Ce petit film est probablement le meilleur résumé de la question de la “Net Neutrality” et comment la question de l’investissement financier nécessaire pour faire fonctionner Internet risque de mettre en péril l’existence même du réseau. Ce n’est pas nouveau, comme Lawrence Lessig le démontre bien : au début de la presse d’imprimerie, le coût d’une presse était l’équivalent de 8 000 Euros d’aujourd’hui. 100 ans plus tard, pour imprimer un journal, il fallait déjà sortir 2 millions d’Euros. Cela réduisit déjà la possibilité pour les gens de s’exprimer… 100 ans plus tard la même chose se produisit avec la radio.

Aujourd’hui les opérateurs télécoms disent “les tuyeaux sont à nous, c’est nous qui décideons ce qui va circuler dedans”… mais contrairement à la télé ou la radio, ou la majorité des contenus sont fabriqués par les grands groupes, sur Internet plus de 60% des contenus sont fabriqués par les usagers eux mêmes. Pour les opérateurs, Internet doit devenir comme la télé…

Si vous êtes intéressé par traduire ce film en français, faites nous signe.

http://www.youtube.com/watch?v=JP_3WnJ42kw

[Bruno Kerouanton - 23/05/2008]

Ce billet est sans doute polémique. Je ne cherche pas à provoquer, mais il y a quand même des points sur lesquels j’ai des inquiétudes et qui méritent réflexion. Par coïncidence, la semaine dernière - une fois n’est pas coutume - je me suis retrouvé à regarder la télévision en pleine nuit, ne souhaitant pas dormir. Me voilà donc devant Arte à 1h30 du matin, face à une émission fort intéressante traitant avec force détails la raison pour laquelle peu de personnes même brillantes n’ont pas vu venir la seconde guerre mondiale, malgré ce que son instigateur avait pourtant marqué noir sur blanc. Tout était écrit… Mais vu que cet ouvrage est censuré dans de nombreux pays, difficile pour les historiens et les prospectivistes de faire correctement leur travail. De plus la veille j’avais vu l’excellent film La vie des autres, une histoire de la Stasi et de ses conséquences, ce qui a contribué à renforcer mon ressentiment.

La vision de ce documentaire ne m’a pas laissé indifférent, puisque je venais le soir même de prendre connaissance puis de lire en détail les différents appels d’offres de l’armée américaine concernant leur nouvel armageddon numérique, j’en parle plus loin. Je me risque en tout cas ici à faire un parallèle pouvant être discuté et critiqué : Le réarmement massif de Berlin en 1936 a laissé beaucoup de monde indifférent. Et pourtant de nombreux pays se réarment en ce moment - ce qui ne semble manifestement pas être le cas de la France, soit dit en passant. Tout comme la Chine qui connaît un accroissement phénoménal de ses forces armées depuis quelques années et qui inquiète sincèrement Washington depuis 2007, l’armée américaine continue à s’équiper en technologies de toutes nature.

Sur le plan qui m’intéresse plus particulièrement, à savoir la guerre numérique, les travaux de recherche et d’équipement vont bon train. Le Pentagone avait déjà créé en 2006 une branche de son armée de l’air spécialisée dans les combats numériques, le Cyber-Command, mais depuis peu les chantiers avancent à grand pas. Tiens, vous pouvez même directement aller zieuter leur site pour juger.

En tout cas, quatre évènement ont défrayé la chronique ces dernières semaines : La déclaration du secrétaire du Homeland Security Department au sujet du projet Cyber-Manhattan, un article paru dans la presse militaire faisant état du souhait de l’armée américaine de s’équiper d’un botnet militaire, un appel d’offres concernant l’étude et la mise en place d’une telle arme, et un second appel d’offres concernant la mise en place d’un simulateur de batailles numériques Internet.

1. Lancement du projet Cyber-Manhattan

Les mauvaises langues soutiendront que c’est peut-être dans le but d’intoxiquer les ennemis que l’information est publique, mais Michael Chertoff, secrétaire du Homeland Security Department - organisme chargé notamment de protéger les infrastructures nationales critiques depuis le 11 septembre - a bel et bien déclaré que le Gouvernement américain avait lancé un chantier de grande envergure (probablement aussi important que le projet Manhattan concernant la mise au point en secret de la bombe atomique). Le Congrès ayant validé un budget de 150M$ pour 2008 qui sera porté à 192M$ en 2009. Ce n’est donc à priori pas de l’intoxication ! D’ailleurs le Department of Homeland Security a publié les informations correspondantes ici, on y parle notamment d’exercices de bataille numérique (CyberStorm II), de détection des attaques (programme Einstein) etc… Instructif ! Le plus intéressant est le budget global que le Gouvernement américain consacre à la sécurité des systèmes d’information … 7.2 milliards de dollars pour 2008, et 6.6 milliards pour 2009. Et oui, tout ça !

A titre anecdotique, la NSA est partie prenante dans ce projet, puisque depuis janvier dernier, sur ordre de G. Bush, elle effectue la mise sous surveillance de la totalité des systèmes gouvernementaux, ainsi que de toutes les requêtes des moteurs de recherche, dont bien évidemment Google et les autres principaux (ils sont américains, je vous rappelle au cas ou vous l’auriez oublié !). Tout cela pour prévenir des attaques terroristes paraît-il.

2. L’article du Colonel Charles W. Williamson III

Ca, j’en ai parlé dans mon dernier billet. La revue Armed Forces Journal fait état des vues apocalyptiques d’un colonel américain, qui déclare entre deux idées délirantes qu’il faut que l’Amérique se dote d’un botnet militaire. L’article en question vaut son pesant de cacahuètes, et a provoqué nombre de réactions. Notons en synthèse que cet homme souhaite déployer un super réseau d’ordinateurs sous-contrôle de l’armée pour pouvoir lancer des attaques défensives et offensives. Idée totalement farfelue du moins sous la forme exprimée dans l’article. TaoSecurity reprend quelques points et les démonte totalement ; je partage ce point de vue en totalité !

Le plus amusant est la fin de l’article, ou il explique aux sceptiques sa vision des choses… c’est tellement bon que je vous en livre quelques passages, (vous verrez, ça déménage !) :

- Nos ennemis sauront que c’est l’Amerique qui les ont attaqués ?

- Précisément ! Nous voulons que nos adversaires potentiels sachent que cette arme fonctionne et qu’elle sera utilisée lorsque nécessaire. En pratique, nous devrons faire des démonstrations en réel sur Internet afin de montrer des signaux que les services de renseignement étrangers pourront observer. Bien entendu nous ferons cela sans leur dévoiler nos vrais secrets.

- Nous pourrions tuer quelqu’un dans un hôpital ou arrêter des système de secours critiques ?

- Le risque d’occurence est faible. Ces services ont déjà des plans de secours en cas d’urgence, y compris en cas de coupures d’électricité et de communication qui seraient provoquées en cas de déni de service. De plus, la préparation des attaques ciblées pourra se faire comme dans le monde physique en évitant certaines cibles critiques.

- Les attaques par force brute ne sont pas élégantes !

- Qui s’en soucie ? Les USA ont réussi des bombardements massifs contre les Talibans en Afghanistan. Toutes les bombes n’ont pas besoin d’être guidées au laser. L’attaque par force brute est élégante en soi.

- On devra donc lancer une nouvelle course aux armements ?

- Nous y sommes déjà, et nous perdons. Le général James Cartwright a témoigné en 2007 que la Chine avait la capacité la plus importante au monde en termes d’attaques par déni de service[…]

Sympathique article, n’est-il pas ? En tout cas nous sommes bel et bien partis dans une notion d’escalade, d’où le titre de mon billet.

3. le projet “Dominant Cyber Offensive Engagement”

Toujours dans mon dernier billet, j’évoquais que l’Armée de l’air avait justement lancé un appel d’offres visant à mettre à exécution ce que je viens d’évoquer à l’instant ! Son doux nom “Dominant Cyber Offensive Engagement and supporting Technology” (rien que ça!), ne laisse rien présager de rassurant. Nous ne sommes donc pas non plus dans la paraoïa et la conspiration mais bel et bien dans la réalité, puisque les 3 millions de dollars pour 2008 et les 8 millions pour 2009 sont en effet prévus clairement.

Je ne détaille pas le document, vous pourrez le lire en détail, mais il s’agit en gros d’appliquer la tactique des “5 D” (Deceive, Deny, Disrupt, Degrade, Destroy, rien que ça !) au niveau des ordinateurs. Pour cela, rien de plus simple : créer un réseau de prise de contrôle furtif des ordinateurs, capable de s’infiltrer au vu et au nez de tout le monde sur Internet et ailleurs, capable d’exfilter secrètement des informations contenues sur les ordinateurs en question, et capable de mener des attaques. Bref, un vrai bonheur… Auriez vous tellement hâte que vos ordinateurs soient infectés par une telle monstruosité qui irait télécharger des images pédophiles et les derniers Divx à votre place en peer-to-peer, comme ça vous auriez votre abonnement Internet suspendu et vous partiriez directement en prison sans passer par la case départ et toucher les 20000$. Fiction ou réalité ? En tout cas, tout ce que je viens de décrire vient directement du détail de l’appel d’offres, y compris les “effets D5″. A vous de juger !

4. Un simulateur grandeur nature d’Internet… et de ses utilisateurs !

Je vous laisse également découvrir l’extraordinaire appel à propositions publique faite par la DARPA et visant ni plus ni moins qu’à simuler Internet en grandeur nature. Et je ne parle pas que de simuler des réseaux et des PC, mais aussi les utilisateurs lambda qui font du peer to peer, du word et du gmail, les réseaux d’entreprises et gouvernementaux et les hordes d’attaquants qui s’acharnent avec des botnets et des DDoS.

Et comme je suis sympa je vous livre les 48 pages du détail de la chose au format Word, qui mérite sincèrement la lecture (ne serait ce que pour voir comment l’armée fait ses appels d’offres).

C’est un peu long à lire mais ça vaut bien un roman car on se croirait en pleine science fiction. A titre d’exemple l’une des conditions de sélection du prestataire (page 20, paragraphe “Phase 3.3.3 Go/No go metrics” pour les incrédules) sera sa capacité à :

• reconstituer l’infrastucture de tests en moins de 15 minutes (je rappelle qu’on parle de simulation d’Internet, pas de réseau de 3 routeurs !!),
• reconfigurer l’ensemble des systèmes en moins d’une heure,
• déployer 10′000 (!) systèmes hétérogènes en moins de 2 heures d’après les demandes de configuration et les schéma réseaux fournis par la Darpa (là, il va falloir qu’ils m’expliquent comment ils vont faire, à moins d’avoir des disques durs qui tournent à 60000 tours/mn et des réseaux en terabit/s je ne vois pas…)
• synchroniser le tout à la milliseconde (à mon avis c’est le plus simple !),
• en moins de 4 heures, obtenir le statut exact et précis de l’ensemble des systèmes physiques en place pour le test, y compris au niveau des chipsets et des cartes périphériques, et les instancier logiquement,
• clore tous les éventuels tickets d’incidents en moins de 4 heures,
• être capable de simuler 80% des réactions et comportements humains sur l’ensemble du système, et de manière réaliste (embaucheront-ils des esclaves d’Indonésie ou du Bengladesh ?),
• être capable d’accélérer ou de ralentir la simulation (ils appellent ça “time-compression/dilatation”) de 25% sans impact sur les résultats.

Sachant que les specs de la chose précisent que le système doit reconstituer un environnement Internet total, prévoir les disparités de systèmes, les erreurs, les nouveaux protocoles réseaux et débits connus et à venir, sur tous les supports possibles (ils parlent même de liaisons Internet via Wifi, UHF, VHF, et TACSAT, page 15 du document !), et reproduire les erreurs d’utilisation du système par des humains qui ne savent pas toujours se servir de leur suite bureautique, de leurs navigateurs, clients de messagerie et lecteurs multimédia… ca me semble relever du projet fou, de l’utopie !!! On verra bien, pour le moment le projet n’a pas encore reçu l’accord de financement du Sénat (je n’ose même pas imaginer le coût que ca va représenter pour un jouet comme celui-là !!!). Quelques journaux en parlent tout de même.

L’opération Cisco Raider

Pour terminer, on change légèrement de sujet, puisque j’évoque ici l’opération Cisco Raider menée par le FBI depuis deux ans, dont les résultats ont abouti en janvier puis ont été repris par erreur par la presse ce mois ci. Je précise par erreur, car même si le document était déclassifié, le FBI a du récemment faire un communiqué de presse sur son site pour indiquer que celui-ci n’aurait jamais du sortir du service ! Ah, les fuites d’informations sont difficiles à prévenir, même au sein de tels organismes… Tiens, la présentation Powerpoint en question est ici, ou là si vous n’avez pas PowerPoint ou OpenOffice !

Pour résumer, cette histoire a débuté lorsque des services informatiques de l’armée américaine ont tenté de mettre en marche des routeurs de marque Cisco récemment acquis dans le cadre de contrats gouvernementaux, et ont été confrontés à des soucis, puisque les MAC-adresses des équipements étaient dupliquées, ce qui n’arrive jamais… sauf en cas de crontrefaçon. Et c’est précisément ce qui est arrivé ! Non ce n’est pas une blague, l’armée américaine s’est vue refouguer quelque 76 millions de dollars d’équipements réseaux contrefaits “Made in China”, et pas des moindres puisqu’il s’agit de contrafaçons du leader mondial. Et oui, il n’y a pas que Vuitton ou Rolex qui souffre de cela.

Tout ça pour dire que le souci n’est évidemment pas directement lié au fait que l’armée américaine a acheté des produits contrefaits, mais que ceux-ci sont moins résistants, et peuvent peut-être comporter des portes dérobées ! Rappelons quand-même l’histoire des cadres photo chinois vendus en début d’année sur les étals de BestBuy et qui comportaient des virus intégrés !

Et si l’on vient me soutenir que ce n’est pas possible de prendre le contrôle d’équipements réseaux, je vous renvoie dare-dare vers le site de Cisco lui-même, qui a publié une réponse suite à la présentation récente de Sebastian Muniz, chercheur chez Core Security, qui a simplement démontré comment installer des rootkits sur des équipements Cisco !

De là à imaginer des botnets, des backdoors et d’autres chinoiseries sur tout cela, il n’y a qu’un pas à franchir… ou pas

Conclusion

Que dire de plus ? Je ne sais pas trop, en fait(*)… C’est déjà assez troublant comme cela. Le SSTIC aura lieu dans moins de 2 semaines, et je suis certain que ce sera l’occasion d’échanger sur tous ces sujets passionnants ! En tout cas j’y serais.

(*) en fait si, allez jeter un oeil sur le document intitulé “The National Counterintelligence Strategy of the United States 2007″ sur le site www.ncix.gov, je n’en dis pas plus !

http://bruno.kerouanton.net/blog/2008/05/23/escalade-malsaine/