Cybersécurité : un territoire à défendre, dénué de frontières selon l’ANSSI

Cybersécurité : un territoire à défendre, dénué de frontières selon l’ANSSI

Lille aux trésors

Avatar de l'auteur
Marc Rees

Publié dans

Internet

23/01/2019 10 minutes
10

Cybersécurité : un territoire à défendre, dénué de frontières selon l’ANSSI

Au FIC 2019 à Lille, Laurent Nuñez, secrétaire d’État auprès du ministère de l’Intérieur a dressé un rapide bilan des questions cyber. « 2018 s’est achevé avec un haut niveau de cyberattaques » a assuré le représentant de l’exécutif. L’année fut riche aussi bien en France qu’en Europe, et les attentes pour 2019 désormais nombreuses en Europe et à l’ANSSI.

Des fuites de sécurité qui auraient concerné une personne sur 12. Un darkweb « qui ne peut rester un espace de non droit », des pluies de « fake news », manipulant les opinions, à l’approche de l’échéance européenne… « Les dangers des territoires numériques affectent la vie réelle » assène le secrétaire d’État alors qu’« exercer ses libertés exige un espace sûr ».

Après le froid, le chaud : Nuñez a salué sur la scène principale du Forum international sur la cybersécurité (FIC) différentes initiatives comme la plateforme Perceval qui permet aux victimes de fraudes à la carte bancaire d’agir en ligne. « Elle simplifie les démarches tout en apportant une vue plus complète des fraudes. » La masse des signalements en six mois représenterait quelque 33 millions d’euros. 55 enquêtes judiciaires ont déjà permis l’identification d’une trentaine d’auteurs.

La plateforme Acyma d’assistance aux victimes peut pour sa part s’enorgueillir d’avoir accueilli 28 000 victimes, redirigées vers 1 600 prestataires, toujours d’après les chiffres officiels déroulés hier. Enfin, chez les plus jeunes, le permis Internet a permis de sensibiliser 1,5 million d’enfants l’an passé.

La menace terroriste et la proposition de règlement

Sur le champ de la lutte antiterroriste, le représentant de l’Intérieur assure que cette menace « continue de se propager sur Internet, certes de manière moins importante qu’en 2013-2015 ». Un discours que partagera quelques instants plus tard Julian King, commissaire européenne à la sécurité.

Toutes les attentions sont tournées sur la proposition de règlement dévoilée en septembre dernier par la Commission européenne. Le texte, analysé ligne par ligne dans nos colonnes, espère un retrait en moins d’une heure des contenus épinglés chez les hébergeurs et prestataires de cloud.

« Des efforts ont été faits par les grandes plateformes, mais beaucoup ne jouent pas encore le jeu. » De ce constat, partagé là encore par la Commission européenne, la France plaide pour une adoption rapide d’un tel véhicule législatif.

Paris plaide pour une obligation de retrait universelle

Paris pense déjà au coup d’après : « Nous voulons étendre cette obligation de retrait en cas de diffusion de contenus haineux en ligne ». Nuñez veut ainsi universaliser cette obligation de retrait ultrarapide, concédant que la qualification des contenus haineux par les intermédiaires techniques prendra plus de temps qu’un contenu « terroriste ».

Le rapport corédigé par la députée Laetitia Avia recommande à ce titre de contraindre les YouTube, Facebook et autres Twitter de retirer ces contenus en 24 heures, non une heure.

D’autres enjeux ont été soulignés comme les réflexions en interministériel sur l’identité numérique, en collaboration avec les ministères de la Justice, de l’Intérieur et Bercy.

Toujours sur le terrain cyber, le budget de la DGSI devait d’ailleurs augmenter en 2019 de 20 millions pour permettre le développement de nouvelles techniques d’investigation. Des techniques qui devront certes s’accorder avec la loi renseignement, mais sans trop de mal puisque celle-ci offre d’amples capacités juridiques.

Au niveau de l’UE : résilience, dissuasion et coopération internationale

Également présent au FIC, Julian King, commissaire européen à la sécurité, a défini les trois piliers qui pilotent actuellement la stratégie cyber à ce niveau : résilience, dissuasion et coopération internationale.

« Nous voulons créer une véritable agence européenne pour la cybersécurité qui contribuera à la mise au point d’un nouveau système de certification à cette échelle pour renforcer la sécurité des services en ligne et des grands équipements » déclare King. Cette agence, très sûrement l'ENISA, sera chargée de coordonner les réactions en cas d’incidents de grande ampleur. « Nous avons aussi proposé un réseau de centres de compétences et de recherches en cyber. »

Sur le passé récent, l’année 2018 a été marquée par la fin du délai de transposition de la directive NIS et l’entrée en application du Règlement général sur la protection des données (RGPD). « Deux textes importants pour une approche plus efficace et mieux coordonnée de la cybersécurité. Aux États membres maintenant de les mettre en œuvre de manière rapide et efficace. »

Julian King
Crédits : Marc Rees (licence: CC by SA 4.0)

« Nous avons également pris des mesures importantes en matière de dissuasion à l’encontre de ceux qui envisagent des cyberattaques. Les services répressifs ont besoin d’aides pour trouver et identifier leurs auteurs. » Ce travail est confié à Europol et son centre Cyber, calibré pour coopérer et partager l’expertise au niveau européen.

Certains États membres sont encore accusés d’être à la traine. Le commissaire européen ne désespère pas de pouvoir travailler avec eux afin d’élever leur niveau. À l’instar de Paris, « nous voulons aussi améliorer l’accès des services juridiques et répressifs aux preuves numériques y compris lorsque ces preuves sont localisées d’autres pays », et donc hors UE. Le texte sera le miroir du Cloud Act américain.

Enfin, le représentant de l’institution bruxelloise a brandi la menace d’une action législative pour lutter contre la manipulation de l’information, en particulier à l’occasion des étapes démocratiques que sont les élections européennes de 2019.

« Il faut de toute urgence des améliorations s’agissant des publicités en lignes, de la transparence des contenus sponsorisés, de l’identification et la suppression rapide des faux comptes, outre des règles plus claires sur l’utilisation de robot. » Dans l’esprit du commissaire, il devrait y avoir un contrôle indépendant de ces différentes variables.

Pour l’ANSSI, la surface d’attaque cyber s’étend

Guillaume Poupard, numéro un de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), s’est évertué lui aussi à faire part de ses inquiétudes. La menace cyber serait d’autant plus importante que la surface d’attaque s’accroit.

Outre les technologies traditionnelles, les systèmes industriels, les plateformes, les objets connectés qui envahissent notre quotidien sont autant de leviers sur lesquels pèse le risque. Le contexte est complexe : « le territoire à défendre est dénué de frontières géographiques, politiques et parfois même techniques ».

Sur ce front, pas de doute, « les attaquants sont les plus agiles. On fait tout pour l’être autant, mais l’avantage est à l’attaque ». Qui ? « Des gens très organisés, probablement soutenus par des États, avec une détermination sans faille et des moyens importants. » Poupard ne pointera cependant aucun pays en particulier, les règles d’attribution étant toujours délicates.

« Il y a toujours des risques d’espionnage, des vols de propriété intellectuelle... Mais ce sur quoi nous sommes le plus préoccupés sont les attaques où on ne voit pas les objectifs. Il n’y a ni piratage, ni sabotage, mais pré-positionnement pour préparer les conflits numériques de demain. » Il va jusqu’à évoquer l’idée d’un « état d’urgence en termes de sécurité numérique ».

Guillaume Poupard ANSSI FIC 2019
Crédits : Marc Rees (licence: CC by SA 4.0)

Pas d’opposition entre sécurité et liberté

Loin des débats passés en particulier à l’occasion de la loi de programmation militaire (LPM) ou de la loi Renseignement, il réfute l’opposition entre protection des libertés et sécurité. « Cette manière de poser le débat est une grave erreur. […] Elle laisse entendre que les gens qui défendent les libertés sont du côté des malfaisants. » Sécurité et liberté ne doivent donc pas être opposés, « sinon on s’affaiblit ». Dans son esprit, « il faut au contraire penser la sécurité de manière globale en trouvant les bons équilibres ».

L’ANSSI vante à ce titre le modèle français, qui opère « tout en finesse » dans le peloton de tête des pays capables d’assumer sa cybersécurité. Au FIC, il annonce d’ailleurs la qualification de trois prestataires de détection (Orange, Sopra Steria et Sogeti) et comme Julian King, l’attention est portée sur l’UE avec le développement d’une certification européenne, et l’espoir d’être « envié dans le monde entier ».

« On promeut aussi l’idée qu’il n’y a pas d’un côté des gentils, de l’autre des méchants. La réalité est plus complexe. C’est l’esprit de l’Appel de Paris porté par Emmanuel Macron, qui appelle toutes les bonnes volontés à rejoindre l’idée que le cyberespace est un bien commun qui doit être sûr et stabilisé. » La doctrine française est celle de la dissuasion, où la France cherche à éviter l’escalade vers des attaques considérables.

Une confirmation des propos de la ministre des Armées, qui a esquissé vendredi dernier les nouvelles postures cyberdéfensives et offensives de ses services (voir notre analyse).

La LPM 2019-2025, une arme anti-frustration

« Plus on creuse, plus on s’aperçoit que le Cloud Act est inquiétant », estime Guillaume Poupard qui dénonce une application extraterritoriale des pouvoirs américains « insupportable ». Et l’ANSSI n’a pas l’intention « de se précipiter pour qualifier des solutions » qui tombent sous le coup de ce texte américain.

L’ANSSI se félicite en tout cas d’avoir vu l’ensemble des textes autour de la loi de programmation militaire enfin publiés. Ce dispositif lui offre la possibilité d’aller positionner des systèmes de détection chez les hébergeurs, autour de leurs serveurs.

« Aujourd’hui, nous avons une liste particulièrement frustrante d’adresses IP fournies par des partenaires français ou internationaux, ou qu’on obtient lors d’opérations. Nous savons que ces serveurs sont compromis et jusqu’à maintenant, nous n’avions pas la possibilité d’aller observer l’attaquant in vivo (…). Nous voulons observer, non les utilisateurs légitimes mais ces attaquants, les seuls dont on a envie de porter atteinte au secret des correspondances. »

L’attention sur les antennes 5G

L’intéressé s’est aussi attardé les réseaux 5G, aussi critiques que les réseaux d’énergie. « Ils posent des questions majeures en termes de maitrise des architectures. Cela pose des interrogations sur ce que l’on veut faire, sur les équipements qu’on accepte ou non ».

La Commission de l’article R226-2, que Poupard préside, a justement pour mission d’autoriser ou refuser la vente, l’achat, l’utilisation des équipements qui présenteraient des risques. Ce filtre permet ainsi de « garder la main », afin d’autoriser tel produit ici plutôt que là. Les antennes 5G seront les prochaines sur la liste afin d’éviter que des entités étrangères y placent par exemple des charges cyber en vue d’attaques futures. 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La menace terroriste et la proposition de règlement

Paris plaide pour une obligation de retrait universelle

Au niveau de l’UE : résilience, dissuasion et coopération internationale

Pour l’ANSSI, la surface d’attaque cyber s’étend

Pas d’opposition entre sécurité et liberté

La LPM 2019-2025, une arme anti-frustration

L’attention sur les antennes 5G

Commentaires (10)


Merci pour cet article qui permet de comprendre ce qui se passe sur ce salon !

Que signifie le terme “charges cyber”, qui pourraient se trouver sur les antennes 5G ?


J’imagine qu’il s’agit de code malveillant qui pourrait tourner sur les antennes 5G (pas les antennes en tant que telles bien sûr, mais l’informatique juste en-dessous qui en gère le trafic).


En plus de code de “surveillance” placé là et qui pourrait (on ne sais comment) remonter des informations aux espions, je pense aussi à un système de “kill-switch” qui, en cas de conflit grave (d’ordre militaire mais aussi économique) pourrait permettre à l’attaquant de couper d’un coup toute les communications 5G du pays (et déclenché par exemple par un téléphone de la même marque). Ceci dans le cadre d’un conflit entre états bien sur.


Un darkweb « qui ne peut rester un espace de non droit »



Heu…. pourquoi ?



Les gouvernements sont de plus en plus coercitifs , et en même temps refuse de laisser des soupapes de sécurité….



A moins de refaire le minitel, le darkweb existera toujours - ce n’est pas des “site” ou des “logiciels”, ce sont des ensemble de technologies diverses et variées.



Si pendant un temps, l’asynchronisme de l’ADSL et la faiblesse des débits comparé aux tailles des fichiers impliquait un hébergement chez un tiers, demain  le FTTH amènera des technologies innovantes de stéganographie et d’inviolabilité qui permettront la diffusion par tout un chacun de ce qu’il souhaite.



On peux le souhaiter ou le déplorer, mais en tout cas ça ne peux qu’arriver, autant l’accepter.

 


Merci pour cet élément sur le “kill-switch”. Je n’y avais pas pensé, mais il est vrai que si une entreprise unique prend la main sur des éléments essentiels du réseau, elle peut désorganiser un état très facilement.



La question est alors : quels pays fabriquent encore ce genre d’équipement sans importer de pièces chinoises ? Parce que si on veut devenir parano, autant le faire à fond.



Par rapport au darkweb, les gouvernement n’aiment pas les organisations parallèles sur lesquelles ils n’ont pas aucune visibilité. Tant qu’aucun attentat ne sera fomenté directement depuis des serveurs au darkweb (désolé si ce que je dis n’a pas grand sens), ils seront tranquilles. Mais un jour des terroristes auront acheté leurs armes via des sites confidentiels, et là l’état sera obligé d’agir contre ces structures clandestines.


C’est déjà le cas il y a déjà des luttes des états (principalement le FBI à ma connaissance) à cause du contenu pédo et surtout de la drogue vu la thune générée (dernier gros exemple en date: silkroad). Apparemment on peut aussi y acheter des armes qui transitent en pièces détachées voire des putes et des tueurs à gage mais à mon avis une certaine partie est fantasmée d’autant que ces sites ont l’air particulièrement cachés donc par définition peu accessibles au commun des darknetteurs.



A savoir que l’intérêt du darknet n’est pas aussi important que l’on pourrait le croire pour les états car de toute façon la fourniture d’armes, de moyens financiers et de moyens technologiques est déjà assurée par des mafia “classiques” notamment dans des pays où la frontière mafia/état est bien floue.








OB a écrit :



Un darkweb « qui ne peut rester un espace de non droit »



Heu…. pourquoi ?

 





J’aurais surtout tendance à dire que c’est un peu sa définition.

Si tout ce qui s’y passe est en pleine lumière, il perd de facto son qualificatif de “dark”.



L’extraterritorialité existe dans plusieurs domaines et ce n’est pas nouveau sur le sujet du cloud. Je ne comprends pas pourquoi ça devient “insupportable”. Ce n’est pas méconnaître ce qui se faisait avant ?



Est-ce Marc pourrait nous en dire plus sur le sujet Cloud Act et la présentation qui en a été donnée lors du FIC2019 ?



Merci ;)


Quand il y a trop de frontières on cyber


<img data-src=" />