J'ai rencontré l'autre jour Guillaume Vassault-Houlière, patron de Yes We hack (site), et j'en suis sorti enthousiaste. Voici en effet une société française de Bug bounty. Selon Wikipedia : "Un bug bounty est un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus".
Cliquez pour lire la suite
Or, ces programmes sont habituellement lancés par de grandes sociétés, notamment les GAFA. Là, il s'agit d'avoir une communauté de hackers (chapeau blanc) sélectionnés et qui offrent des services à différentes entreprises.
D'accord, me direz-vous, mais pourquoi cet enthousiasme ?
Parce qu'il me paraît annonciateur du changement de paradigme de la cybersécurité.
Il se trouve que je conduis depuis deux ans un gros programme de transformation digitale et que je constate à quel point il entre en contradiction avec la cyber traditionnelle et son paradigme, celui du château fort.
Prenons justement cette image : pour protéger la place (devenue forte), on a installé murailles, échauguettes, créneaux, escarpes et contrescarpes, patrouilles et sentinelles (firewall, antivirus, SOC, défense dans la profondeur...). On est passé de la motte féodale au château-fort, de la citadelle de Vauban à la ligne Serré de Rivière (1885), dernière forteresse physique construite en France. Et puis on a abandonné ces fortifications. Parce qu'on a inventé l'arme à feu, la mobilité (la manœuvre), le couple char-avion et la dissuasion nucléaire. Bref, la logique de forteresse a eu du sens stratégique (je reste un admirateur de la poliorcétique) mais finalement, on est passé à autre chose. Cela étant, en Afghanistan ou dans la BSS, dans les FOB, on met toujours du bastion wall autour des garnisons, tout comme les Romains le faisaient en leur temps.
Autrement dit, une approche stratégique peut être désuète mais conserver des vertus tactiques. Ou encore : ne pas jeter le bébé avec l'eau du bain. Bref, je ne suis pas dire qu'il faut mettre à la poubelle toutes nos bonnes pratiques de cybersécurité. Mais...
Mais donc ? Donc, yes we hack peut enthousiasmer tout d'abord par son modèle économique (une plateforme, des contrats juridiquement béton , etc.). Et vraiment, je les en félicite. Mais là n'est pas le plus important : ils ont juste inventé une plasticité de cybersécurité qui me semble parfaitement adaptée aux conditions de la transformation digitale en cours, 4ème vague de la révolution informatique que nous vivons depuis 35 ans.
En effet, celle-ci est caractérisée par son ultra décentralisation, sa mobilité, son rythme. Quand les grands éditeurs de logiciels mettent en ligne des mises à jour toutes les dix heures, quel est le sens d'un audit de sécurité à la papa ? Voici en quoi les bugs bounty répondent au sujet : permanence, décentralisation, réactivité, agilité. En cela, ils ouvrent la voie à une autre approche cyber. Et ça, c'est une sacrément bonne nouvelle.
O. Kempf
Lu ce matin sur le fil AFP ce reportage (texte et photos) de Hervé Gavard réalisé à Montbeton:
Quatre militaires grattent avec précaution la terre, dans une forêt du Tarn-et-Garonne, et peu à peu apparaît un squelette, le but de leur recherche. Mission réussie pour ces parachutistes de Montauban validant ainsi une collaboration unique avec l'Institut national de recherches archéologiques préventives (INRAP).
L'exercice de recherche de cadavre s'est déroulé sous l'oeil attentif de Patrice Georges, archéologue à l'INRAP, qui pendant près de deux ans a transmis les techniques propres à l'INRAP aux hommes de la section Fouilles opérationnelles spécialisées (FOS, 12 militaires) du 17e régiment du génie parachutiste. Techniques qui leur permettent aujourd'hui d'envisager la recherche d'un corps aussi bien sur le territoire national que sur un théâtre d'opérations extérieures, afin de le restituer en vue de son inhumation, ou d'être engagés dans la recherche de charniers.
Les deux années de formation devraient se traduire par une très officielle convention -- en cours de signature -- entre l'armée et l'établissement public, spécialisé dans la recherche et l'étude du patrimoine archéologique lors de travaux d'aménagement du territoire.
La rencontre avec la section FOS et l'INRAP tient du hasard: en 2016, dans le cadre de la disparition d'une jeune femme dans le Tarn, les militaires font l'objet d'une réquisition judiciaire pour aider les gendarmes à tenter de découvrir son cadavre. Patrice Georges, de son côté, est aussi un expert judiciaire.
C'est pour la FOS l'occasion de se rendre compte d'une lacune: "Quand on quittait une zone de fouilles, on ne pouvait pas affirmer qu'on quittait un lieu sans cadavre", explique le lieutenant Michel M., chargé de la section et qui, comme tous les militaires impliqués dans cet exercice, a requis l'anonymat. "Les techniques qu'on employait --les chiens, le géoradar, le détecteur de métal -- ont des limites", dit-il. Le détecteur car il ne répond qu'au métal, le géoradar car le signal passe mal dans certains sols, argileux ou humides, développe le lieutenant. "Il fallait nous emparer du savoir-faire de l'Inrap", dit-il.
Pour l'archéologue Patrice Georges, "la seule technique infaillible" pour repérer un endroit qui aurait été creusé pour dissimuler un corps, "c'est le décapage et l'observation visuelle du terrain". "Le décapage, c'est enlever des couches de terre" avec des engins de BTP "pour mettre en évidence des excavations", explique-t-il. "C'est le seul outil cent pour cent efficace", ajoute-t-il, tandis que dans la forêt de Montbeton, le site près de Montauban choisi pour l'exercice, s'avance lentement une pelle mécanique. Au préalable, la zone a été sécurisée par les militaires. Ils ont découvert une mine fictive, et l'ont dégagée avec des gestes maintes fois répétés. "C'est à ce moment que se mélangent les deux techniques, la militaire et celle de l'INRAP", analyse le lieutenant M.
La pelle se met en branle et déblaye peu à peu une zone suspecte car débarrassée de la foisonnante végétation sylvestre qui pousse alentour. Couche après couche, la terre apparaît et par endroits, sa couleur et sa texture ne sont pas les mêmes, commente Patrice Georges. "Cela montre qu'il y a eu creusement". Ce que va prouver le pressiomètre qui s'enfonce facilement dans la zone remuée et qui bute sur le squelette enroulé dans un linceul de plastique et de carton.
"Cette technique, se félicite le sergent-chef E, est la seule qui nous permet d'être sûrs à 100% qu'il y a eu creusement et que l'endroit recèle potentiellement un cadavre ou de l'armement". "On a décliné des outils qui n'étaient pas utilisés par les militaires mais qui font partie de la caisse à outils des archéologues", conclut Patrice Georges. "Aujourd'hui, on voit que les militaires ont acquis une bonne expérience, un niveau intéressant qui leur permettrait de remplir les missions qu'on leur demanderait", ajoute-t-il.
General Atomics, Aeronautical Systems Inc vient de rafler deux marchés d'une valeur totale de quelque 250 millions de dollars.
Le premier porte sur le rétrofit de 122 drones MQ-9:
"General Atomics, Aeronautical Systems Inc., Poway, California, has been awarded a $206,009,932 firm-fixed-price, fixed-price-incentive, and cost-plus-fixed-fee contract to retrofit 122 MQ-9 Block 5 aircraft. Work will be performed at Poway, California, and is expected to be complete by June 20, 2024. This award is the result of a sole-source acquisition. Fiscal 2017 and 2018 aircraft procurement funds in the amount of $40,886,489 are being obligated at the time of award. Air Force Life Cycle Management Center, Wright-Patterson Air Force Base, Ohio, is the contracting activity (FA8620-18-F-2364)."
L'autre marché attribué à GA est celui des "Remote Piloted Aircraft (RPA) Support Services" d'une valeur de 46 millions de dollars. Le DoD a demandé à GA de tester et d'évaluer les capteurs et les systèmes d'armes qui équipent les MQ-9; pour ce faire, GA mettra en œuvre ses propres drones au moins jusqu'en 2020
MQ-9?
- Selon la nomenclature du DoD, le "M" désigne des aéronefs "multi-role"
- Le "Q" fait référence aux "remotely piloted aircraft system" (RPA).
- Le "9" indique que cet équipement est le 9e dans la série des RPA.
La Minusca a annoncé, jeudi soir, qu'un Casque bleu mauritanien a été tué et huit autres blessés, au matin, à 28 km au sud d’Alindao (sud de la République centrafricaine).
Ces soldats de la paix, appartenant tous au contingent mauritanien, sont tombés dans une embuscade tendue par des présumés anti-Balaka. L’incident est survenu alors que les Casques bleus escortaient un convoi logistique de la MINUSCA en provenance de Kongbo à destination d’Alindao, deux localités de la préfecture de la Basse-Kotto.
La Mission a procédé à l’évacuation des huit blessés, dont cinq se trouvaient, jeudi soir, dans un état grave.
La mort de ce militaire porte à trois le nombre de soldats de la paix de la Minusca tués depuis le début de 2018, dans le cadre de leur mission pour le retour d’une paix et d’une stabilité durables en RCA. Dans la même période, plus d’une quarantaine de soldats de la paix ont été blessés.
Développement à l’international et dans les services, commandes cruciales attendues sur le segment militaire, volonté de reconquérir le marché civil, retour à la pêche artisanale… Piriou, qui a adopté en 2017 un nouveau plan stratégique et emploie 900 personnes à travers le monde, dont 407 en France, se porte globalement très bien. Le groupe a même enregistré un chiffre d’affaires record l’an dernier : 195 millions d’euros, contre 110 millions en 2010 et, précédemment, jamais plus de 150 millions.