1. Symposium RCC - 12 novembre 2014
Paris – Ecole Militaire
Menaces cybernétiques
Data, cybermanipulation et
cybersubversion
Thierry Berthier
Chaire de Cybersécurité & Cyberdéfense Saint-Cyr Sogeti Thales
http://www.chaire-cyber.fr/
http://echoradar.eu/
http://cyberland.centerblog.net/
1
2. Data - Cybermanipulation
« Comme les hommes sont tous méchants, et toujours
prêts à manquer à leur parole, le Prince ne doit pas se
piquer d'être plus fidèle à la sienne ; et ce manque de foi
est toujours facile à justifier. [...] Le point est de bien
jouer son rôle, et de savoir à propos feindre et dissimuler.
Et les hommes sont si simples et si faibles que celui qui
veut tromper trouve aisément des dupes. »
Nicolas Machiavel –
Le Prince (1513) - chap. XVIII.
2
3. Data - Cybermanipulation
Nous connaissons les 6V canoniques du Big Data :
Volume, Variété, Vélocité, Visibilité, Véracité, Valeur.
Deux d’entre eux s’appliquent aussi aux small datas :
Véracité et Valeur.
Contrairement aux quatre premiers V, les mesures
de Véracité et de Valeur restent complexes.
Une donnée est vraie à l’instant t, sur un contexte C et
fausse ailleurs…
3
4. Data - Cybermanipulation
I - SMALL DATA :
Quelle est la valeur instantanée d’une donnée ?
Val t ( D / C , A )
D est la donnée, t l’instant d’évaluation,
C est le contexte sur lequel elle est évaluée,
A est l’algorithme qui exploite D sur C.
Valeur et Véracité peuvent être indépendantes !
4
5. Data - Cybermanipulation
Un hacking d’influence peut engendrer de fortes
turbulences comme l’a montré l’exemple du faux
tweet de la SEA à 136 Milliards de dollars…04/2013
5
7. Data - Cybermanipulation
II - DATA
« L'essence même de la tromperie ne réside pas dans le
mensonge que l'on profère, mais dans les vérités que
l'on avance pour étayer le mensonge. »
Philip Kerr.
La mort, entre autres
7
8. Data - Cybermanipulation
Le hacking d’acquisition et de prise de contrôle est en
général assez sophistiqué. Il sous-entend :
- Un ou des objectifs stratégiques bien définis.
- Des moyens importants : équipe de développement,
ingénierie sociale, tests d’intrusion, exploitation de
l’information captée, suivi de l’OP jusqu’à son terme.
- Il s’inscrit souvent dans la durée.
- Il est supervisé par des organisations étatiques,
militaires… (renseignement, intelligence économique)
- Par exemple : L’OP Newscaster – découverte en mai.
8
9. Data - Cybermanipulation
L’opération Newscaster ( Iran-USA, 2011-2014 )
- Cette opération de cyberespionnage s’appuie sur la
construction de profils fictifs sur les réseaux sociaux
et sur le faux site d’informations NewsOnAir utilisé
comme un « pot de miel ».
- L’attaquant instaure la confiance avec sa future
victime, durant plusieurs mois, pour ensuite infecter
son ordinateur et collecter l’information résidente.
9
11. Data - Cybermanipulation
L’idée est de créer des profils fictifs et de l’information
artificielle, instaurer la confiance dans la durée pour
mieux tromper sa cible. Réponse iranienne à Stuxnet…
11
12. Data - Cybermanipulation
Les cibles : des officiers supérieurs de l'armée américaine,
des décideurs, des journalistes, des parlementaires
américains, israéliens, britanniques et saoudiens.
Plus de 2000 personnes se sont connectées au faux réseau
d'information NewsOnAir depuis 2011 et ont été piégées
par des charges virales transmises par le site et durant les
échanges numériques engagés (Keylogger, Trojan,
crack,..). Une fois les comptes des cibles hackés, des
programmes furtifs de collecte et d'exportation de données
ont été installés sur leurs machines.
Un amiral 4 étoiles de la Navy et des personnels
d'ambassades font partie des victimes de l'agression.
12
13. Exemple de faux profil
créé parmi le noyau des
20 profils fictifs
Newscaster.
Joseph Nilsson,
fondateur du site
NewsOnAir, présent sur
Facebook, LinkedIn, 231
realtions….
13
14. Data - Cybermanipulation
L’OP Newscaster s’appuie sur une infrastructure de
données complète, dynamique dans le temps et dans
l’espace, cohérente, crédible, adaptée aux cibles.
Chaque nouvelle donnée injectée dans le corpus initial doit
être cohérente avec l’ensemble, non contradictoire et
admissible pour le groupe des cibles.
Avec le temps, la confiance augmente, mais la complexité
et la fragilité de l’édifice également…
14
15. Data - Cybermanipulation
Le réseau fictif peut être représenté par un graphe dont les
sommets sont les profils fictifs et les arêtes sont les liens
entre ces profils. La fragilité du réseau fictif est alors
asymptotiquement proportionnelle au carré du nombre de
profils fictifs (un peu comme pour la loi de Metcalfe).
Cette fragilité augmente rapidement (quadratiquement)
avec la taille du dispositif et avec le nombre de proies
piégées.
15
16. Data - Cybermanipulation
III - Big Data
« Il n'y a qu'un seul monde et il est faux, cruel,
contradictoire, séduisant et dépourvu de sens. Un
monde ainsi constitué est le monde réel. Nous avons
besoin de mensonges pour conquérir cette réalité,
cette vérité. […] Les vérités sont des illusions dont
on a oublié qu'elles le sont.»
Nietzsche
16
17. Data - Cybermanipulation
Les manipulations possibles dans un contexte Big data:
La modification ou suppression de données
légitimes.
La pose de cyber-piège incitant à la création de
données (programme Sweetie).
L’Injection de Données Fictives (IDF) dans un corpus
de données légitimes.
17
18. Data - Cybermanipulation
La modification ou la suppression de données
légitimes :
Elles s’effectuent à partir d’une intrusion dans un
système ou une base de données (hacking).
Un exemple : En 2006 L’affaire Clearstream avec la
modification de certaines données de comptes
bancaires et la production de faux listings dans le but
de nuire et de ruiner une réputation.
18
19. Data - Cybermanipulation
La pose de cyber-pièges :
Le programme Sweetie s’appuie sur la création d’une
fillette philippine virtuelle de 10 ans qui traque les
pédophiles sur internet.
19
20. Data - Cybermanipulation
Sweetie converse avec des dizaines de milliers de
pédophiles qui créent des données et métadonnées
exploitées ensuite par la justice. Sweetie est un
programme initié par Terre des Hommes – Amsterdam.
20
21. Data - Cybermanipulation
L’injection de données fictives (IDF) :
Le principe consiste à créer un volume de données
artificielles afin de tromper et d’orienter un système
automatisé de collecte et d’analyse de données.
L’injection peut être directe : on envoie les données au
bon format dans le système de collecte via un hacking
préliminaire ou bien indirecte : on implante les données
sur l’espace numérique selon des formats variés et on
laisse la collecte s’effectuer naturellement.
21
22. Data - Cybermanipulation
L’injection de données fictives (IDF) :
La variété et la dispersion des données créent la
véracité auprès du système de collecte (générateurs
de faux profils sur les réseaux sociaux et de fausses
évaluations).
Côté attaquant : l’auteur d’une IDF doit veiller à la
non contradiction du corpus de données fictives et à sa
cohérence avec les standards locaux. La donnée fictive
doit être conforme (similaire) aux données réelles qui
l’entourent.
22
23. Data - Cybermanipulation
L’injection de données fictives (IDF) :
Côté défense : Il faut doter les systèmes de
fonctionnalités de mesure de vraisemblance d’une
donnée. L’évaluation doit se faire par rapport au
contexte, au format et au contenu de la donnée.
La mesure de vraisemblance permet de rejeter les
données fictives « grossières ». Sur des données
presque parfaites, c’est beaucoup plus difficile ….
23