Guerre de l'information - Information Warfare

Intéressant article que celui intitulé "One in three employees would sell business secrets" http://www.securitywatch.co.uk/2009/04/24/one-in-three-employees-would-sell-business-secrets/ publié ce 24 avril 2009 sur le site SecurityWatch, qui évoque les résultats d'une enquête réalisée par la société Infosecurity Europe auprès de salariés d'entreprises au Royaume-Uni.

Selon cette petite étude, un employé sur trois serait prêt à vendre des informations de son entreprise si le prix en valait la peine, c'est-à-dire pour 1 million de £ :

- pour les 2/3 il serait facile de voler de l'information de l'entreprise

- 88% pensent que l'information de l'entreprise à laquelle ils ont accès a de la valeur

- 10% cèderaient ces informations si on remboursait leurs crédits, 5% contre des vacances...

Les employés ont admis avoir accès à des bases de données clients (88%) des business plans (72%), des mots de passe administrateurs (37%)...

A en croire cette étude, la majorité des salariés sont des menaces à la sécurité de l'entreprise, car non seulement ils sont prêts, contre monnaie sonnate et trébuchante, à trahir leur employeur (quitte à couper la branche sur laquelle ils sont assis), mais en plus ils ont accès à l'information qui est monnayable.

A cela s'ajoute le fait (voir l'article Employees see work laptops as personal property, publié le 24 mars 2009 toujours sur le même site http://www.securitywatch.co.uk/2009/03/24/employees-see-work-laptops-as-personal-property/  ) que les salariés ont le sentiment que les ordinateurs portables et autres mobiles de l'entreprise sont leur propriété privée (mais ça, après tout, tant pis pour les employeurs : il ne fallait pas inciter les employés à ramener du travail chez eux!). Ce sentiment de propriété n'est sans doute pas étranger à celui de liberté de disposer des informations contenues dans ces outils.

Le social engineering a donc encore de beaux jours devant lui et les "incidents" de sécurité ne sont pas prêts de diminuer dans les entreprises, mais aussi les administrations, institutions. Car l'on sait que la menace intérieure (insider threat) est l'une des plus difficiles à contrer : les murs élevés par les responsables de la sécurité protègent généralement mieux des menaces extérieures qu'intérieures.

Il y a toutefois une composante extérieure dans cette menace : la sollicitation. Car le salarié n'agirait que sur sollicitation. Il faut bien que quelqu'un lui propose de les acheter, ces données, avant qu'il ne les vole.

(billet également publié sur http://ith.romandie.com  et http://www.mediapart.fr/club/blog/daniel-ventre

November 30, 2009 - December 2, 2009. http://scissec.scis.ecu.edu.au/confs/secau/index.php/iwar/2009

8TH EUROPEAN CONFERENCE ON INFORMATION WARFARE & SECURITY. 6-7 July 2009. Military Academy, Lisbon & The University of Minho, Braga, Portugal.  http://www.academic-conferences.org/eciw/eciw2009/eciw09-home.htm 

Ce billet a été partiellement dans l'hebdo "Vendredi": http://vendredi.info:80/ 

Ce billet a été cité et commenté sur http://affordance.typepad.com/mon_weblog/2009/05/de-google-a-la-cnil-et-retour-.html

Chose inimaginable, mais imaginons-la tout de même.  

Si venaient à passer dans toutes les rues de nos villes et villages des camions irakiens ou chinois bardés d'appareils de photographie à 360°, le pouvoir très probablement crierait à l'espionnage et enverrait l'armée pour paralyser sur le champ l'action de ces photographes venus d'ailleurs pour cartographier les infrastructures du pays dans les moindres détails.

Car il en faudrait du culot pour venir ainsi jusqu'aux portes de nos maisons, faire la photo du patrimoine de tous les habitants, pour ensuite transférer toutes ces données dans des serveurs énormes, où elles seraient probablement recoupées avec des données d'imagerie satellitaire de très grande précision, puis avec des bases de données nominatives et de toutes autres natures glanées ça et là sur des réseaux sociaux, dans des banques, des commerces, des administrations, achetées ou volées.

Le voleur d'images et de données pourrait ainsi tout connaître sur tout, et se constituer une base de connaissance telle qu'elle l'autoriserait peut-être un jour à lancer une attaque n'importe où dans le monde.

Il lui suffirait alors de reformater et traiter toutes ces données de manière à ce qu'elles soient directement utiles aux centres de décision et de commandement militaires.

Face à une telle intrusion de photographes indésirés, il y aurait probablement des tensions diplomatiques, les véhicules bardés d'appareils de prises de vues seraient réquisitionnés, les occupants emprisonnés et accusés d'espionnage sur le champ.

Mais ce n'est pas demain que les chinois ou les irakiens oseront venir photographier - au moins ouvertement - toutes les rues de ma ville,  et faisons confiance à l'état pour nous en préserver.

Par contre, quand les photographes sont américains, on peut - il faut - laisser faire, il n'y a aucun risque. 

Ce n'est pourtant pas l'opinion des habitants de ces villages anglais et allemands qui ont fait barrage aux véhicules de Google.

Le responsable du projet Google Street View, a peut-être alors eu des doutes. Moi qui étais plein de bonnes intentions, blanc comme neige, me voilà soupçonné de mauvaises intentions, de malhonnêteté? Mais comment ce peut-il? Je ne suis pas irakien, pas chinois, pas russe, mais américain. Quand on est américain on peut tout faire, non? Même photographier votre jardin et envoyer la photo sur internet! Peu importe, si les photographes au sol ne peuvent avoir l'image de leur jardinet, nos satellites de plus en plus puissants les traqueront tout de même.

A part vouloir nous faire plaisir en nous donnant la possibilité de voir la photo de nos immeubles et de nos jardins, que cherche Google? Pour qui travaille Google? Et que feraient les autorités si Google était russe ou chinois: laisseraient-elles ainsi des photographes indiscrets espionner les moindres recoins de la planète ouvertement?

Google n'est pas seul dans cette aventure de cartographie de la planète. D'autres sites s'amusent à prendre les photos de nos lieux de vie, en font commerce, les diffusent sur le net, et sont prêts à toutes les manoeuvres : photographier au sol, prendre un hélicoptère pour voir large, etc. Inadmissible. Chaque citoyen doit avoir le droit d'apparaître ou non sur internet.

Sans autorisation écrite et accord express de ma part, tout site qui diffusera les images de mon appartement ou de ma maison, de ma voiture même (elle est parfois garée devant la maison!) se verra poursuivi en justice pour atteinte à la vie privée.

Face au rouleau compresseur que sont tous ces projets de photographie des lieux de vie, issus de start-up ou de multinationales qui pensent pouvoir tout exploiter gratuitement et sans accord préalable, il faut pouvoir exprimer son avis, se faire entendre. Il y va de l'intéret du simple citoyen.

Lire aussi à propos des critiques émises à l'encontre de Google Street View UK : "Infosecurity Europe says Street View is security threat". 23 mars 2009. http://www.securitywatch.co.uk/2009/03/23/infosecurity-europe-says-street-view-is-security-threat/

Pour donner raison aux détracteurs de Google (Maps, Street View ou toute autre application qui permet de visualiser dans le détail nos environnements de vie) : lire l'article "Russie: cambriolages en série grâce aux images satellitaires de Google". http://actualite.aol.fr/russie-cambriolages-en-serie-grace-aux/article/20090602114416783211582 

http://d.scribd.com/docs/7chhp8gf8f3bxr3z76n.pdf

Project Grey Goose Phase II Report: the evolving state of cyberwarfare. March 20, 2009.

Report from the Georgia Tech Information Security Center. October 15, 2008.

http://www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf

Un rapport écrit sur la base d'une recherche de 10 mois vient d'être publié par le Munk Centre for International Studies, qui conclue à l'existence d'un réseau de cyberespionnage chinois, Ghostnet, prenant pour cibles les institutions tibétaines.

La Chine lance sans peut-être, sans doute, des opérations de cyberespionnage, contre le Tibet pourquoi pas, et probablement pas seulement contre le Tibet.

Que doit-on en conclure et que faire?

Les Etats-Unis ne lancent-ils pas contre le reste du monde de vastes opérations d'espionnage (le réseau Echelon serait-il oublié?). Le monde entier passe son temps à s'espionner, s'observer. Le jeu est, dirions-nous, de bonne guerre. Le tout est de s'en prémunir.

Savoir qu'un Ghostnet existe, permettra peut-être à ses victimes de s'en protéger.

Le rapport permettra surtout d'entretenir l'image du Tibet victime, de la Chine menaçante, et de faire de la publicité à ses auteurs, un buzz qui sera bien sûr d'autant plus entretenu que le panurgisme journalistique en sera le moteur.

A venir prochainement sur ce site, une analyse critique du rapport "Tracking GhostNet".