Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier

Symposium RCC - 12 novembre 2014 Paris – Ecole Militaire

Menaces cybernétiques

Data, cybermanipulation et cybersubversion

Thierry Berthier

Chaire de Cybersécurité & Cyberdéfense Saint-Cyr Sogeti Thales

http://www.chaire-cyber.fr/

http://echoradar.eu/

http://cyberland.centerblog.net/

1

Data - Cybermanipulation

« Comme les hommes sont tous méchants, et toujours prêts à manquer à leur parole, le Prince ne doit pas se piquer d'être plus fidèle à la sienne ; et ce manque de foi est toujours facile à justifier. [...] Le point est de bien jouer son rôle, et de savoir à propos feindre et dissimuler. Et les hommes sont si simples et si faibles que celui qui veut tromper trouve aisément des dupes. » Nicolas Machiavel –

Le Prince (1513) - chap. XVIII.

2


Nous connaissons les 6V canoniques du Big Data :

Volume, Variété, Vélocité, Visibilité, Véracité, Valeur.

Deux d’entre eux s’appliquent aussi aux small datas :

Véracité et Valeur.

Contrairement aux quatre premiers V, les mesures

de Véracité et de Valeur restent complexes.

Une donnée est vraie à l’instant t, sur un contexte C et

fausse ailleurs…3


I - SMALL DATA : Quelle est la valeur instantanée d’une donnée ?

Val t ( D / C , A )

D est la donnée, t l’instant d’évaluation,

C est le contexte sur lequel elle est évaluée,

A est l’algorithme qui exploite D sur C.

Valeur et Véracité peuvent être indépendantes !4


Un hacking d’influence peut engendrer de fortes turbulences comme l’a montré l’exemple du faux tweet de la SEA à 136 Milliards de dollars…04/2013

5


Tous les indices dévissent en quelques minutes…

6


II - DATA« L'essence même de la tromperie ne réside pas dans le

mensonge que l'on profère, mais dans les vérités que l'on avance pour étayer le mensonge. »Philip Kerr.

La mort, entre autres

7


Le hacking d’acquisition et de prise de contrôle est en général assez sophistiqué. Il sous-entend :

- Un ou des objectifs stratégiques bien définis.

- Des moyens importants : équipe de développement, ingénierie sociale, tests d’intrusion, exploitation de l’information captée, suivi de l’OP jusqu’à son terme.

- Il s’inscrit souvent dans la durée.

- Il est supervisé par des organisations étatiques, militaires… (renseignement, intelligence économique)

- Par exemple : L’OP Newscaster – découverte en mai.

8


L’opération Newscaster ( Iran-USA, 2011-2014 )

- Cette opération de cyberespionnage s’appuie sur la construction de profils fictifs sur les réseaux sociaux et sur le faux site d’informations NewsOnAir utilisé comme un « pot de miel ».

- L’attaquant instaure la confiance avec sa future victime, durant plusieurs mois, pour ensuite infecter son ordinateur et collecter l’information résidente.

9


10


L’idée est de créer des profils fictifs et de l’information

artificielle, instaurer la confiance dans la durée pour

mieux tromper sa cible. Réponse iranienne à Stuxnet…

11


Les cibles : des officiers supérieurs de l'armée américaine, des décideurs, des journalistes, des parlementaires américains, israéliens, britanniques et saoudiens.

Plus de 2000 personnes se sont connectées au faux réseau d'information NewsOnAir depuis 2011 et ont été piégées par des charges virales transmises par le site et durant les échanges numériques engagés (Keylogger, Trojan, crack,..). Une fois les comptes des cibles hackés, des programmes furtifs de collecte et d'exportation de données ont été installés sur leurs machines.

Un amiral 4 étoiles de la Navy et des personnels d'ambassades font partie des victimes de l'agression.

12

Exemple de faux profil

créé parmi le noyau des

20 profils fictifs

Newscaster.

Joseph Nilsson,

fondateur du site

NewsOnAir, présent sur

Facebook, LinkedIn, 231

realtions….

13


L’OP Newscaster s’appuie sur une infrastructure de données complète, dynamique dans le temps et dans l’espace, cohérente, crédible, adaptée aux cibles.

Chaque nouvelle donnée injectée dans le corpus initial doit être cohérente avec l’ensemble, non contradictoire et admissible pour le groupe des cibles.

Avec le temps, la confiance augmente, mais la complexité et la fragilité de l’édifice également…

14


Le réseau fictif peut être représenté par un graphe dont les sommets sont les profils fictifs et les arêtes sont les liens entre ces profils. La fragilité du réseau fictif est alors asymptotiquement proportionnelle au carré du nombre de profils fictifs (un peu comme pour la loi de Metcalfe).

Cette fragilité augmente rapidement (quadratiquement) avec la taille du dispositif et avec le nombre de proies piégées.

15


III - Big Data « Il n'y a qu'un seul monde et il est faux, cruel,

contradictoire, séduisant et dépourvu de sens. Un monde ainsi constitué est le monde réel. Nous avons besoin de mensonges pour conquérir cette réalité, cette vérité. […] Les vérités sont des illusions dont on a oublié qu'elles le sont.»

Nietzsche

16


Les manipulations possibles dans un contexte Big data:

La modification ou suppression de données légitimes.

La pose de cyber-piège incitant à la création de données (programme Sweetie).

L’Injection de Données Fictives (IDF) dans un corpus de données légitimes.

17


La modification ou la suppression de données

légitimes :

Elles s’effectuent à partir d’une intrusion dans un

système ou une base de données (hacking).

Un exemple : En 2006 L’affaire Clearstream avec la

modification de certaines données de comptes

bancaires et la production de faux listings dans le but

de nuire et de ruiner une réputation.

18


La pose de cyber-pièges :

Le programme Sweetie s’appuie sur la création d’une

fillette philippine virtuelle de 10 ans qui traque les

pédophiles sur internet.

19


Sweetie converse avec des dizaines de milliers de

pédophiles qui créent des données et métadonnées

exploitées ensuite par la justice. Sweetie est un

programme initié par Terre des Hommes – Amsterdam.

20


L’injection de données fictives (IDF) :

Le principe consiste à créer un volume de données

artificielles afin de tromper et d’orienter un système

automatisé de collecte et d’analyse de données.

L’injection peut être directe : on envoie les données au

bon format dans le système de collecte via un hacking

préliminaire ou bien indirecte : on implante les données

sur l’espace numérique selon des formats variés et on

laisse la collecte s’effectuer naturellement.

21



La variété et la dispersion des données créent la

véracité auprès du système de collecte (générateurs

de faux profils sur les réseaux sociaux et de fausses

évaluations).

Côté attaquant : l’auteur d’une IDF doit veiller à la

non contradiction du corpus de données fictives et à sa

cohérence avec les standards locaux. La donnée fictive

doit être conforme (similaire) aux données réelles qui

l’entourent.

22



Côté défense : Il faut doter les systèmes de

fonctionnalités de mesure de vraisemblance d’une

donnée. L’évaluation doit se faire par rapport au

contexte, au format et au contenu de la donnée.

La mesure de vraisemblance permet de rejeter les

données fictives « grossières ». Sur des données

presque parfaites, c’est beaucoup plus difficile ….

23

24

Data & Analytics

Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier