GRC Interchange 2011 Paris

Risque & Securite Informatique:“Babel Minute Zero” ouLe cas extreme du Cyber-conflit

Guy-Philippe Goldstein

Jeudi 1er Decembre, 2011

© Guy-Philippe Goldstein, Decembre 2011

Pourquoi une fiction?« Babel Minute Zéro », le point de départ

« Ce qui est improbable n’est pas impossible »


Pourquoi une fiction?“La Romance Scientifique” comme reservoir d’hypotheses0

Bombe Atomique

1914 1984

Cyberspace Hackers


Pourquoi une fiction?0Particulierement adaptee aux cyberconflits

“Whether hacker warfare is a useful instrument of

policy is a question that defense analysts and science

fiction writers may be equally well placed to answer.”

Martin Libicki, « What is information operations? », 1995


Analyse du Risque

Probabilité de réalisation du risque au cours de la période

Impacts du risqueSi risque réalisé

T

100%

€

Faible FortModéré

Cout de l’impact

+

Temps écoulé

Court

terme

Long

terme

Moyen

terme


� Impact

� Incidence

� Mitigation du risque


Sibérie, 1982

Source: Thomas C. Reed, At the Abyss: An Insider's History of the Cold War, Presidio Press, 2004


Estonie, 2007 – Estonie vs. Patriotes Russes (et Kremlin?)

Blocage des operations de e-Banking des principaux groupes bancaires du pays


Brésil, 2008

“We know that in other countries, cyber attacks have plunged entire cities into darkness”

President Obama, May 2009

Source: CBS, 60 Minutes, 8 Novembre 2009


Syrie, 2007- Operation Orchard

Suppression du systeme radar syrien

Avant Apres


Virus Stuxnet – 2009(?) – 2010(?)

Sabotage de systemes de controle industriel:Destruction de centrifugeuses pour l’enrichissement d’Uranium a Natanz en Iran (?)


L’État-major U.S. prend la menace au sérieux

� General James E. Cartwright, Former Commander of the U.S. Strategic Command, Vice-Chairman of the Joint Chief of Staff:

Report to Congress, U.S.-China Economic and Security Review Commission, 11/2007


Les raisons: La révolution digitaleEn 2007, le monde a été englouti par le Cyberespace


Analyse du Risque

Impacts du risque si risque réalisé

€

Faible FortModéré

Cout de l’impact

Probabilité

€

Faible FortModéré

Cout de l’impact

Probabilité

1990-2000 2020-2030?


� Impact

� Incidence



La paix peut dépendre des armes nouvelles Exemple 1: Les Fortifications Vauban (1650)


La paix peut dépendre des armes nouvelles Exemple 2: Les armes nucleaires (1960)


La paix peut dépendre des armes nouvelles Exemple 3: Les forces blindees et aeriennes (1930)


Les cyberarmes et leurs risques

� Pas de designation claire de l’agresseurE

� E mais des armes fabriquees par les Etats-Nations

� Des effets strategiques – sans paliers d’escalades claires

� Des armes de premiere frappe

� E qui creent un risque d’escalade


BLACKOUT >10 jours?

?

?

?

Les cyberarmes et leurs risques:Pas de designation claire de l’agresseur0


7 million d’ordinateurs infectes dans plus de 200 pays

Exemple: Conficker (2008)

Les cyberarmes et leurs risques:Pas de designation claire de l’agresseur0 surtout quand TOUT LE MONDE est attaque !









Explosif (RDX)10 ans

Les cyberarmes et leurs risques d’utilisationLes cyberarmes sont-elles reellement assymetriques?......


VBS/Loveletter ILOVEYOU Virus10 ans

Explosif (RDX)10 ans

Les cyberarmes et leurs risques d’utilisationLes cyberarmes sont-elles reellement assymetriques?......


.

� Effort continu de R&D

� Acces au meilleur talent

� Acces a un financement large

� Acces a du renseignement et acces privilegie aux industries IT

ETAT

Les cyberarmes et leurs risques d’utilisationLes cyberarmes les plus dangereuses ne peuvent etre developpees que par des Etats-Nations

Les Pirates ont besoin des Etats


PFLPTHE BLACK HAND FARC

Lashkar-e-Taiba Hezbollah Al Qaeda

Kingdom of Serbia Soviet Union Venezuela

Pakistan Iran Saudi Arabia/ Pakistan

Les cyberarmes et leurs risques d’utilisationLes pirates ont TOUJOURS eu besoin des Etats









?

Les cyberarmes et leurs risques d’utilisationLe potentiel strategique


5

4

3

2

1BLACK-OUT:

• APRES COMBIEN D’HEURES/JOURS Y A T-IL UN NOMBRE SIGNIFICATIF DE VICTIMES?....

Les cyberarmes et leurs risques d’utilisationOu se trouvent les lignes rouges?......









Les cyberarmes et leurs risques d’utilisationPas d’alertes avancees0.

• ZERO DAY: IMPACT IMMEDIAT

• ULTRA SPECIALISEE

• PAS DE DETECTION AVANCEE


UNITE DE DEFENSE UNITE D’ATTAQUE

Les cyberarmes et leurs risques d’utilisationPas de distinctions fonctionnelles observables sur les capacites


� Ultra Precise

� Aggresseur inconnu

� Pas d’alerte avancee

� Pas de surveillance/controle

� Effets strategiques

“First Strike Weapons”

Les cyberarmes et leurs risques d’utilisationDes armes de premiere frappe









Doubly Dangerous

Doubly Stable

Avantage à l’Attaque Avantage à la Défense

Posture de l’Ennemi pas claire:Offensive

ou Défensive???

Robert Jervis “ Security Under the Cooperation Dilemma” Model (1978):

Posture de l’Ennemi claire

(Perception)

CYBERWAR

Les Cyber Armes augmentent le risque de conflit mondial


Robert Jervis “ Security Under the Cooperation Dilemma” Model (1978):

Doubly Stable

Doubly DangerousEurope, June 1914

Avantage à l’Attaque Avantage à la Défense

(Perception)

Posture de l’Ennemi pas claire:Offensive

ou Défensive???

Posture de l’Ennemi claire

Les Cyber Armes augmentent le risque de conflit mondial


Les Cyber Armes augmentent le risque de conflit mondialHier


?

Brouillard de la

CYBER-GUERRE

Les Cyber Armes augmentent le risque de conflit mondialAujourd’hui


L’escaladeDemain?

General Kevin Chilton, US Strategic Command (Forces Stratégiques US):

“Toutes les options sont sur la table s’il faut répondre a une cyber attaque contre les Etats-Unis d’Amérique.”

Mai 2009

Confirme par le Wall Street Journal en Juin 2011


Analyse du Risque

Probabilité de réalisation du risque

100%

Tension politique

Probabilite

Seuil ?

Escalade


Analyse du Risque

Probabilité de réalisation du risque

100%

Tension politique

Probabilite

Seuil ?

Escalade

TECHNOLOGIESANS DOCTRINE

Seuil ??


� Impact

� Incidence



Mitigation1. Integrer aux processus de decision strategiques

EN DEVELOPPEMENT

Source: Stuart STARR, Daniel KUEHL, Terry PUDAS, « PERSPECTIVES ON BUILDING A CYBER FORCE STRUCTURE”, 2010, NDU


Mitigation2. Mise en place dispositif technique

COMPUTING & STORAGE HARDWARE

ELECTRO-MAGNETIC SPECTRUM/

TELCO HARDWARE

HUMAN BRAIN (EMETTER &

RECEPTER)

DIGITAL INFORMATION SYSTEM

DIGITAL DATAINSTRUCTIONS &

PROTOCOLS HUMAN BRAIN (DEVELOPPER)

SOFTWARE (VIRTUAL /SEMANTIC DOMAIN)

HARDWARE PHYSICAL DOMAIN

(b. XIX th)

(b. Late XIX th)

(b. 1950s – 1960s)

(b. 1940s)

HUMAN

COMPONENT


Mitigation3. Mise en place de nouvelles doctrines

DOCTRINE: DISSUASION NUCLEAIRE


Mitigation4. Alertes avancees, reporting, echange d’information

INTERNATIONALNATIONAL

PARTENARIATSPUBLICS-PRIVES

Exemple:

IN-Q-TEL

GCHQ


1930 1940 1950 1960 1970 1980 1990 2000 2010 2020

Mitigation: Les 10-20 prochaines annees

Zuse Z1

Colossus 1

Cray Jaguar

Floating point

operations

per second

Tianhe IA

Target

2020

X50 to x350Tous les 10 ans

10^2

10

1

10^3

10^4

10^5

10^6

10^7

10^8

10^9

10^10

10^11

10^12

10^13

10^14

10^15

10^16

10^17

10^18

K Computer


1988

2007

2010

2025-2030+

?

Morris Worm

Estonia E-Riot

StuxnetSCADA

penetration

Mitigation: Les risques emergents – “Known unknwown; Unknown unknown”5. Imaginer & Simuler


GRC Interchange 2011 Paris

Technology