Master Classe sur le Terrorisme

La premiére Master Classe sur le Terrorisme s’est tenue le 27 avril 2017, organisé par la FFPC à l’université Paris 2 – Panthéon-Assas – avec notre président d’honneur Dr Erroll Southers (USC Sud Californie – Homeland Security) et le professeur  Fabrice D’Almeida, et nos cadres enseignants Franck DeCloquement et Chems Akrouf de la FFPC (French Federation of Psycho-Forensic).


Excellent Article sur Atlantico de notre Spécialiste Franck Decloquement sur les enjeux de la sécurité d’internet :

Cataclysme en vue: voilà à quoi nous attendre le jour où Internet disparaîtra (et au rythme auquel travaillent les pirates, ça se précise…)

Alors que les attaques informatiques sont de plus en plus violentes, sophistiquées et fréquentes, le scénario d’un krach général provoquant l’effondrement de tout un système semble gagner en crédibilité.

Cataclysme en vue: voilà à quoi nous attendre le jour où Internet disparaîtra (et au rythme auquel travaillent les pirates, ça se précise...)

Atlantico : D’après Bruce Schneier, un expert reconnu en cybersécurité, « quelqu’un est en train d’apprendre à démolir Internet« . Selon lui, les cyberattaques précises adoptent un mode opératoire qui laisse penser qu’elles ont pour objectif de tester les défenses de l’adversaire et de connaître son point de rupture. Quelle(s) forme(s) une attaque massive pourrait-elle prendre ? 

François-Bernard Huyghe: Il y a quelques jours aux Etats-Unis, nous avons eu un échantillon de ce qu’il pourrait y avoir, à la fois de novateur et de grave. En effet, une attaque par déni d’accès, qui consiste à saturer des ordinateurs pour les empêcher de fonctionner, a perturbé le système d’adressage sur la côte Est des Etats-Unis.

Des sites comme Twitter ou le New York Times ont été inaccessibles pendant plusieurs heures. Cette attaque a perturbé non pas un site ou une cible en particulier, mais un élément indispensable au fonctionnement d’Internet: le système d’adressage.  

Outre le fait qu’elle était assez sophistiquée, cette attaque a été commise par des objets connectés. Habituellement, pour faire une attaque par déni d’accès, il faut prendre le contrôle à distance de milliers d’ordinateurs et leur donner les mêmes instructions au même moment: par exemple, leur dire d’aller solliciter tel site pour le bloquer. Or, dans le cas de la dernière attaque, ce sont des objets connectés qui ont été employés. Cela a deux implications : il est désormais possible de prendre le contrôle d’objets connectés, et, dans la mesure où dans quelques années il y aura des milliards d’objets connectés, il sera possible de contrôler des milliards d’objets.

Un krach général pourrait-il se produire ? L’hypothèse est tout sauf nouvelle : dès les années 1990, des livres d’anticipation et des rapports d’experts prédisaient que dans la mesure où tout allait être connecté à Internet, bloquer le mode de fonctionnement d’Internet permettrait de provoquer un effondrement du système. Cela fait donc vingt-cinq ans qu’est envisagée la « fin du monde » à cause d’une attaque Internet particulièrement vicieuseLes Américains ont même une expression pour qualifier cela : le « cybergeddon », formé du préfixe « cyber » et de « geddon » provenant d’Armageddon (la fin du monde dans la Bible). Dans ce scénario, des virus pourraient provoquer le chaos, l’anarchie dans tous les domaines: la distribution d’énergie, le système bancaire, les feux rouges etc. 

Deux questions se posent. Premièrement, quelle est la probabilité que cela se produise ? Jusqu’à présent, deux facteurs ont empêché qu’il y ait des catastrophes vraiment monstrueuses : la résilience des systèmes (par exemple, si un grand routeur d’Internet est bloqué, il y en a d’autres qui peuvent faire circuler l’information; on peut également penser aux systèmes de réparation après les attaques par virus); et le fait que tout n’est pas encore totalement interconnecté.

Deuxièmement, qui voudrait se lancer dans une telle attaque? Quel serait l’intérêt de paralyser pendant quelques heures, voire quelques jours, une partie d’Internet dans un pays ? Un Etat pourrait se lancer dans une telle attaque pour afficher sa force, dans une logique de dissuasion visant à montrer qu’il a l’équivalent informatique de l’arme atomique. On peut également considérer que quelqu’un pourrait, dans un but complètement nihiliste, décider de détruire l’Internet mondial.

Franck Decloquement: Les propos alarmistes vont bon train sur les forums. Outre « la fin d’Internet » menacé selon certains experts de saturation avant 2023, depuis le mois de septembre, l’expert américain de la cybersécurité, Bruce Schneier, a en effet affirmé sur son blog : « quelqu’un est en train d’apprendre à détruire Internet ». Compte tenu de ses propos « apocalyptiques », le monde des spécialistes et des médias en émoi a en effet prêté une très grande attention à la nature de ces paroles, et leurs conséquences opérationnelles immédiates pour tout à chacun. Schneier explique en substance que depuis un ou deux ans, les entreprises dites « critiques » du web -et ayant en quelque sorte la « gestion » fonctionnelle de l’Internet- subissent des attaques concertées très calibrées, dans le but, semble-t-il, de tester le périmètre de leurs défenses. Et ceci, afin d’évaluer les moyens nécessaires pour les mettre à mal. C’est le cas par exemple de Verisign très largement cité dans les médias, qui est une entreprise américaine qui gère notamment les noms de domaines en « .net » et « .com ». Dans l’hypothèse où Verisign venait, par exemple, à s’effondrer, c’est tout un pan de l’Internet mondial qui pourrait disparaître subitement. Bruce Schneier qui se veut aussi un « lanceur d’alerte » a en effet écrit : « C’est en train d’arriver. Et les gens doivent le savoir », martelait-il dans un article mis en ligne sur son blog personnel.

Qu’est-ce que ces attaques ont-elles au fond de si particulier et de si nouveau ? Schneier l’explique très bien lui-même : les attaques les plus courantes sur Internet sont ce que l’on nomme des attaques en « déni de service », ou « DDoS » dans le langage des spécialistes. En gros, il s’agit d’empêcher les usagers de se rendre sur le site visé, en l’ensevelissant littéralement sous une masse de données. Pour cela, il suffit de lui faire parvenir tellement de requêtes, qu’il sature bientôt très vite et devient totalement inaccessible et inopérant… Jusqu’ici, rien que du très classique. Les attaques en « déni de service » sont vieilles comme Internet lui-même pourrait-on dire. Les hackers et les pirates du monde entier y recourent très couramment pour « faire tomber » les sites qu’ils n’aiment pas, les cybercriminels pour quémander des rançons ou prendre des sites en otage… A la base, cette problématique découle toujours d’une simple question de « bande passante ». Autrement-dit de « débit » dans les « tuyaux ». Si le défenseur en a moins que l’attaquant, il perd alors à tous les coups.

Depuis quelques mois donc, les entreprises dites « critiques » de l’Internet subissent ce genre d’attaques. Mais celles-ci ont désormais un profil très particulier: elles portent sur un spectre d’action plus large que d’habitude, et elles durent beaucoup plus longtemps qu’à l’accoutumée. Elles sont aussi plus sophistiquées, plus précises. Mais surtout, elles donnent le sentiment que les personnes aux commandes de ces attaques « testent » des choses de manière très méthodique. Et plus particulièrement, la puissance et les moyens coordonnés de défense mise en œuvre pour les contrer. Par exemple, d’une semaine sur l’autre, une attaque va s’initialiser à un certain niveau d’action, puis monter en grade, puis enfin cesser… La semaine suivante en revanche, elle va reprendre au niveau exact où elle s’était arrêtée précédemment, puis monter encore d’un cran supplémentaire. Et ainsi de suite… Comme si elle cherchait l’exact « Point Break » – le « point de rupture » – du système lui-même. A chaque fois, elles utilisent pour agir, différents points d’entrée en même temps. Ce qui est assez rare en soi. Obligeant ainsi les opérateurs visés à mobiliser l’ensemble de leur capacité de défense –à montrer tout ce qu’elles ont dans le ventre– ce qui n’est jamais bon signe… Sur le plan cognitif, tout converge donc vers le constat que « quelqu’un » ou « quelques-uns » sont bien en train de « tester » le contour des défenses des entreprises américaines les plus critiques de l’Internet mondial.

Un colloque réinterroge la compatibilité du fait religieux au sein du service public

Ne tomber « ni dans la polémique, ni dans la simplification ». Jean-Marie Bockel, sénateur et président de l’agglomération de Mulhouse, s’exprimait en ouverture d’un colloque organisé par la Fédération française de psycho criminalistique au Sénat sur les impacts de la religion et de la radicalisation dans les entreprises et les services publics.

Deux logiques sous-tendent le débat, pour Fabrice d’Almeida, professeur à l’université Paris Assas. Les relations de travail se sont « démocratisées », avec davantage d’horizontalité et de revendication et la société s’est « confessionnalisée » avec l’exigence de vivre sa foi de façon permanente dans la sphère privée et publique. Les intervenants se sont efforcés de tracer des lignes de force utiles à celles et ceux qui sont confrontés aux effets des croyances religieuses dans le monde du travail privé au public.

Un management par la discussion et l’échange

Il ne faut « pas avoir peur », avertit Chems Akrouf, directeur du pôle intelligence de Sentinelle. La stigmatisation et le rejet produisent de la radicalisation. Le fait religieux se manage par la discussion et l’échange dans le cadre du travail lui-même.Ainsi les agents du service public ou les travailleurs d’entreprise délégataire d’une mission de service public, doivent-il, dans la République laïque, observer une stricte neutralité.

Interroger la personne sur les raisons du changement de son comportement paraît une évidence à Françoise Thieullent, avocate et médiatrice à La Réunion, département où se côtoient de multiples religions : « oser découvrir et se former à la culture de l’autre est la clé pour travailler et vivre ensemble ».

Un dialogue social utile et nécessaire

Le traitement du fait religieux s’organise dans un « projet commun, témoin d’une volonté générale », rappelle Fabrice d’Almeida. La nécessité « d’un collectif fort » dans le monde professionnel et le rôle des syndicats sont soulignés par Jean-Claude Delgènes, directeur général du cabinet Technologia. Cela passe par le dialogue social pour dégager des « accommodements raisonnables ».

Toutefois l’idée de pouvoir présenter des candidats non syndiqués au premier tour des élections professionnelles inquiète : elle pourrait permettre l’infiltration des institutions représentatives du personnel par un leader religieux, insuffisamment « légitime et investi dans le cadre de travail ».

Une prise en charge technique

Enfin, le monde du travail doit prendre garde à l’utilisation de ses réseaux sociaux. Patrice Kirmizigul, expert en cyber-sécurité, prévient : la responsabilité du chef d’entreprise, de l’élu ou du chef de service peut être pénalement engagée, si les outils informatiques professionnels (serveurs, ordinateurs, etc.) sont utilisés par des salariés ou des agents pour visiter des sites internet propagandistes (art. 421-2-5-2 du Code pénal) ou stocker et diffuser des contenus à caractère sectaire.

Cette responsabilité est toutefois relative : il suffit que les moyens de l’empêcher aient été mis en œuvre pour éviter la condamnation. Divers outils techniques sont à la disposition des dirigeants : systèmes de contrôle (« check ») et de surveillance, système de blocage et de filtrage de sites interdits à la consultation, système d’analyse sémantique et contextuelle, charte informatique. En outre le site gouvernemental « stop djihadisme » peut aider à comprendre et circonscrire les dangers de radicalisation.

La luttre contre le terrorisme, un enjeu électoral comme les autres?

Lors du premier débat des primaires de la droite, Alain Juppé a évoqué les questions de terrorisme, faisant entrer de plain-pied les questions de sécurité dans la campagne présidentielle.

POOL New / Reuters

Un soldat français à Vincennes, dans le cadre du plan Vigipirate, juillet 2016. REUTERS/Ian Langsdon/Pool

Lors du premier débat des primaires de la droite, le candidat Juppé a évoqué les questions de terrorisme et présenté des axes de réforme pour les services de renseignement, faisant entrer de plain-pied les questions de sécurité dans la campagne présidentielle qui s’annonce. La situation que vit la France après avoir subi les pires attentats de son histoire récente, et engagé ses armées à un niveau sans précédent au Sahel et au Moyen-Orient, rend parfaitement légitime le fait que la sécurité nationale s’invite au cœur des débats. Rares sont ceux qui par le passé, ce sont réellement impliqué dans les questions de renseignement et d’intelligence stratégique. C’est Nicolas Sarkozy qui crée dès 2007 le CNR (Comité National du Renseignement) et le poste de coordonnateur – mais aussi une académie du renseignement dédiée – en insufflant l’idée d’une véritable communauté du renseignement. Faisant ainsi sortir les services spécialisés de l’ère du chacun pour soi.

Parmi les nouvelles propositions qui fleurissent de-ci de-là, avant le résultat des primaires, on entend bruisser des projets qui mériteraient d’être plus réfléchis et moins bricolés pour la circonstance. Nos politiques n’ont d’ailleurs cessé de monopoliser les débats après les attentats de Paris et Nice, autour des questions de renseignement. Pourquoi alors composer ainsi des réponses « à la va-vite », si les enjeux sécuritaires sont perçus par tous les candidats comme centraux ? Par exemple, l’idée de créer un ministère du renseignement est l’archétype parfait de la fausse bonne idée. Le renseignement n’est pas une politique publique en soi, mais les services contribuent à la prise de décision en éclairant les ministères par leurs informations et leurs analyses. Créer une structure administrative supplémentaire revient souvent à ajouter de la confusion, sans gagner en efficacité. Le moment ne semble pas opportun, même si certains conseillers en appui à nos politiques rêvent d’ores et déjà en coulisses de se tailler un costume à la mesure de leur ambition personnelle. En outre, affirmer comme Alain Juppé que les services spécialisés ont échoué face au terrorisme, dénote d’une aigreur manifeste pour le travail considérable accompli par nos fonctionnaires civils et militaires, qui luttent inlassablement pour déjouer de nouveaux attentats sur notre sol. La France a une longue expérience de la lutte contre le terrorisme depuis 1995. Aujourd’hui, il faut agir pour décloisonner davantage les informations et parfaire le niveau d’analyse, tout en évitant de réinventer l’eau chaude tous les quatre matins. Car ce combat repose avant tout – de l’avis des spécialistes concernés – sur la connaissance intime de l’adversaire, ainsi que sur un patient travail de recherche et d’investigation. Le renseignement, c’est d’abord de l’intelligence humaine adaptée à une situation. Cette intelligence permet de comprendre que si les attentats sont souvent brutaux et peu prévisibles, les causes du terrorisme sont elles profondes : elles s’enracinent dans un milieu culturel et géopolitique. Notre arme, c’est définitivement la connaissance et l’intelligence.

Si les terroristes du 11 septembre visaient l’Amérique dans ses symboles les plus emblématiques, ceux du 13 novembre 2015 ont un tout autre objectif induit : fracturer la société française, la dissocier en une juxtaposition de communautés en rivalité mutuelle, parfois même sur le plan de la concurrence victimaire. C’est un cancer qui est introduit insidieusement dans les cœurs et les esprits de chacun, dont les effets sont beaucoup plus perfides et destructeurs qu’il n’y paraît. Il vise à produire un rejet des musulmans du champ national pour en faire des victimes, des boucs émissaires, et potentiellement des recrues indispensables à la perpétuation du combat de Daesh, en Irak et en Syrie. La vraie nouveauté, c’est peut-être la structure organisationnelle quasi militaire de Daesh qui a changé la donne. Et ceci, tant sur le plan stratégique que sur les modalités de dissémination et d’essaimage de sa propagande spécifique. Une propagande qui se donne entre autres finalités de jouer sur les grilles de lecture cognitive et la perception des individus qu’elle vise à enrôler. A influencer. A « faire agir ». Les Américains l’ont bien compris et concentrent d’ailleurs leurs efforts d’actions ciblées sur les propagandistes de l’EI. Nous avons ici affaire à un phénomène psychologique et cognitif très complexe, stimulé de l’extérieur par l’Etat islamique, ses réseaux d’action et sa propagande très sophistiquée. Mais aussi de l’intérieur par des recruteurs qui n’opèrent pas depuis Raqqa mais depuis nos villes et leurs périphéries. Désormais, il apparaît impératif selon les spécialistes, de bien comprendre ces phénomènes mimétiques « d’attirance » et « d’identification », pour pouvoir mieux les discerner et combattre les modalités d’embrigadement qu’ils activent. C’est autant un enjeu de psychologie, que de criminalistique et de renseignement.

La coopération internationale entre services de renseignements français et américains s’organise. C’est d’ailleurs l’un des volets de recherche de la Fédération Française de Psycho-criminalistique (FFPC), nouvellement créée. Ces travaux très concrets sont menés par le docteur Patrice Schoendorff, Président de la FFPC, enseignant à la faculté de médecine Lyon 1, médecin en psychiatrie et en médecine légale, et Laurent Fanton, chef de service en médecine légale et directeur du diplôme universitaire interprofessionnel franco-américain de psycho-criminalistique de Lyon 1 et de l’USC – University of Southern California. Des partenariats internationaux sont d’ailleurs en gestation dans ce véritable combat de la compréhension, de l’expertise et de la connaissance, avec les départements universitaires de recherches américains et français. Les services français et américains ont toujours collaboré de façon très étroite, même si le refus de la France de partir en guerre en Irak et les doutes émis sur la présence d’armes de destruction massive a semé un temps le trouble.

Aujourd’hui, le temps de la base Alliance est terminé et la DRM, par exemple, a mis en place un groupe La Fayette de partage de renseignements de sécurité avec les Américains. La guerre contre l’EI s’effectue en parfaite collaboration avec le renseignement américain, tant depuis Tampa, en Floride – où se pilote l’opération internationale Inherent resolve – que depuis le Koweït où les Etats-majors alliés sont regroupés. Et s’il ne se passe pas une semaine sans qu’un service français rencontre ses homologues d’outre-Atlantique, c’est aussi parce que les moyens considérables dont ces derniers disposent leurs permettent d’identifier et de nous transmettre des données indispensables afin d’éviter de nouveaux attentats sur notre sol. Un agent de renseignement est d’abord un homme cultivé, un linguiste et un lettré. Or, de l’avis de nombreux spécialistes, les impératifs de la lutte antiterroriste actuelle nous empêchent d’investir sur le long terme, lui préférant des recherches par des capteurs « techniques » et des actions d’élimination ciblées. C’est indispensable, mais il faut aussi comprendre le milieu humain.

Ce sont donc des traducteurs, des linguistes d’écoute, des officiers traitants qui manquent pour assurer les missions de renseignement. Et sans doute aussi, une lacune pour l’analyse. Ainsi, lorsque le général Bosser, chef d’état-major de l’armée de terre, déclare que demain, « notre ennemi aura porté nos uniformes », il évoque avec raison le risque d’infiltration de nos armées par des terroristes, ou qu’ils puissent être d’anciens soldats, formés dans nos rangs au maniement des armes et explosifs. Mais dans le même temps, on constate que la banque nationale des emplois publics compte toujours une petite annonce pour un emploi, non honoré, d’expert du Proche et Moyen-Orient au sein de la DPSD (aujourd’hui renommée DRSD), le service en charge de la sécurité de notre appareil de défense. Un service que le général Bosser a lui-même commandé jusqu’en 2014. Pour faire face au terrorisme, dans le désert sahélien, en Syrie ou sur le territoire français, il faut parfaire la formation des spécialistes du renseignement. Une formation au sein des services de renseignement repose beaucoup sur une transmission des savoir-faire professionnels, entre anciens et nouveaux, et ou le retour d’expérience est essentiel. Cette méthode est efficace puisque la France dispose en l’occurrence de très bons services, tant extérieurs qu’intérieurs. Mais le champ de la recherche universitaire – qui permet pourtant de tirer des enseignements des actions passées, de comprendre la géopolitique et la psychologie des acteurs, d’échanger avec des chercheurs et les spécialistes étrangers – reste encore trop peu exploré. Connaitre et comprendre l’islam et les régions dans lequel il s’est développé, des rives de l’Euphrate à celles du lac Tchad, est impératif. Y compris pour comprendre comment s’opèrent les communications entre individus radicalisés au cœur de nos villes et un groupe terroriste situé à des milliers de kilomètres de là. Il faut investir dans la connaissance, l’intelligence, et ne pas craindre le temps long : le combat contre les groupes terroristes sera l’affaire d’une génération au moins et pourra être gagné qu’à ce prix.

Dr Errol Southers, expert émérite américain en contre-terrorisme : « Daech va mener des attaques dans d’autres pays »

Les années 2015 et 2016 ont été particulièrement sanglantes en matière de terrorisme pour l’Occident et tout spécifiquement en France. Le docteur Erroll Southers, expert émérite en contre-terrorisme américain, livre à Atlantico son analyse exclusive.

Dr Errol Southers, expert émérite américain en contre-terrorisme :

Franck DeCloquement : Êtes-vous surpris par l’ampleur des actions terroristes perpétrées depuis janvier 2015 en France ?

Dr Erroll Southers : Je ne suis pas surpris. Cela confirme tragiquement la validité des menaces répétées contre la France, depuis l’année dernière. Chaque fois qu’il y a une attaque, Daesh publie des vidéos à travers leurs médias exhortant ses partisans à attaquer où ils sont, et la France est parmi la liste des cibles.

Pourquoi la France et l’Allemagne sont-elles des cibles privilégiées ?

La France est une cible de choix pour les attaques de Daesh, car elle est une alliée de la coalition menée par les Etats-Unis dans le cadre des frappes aériennes sur Daesh, en Syrie et en Irak.

Rappelons-nous qu’en 2014, dans l’une des ses vidéos, l’un des ses porte-parole Abu Muhammad al-Adnani pressait les musulmans de « tuer les mécréants américains ou européens« , et spécialement « les méchants et sales Français« . En mars 2016, Daesh a appelé les musulmans en Allemagne à mener des attaques sur le bureau de la chancellerie à Berlin d’Angela Merkel, et l’aéroport de Cologne-Bonn, en déclarant que l’Allemagne est un « ennemi d’Allah« . Cela dit, la liste des pays où Daesh a appelé à des attaques est longue, et il y a une forte probabilité pour que Daesh mène des attaques dans d’autres pays.

Que pensez-vous du profil des terroristes ? Sont-ce des « idéologues » ou des « bandits » ?

Comme je le dis souvent, il n’y a pas de profil type. Chaque terroriste est différent et est entraîné à la fois par l’idéologie et le comportement criminel, à des degrés divers. Néanmoins, la caractéristique la plus importante dans la plupart de ces derniers cas est le fait que ce sont des « homegrown » (individus issus du pays visé). Ils ont été des citoyens ou des résidents de l’État qu’ils ciblent. Il apparaît tout de même que ces individus n’ont pas l’expérience des combats en Syrie ou en Irak, et on peut donc s’interroger sur le degré de contrôle et de directive que peuvent exercer les dirigeants de Daesh sur les actions de ces individus. C’est en effet assez discutable. C’est l’une des raisons pour lesquelles la menace « homegrown » est si imprévisible sur le plan du renseignement.

Estimez-vous que la France est plutôt bien équipée en termes de renseignement pour lutter contre le terrorisme ?

Les services de renseignements français sont clairement en train de s’adapter pour répondre à la menace, de même que toutes les autres communautés du renseignement dans le monde entier. Les terroristes, eux, sont en constante adaptation en matière d’approche et de tactique, et nous devons donc toujours être dans l’anticipation et l’adaptation également. Le récent rapport parlementaire sur les défaillances du renseignement français semble indiquer les occasions manquées par les autorités françaises et belges pour arrêter les attaquants de Paris et de Bruxelles, qui ont tué 162 personnes en novembre et mars. Cependant, lors de ma visite en France en février dernier, j’ai pu constater que le renseignement français a tenu à engager des approches interdisciplinaires pour accroître leur efficacité (ndlr : renseignement, médecine psychiatrique, psychologie, psycho-criminalistique), car des universitaires, des élus et des chercheurs en médecine étaient également présents pour mieux comprendre les causes de la radicalisation.

L’éducation en situation de post-conflit
July 17, 2016

post-1-mv2

Pendant que nombre d’enfants sur la planète sont sur les bancs de l’école, d’autres se battent sur un champ de bataille. Leur nombre ne faiblit pas – certaines ONG évoquant le chiffre de 250 000 – malgré les efforts de la communauté internationale et de nombreuses asso…

 

Read More

Attaque terroriste à Orlando : 50 morts et 53 blessés dans une discothèque gay

July 14, 2016

Attaque terroriste à Orlando : 50 morts et 53 blessés dans une discothèque gay.
Samedi vers 2h du matin, moment de la semaine où les discothèques sont le plus fréquentées, un homme armé a fait irruption au Pulse d’Orlando. La police l’a identifié comme étant Omar Sadiqqui Mateen, 29 ans, un agent de sécurité de Fort Pierce (sur la côte est de la Floride) né de parents afghans, qui « aurait un penchant » pour le terrorisme, selon le FBI. Pour la police, l’homme était « organisé et bien préparé » pour cette attaque, avec un fusil d’assaut, une arme de poing, et « un autre dispositif sur lui« , qui pourrait être une ceinture d’explosifs. Le gouverneur de Floride Rick Scott a décrété l’état d’urgence. Chems Akrouf Expert en renseignement Vice Président de la FFPC revient sur cet grave attaque terroriste sur LCI.

Homegrown – Educating Communities About Violent Extremism

 July 14, 2016

Dr. Erroll G. Southers is the Director of Transition and Research Deployment at the Department of Homeland Security National Center for Risk and Economic Analysis of Terrorism Events (CREATE) and is an adjunct professor of the USC Sol Price School of Public Policy.

 

 

 

 

 

 

 

Excellente article sur Atlantico de notre spécialiste Franck Decloquement

Cyberattaque de masse : une catastrophe mondiale difficilement évitable quoiqu’en pense Edward Snowden

La cybertattaque survenue il y a quelques jours est peu commune, quant à son étendue et son mode d’action. En moins de 24 heures, 75 000 attaques ont eu lieu. A ce jour, Renault serait la seule victime française répertoriée.

Cyberattaque de masse : une catastrophe mondiale difficilement évitable quoiqu'en pense Edward Snowden

Atlantico : Ce vendredi, une cyberattaque « d’un niveau sans précédent » selon Europol a touché une centaine de pays, s’attaquant aussi bien à des hôpitaux qu’à des banques, en passant par Renault, la société américaine FedEx ou encore le ministère de l’Intérieur russe. Que s’est-il passé exactement ? Qu’est-ce que cela révèle des failles de sécurité existantes chez les multiples opérateurs directement concernés par cette attaque ?

Franck DeCloquement : « Oops, vos fichiers ont été chiffrés ! Beaucoup de vos documents, photos, vidéos, bases de données et autres fichiers ne sont plus accessibles car ils ont été chiffrés.

Peut-être que vous êtes occupé à chercher un moyen de récupérer vos fichiers, mais ne gaspillez pas votre temps. Personne ne peut récupérer vos fichiers sans notre service de décryptage », indique le message intrusif qui s’affiche sur les écrans de toutes les machines qui ont été infectées… Souriez, vous venez d’être « cryptolocké » !

Les déclarations officielles, qui se succèdent depuis 48 heures dans le monde entier, sont en effet nombreuses et anxiogènes. Elles jettent aussi l’effroi chez le commun des mortels, stupéfié par l’ampleur et les conséquences possibles de cette action informatique malveillante de très grande ampleur : « L’attaque récente est d’un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables », a immédiatement indiqué l’Office européen des polices Europol. « L’attaque serait de portée mondiale et toucherait des organisations en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique », ont repris de leur côté, les analystes de l’entreprise de sécurité informatique « Forcepoint Security Labs ». Le Centre européen de cybercriminalité de l’Office européen des polices « collabore avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes », a-t-il ajouté. L’unité opérationnelle conjointe d’action contre la cybercriminalité d’Europol, le « JCAT », un groupe international de cyber-enquêteurs, « est spécialement conçu pour apporter son aide dans de telles investigations et jouera un rôle important dans le soutien de l’enquête », a également précisé Europol.

Pour résumer les faits connus à cette heure, une « team pirate » a utilisé une faille repérée dans Windows, initialement découverte par les services de la célèbre National Security Agency américaine (NSA). Faille qui aurait, en outre, été divulguée dans des documents confidentiels qui ont été dérobés à l’Agence de sécurité américaine, puis publiés sur internet en mars 2017. La liste des pays touchés est vertigineuse, et les experts en cybersécurité n’ont guère de doute sur le fait que tous les incidents recensés à travers la planète sont liés. D’autant plus que dans de nombreux cas, les mêmes messages contenant une demande de rançon de 300 dollars payables en bitcoins (cette somme augmente d’ailleurs avec le temps), sont apparus sur les écrans des victimes de l’attaque. Dès samedi matin, on évoquait déjà plus de 99 pays visés par cette cyber-attaque, et de nombreuses entreprises ou services publics ont reconnu avoir été impactés ou avoir fait l’objet d’attaques informatiques. Plus de 75 000 attaques au total, et tout ceci, en moins de 24 heures…

De leur côté, les gouverneurs des Banques centrales des pays membres du G7 et les ministres des Finances, réunis ce samedi à Bari dans le sud de l’Italie, ont promis en marge de ce séminaire, de renforcer la cybersécurité globale de tous les établissements bancaires. Des organisations publiques, des entreprises ont ainsi été touchées aux Etats-Unis – à l’image du géant de livraison de colis FedEx – et au Royaume-Uni, mais aussi en Italie, en France, en Australie, en Espagne, à Taïwan, en Belgique, en Allemagne, au Mexique, en Chine ou bien encore en Ukraine… Mais la visibilité de l’agent infectieux peut être limitée ou encore incomplète à cette heure.

Outre FedEx, le constructeur automobile français Renault a indiqué faire partie des victimes qui ont été impactés par cette cyber-attaque. « Nous avons été touchés » a rapidement indiqué un porte-parole du groupe, en précisant que Renault était en train d’analyser la situation. « Une action est en place depuis vendredi soir. On fait le nécessaire pour contrer cette attaque », a-t-il précisé dans la foulée. Renault a depuis été contraint de stopper la production de certains sites de fabrication dont celui de Sandouville en France, mais aussi en Slovénie où la filiale du constructeur, Revoz, a interrompu la production de l’une de ses usines. Le parquet de Paris, qui a été saisi, a ouvert une enquête. Au fil des deux dernières nuits passées, la liste des victimes potentielles de la cyberattaque mondiale détectée vendredi par les autorités américaines et britanniques s’est allongée… Selon l’Agence nationale de la sécurité des systèmes d’informations (l’Anssi), Renault serait la seule victime française répertoriée à ce jour. Mais, il est « probable qu’il y ait d’autres victimes en France », même si ces dernières ne sont pas encore connues, annonce Guillaume Poupart, directeur général de l’Anssi. Et d’ajouter, en pérorant avec emphase sur l’accident de Tchernobyl et le périple capricieux de son nuage radioactif baladeur, « qu’il n’y a pas de raison que le nuage se soit arrêté aux frontières de l’Hexagone »… Un peu plus tôt, les chemins de fer allemands, la Deutsche Bahn, mais aussi le groupe Telefonica en Espagne, ont reconnu avoir été la cible de ces mêmes attaques informatiques. Si certains panneaux d’affichage en gare ont été impactés, la Deutsche Bahn a toutefois certifié que l’attaque n’avait eu, pour l’heure, aucun impact sur le trafic ferroviaire allemand.

En Russie, la Banque centrale a annoncé qu’elle avait détecté des attaques informatiques massives samedi, contre des banques russes qui étaient toutefois parvenues à les contrecarrer. La presse russe a par ailleurs indiqué que la société des chemins de fer nationaux avait également été prise pour cible, mais qu’elle était aussi parvenue à repousser ces cyber-intrusions.Ces actions informatiques malveillantes ont notamment touché le service public de santé britannique (NHS), parvenant par la même occasion à bloquer les ordinateurs d’une quarantaine d’établissements hospitaliers de Grande- Bretagne. « À ce stade, nous n’avons pas d’élément permettant de penser qu’il y a eu accès à des données de patients », a conclu la direction du service public de santé britannique.

Selon Edward Snowden, la NSA était au courant de la faille dans les systèmes Windows, à l’origine de cette cyber-attaque. Pensez-vous, comme l’a affirmé le lanceur d’alertes sur son compte Twitter que « S’ils avaient révélé l’existence de cette faille de sécurité lorsqu’ils l’ont découverte (…) tout cela ne serait pas arrivé » ?

L’ancien consultant de la NSA Edward Snowden, qui avait dévoilé en 2013 l’ampleur de la surveillance de l’agence de sécurité, a saisi cette occasion unique pour dénigrer à nouveau les pratiques de ses anciens employeurs sur Twitter : « Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont ‘découverte’, plutôt que quand elle leur a été volée, tout ceci aurait pu être évité ». Le ransomware « WannaCry » (également connu sous l’acronyme « WCry », « WCrypt » ou « Wana Decryptor ») a donc impacté et compromis d’innombrables machines informatiques, et ceci dans le monde entier, entreprises et particuliers pouvant être identiquement impactés. « Il semblerait pourtant que la menace n’existe plus depuis que le ‘kill switch’ a été activé. ‘WCrypt’ vérifie l’existence d’un nom de domaine particulier avant de s’activer, et il se trouve que ce domaine a été justement activé », nous révèle un spécialiste du domaine. Goguenard, il ajoute : « Amusant de voir comment un bête ransomware se retrouve immédiatement transformé par la magie du marketing en ‘une attaque cyber’ de classe mondiale… Pour moi, une attaque, c’est ciblé… Hors ici, il n’y a pas de cible. Juste un bête virus ». Pourtant, rien n’empêche les cybercriminels, ou de probables imitateurs patentés, de produire une nouvelle version de leur logiciel d’attaque, et de renouveler ainsi leur opération dès lundi matin. Au moment même où, de retour du week-end, des millions de personnels d’entreprises à travers le monde peuvent malencontreusement réactiver involontairement la contamination numérique. Tout est en effet envisageable.

La spécificité de cette véritable « infestation numérique », selon les termes du spécialiste en intelligence stratégique, Sébastien Brouiller, associé chez SISCOM Partners, « est de ne pas se répandre classiquement, via l’ouverture intempestive d’un email infecté, mais bien de se répliquer toute seule en amont, à travers des machines corrompues, sans cibles prédéfinies au préalable ». « L’objectif sous-jacent est évidemment criminel, indique-t-il, et a pour vocation immédiate de toucher le maximum de monde ». « La motivation première étant bien entendue la collecte frauduleuse d’argent, car tout cela est finalement très lucratif pour les pirates, puisqu’en définitive, certaines victimes – parmi la multitude atteinte – payent, pour espérer recouvrer leurs données personnelles frauduleusement cryptées ». La méthode est bien connue des experts en cyber-protection. Mais il est à noter qu’elle peut même être « réactivée » ou « reconduite » à travers une reprogrammation du logiciel malveillant initial, pour crypter à nouveau des documents à tout moment, sous une forme informatique renouvelée. « Des questions se posent toutefois à ce sujet : comment est-il possible que des multinationales ou des grands groupes de taille mondiale aient été contaminés aussi facilement de la sorte, à travers leurs réseaux de machines ? Comment les DSI ont-ils intégré et géré cette menace pourtant connue via leur processus de veille et de due diligence ? Ce qui est très surprenant, c’est que les établissements qui n’ont pas été impactés étaient évidemment sur leurs gardes et s’attendaient d’ailleurs à cette attaque depuis quelques jours déjà ! ». Les entreprises visées étaient en réalité des établissements de moindre sécurité. « Les pirates ont d’ailleurs testé leurs cibles à travers plusieurs vagues d’actions malveillantes, entre les 24 et 27 avril dernier » nous indique un grand spécialiste, usant toutes d’un cryptolocker classique ». Et dans ce registre, « les banques et les assurances sont des cibles ‘trips’ assez complexes ». « Les établissements bancaires dépensent des dizaines de millions d’euros chaque année, et disposent d’équipes d’experts très conséquentes, pour barrer la route à ces intrusions malveillantes ». « Nous avions pu analyser les vagues précédentes. Et nous avons donc décidé de donner la priorité maximum aux ‘patchs correctifs’ sur le business, pour ne pas se faire surprendre… En revanche, les industriels, ‘ce n’est que du bonheur’ pour les cybercriminels, selon l’expression consacrée. Leurs moyens ne sont pas comparables. Ce sont des cibles faciles » ironise-t-il. « À travers cette attaque, on a sans doute affaire à une ‘team’ agressive qui choisit ses victimes en fonction de leur vulnérabilité », a-t-il conclu.

Microsoft avait, en effet, publié un « patch de sécurité » en mars dernier. Une forme de « rustine » ou de « correctif » informatique pour colmater la faille de sécurité en amont sur les systèmes Windows. Pourtant, de très nombreux systèmes n’ont pas encore été mis à jour à travers le monde.Selon le spécialiste Tim Minkowsky, « le logiciel malveillant a été divulgué en avril dernier par le groupe de pirates connu sous l’acronyme ‘Shadow Brokers’, qui a affirmé avoir découvert cette faille informatique par le biais de la NSA ». « Et contrairement aux habituels ransomwares, ce programme se répand directement d’ordinateur à ordinateur, sur des serveurs locaux, plutôt que par email », poursuit l’expert. « Précision, indique Minkowsky : ce n’est pas parce que le logiciel a été désactivé que les causes ont disparu ; dès demain une nouvelle version de la même chose peut être lâchée sur le monde, par les mêmes criminels ou d’autres groupes d’action, avec exactement les mêmes effets délétères que les précédents », sur le parc informatique mondial… « La faille est toujours là, prête à être de nouveau exploitée… ». « Patchez vos machines, sauvegardez vos données importantes sur des supports déconnectés », insiste-t-il pour finir, en forme de conseil à l’usage des gens ordinaires.

Avec cette cyberattaque, avons-nous franchi un cran supplémentaire dans le niveau de la menace qui pèse sur nos vies numériques ? Qui pourraient être, in fine, les auteurs de cette attaque ?

L’ampleur de l’action est en effet peu commune, quant à son étendue et son mode d’action. La méthode utilisée est somme toute ingénieuse et assez originale, puisqu’elle facilite grandement cette contagion en moins d’une journée, à travers les réseaux mondiaux de machines connectées.Pour autant, la motivation qui préside à cette action semble elle assez classique : l’argent !

« Quant aux conséquences industrielles de cette attaque, elles seront lourdes de conséquences », nous rappel Sébastien Brouiller, expert en intelligence stratégique, associé chez SISCOM Partners. « Et notamment pour Renault qui a dû stopper la production dans plusieurs de ces usines en Europe (Sandouville en Normandie, l’usine de Novo Mesto en Slovénie, l’usine de Dacia Renault en Roumanie ainsi que l’usine britannique de Sunderland du constructeur japonais Nissan, partenaire de Renault). Bien que les usines s’apprêtent à redémarrer leurs activités dès lundi, ces arrêts de production intempestifs vont coûter quelques millions d’euros au constructeur français, à n’en pas douter. Un coup très rude compte tenu d’un contexte concurrentiel durci ». D’autant que le risque systémique consécutif est là aussi très important. En effet, les dégâts seront collatéraux et affecteront dans une moindre mesure tout l’écosystème industriel du constructeur.L’existence d’une potentielle contamination, via un programme malveillant qui a la capacité de se propager par le réseau, sans qu’il ne soit nécessaire d’ouvrir de mail infecté est tout bonnement catastrophique dans l’industrie. « En effet, les usines sont toutes pilotées par ordinateur, y compris les outils de production tels que des bancs de test, des lignes automatisées, les ventilations pilotées, les outils de maintenance, les extracteurs de fumée en tous genres, etc. le système d’information reste indéniablement le poumon d’une usine. Un système d’information piraté ou corrompu informatiquement, et c’est tout l’écosystème qui est paralysé : tous les services sont de fait affectés en droite ligne : RH, gestion de production, maintenance, achat, approvisionnement, logistique, finance, qualité, engineering, R&D, production, etc… ». La liste est longue nous rappel Sébastien Brouiller. « D’où l’urgence de vérifier l’ensemble des ordinateurs de l’usine pour procéder à des mises à jour d’urgence. Et cette tâche s’annonce ardue, quand on sait le nombre d’ordinateurs à vérifier dans une usine comme Sandouville » (plusieurs dizaines de milliers, ndlr).

Au-delà des systèmes informatiques, cette cyberattaque d’ampleur inégalée pose immédiatement la question de la gouvernance cyber dans l’ensemble des organisations, et de son management. Les spécialistes de l’intelligence économique sont unanimes sur le sujet : il est plus qu’urgent que les organisations se dotent d’une véritable structure IES. Elles devront maintenant s’adapter à la menace, et mettre au point un dispositif juridique qui leur permettra d’établir l’ensemble des préjudices subits lors d’une cyberattaque. Par ailleurs, bien que certaines assurances proposent des contrats spécifiques, ceux-ci sont-ils réellement suffisants pour couvrir le risque effectif et ses conséquences ?

En définitive, comment ne pas se faire piéger, in fine ? « Il est nécessaire de disposer des équipes compétentes dédiées à la détection, à l’investigation, à la re-médiation des processus. Une bonne hygiène du SI et des budgets suffisants sont évidemment des éléments-clefs pour ne pas se laisser surprendre ». « Sinon c’est mort ! C’est une course permanente à l’armement. Le besoin de mettre en place en permanence, de nouvelles solutions de sécurité dédiées, est ici impérieux. Aucun répit n’est possible ».Il est difficile, voire impossible de remonter jusqu’au bout la chaîne d’action pour parvenir aux acteurs malveillants, ayant conçu puis déployé cette affaire peu commune. Les vecteurs d’infections sont beaucoup trop nombreux. Idem pour le paiement en ligne de la rançon en Bitcoin. Mais ne doutons pas un seul instant que les polices du monde mettent d’ores et déjà tout en œuvre pour traquer les prédateurs responsables de cette action inédite, en s’appuyant sur les compétences des membres les plus aguerris d’Interpol et du FBI, entre autres chevalier blanc…