Journal DEFNET17 & Réserve de la Cyberdéfense

Posté par  (Mastodon) .
17
28
mar.
2017

Cher Nal<, connais tu la RCD ? DEFNET 2017 te parles ? Non ? Alors un journal copier/coller de textes de présentation de tout cela. Hop. « Placée sous le commandement national de l’officier général cyberdéfense, la réserve de cyberdéfense (RCD) a pour mission de contribuer à la résilience de la nation. Elle peut agir au profit non seulement du ministère de la Défense mais également de l’ANSSI ou du ministère de l’Intérieur.

Les réservistes déjà en place de la CyberDéfense sont actuellement déployés sur la base aérienne de Rochefort dans le cadre de l'exercice interarmées DEFNET. Les armées peuvent ainsi valider les processus d’activation et d’emploi de la réserve de cyberdéfense dans des conditions proches de la réalité. Il s’agit du premier entraînement des réservistes à la gestion de crise. La nouvelle unité projetable de lutte informatique défensive (LID), la 807e compagnie de transmissions (CTRS) participent à cet exercice d'une ampleur inédite. Des industriels sont également présents (DCI, DIATEAM, CTS). Des partenariats spécifiques sont mis en place avec les écoles d'informatique permettant aux réservistes de participer aux exercices tel que celui-ci, par exemple. »

Logo CyberDéfense

Gouvernement : les réserves de la cyberDéfense
http://www.gouvernement.fr/risques/les-reserves-de-cyberdefense

Ministère des Armées : cadre de la RCD
http://www.defense.gouv.fr/portail-defense/enjeux2/la-cyberdefense/la-cyberdefense/rcd

ANSSI
http://www.ssi.gouv.fr/

DEFNET, exercice en cours
http://www.defense.gouv.fr/operations/operations/actualites/s-entrainer-a-la-gestion-de-crise-cyber-defnet

Suivi de l'évènement actuel, DEFNET2017, via le réseau social Twitter
https://twitter.com/search?q=%23defnet

Texte Officiel

Sa composition

Lancée en mai 2016, la réserve de cyberdéfense se compose d’un réseau de volontaires organisé en unités militaires réparties en cellules régionales, sur l’ensemble du territoire. Elle est encadrée par des réservistes des forces armées et par du personnel de l’État. Cette réserve d’un nouveau genre allie à la fois des réservistes citoyens, des réservistes opérationnels et des militaires d’activité.

Son périmètre d’intervention

Les interventions porteraient principalement sur les réseaux des OIV (opérateurs d’importance vitale), des administrations, des collectivités locales, des grands services publics et de leur sous-traitants, notamment s’il s’agit de PME n’ayant pas les moyens de rétablir un niveau de cybersécurité acceptable. Certaines équipes de l’échelon d’urgence seront habilitées à un niveau secret défense, pour pouvoir intervenir sur les réseaux classifiés.

Cela se traduit par :

  • l’appui à la planification et à la conduite de la chaîne opérationnelle de cyberdéfense, sur le territoire national ;
  • fournir un complément ponctuel d’expertise ;
  • le déploiement de groupes d’intervention rapide sur le territoire national ;
  • l’analyse de l’incident, des conséquences et la proposition des mesures de remédiation ;
  • le déploiement d’équipes de reconstruction de réseaux.

Devenir réservistes de cyberdéfense

La réserve de cyberdéfense recrute tout au long de l’année des spécialistes dans le domaine informatique, réservistes opérationnels ou citoyens. La réserve recherche différents profils : coordinateurs, experts, analystes, techniciens ; à différents niveaux : étudiants en 1ère année en informatique à BAC+5.

Le réserviste opérationnel souscrit un engagement à servir dans la réserve opérationnelle, un contrat rémunéré d'une durée de 1 à 5 ans renouvelable. Ces volontaires font le choix de servir leur pays sans faire du métier des armes leur seule profession.

Les réservistes citoyens sont des collaborateurs bénévoles du service public. Ils choisissent de servir leur pays en faisant bénéficier la défense de leur expertise et leur compétence. En tant que bénévole, ils consacrent le temps qu’ils souhaitent et peuvent, à cette mission.

Les conditions générales pour devenir réserviste

  • Être de nationalité française et résider en France ;
  • avoir plus de 17 ans ;
  • faire des études en informatique ;
  • être en règle au regard des obligations du service national ;
  • ne pas avoir de casier judiciaire.

Pour plus d’informations ou pour candidater (CV + lettre de motivation) : rcd chez defense point gouv point fr.

  • # :)

    Posté par  . Évalué à 6.

    [80]7e compagnie de transmissions

  • # pas mal

    Posté par  . Évalué à 6.

    cette aigle américain se posant toutes griffes dehors sur l’Europe,

    • [^] # Re: pas mal

      Posté par  . Évalué à 10.

      Petit comme troll. J’ai mieux.

      Le site www.defense.gouv.fr utilise les services de protection DDoS de Incapsula, société dont la maison mère (par rachat) est Impreva. Impreva a son quartier général aux USA et a été fondée par un certain Shlomo Kramer (et deux autres personnes), entrepreneur à succès formé dans l’armée :) (bon évidemment, dans l’état d’Israël tous les citoyens vont à l’armée…)

      Pourquoi doit-on passer par une société américaine pour se protéger des DDoS quand on est le ministère de la défense de la France ? En Europe on ne sait pas faire ? C’est trop cher ? Ça marche moins bien ?

      Ou bien est-ce acté ? La défense de la vieille Europe est assurée par sa fille ?

      • [^] # Re: pas mal

        Posté par  (site web personnel) . Évalué à 5.

        Es-tu au courant que le ministère de la défense n'utilise pas un système d'exploitation français, ni des ordinateurs fabriqués en France ?
        J'attends avec impatience ton journal qui dénonce sur l'incompétence critique des français dans le domaine de l'informatique.

        • [^] # Commentaire supprimé

          Posté par  . Évalué à 5. Dernière modification le 28 mars 2017 à 22:26.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: pas mal

            Posté par  . Évalué à 4.

            C’est marrant sur Wikipédia il y a écrit :

            Acid Cryptofiler est un logiciel pouvant assurer la protection d'informations sensibles (exemple: « Diffusion Restreinte ») mais pas classifiées de défense.

            Pour le secret défense ça doit être encore plus obscure… ou libre !

          • [^] # Re: pas mal

            Posté par  . Évalué à -2. Dernière modification le 29 mars 2017 à 07:57.

            Pour info, Acid Cryptofiler a été créer par des docteurs en mathématique qui avaient découvert à l'époque des failles dans l'algorythme de PGP et pour l'avoir utilisé, il est vraiment bien foutu.
            Et effectivement, il ne peut être utilisé que pour chiffrer des informations Diffusion restreinte sur un réseau non protégé puisque sur un tel réseau, un pirate peut facilement récupérer n'importe quel fichier et ensuite prendre tout son tant et la puissance de calcul nécessaire pour le décrypter, et dans ce cas là, aucun fichier, quelque soit le cryptage, n'est à l'abri !!!
            Pour le secret défense à l'époque, un tel réseau ne pouvait être connecter sur un réseau public et il devait rester restreint dans une salle protégée (idéalement cage de faraday).

            • [^] # Re: pas mal

              Posté par  . Évalué à 10.

              Acid Cryptofiler a été créer par des docteurs en mathématique

              Ça ne préjuge en rien de leurs compétences ni en développement, ni en cryptographie, et encore moins en développement de logiciel de cryptographie.

              qui avaient découvert à l'époque des failles dans l'algorythme de PGP

              1. « L’algorythme (sic) de PGP », ça n’existe pas. Il y a un format de message PGP (le format OpenPGP, RFC 4880), mais les algorithmes (de chiffrement ou de condensation) n’ont rien de spécifique à PGP.

              2. En admettant qu’il s’agisse d’une faille dans le format OpenPGP (ce qui est tout à fait possible, il y en a déjà eu) : révéler la faille aux auteurs de la spécification OpenPGP et/ou aux développeurs de GnuPG, ce n’était pas une option ? Plutôt que de créer de toutes pièces son propre logiciel ?

              pour l'avoir utilisé, il est vraiment bien foutu.

              Tu peux juger de la qualité d’un logiciel cryptographique (y compris la fiabilité des algorithmes qu’il utilise) juste en l’utilisant ? Comment dire…

              il ne peut être utilisé que pour chiffrer des informations Diffusion restreinte sur un réseau non protégé puisque sur un tel réseau, un pirate peut facilement récupérer n'importe quel fichier et ensuite prendre tout son tant et la puissance de calcul nécessaire pour le décrypter, et dans ce cas là, aucun fichier, quelque soit le cryptage, n'est à l'abri !!!

              Ah OK, donc en fait ce logiciel ne garantit la confidentialité d’un fichier que si le fichier ne tombe pas entre les mains de l’adversaire. Impressionnant.

              Moi, dans le même genre j’ai rot13. Écrit par des pointures parmi les développeurs du monde Unix. Pour l’avoir utilisé, il est vraiment bien foutu, et un fichier chiffré avec rot13 est totalement indéchiffrable par quiconque ne met pas la main dessus.

              • [^] # Re: pas mal

                Posté par  . Évalué à 2.

                Ces docteurs en mathématiques étaient spécialisés en cryptographie, je pense donc qu'ils connaissent un petit peu leur sujet.

                L'algorythme 'utilisé par' PGP si tu préfères.

                Je ne juge pas de la fiabilité des algorithmes, je n'ai pas cette prétention !

                Enfin, peux-tu me cité un algorithme de cryptographie qui garantie la confidentialité des informations, le chiffrement résiste plus ou moins longtemps mais fini par être cassé avec du temps et de la puissance de calcul. La seule méthode qui puisse garantir qu'une information n'a pas été lues est l'intrication quantique. Dans tous les cas, même si aucun fichier chiffré par Acid Cryptofiler n'a été cassé, la meilleure des précaution reste de ne pas laisser un fichier confidentiel sur les réseaux public.

                • [^] # Re: pas mal

                  Posté par  . Évalué à 6.

                  Il te reprenait sur l'orthographe: c'est un algorithme (pas de "y").

                • [^] # Re: pas mal

                  Posté par  . Évalué à 9.

                  Ces docteurs en mathématiques étaient spécialisés en cryptographie, je pense donc qu'ils connaissent un petit peu leur sujet.

                  Ça ne préjuge toujours rien. Des docteurs en cryptographie qui écrivent n’importe quoi, ça existe.

                  Ceux qui ne font pas n’importe quoi, en général : 1) ne croient pas en la sécurité par l’obscurité, 2) conséquemment ne voient pas d’objection à laisser les autres examiner leurs travaux, 3) ne se réfugient pas derrière un argument d’autorité.

                  la meilleure des précaution reste de ne pas laisser un fichier confidentiel sur les réseaux public.

                  C’est vrai, mais si c’est ça ta réponse au problème de la confidentialité des fichiers, à quoi bon avoir des docteurs en cryptographie ?

                  Si je stocke un fichier non-chiffré sur un support hors-ligne, il sera aussi bien protégé que s’il était chiffré avec ACID Cryptofiler.

                  • [^] # Re: pas mal

                    Posté par  . Évalué à 5.

                    Ceux qui ne font pas n’importe quoi, en général : 1) ne croient pas en la sécurité par l’obscurité, 2) conséquemment ne voient pas d’objection à laisser les autres examiner leurs travaux

                    La NSA garde sa suite A classifiée. Je pense pas que ça fasse d’eux des brêles en cryptographie.

                  • [^] # Re: pas mal

                    Posté par  . Évalué à -1.

                    Ce n'est pas un programme amené à être diffusé, pourquoi le mettre en OpenSource, il est réservé à un usage interne.

                    Il est parfois nécessaire d'envoyer des fichiers en diffusion restreinte par le bien de la messagerie internet, d'où l'utilité d'un tel programme.

                    • [^] # Re: pas mal

                      Posté par  . Évalué à 6.

                      Ce n'est pas un programme amené à être diffusé, pourquoi le mettre en OpenSource,

                      Là, tu mélanges tout. Ce dont parle gouttegd< ici est le principe de Kerckhoffs, qui dit que la robustesse d'un algo crypto ne doit pas reposer sur le fait qu'il est secret…
                      Ce qui ne veut pas dire que l'algo doit être public, mais qu'il a au moins été revu par des pairs. Et il ne me semble pas qu'il ait dit que le bouzin en question devait être mis en opensource.

                      il est réservé à un usage interne.

                      Euh non. Pas du tout. Il n'est certes pas vendu par la DGA au public, mais il est TRES utilisé dans les échanges industrie/administration tous les jours.

                      Il est parfois nécessaire d'envoyer des fichiers en diffusion restreinte par le bien de la messagerie internet, d'où l'utilité d'un tel programme.

                      Oui, encore faut-il que le soft, les algos et les protocoles mis en oeuvre soient suffisamment costauds. Puisque cela passe sur un réseau non homologué pour l'acheminer en clair (l'internette), il faut être sur que c'est sûr. Ce qui passe par des revues, audits, etc (et ce même s'il n'y avait que deux personnes à l'utiliser).

                  • [^] # Re: pas mal

                    Posté par  (site web personnel) . Évalué à 5. Dernière modification le 29 mars 2017 à 20:36.

                    Ceux qui ne font pas n’importe quoi, en général : 1) ne croient pas en la sécurité par l’obscurité

                    Cela veut dire que la protection ne doit pas se baser le secret de la méthode employée. Mais maintenir le secret de la méthode employée ne nuit pas forcément, et ça ne veut pas dire que le logiciel n'a pas été revu (s'il est qualifié par l'ANSSI, c'est qu'il a été revu par cette institution, par exemple).

                    Si je stocke un fichier non-chiffré sur un support hors-ligne, il sera aussi bien protégé que s’il était chiffré avec ACID Cryptofiler.

                    Bien sûr que non. Va dire ça aux Iraniens, dont les machines (centrifugeuses nucléaires) ont été infectées alors qu'elles étaient hors-ligne… Croire qu'il suffit que ton réseau soit hors-ligne pour qu'il soit protégé est une grosse erreur.

                    • [^] # Re: pas mal

                      Posté par  . Évalué à 3.

                      les machines (centrifugeuses nucléaires) ont été infectées alors qu'elles étaient hors-ligne

                      Non. Les machines n'étaient pas connectées au réseau mais n'étaient pas hors ligne.

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: pas mal

                      Posté par  . Évalué à 2. Dernière modification le 29 mars 2017 à 21:18.

                      Cela veut dire que la protection ne doit pas se baser le secret de la méthode employée. Mais maintenir le secret de la méthode employée ne nuit pas forcément

                      Oui je pense aussi.

                      Soit trois algo de chiffrement (publics) A, B et C. Si Robert et Mauricette conviennent que le secret est : on chiffre 3 fois avec l’algo A, 5 fois avec B et 42 fois avec C, ce secret, qui n’a beau être qu’une triplette d’entiers, rend encore plus difficile le brute-force…

                      • [^] # Re: pas mal

                        Posté par  . Évalué à 5.

                        Sérieusement, si ton attaquant est déjà capable de brute-forcer du AES128 (aucun cryptographe ne pense que c’est possible, au passage), ce n’est pas ta modification qui va l’arrêter. Et s’il n’en est pas capable, ta modification au mieux ne sert à rien, au pire introduit un risque supplémentaire (plus de complexité, donc plus de risque d’erreur).

                        Comme on dit, never roll your own crypto. On peut étendre ça à never roll your own modified version of an otherwise good crypto. Ou, en français : ne pas jouer au plus malin.

                        Ça me fait penser à ça :

                        You know how there's a fine line between clever and stupid? What we did is so clever that it wraps the cleverness counter and ends up on the stupid side.

                        —Jon Callas (un des auteurs de la spécification OpenPGP, tiens)

                        • [^] # Re: pas mal

                          Posté par  . Évalué à 2. Dernière modification le 29 mars 2017 à 23:18.

                          ne pas jouer au plus malin.

                          Merci, tu m’as fait réaliser la stupidité dans mon raisonnement. Plutôt que de faire porter le secret sur ma méthode à la con il vaut mieux le faire porter sur la longueur de la clé, ce qui revient au même sur le plan de la combinatoire… Donc ça change rien côté brute-force.

                          Par contre, si un jour un cryptanalyste réussi à casser l’un des algorithmes, le fait d’en utiliser des différents laisse, de fait, la donnée protégé par le ou les algo restants ?

                          Cela dit, peut-être qu’effectivement, les premiers ayant une longueur d’avance sur ceux qui suivent… si un jour un algo comme AES est cassé c’est qu’il était suspecté d’être fragile, donc dans l’obsolescence depuis longtemps…

                          • [^] # Re: pas mal

                            Posté par  . Évalué à 1.

                            Et fait toujours pas, puisse que dans mon idée on utilisait une seule passphrase :)

                • [^] # Re: pas mal

                  Posté par  . Évalué à 5.

                  Enfin, peux-tu me cité un algorithme de cryptographie qui garantie la confidentialité des informations

                  One-Time Pad.

                  • [^] # Re: pas mal

                    Posté par  . Évalué à 3.

                    C'est le système utilisé pour envoyer des messages, mais il faut pouvoir transmettre les clés de chiffrement par un canal sur et la clés doit être au moins aussi grande que le message.

                    • [^] # Re: pas mal

                      Posté par  . Évalué à 5.

                      C'est le système utilisé pour envoyer des messages

                      Non, c’est un système pour chiffrer des messages.

                      mais il faut pouvoir transmettre les clés de chiffrement par un canal sur

                      Comme absolument tous les algorithmes à clé secrète.

                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 4. Dernière modification le 31 mars 2017 à 01:35.

                  Ce commentaire a été supprimé par l’équipe de modération.

                  • [^] # Re: pas mal

                    Posté par  (site web personnel) . Évalué à 4.

                    (tu peux entrer au Ministère de la Défense après avoir fait des études dans le civil, tu peux y entrer en restant civil, tu peux également bosser pour eux sans en faire partie, …)

                  • [^] # Re: pas mal

                    Posté par  . Évalué à 3.

                    Sans même parler de l'armée, il y a pas mal de matheux à l'ANSSI qui doivent au moins contrôler ce genre d'algorithmes.
                    Sinon oui, il y a des docteurs à l'armée. De ce je sais, au moins dans le corps des ingénieurs de l'armement, pas mal d'ingénieurs font aujourd'hui une thèse juste après être rentré dans le corps.

              • [^] # Re: pas mal

                Posté par  (site web personnel, Mastodon) . Évalué à 10.

                Moi, dans le même genre j’ai rot13. Écrit par des pointures parmi les développeurs du monde Unix. Pour l’avoir utilisé, il est vraiment bien foutu, et un fichier chiffré avec rot13 est totalement indéchiffrable par quiconque ne met pas la main dessus.

                Il faut utiliser le triple rot13 pour plus de sécurité!

                http://www.brendangregg.com/specials.html

                • [^] # Re: pas mal

                  Posté par  . Évalué à 6.

                  Merci pour le lien, c'est une tuerie cette page !

                  Je viens de télécharger ce programme : « onstat Server on status. This program tells you if your server is switched on »
                  Très utile pour le monitoring : on lance le programme via ssh, et ça indique si le serveur sur lequel il s'exécute est en marche. C'est tellement simple et efficace que je ne vois pas pourquoi ce n'est pas d'origine sur tous les systèmes.

              • [^] # Re: pas mal

                Posté par  (Mastodon) . Évalué à 3. Dernière modification le 31 mars 2017 à 17:32.

                Ah OK, donc en fait ce logiciel ne garantit la confidentialité d’un fichier que si le fichier ne tombe pas entre les mains de l’adversaire. Impressionnant.

                Argument capillotracté spotted. Mais très rigolo :-)
                C'est pourquoi on définit un cercle de type :
                - un besoin
                - un niveau de couverture
                - un outil
                - un usage
                Si tu penses que tu peux faire n'importe quoi avec tes fichiers chiffrés par ton outil, alors tu es dans l'erreur d'usage.

                Plus simplement : si met tes fichiers chiffrés avec OpenGPG dans un mail, alors tu fais 100% confiance à OpenGPG. Et c'est tout, c'est tout… Si tu met tes fichiers chiffrés avec OpenGPG sur un support exclusif, déclaré, et connu de ton correspondant, alors tu fais 100% confiance à OpenGPG et tu ajoutes la maîtrise du canal de transmission. Ok ?

    • [^] # Re: pas mal

      Posté par  . Évalué à 8.

      C'est une buse bourguignonne.

    • [^] # Re: pas mal

      Posté par  . Évalué à 10.

      cette aigle américain se posant toutes griffes dehors sur l’Europe,

      Le piaf américain n'est pas un aigle, c'est un pygargue.

      Les aigles sont des oiseaux nobles et badass et fiers qui se nourrissent d'enfants, d'ours, de chats, et de lapins.

      Les pygargues c'est pas trop ça… Disons que les ours, les chats, tout ça, non… trop dangereux… Les poissons, ça va, ça n'a pas de dent. Et encore, pas trop gros les poissons.

      • [^] # Re: pas mal

        Posté par  . Évalué à 8. Dernière modification le 29 mars 2017 à 17:48.

        Pygargue à tête blanche

        À la fin de l'article Wikipedia :
        […] Benjamin Franklin […] critiquant ce choix et proposant de remplacer le pygargue par le dindon sauvage qui, selon lui, représentait mieux les qualités américaines […], un peu vaniteux et ridicule mais courageux.

        Oh punaise, ça faisait un moment que je ne m'était pas bidonné tout seul devant mon ordi.

         

        C'est un peu le principe de l'emblème français, le coq : prétentieux même en ayant les pieds dans la crotte.
        Cette blague fait bien marrer les étrangers en général :-)

        • [^] # Re: pas mal

          Posté par  . Évalué à 3.

          Le dindon sauvage aussi appelé glouglou est très courageux mais son vol est un peu lourd.

        • [^] # Re: pas mal

          Posté par  . Évalué à 3.

          Pour ceux qui doutent devant ce genre d'information sur wikipédia, c'est sourcé ailleurs :

          Le pygargue à tête blanche, très présent dans le folklore américain, a été choisi comme emblème des États-Unis en 1782, quelque cinq ans avant la proclamation de la Constitution, par un comité présidé par Benjamin Franklin. Cet emblème se devait d'incarner l'idéal d'un peuple uni, courageux, fort et généreux. La majorité se prononça en faveur du pygargue, malgré l'opposition de Franklin [Note de moi : manifesté dans une lettre personnel deux ans plus tard, pas lors du comité, auquel il n'a pas participé]. Celui-ci trouvait en effet, tout comme le peintre naturaliste Audubon, que cet oiseau possédait « une bien mauvaise morale », qu'il était « malhonnête, lâche », et bien d'autres choses encore. Au rapace, il préférait… le dindon sauvage ! Ce dernier est moins majestueux certes, mais l'histoire est facétieuse car les plumes de cet oiseau sont utilisées aujourd'hui dans la confection des parures amérindiennes en remplacement de celles du rapace.
          Source: Larousse.

          En fait, les sources abondent, tant en français qu'en anglais (souvent avec de petites variations et pas mal d'imprécisions, mais l'idée y est).

          • [^] # Re: pas mal

            Posté par  . Évalué à 3. Dernière modification le 29 mars 2017 à 23:53.

            Je pense que peu de gens ici en doutait.

            Par contre je ne savais pas pour les parures amérindiennes… et la psychologie du volatile selon Franklin et Audubon…

            Finalement leur volatile emblématique leur irait bien ? :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.