Close
  • Français
  • English

Focus sur la stratégie de R&D cybersécurité du Département de la défense américain [Par Guillaume Tissier, CEIS]

La R&D du département de la défense est éclatée entre plusieurs agences sous la coordination de l’Office of the Director. Il y a tout d’abord les organisations de recherche comme l’Office of Naval Research, l’Army Research Laboratory ou l’Air Force Research Laboratory qui ont tous des programme en matière de cybersécurité. A noter par exemple le projet CHAMP (Counter-electronics High-powered Microwave Advanced Missile Project) développé par l’Air Force Research Laboratory et conduit par Boeing avec l’aide de la société Ktech achetée par Raytheon en 2011 qui explore la possibilité d’une arme à énergie dirigée capable de détruire les systèmes informatiques[1].

La DARPA, principal instrument de R&D du DoD

Mais les investissements les plus importants concernent la DARPA, qui est l’instrument principal de la R&D du Département de la défense, et la NSA (via son National Information Assurance Research Group). Le budget de la DARPA (247 millions de dollars en matière de R&D de cybersécurité en 2013) devrait ainsi continuer à progresser de 2013 à 2017 de 8 à 12 % par an et s’élever au total à 1,54 milliards de dollars[2]. L’importance de ces budgets montre s’il en était besoin que les besoins spécifiques du DoD dans le domaine ont été totalement intégrés.

Les activités de la DARPA en matière de R&D cybersécurité sont principalement conduites par le Strategic Technology Office et l’Information Assurance and Survavibility Project. Ce projet inclut de nombreux programmes comme le IAMANET (intrinsically assured mobile ad hoc network) concernant le développement de réseaux sans fil tactiques sécurisés. Autre projet : le Trustworthy Systems Program qui a pour objectif de fournir des ordinateurs de confiance pour les systèmes de défense. La DARPA examine aussi les vulnérabilités potentielles dans la chaîne d’approvisionnement informatique dans le cadre du TRusted Uncompromised Semiconductor Technology program (Trust) dont l’objectif est de développer des méthodes et outils pour déterminer si une puce fabriqué dans le cadre d’un processus non contrôlé peut être certifiée pour exécuter une opération donnée ou non. La DARPA a enfin développé le National Cyber Range (NCR) dont l’objectif est de fournir un environnement de test (voir plus haut l’encadré sur les programmes de simulation).

Exemple d’un programme de rupture : le Projet Plan X

La DARPA se concentre essentiellement sur de la R&D de long terme. Martin Libicki de la Rand Corporation explique à son propos : « même si 90 % de leurs idées ne débouchent pas, les 10 % qui sont valables font plus que payer la différence »[3]. Le meilleur exemple de cette recherche de l’innovation de rupture est sans doute le projet Plan X annoncé en mai 2012[4] pour un budget de 110 millions de dollars.

Objectifs

L’objectif de Plan X est clairement affiché : « parce que l’origine des cyberattaques a été la communauté du renseignement, on a tendance à considérer qu’en faisant simplement plus que ce que nous faisons aujourd’hui, on nous donnera ce dont nous avons besoin, explique Kaigham J. Gabriel, directeur de la DARPA. Ce n’est pas comme cela que nous voyons les choses : il y a une échelle, une vitesse et des capacités différentes dont nous avons besoin ». Il s’agit donc d’explorer des « territoires non connus », de créer des « technologies révolutionnaires pour comprendre, planifier et gérer le combat cyber en temps réel, à grande échelle et dans des environnements dynamiques ». Principaux défis : mesurer, quantifier et comprendre le cyberespace pour développer le « situational awareness » avec toutes les interactions que cela peut avoir dans les autres domaines. L’objectif est en fait de passer d’une approche manuelle, artisanale à une approche technologique permettant une automatisation plus ou moins totale pour parvenir au niveau requis de complexité opérationnelle et compresser les phases de reconnaissance, planification, exécution et évaluation. On se situe dans l’affrontement machine contre machine avec l’impérieuse nécessité d’agir en quelques microsecondes. La DARPA indique : « dans un environnement où les microsecondes comptent et où les opérateurs utilisent un clavier pour diriger les opérations, l’avantage va à l’opposant qui peut penser et taper plus vite. Dans le cas de la machine contre la machine, l’avantage va au hardware et au logiciel qui s’exécute plus vite. Cependant si l’opérateur est technologiquement assisté pour être meilleur en planification opérationnelle et en exécution en temps réel, il aura l’avantage.[5] »

Il importe donc changer de paradigme et ne pas se limiter à une simple amélioration du processus manuel. L’un des points clés à améliorer est par ailleurs la mesure des effets, tant dans la phase de planification que dans celle d’exécution. Cette préoccupation répond en fait à de nombreuses considérations politiques et juridiques. Le journaliste du NYT David E. Sanger rapporte ainsi dans son ouvrage « Confront and Conceal. Obama’s Secret Wars and Surprising Use of American Power » publié en juin 2012  les confessions de l’un des concepteurs du virus Stuxnet qui aurait déclaré avoir consacré une partie non négligeable de son temps à s’assurer que Stuxnet ne violait pas le droit des conflits armés. Nombreuses sont d’ailleurs les opérations (Irak en 2003 par exemple) où certaines informations font état a posteriori d’opérations informatiques planifiées mais non exécutées en raison de difficultés d’évaluation des effets de l’attaque.

Au plan conceptuel

Sur un plan conceptuel, l’espace de bataille cyber tel que le conçoit le projet se définit avec 3 concepts principaux : la carte réseau, les unités opérationnelles et les « sets » de capacités.

La carte réseau est constituée d’un ensemble de nœuds et de liens. Elle possède deux couches : l’une est la topologie logique, l’autre est constituée par les meta-data, c’est-à-dire des différents attributs des liens (latence, bande passante…) ou des nœuds (nombre de liens, système d’exploitation, protocole, ports…). Cette carte est par définition dynamique, voire très volatile. Plus cette carte est fidèle, plus les planificateurs et opérateurs seront susceptibles de manœuvrer efficacement.

Les unités opérationnelles peuvent être les nœuds d’entrée ou les plateformes support. Les nœuds d’entrée sont les accès physiques au réseau. Les plans doivent ainsi inclure plusieurs nœuds d’entrée pour multiplier les chances de succès. Les plateformes sont quant à elles déployées pour contrôler les différentes facettes de l’opération : déploiement de capacités, mesure des effets, assurer la communication entre les nœuds et les plateformes support…

Les « sets » de capacités sont constituées d’un ensemble de technologies classées en trois catégories : l’accès, le fonctionnel et la communication. Les technologies d’accès permet d’exécuter des instructions sur un ordinateur. C’est en réalité un exploit qui est utilisé pour lancer des programmes et des charges utiles. Les technologies fonctionnelles représentent les technologies susceptibles d’affecter les ordinateurs et les réseaux : rootkits, scanners réseaux… Les technologies de communication représentent enfin les technologies fournissant les chemins de communication pour les nœuds d’entrée, les plateformes support et les capacités. Exemples : les commandes de malware, le peer to peer, les connexions SSL etc.

Au plan pratique

Au plan pratique, le projet plan X qui est conduit par le DARPA Cyberwar Laboratory a fait l’objet d’une réunion de deux jours en octobre 2012 afin de présenter le projet aux organisations susceptibles de candidater à l’appel à projet qui est clos le 25 janvier 2013 et de stimuler les partenariats entre organisations intéressées. 350 personnes auraient participé à ce séminaire. Les sociétés et organisations qui répondront  seront organisées en « startup technologique virtuelle », c’est-à-dire qu’elles conduiront leur R&D depuis leurs propres installations autour d’un « Collaborative Research Space » localisé à Arlington en Virginie où les technologies seront intégrées, revues et testées.

D’une durée de 4 ans, le programme s’articule autour de 4 phases d’un an, chacune constituées de 4 spirales de développement incluant 6 périodes de deux semaines de développement, lesquelles s’achèvent par une phase de vérification d’une semaine. Chacune de ces 4 phases d’un an comprend par ailleurs 4 échéances dont une majeure qui se traduit par le lancement du produit et donne lieu à un événement gouvernement-industrie de deux jours.

Au plan technique

Au plan technique, l’objectif de Plan X est de construire une plateforme de bout en bout basé sur une architecture ouverte afin de pouvoir intégrer de nombreuses technologies d’origine gouvernementale ou privée. Cinq domaines techniques (Technical Areas ou TAs) ont été définis.

[list style=’arrow’]
[list_item] Architecture système (TA1) : [/list_item]
[/list]
Conception et développement des APIs, spécification des formats de données. Cette tâche intègre également le hardware et la maintenance de toute l’infrastructure. A noter que le dispositif devra permette des connexions extérieures pour les partenaires selon les conditions de sécurité de la directive ICD 503. Premier objectif de ce domaine technique : la conception et l’implémentation d’un moteur graphique pour représenter l’espace de bataille cyber. Ce moteur constitue véritablement le cœur du système car son rôle est de recevoir, de récupérer, de modéliser et d’envoyer des instructions sur l’espace de bataille aux autres composants du système. La topologie logique est construite à partir de multiples informations : traceroute, niveaux de latence, routes BGP, headers IP TTL, tables de routage… A cette cartographie viennent ensuite s’accrocher des données de planification (nœuds d’entrée, placement des plateformes de soutien, chemins de communication, cibles…) ou d’exécution (statut en temps réel des différents objets, évaluation des effets…). L’opérateur peut ainsi facilement passer d’une vision conceptuelle du terrain à une vision réelle. Second objectif : concevoir et construire l’infrastructure du système qui doit pouvoir opérer depuis les niveaux non classifiés jusqu’à secret. Les organisations qui postuleront sont ainsi invitées à analyser les architectures temps réel sur étagère ainsi que les moteurs utilisés dans le monde du jeu en ligne.

[list style=’arrow’]
[list_item] Analyse de l’espace de bataille cyber (TA2) : [/list_item]
[/list]

L’objectif est de développer des technologies d’analyse automatique pour faciliter la compréhension que l’humain peut avoir de l’espace de bataille cyber, l’aider à développer des stratégies de « cyber warfare », évaluer et modéliser les effets. Premier focus : développer des technologies permettant aux planificateurs de concevoir des opérations dans le cyberespace. Deux champs de recherche distincts : le développement de techniques automatiques pour générer des plans de bataille, le développement d’applications de simulation pour modéliser les mouvements et contre-mouvements des adversaires. Une large partie de ce domaine technique vise en fait à comprendre et quantifier les effets, tant au niveau micro qu’au niveau macro. Quelques exemples de problématiques qui pourront être abordées : l’assistance dans la sélection des nœuds (nœuds d’entrée, nœuds cibles, nœuds à éviter…) ; la réduction topologique, c’est-à-dire la capacité à visualiser une cartographie réduite en fonction d’un plan donné ou de différents critères (chemin le plus court pour atteindre une cible par exemple) ; le placement optimal des plateformes de soutien (via par exemple un calcul du ratio coût / bénéfice) ; la sélection des chemins de communication (routes primaires, routes alternatives). Second focus : le développement de technologies de simulation pour analyser les dynamiques potentielles de l’adversaire.

[list style=’arrow’]
[list_item] Construction de mission (TA3) : [/list_item]
[/list]

Ce domaine technique vise à développer des technologies permettant de construire des plans de missions et de les synthétiser sous la forme de scripts automatiquement exécutables. L’idée est aussi de pouvoir vérifier formellement ces plans et quantifier les effets attendus. Ce domaine technique est basé sur le développement de langages de programmation spécifiques. Ces langages doivent non seulement d’exécuter les missions en transmettant, nœud après nœud, les instructions mais aussi de vérifier les opérations (création de points de vérification permettant éventuellement à l’opérateur d’opter pour une variante, de fournir une information additionnelle…), de résister aux pannes (prise de contrôle en mode manuel par l’opérateur), de passer en mode totalement automatique au cas par exemple où les liaisons de données sont suspendues, de procéder à une analyse formelle permettant de détecter les erreurs, les bugs et les incohérences, d’appliquer les règles d’engagement (de façon native, les plans sont construits pour limiter les options et la marge de manœuvre des opérateurs), de rejouer une opération pour faciliter une future planification grâce à un « package mission » comprenant le script de mission, les règles d’engagement, les spécifications de capacités etc.

[list style=’arrow’]
[list_item] Exécution de mission (TA4) : [/list_item]
[/list]

Ce domaine porte sur l’environnement d’exécution des scripts mission. La R&D se focalisera sur la construction de systèmes d’exploitation et de machines virtuelles conçues pour opérer dans des environnements réseaux dynamiques et hostiles. Les plateformes support seront conçues pour fonctionner sur tout type d’architectures informatiques. Première thématique de recherche : l’environnement d’exécution et la construction d’un framework permettant d’assembler les capacités pour chaque mission. Les organisations qui candidateront sont ainsi appelés à challenger certains outils publics comme Metasploit, Immunity Cancas et d’autres toolkits standard. Second sujet de recherche : le développement de systèmes d’exploitation et de machines virtuelles permettant d’exécuter les missions ce qui inclut le développement de plateformes supportant des fonctions opérationnelles, d’évaluation des effets, de relai de communication, de « défense adaptable » (filtrage de paquets…).

[list style=’arrow’]
[list_item] Interfaces intuitives (TA5) : [/list_item]
[/list]

Ce segment a pour objet de fournir une interface la plus intégrée et intuitive possible pour les utilisateurs afin de minimiser le niveau d’expertise technique requis. Il s’agit notamment de développer plusieurs workflows pour contrôler les différentes fonctions du système : une vision temps réel du champ de bataille cyber (« heat map ») avec la possibilité de zoomer rapidement et de voir une opération spécifique ou de « désencombrer » la carte pour disposer d’une vision de synthèse, la vision du processus de planification qui est considérée comme la plus complexe car pouvant résulter d’une approche très hiérarchisée ou au contraire d’une approche « crowdsource », la vision des capacités construites, la vision « opérateur » avec la possibilité d’interagir avec le script de mission mais aussi d’interagir avec l’opération sans script de mission et sans créer un plan spécifique pour réagir en temps réel et mener une opération « en conduite » avec un feedback direct. Point important : les interfaces graphiques développées doivent être conçues pour fonctionner sur une très large gamme d’équipements (tablettes tactiles, systèmes de réalité augmentée…) et avec des « imputs » utilisateurs très variés. Il est précisé que les interactions traditionnelles clavier / souris sont possibles mais doivent être minimisées.

Texte issu de la note stratégique “La nouvelle initiative de défense stratégique américaine dans le cyberespace” : lien direct – format PDF

Source : CEIS


Sources :

[1] http://securityaffairs.co/wordpress/10783/cyber-warfare-2/new-weapons-for-cyber-warfare-the-champ-project.html
[2] Source http://www.darpa.mil/NewsEvents/Releases/2012/03/12c.aspx
[3] Source : http://www.washingtonpost.com/world/national-security/with-plan-x-pentagon-seeks-to-spread-us-military-might-to-cyberspace/2012/05/30/gJQAEca71U_story_1.html
[4] Communiqué de presse officiel : http://www.darpa.mil/NewsEvents/Releases/2012/10/17.aspx
[5] Source : broad agency announcement, foundational Cyberwarfare (Plan X), 20 novembre 2012, https://www.fbo.gov/utils/view?id=49be462164f948384d455587f00abf19