ComCyber : « nous avons besoin d’être paranoïaques avec tout le monde »
Même avec Microsoft
Le 11 février 2020 à 14h46
11 min
Droit
Droit
À l’occasion du FIC 2020 à Lille, le général Didier Tisseyre, à la tête du ComCyber, revient dans les colonnes de Next INpact sur les raisons d’être de son unité opérationnelle commandant l’ensemble des forces de cyberdéfense des armées françaises.
Quel est le modèle de la cyberdéfense à la française ?
Le modèle français repose sur deux piliers. Un pilier défensif assuré par l’Agence nationale de la sécurité des systèmes d’information face à l’ensemble de nos menaces. L’autre volet est lié au renseignement et à l’action militaire : c’est l’utilisation de possibilités dans le cyberespace pour se positionner dans le cadre des rapports de force avec d’autres États ou des groupes notamment terroristes. Cette branche-là est cadrée juridiquement de manière très stricte par rapport à l’emploi qui peut être fait de certains outils. Typiquement, sur la cyberdéfense, nous sommes à la fois dans cette chaîne d’action militaire sur les théâtres d’opérations, et par délégation de l’ANSSI, sur la protection et la défense du système du ministère des Armées afin d’être résilient.
Quand vous évoquez une action offensive, quel est le type de scénario ?
Prenons pour exemple la lutte contre Daesh en Irak. Le groupe fait de la propagande sur les réseaux sociaux, met en ligne des vidéos pour terroriser, recruter ou organiser des actions. Dans un cadre juridique très strict, nous pouvons sur ces théâtres d’opérations essayer d’entraver les moyens de communication de Daesh, comprendre ce qu’il s’y passe, pour limiter cette propagande, ou encore bloquer l’action et la coordination de ces groupes armés.
Voire identifier l’origine exacte...
Oui, cette territorialisation est très importante.
Quelles sont vos relations avec les réseaux sociaux, qui jouent ici le rôle de caisse de résonance ?
Nous sommes attentifs à ce qui se dit sur ces plateformes par rapport à nos forces déployées sur les théâtres d’opérations. Cela peut aider à comprendre comment elles sont perçues pour pouvoir soutenir les populations et mener un certain nombre d’actions.
Pendant longtemps, ces réseaux ont permis de relayer un certain nombre de discours terroristes, d’appel à la haine ou au meurtre. Nous avons pris contact avec les opérateurs pour faire retirer ces contenus. Aujourd’hui, nous avons un lien avec Pharos, plateforme du ministère de l’Intérieur. Cette autorité administrative est en contact direct avec ces acteurs pour assurer ces retraits. Pour notre part, nous avons automatisé en partie nos procédures pour faire des signalements et remonter un contenu de théâtre d’opérations.
Quelle est la réactivité de ces acteurs ?
Au début, certains réagissaient plus vite que d’autres. Aujourd’hui, grâce notamment à Pharos et à la voix portée par la France auprès de l’Union européenne, il y a une prise de conscience collective. Si avant on pouvait compter en jours voire en semaines et parfois en mois, désormais cela se joue en quelques heures. Pharos est clairement identifiée. Il y a toujours certains opérateurs un peu moins rapides que d’autres, mais il y a une nette amélioration.
Outre le terrorisme, avez vous d'autres préoccupations ?
Aujourd’hui, ce qui nous préoccupe ce sont les APT, les groupes persistants avancés, très élaborés, avec des modes d’actions sophistiqués et une variété d’outils récupérés ou conçus par eux-mêmes. C’est complexe. Ils se cachent, masquent leurs actions, mais dès qu’ils peuvent entrer dans un système, ils ont la capacité de voler des informations en masse ou le faire tomber.
Mon rôle est d’être un peu paranoïaque. J’essaye de comprendre la totalité de ces groupes, leurs caractéristiques. À la limite, je ne me pose pas la question de savoir qui est derrière, un État ou un groupe terroriste ou non. L’objectif est de jauger le risque. Tous les ans, nous dressons un bilan pour déterminer le nombre d’attaques ayant visé le ministère des Armées pour se préparer à cette menace.
Au-delà, il y a la cybercriminalité qui s’est énormément développée. Aujourd’hui et par rebonds, même si le ministère n’est pas visé, on peut se retrouver avec des emails ou des liens vers des sites piégés. On se prémunit par une hygiène globale de tous les membres du ministère.
Lors d’une audition au Parlement, vous avez évoqué l’usage de l’intelligence artificielle pour assurer cette prévention…
Nous avons aujourd’hui besoin d’utiliser au maximum les nouvelles technologies. L’intelligence artificielle est très prometteuse notamment pour pouvoir analyser cette masse d’informations. On a beau avoir des équipes consolidées, on ne peut analyser ces dizaines de milliers de logs. Il nous faut corréler de manière automatique entre ce qui est caractéristique d’une attaque et ce qu’on peut avoir sur Internet, mais aussi évaluer ce qu’on peut considérer comme le fonctionnement normal d’un réseau face à des comportements déviants ou louches. L’IA est une aide à la décision, ce n’est en aucun cas une décision.
Il faut se méfier de l’automaticité des mécanismes. Elle doit alerter l’opérateur sur un certain nombre d’éléments et pour assurer sa performance, être éduquée. Soit on cadre son éducation, soit elle s’éduque toute seule. On a donc besoin dans tous les cas que les données utilisées soient saines ou en tout cas qu’on les maîtrise afin d’éviter les réponses erronées.
Des outils qui permettent d’aller loin dans le big data… mais aussi des risques juridiques. Est-ce là que s’inscrit l’article de la LPM sur l’excuse pénale ?
La loi a en effet prévu différentes mesures. Des articles permettent à l’ANSSI d’avoir des éléments chez les opérateurs pour déployer des sondes en matière d’anticipation d’une menace ou de meilleure connaissance des flux. L’excuse pénale dont il est ici question concerne un cadre très précis : des militaires, sur un théâtre d’opérations extérieures, dans le respect des principes issus du droit international humanitaire de proportionnalité et de discrimination entre cible militaire et cible civile.
Aujourd’hui, le cybercombattant, au même titre que les militaires des armées dans l’usage des armes qu’ils sont appelés à utiliser, est donc couvert. On ne peut leur reprocher d’avoir pénétré un système ennemi. Cette action est possible et autorisée.
Vous évoquiez les sondes de l’ANSSI. Si je comprends bien, vous en profitez dès lors que sont en jeu les intérêts du ministère ?
Oui, la ministre des Armées a signé en novembre 2019 une convention avec les huit grands maîtres d’œuvre de la Défense pour pouvoir justement mieux échanger. Aujourd’hui, nos systèmes sont assemblés par ces acteurs. Nous comme eux avons conscience des risques et menaces. Nous bénéficions d’une forte protection, mais peut-être pas toujours les sous-traitants du sous-traitant.
L’axe d’attaque consiste à passer par le maillon qui paraît le plus faible pour pouvoir atteindre la cible, le ministère. Au travers de cette convention, l’objectif est de monter le niveau global, mieux identifier toute cette chaîne de sous-traitance qui conduit à livrer des systèmes d’armes, des systèmes numérisés ou d’information. Pour assurer cette réactivité, des opérateurs peuvent avoir chez eux une sonde de l’ANSSI avec pour objectif que le ministère soit prévenu directement par l’Agence s’il se passe quelque chose.
Dans une réponse parlementaire, il a été fait état d’un poste de travail entièrement libre. Souvent a été évoqué le contrat open bar avec Microsoft. Où en sommes-nous ?
Notre vision repose d’un côté sur la performance d’un système, mais aussi de l’autre sur la maîtrise des risques, la sécurité, cet aspect plus souverain. En fonction des systèmes, nous choisissons des opérateurs nationaux ou internationaux que l’on connaît, qui ont des gages de sécurité. C’est là qu’il est intéressant de diversifier ses moyens et pourquoi pas avoir des équipements libres.
Le libre nécessite toutefois une compétence pour maitriser les systèmes, comprendre ce qu’il y a à l’intérieur. Ce n’est pas parce que le système est ouvert qu’on est capable de le comprendre.
Je peux ouvrir le capot de ma voiture, mais je ne maitrise pas l’intégralité des pièces mécaniques à l’intérieur. Le libre, oui, mais derrière il y a un coût et la nécessité de compétences. Microsoft est aujourd’hui un opérateur international avec énormément de systèmes, une compétence très pointue dans un certain nombre de domaines. D’où ce marché-cadre avec l’éditeur pour pouvoir à la fois rationaliser les coûts, éviter de payer de multiples licences non utilisées, identifier les prestations et trouver finalement ce juste équilibre.
C’est de la gestion du risque entre des systèmes purement souverains franco-français qu’on maîtrise pour nos points les plus critiques et des systèmes plus ouverts, plus accessibles, mais avec un niveau de garanties nous permettant de voir ce qu’il en est.
N’oublions pas que nous avons maintenant des sondes sur les réseaux, en périmétrie. Ces échanges de flux sont très importants. Ils nous permettent de comprendre, déceler le comportement anormal d’un logiciel ou d’un matériel. Nous sommes vraiment dans cet état-là, de conscience, d’attention, de gestion de risque.
Vous preniez l’exemple de la voiture, mais pour Microsoft, vous ne pouvez même pas ouvrir le capot. Votre seule possibilité : des sondes sur le tuyau d’échappement...
Le risque zéro n’existe pas. Ces sondes nous apportent des éléments. Nous avons pensé nos systèmes, exprimé des besoins. Ils ont été réalisés par des groupes français qui peuvent se positionner sur des socles qui peuvent utiliser ce type de logiciels Microsoft. Après, c’est à nous d’être attentifs. De positionner les sondes. D’avoir des rapports francs avec l’éditeur. La confiance n’empêche pas le contrôle. L’objectif est d’être serein et nous avons besoin d’être paranoïaques avec tout le monde.
Avez-vous des vœux pour l’avenir sur un terrain technique, opérationnel ou législatif ?
Sur le plan technique, nous sommes dans une dynamique d’agilité. On n’est plus du tout dans la conception d’un système qui va mettre plusieurs années pour être conçu et qui sera livré pour répondre parfaitement à nos besoins.
On est beaucoup plus sur du modulaire. Dès qu’une nouvelle technologie arrive, on la teste, on fait des preuves de concepts, des prototypes et si l’on sent qu’elle est pertinente, on l’intègre. Il faut voir notre système comme une structure où on vient « plugger » des modules. On est sur l’interopérabilité, l’interconnexion, l’évolutivité, l’innovation et tout est centré sur la donnée de cyberdéfense afin de comprendre, analyser créer des corrélations, remonter dans des arborescences.
Sur le plan juridique, on n'est pas mal. La France, et cela a été validé en interministériel, a sorti un rapport sur l’application du droit international au cyberespace. Il y a deux volets. L’un sur l’atteinte à nos systèmes sur le sol national, laquelle peut s’analyser comme une atteinte à notre souveraineté numérique. Si l’origine vient d’un État ou si l’impact est élevé, s’ouvrent des possibilités de contre-mesures pouvant aller jusqu’à la légitime défense voire des mécanismes de défense militaire. La position de la France est assez ferme avec un niveau de réactivité assez bas.
Sur le théâtre d’opérations, comme évoqué, l’enjeu est celui d’une capacité de supériorité opérationnelle, dans un cadre juridique strict. Les deux points sont très cohérents. Voilà pourquoi nous n’avons pas pris de posture uniquement défensive, laquelle nous limiterait. Je ne ressens donc pas le besoin d’un nouveau texte juridique, spécifiquement.
ComCyber : « nous avons besoin d’être paranoïaques avec tout le monde »
-
Quel est le modèle de la cyberdéfense à la française ?
-
Quand vous évoquez une action offensive, quel est le type de scénario ?
-
Voire identifier l’origine exacte...
-
Quelles sont vos relations avec les réseaux sociaux, qui jouent ici le rôle de caisse de résonance ?
-
Quelle est la réactivité de ces acteurs ?
-
Outre le terrorisme, avez vous d'autres préoccupations ?
-
Lors d’une audition au Parlement, vous avez évoqué l’usage de l’intelligence artificielle pour assurer cette prévention…
-
Des outils qui permettent d’aller loin dans le big data… mais aussi des risques juridiques. Est-ce là que s’inscrit l’article de la LPM sur l’excuse pénale ?
-
Vous évoquiez les sondes de l’ANSSI. Si je comprends bien, vous en profitez dès lors que sont en jeu les intérêts du ministère ?
-
Dans une réponse parlementaire, il a été fait état d’un poste de travail entièrement libre. Souvent a été évoqué le contrat open bar avec Microsoft. Où en sommes-nous ?
-
Vous preniez l’exemple de la voiture, mais pour Microsoft, vous ne pouvez même pas ouvrir le capot. Votre seule possibilité : des sondes sur le tuyau d’échappement...
-
Avez-vous des vœux pour l’avenir sur un terrain technique, opérationnel ou législatif ?
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/02/2020 à 15h39
@Wagaf
Encore une fois, que d’approximations et d’erreurs, aucune source, mais le tout déclamé en vérité ultime.
L’OTAN définit des standards d’interopérabilité en effet. Le standard de communication unifiée est OOXML, qui est certes à l’origine poussé par Microsoft, mais qui est surtout une norme maintenant : ISO/IEC 29500
De fait, tout le monde est capablede lire/écrire du OOXML, dont Open Office.
Où est le fait de forcer à utiliser du MS ? Si on regarde les autres formats, sans être expert, j’ai quand même l’impression que la grande majorité sont des standards ouverts (IEEE, W3C, IETF…).
Je suppose que t’es de ceux qui pensent que MS vend W10 parce que XP/7 ne rapportent plus rien et qu’ils font des virus pour générer du business/forcer à la migration ?
Le 12/02/2020 à 18h22
Le 12/02/2020 à 18h29
Voilaaa :)
Donc effectivement, il n’est pas capable d’écrire ce format.
Le 12/02/2020 à 18h33
Libreoffice, si.
Le 12/02/2020 à 18h43
D’après ton lien Open Office devrait supporter l’écriture en OOXML.
Quelqu’un sait pourquoi cette fonctionnalité est désactivée ?
Le 12/02/2020 à 19h49
Et pour la tienne, aucun produit Oracle ne peut être vendu en Iran (ce n’est pas une question de nationalité du client mais de sa localisation) et l’armée américaine elle même n’avait pas eu le droit durant un temps de déployer du matériel Linksys dans un des pays du moyen orient où elle était déployée.
Alors bien sûr que les boîtes américaines cherchent avant tout à faire du profit (il suffit de voir la quantité de boîtes américaines qui ont contribué au régime nazi jusqu’en 1942, voire un peu après) mais, dès que le gouvernement fédéral veut stopper les affaires ou y mettre son nez, il n’y a rien à faire (pour rappel, USA et Chine n’étant même pas en guerre, Trump a fait bloquer, puis débloquer, etc. certains services et produits fournis à Huawei)
Que les datacenters soient en France au lieu des USA n’a rien à voir non plus (d’une part, on ne sait pas spécialement qui a accès à quoi et d’où, d’autre part, ne serait-ce que pour des besoins opérationnels, il y a certainement réplication d’un certain nombre des données entre datacenters, autant ne pas faire de sauvegardes autrement).
Le seul argument valable est ton argument sur la non-criticité des systèmes sous produits MS dans l’armée, mais ça suppose une immense culture de la sécurité parmi un nombre important d’utilisateurs, et que les postes ne servent qu’à des choses très basiques : ni messagerie, ni compta, ni quoique ce soit qui permettrait d’extrapoler des mouvements parmi nos armées.
Le 13/02/2020 à 10h07
Bien sûr mais entre ce qu’un pays proclame et ce qui se passe vraiment il y a parfois de grosses différences
Il y avait un embargo intégral d’informatique américaine sur l’Iraq dans les années 80 et pourtant un ordinateur assez puissant complètement neuf avec les baies de disques de bandes controlleur de communications etc … avait été installé à l’université de mathématiques de Bagdad
Livré par l’Unesco à son partenaire en Iraq.
Au Liban c’était du moins puissant (AS400) mais bon il est arrivé aussi et ne servait pas pour la gestion d’entreprise
" />
Le 13/02/2020 à 13h22
Le 11/02/2020 à 20h36
Je déplore le manque de rigueur malsain dans les propos de wagaf, je ne nie pas le fait que les US cherchent à obtenir des avantages ou qu’ils sont enclins à les dégainer.
Dire “Microsoft = US = guerre = plus d’armée en France” c’est faux, et c’est digne de Gégé le géopoliticien du PMU.
D’ailleurs, le PATRIOT Act est tellement aimé par les US que des villes/comtés refusent de l’appliquer, que des mecs en demandent l’abolition tous les jours, que MS est à l’origine du CLOUD Act, qu’Apple refuse de déverrouiller ses iPhones… Ou encore, parlons de son efficacité, comme avec ce coup d’éclat où quand OVH hébergeait du Wikileaks, un juge français a débouté la demande des US, et où un ministre français a essayé de forcer les choses. Ou si tu regardes les stats de MS sur 2019, pour les requêtes extraterritoriales, on a ~130 demandes du gouvernement US pour 1 requête qui a abouti à fournir des données.
Clairement, avec ça, on court à la catastrophe.
Sinon, je ne suis pas d’accord sur le fait que les US espionnent les entreprises étrangères via MS.
Le jour où il y aura une vraie guerre contre les US, j’aurais plus peur de leur budget militaire (x10 celui de la France) ou de leur 1.3M soldats (vs 0.3M pour la France) que du CLOUD Act.
Le 11/02/2020 à 22h06
Le 12/02/2020 à 00h19
“Voir identifier l’origine exacte”
“Voire” plutôt non ?
Le 12/02/2020 à 09h19
Le 12/02/2020 à 09h56
“Par contre, j’avoue que pour les offres Cloud (M365, Azure, D365) la faisabilité technique est là, et que les impacts seraient dévastateurs. Mais si on pousse le vice jusque là, en cas de guerre, la France pourrait envahir les datacenters et remettre en route les infrastructures. ”
Ah bon ? tu es sur que les datacenters MS sont sur le territoire ?
Le 12/02/2020 à 10h01
Quoi qu’il en soit si le gouvernement fédéral US décide les opérateurs privés n’auront de toute façon pas le choix, que leur position sur le sujet soit feinte à des fins marketing ou non…
Le 12/02/2020 à 10h06
Le 12/02/2020 à 10h17
Yes, MS a des DC en France depuis quelques années (tout comme AWS/GCP) :
Microsofthttps://products.office.com/fr-fr/where-is-your-data-located#office-ContentAreaHeadingTemplate-bkjgypc
Le 12/02/2020 à 10h24
Le 12/02/2020 à 11h03
OMFG le niveau de bullshit dans les commentaires de cette news atteint des sommets qui n’ont sans doute pas d’équivalent depuis le début de l’année. ou alors j’ai raté des trucs. " />
les méchants ricains qui éteignent l’armée avec un bouton, franchement j’étais pas préparé. et on n’est que mercredi, mdr. " />
Le 12/02/2020 à 13h33
L’OTAN force tous ses partenaires à utiliser du MS et autres logiciels américains pour “l’interopérabilité”..
Les US peuvent faire surchauffer une turbine nucléaire isolée du réseau en Iran, alors des postes français sous Windows et des services cloud, même sur des serveurs français…
Le 12/02/2020 à 13h35
Voire le commentaire de Dj juste au dessus.. tu sembles bien naif.
Ça n’a rien à voir avec des histoires de gentils ou méchants.
Le 12/02/2020 à 13h50
alors en iran c’était des centrifugeuses, pas une turbine nucléaire. et ça n’a rien à voir avec microsoft.
d’autre part si tu penses que les terminaux sensibles de l’armée et de l’Etat tournent sur windows XP, c’est que tu es toi aussi bien naïf.
et enfin non, il ne suffit pas d’appuyer sur un bouton. ça demande tu temps et beaucoup d’argent si je reprends ton exemple de stuxnet.
ah et je veux bien une source pour ton histoire de l’OTAN qui force l’utilisation de windows.
parce que je serais bien curieux de savoir, si c’était réellement le cas, ce que fait l’OTAN si un pays refuse: une fessée? elle boude? comment ça se passe? ^^
Le 12/02/2020 à 13h52
ah si si. les gentils ricains dans ce cas, contre les méchants cocos vénézuéliens.
mais on parle bien d’un service Cloud. en l’occurrence Adobe ne peut pas désinstaller les photoshop installés sur des postes vénézuéliens. autant pour l’histoire du bouton qui éteint tout.
Le 12/02/2020 à 15h06
Le 12/02/2020 à 15h22
Le 11/02/2020 à 15h00
“Vous preniez l’exemple de la voiture, mais pour Microsoft, vous ne pouvez même pas ouvrir le capot. Votre seule possibilité : des sondes sur le tuyau d’échappement…”
Factuellement faux, puisque Microsoft permet l’accès au code source de Windows aux partenaires, notamment étatiques, qui signent des accords de confidentialité avec eux :
Wikipedia Microsoft
MicrosoftCertains NDA et accords permettent même de vérifier que les binaires compilés sont bien issus du code source et compilés avec une chaîne de compilation connue.
L’ANSSI a notamment accès au code source, au moins pour l’audit des composants cryptographiques du système.
Le 11/02/2020 à 15h10
Tu veux dire, comme Visual Studio Code, dont le binaire n’est pas le résultat de la compilation du code publié ? Entre ce que MS permet avec ses partenaires nord-américains et ce qui est possible quand on est un ennemi potentiel (le reste du monde), il y a “qql” nuances.
Le 11/02/2020 à 16h08
“Microsoft est aujourd’hui un opérateur international avec énormément de systèmes, une compétence très pointue dans un certain nombre de domaines. D’où ce marché-cadre avec l’éditeur pour pouvoir à la fois rationaliser les coûts, éviter de payer de multiples licences non utilisées”
Ils sont vraiment sympa Microsoft de nous permettre de “rationaliser les coûts” en nous évitant de payer pour des licences non utilisées…
Le 11/02/2020 à 16h13
Il existe -entre autre- des labos dans lequel des gouvernements/agences peuvent avoir accès au code source des produits MS : MicrosoftPar exemple, en Belgique tu as un de ces Transparency Center. La Belgique étant bien entendu un pays bien connu d’Amérique du Nord, comme tout le monde le sait.
Le 11/02/2020 à 16h19
En cas de guerre ou de tensions quelconque, les US peuvent appuyer sur un bouton pour révoquer la licence des produits MS et faire immédiatement tomber l’armée et l’État français..
Par ailleurs aucune garantie que le code qui tourne sur la machine correspond au code observé.. et il semble très probable que le gouvernement US a une backdoor dans Windows..
Le 11/02/2020 à 16h34
“En cas de guerre ou de tensions quelconque, les US peuvent appuyer sur un bouton pour révoquer la licence des produits MS et faire immédiatement tomber l’armée et l’État français..”
Ah bon ? US = Microsoft ? T’aurais une source d’ailleurs ?
Sachant que les licences de Windows par exemple ne sont vraiment utile qu’à des fins d’audit, je ne vois pas trop où ça poserait problème.
Par contre, j’avoue que pour les offres Cloud (M365, Azure, D365) la faisabilité technique est là, et que les impacts seraient dévastateurs. Mais si on pousse le vice jusque là, en cas de guerre, la France pourrait envahir les datacenters et remettre en route les infrastructures.
“Par ailleurs aucune garantie que le code qui tourne sur la machine correspond au code observé..”
Je pense que les gouvernements peuvent avoir cette garantie, mais dans le doute, disons que tu emportes le doute raisonnable.
“et il semble très probable que le gouvernement US a une backdoor dans Windows..”
Ah bon ? US = Microsoft ? T’aurais une source d’ailleurs ? Ou tu parles de la NSA Key?
Sinon, vu comment Microsoft se bat contre le gouvernement US, je serais plus circonspect que toi. N’oublie pas que le CLOUD Act américain est une réponse du gouvernement US contre la position de Microsoft.
Le 11/02/2020 à 17h08
Le 11/02/2020 à 19h36
Le 11/02/2020 à 20h08
Le 11/02/2020 à 20h09
J’ai oublié de parler des fabricants de hardware etc. 😅😅😅 Rien que chez MS y’a bien 15k personnes qui ont full acces au source juste au USA.
Le 11/02/2020 à 20h11
Je peux même te dire que la compilation de Windows est gérée par des jobs Jenkins… et Azure devops.