrets, ont des capacités d’intrusion et s’intéressent à la protection, la DST déjà à la fin des années 90 qui passait dans certaines grandes entreprises s’occupant de domaines sensibles comme les cartes à puce.

Les services français, hormis les moyens financiers, n’ont probablement rien à envier en terme de compétences en sécurité ; et ça vaut pour d’autres services européens bien sûr.&nbsp; C’est d’ailleurs dit dans l’article.







ledufakademy a écrit :



Autre détail : on a le nom et la photo du dirtech de la DGSE française, moi je dis juste : bien vu.





A ce niveau-là, ça n’a rien de secret.

&nbsp;