Les cybermenaces et l’OTAN 2030 : un nouveau rapport du CCDCOE

Le Centre d’excellence de cyberdéfense coopérative de l’OTAN (CCDCOE), en coopération avec le King’s College London et William & Mary, a publié un nouveau rapport intitulé “Cyber Threats and NATO 2030 : Horizon Scanning and Analysis“.

Le rapport comprend 13 chapitres qui examinent comment l’OTAN peut faire face au mieux aux cybermenaces, ainsi que les possibilités et les défis liés aux technologies émergentes et perturbatrices dans le domaine cybernétique au cours de la prochaine décennie.

PREMIÈRE PARTIE

Le présent rapport aborde les exigences conceptuelles et pratiques et contribue de manière significative aux discussions sur l’OTAN 2030. L’ouvrage est divisé en cinq courtes parties, qui commencent par ” Les adversaires du cyberespace et la réponse de l’OTAN “.

Cette partie s’ouvre sur deux articles consacrés à l’internet et aux cybercapacités russes. Juha Kukkola explore les implications stratégiques des plans russes pour un réseau national fermé, identifiant les avantages défensifs et offensifs pour la Russie dans les asymétries structurelles ainsi promues.

Joe Cheravitch et Bilyana Lilly attirent l’attention sur les contraintes qui pèsent sur la capacité cybernétique de la Russie en raison de problèmes de recrutement et de ressources au niveau national, et suggèrent comment l’OTAN pourrait tirer parti de ces limitations pour atteindre ses propres objectifs en matière de cybersécurité.

Martin C. Libicki et Olesya Tkacheva proposent une nouvelle perspective sur les cyberconflits avec un adversaire comme la Russie, en analysant les possibilités d’escalade horizontale dans d’autres domaines ainsi que d’escalade verticale dans un même domaine, et les conséquences pour la doctrine et la gestion des risques de l’OTAN.

DEUXIÈME PARTIE

La deuxième partie, intitulée ” Les nouvelles technologies et la réponse de l’OTAN “, s’ouvre sur un chapitre consacré à la 5G. Les auteurs proposent une série de mesures que l’OTAN et ses partenaires peuvent mettre en œuvre pour sécuriser les technologies 5G et leurs chaînes d’approvisionnement, notamment des formes de gestion des risques, de normalisation et de certification qui permettront de maximiser les avantages militaires et sociaux de cette nouvelle génération de systèmes mobiles.

À l’aide d’une base de données étendue, Jacopo Bellasio et Erik Silfversten identifient une série de technologies nouvelles et émergentes susceptibles de façonner le futur paysage des cybermenaces et proposent des moyens par lesquels l’OTAN peut se préparer et s’adapter à ces éventualités.

Simona R. Soare et Joe Burton démontrent les vulnérabilités de l’hyperconnectivité à travers le scénario hypothétique d’une ville intelligente soumise à une cyberattaque concertée, en tirant les leçons que l’OTAN doit tirer de la relation entre la sécurité locale et supranationale dans des conditions de haute technologie.

TROISIÈME PARTIE

La troisième partie, intitulée ” Le combat, le domaine cybernétique et la réponse de l’OTAN “, contient deux chapitres consacrés aux opérations multi-domaines (MDO), le concept de combat adopté par l’OTAN.

James Black et Alice Lynch étudient les implications des dépendances en réseau des MDO et la manière dont les adversaires espèrent les exploiter. Ils suggèrent que l’OTAN doit mieux comprendre l’interaction des menaces externes et des vulnérabilités internes pour lutter contre les cybermenaces qui pèsent sur les activités multi-domaines.

Franz-Stefan Gady et Alexander Stronell effectuent une analyse comparative de l’intégration par les Alliés de l’OTAN de leurs cybercapacités aux opérations cinétiques dans le cadre des MDO et formulent des propositions pour améliorer les performances de l’OTAN dans un futur conflit de haute intensité avec un concurrent proche.

QUATRIÈME PARTIE

La quatrième partie, intitulée ” Partage de l’information, renseignement sur les cybermenaces et exercices “, commence par un point de vue du secteur de la cybersécurité, présenté par Michael Daniel et Joshua Kenway de la Cyber Threat Alliance. Ils proposent un programme de partage de la CTI entre l’OTAN et ses parties prenantes, qui vise à corriger certaines des hypothèses erronées des cadres CTI existants.

L’analyse comparative de Chon Abraham et Sally Daultrey sur le partage des CTI au Japon, aux États-Unis et au Royaume-Uni suggère que des facteurs contextuels nationaux peuvent inhiber cette fonction coopérative essentielle et propose une série de changements organisationnels pour y remédier.

Andreas Haggman apporte une contribution méthodologique distincte au débat de l’OTAN sur la cybersécurité en promouvant le wargaming comme un outil permettant d’imaginer et d’anticiper des futurs conflictuels dans leurs diverses dimensions sociales, politiques et techniques.

CINQUIÈME PARTIE

La cinquième partie est consacrée aux “Réponses réglementaires et politiques aux défis de la cybersécurité”. Cindy Whang s’intéresse à la manière dont les régimes de contrôle des exportations devraient être redynamisés pour répondre aux préoccupations en matière de cybersécurité dans l’ensemble de l’Alliance.

Laurin B. Weissinger conclut l’ouvrage en lançant un appel pour que l’OTAN améliore sa compréhension de la complexité des réseaux, notamment par la modélisation des menaces et des attaques, afin de fournir des solutions de cybersécurité plus efficaces et mieux adaptées.

Tous les chapitres de ce rapport ont fait l’objet d’un examen par les paies en double aveugle par au moins deux experts externes.

Microsoft et Improbable s’associent pour améliorer les capacités de sécurité nationale

Microsoft et Improbable annoncent un partenariat mondial pour le secteur de la défense et de la sécurité nationale

Improbable Worlds Limited, une société spécialisée dans les technologies d’environnement synthétique, annonce un partenariat avec la division Défense et renseignement de Microsoft afin d’aider les gouvernements à améliorer leurs résultats en matière de sécurité nationale.

Ce partenariat transformera la capacité des gouvernements et de leurs fournisseurs de solutions à fournir des environnements synthétiques multi-domaines pour la défense et la sécurité nationale.

L’activité de défense d’Improbable, basée principalement à Londres et à Washington DC, s’appuie sur la base de la technologie innovante pour les jeux et le divertissement numérique, combinée à une expertise spécifique en modélisation informatique, IA, analyse de données et autres compétences et connaissances pertinentes pour les applications de défense et de sécurité nationale.

La plateforme d’environnement synthétique d’Improbable est une plateforme de simulation puissante, flexible et sécurisée, adaptée aux besoins de la communauté de la défense et capable de prendre en charge les simulations militaires et les environnements synthétiques les plus sophistiqués jamais expérimentés.

Improbable travaille au sein de l’alliance de l’OTAN et avec une série de partenaires industriels pour transformer la planification, la formation et l’aide à la décision au sein des communautés gouvernementales, de la défense et de la sécurité.

La plateforme d’environnement synthétique d’Improbable sera disponible sur les services Azure en local, dans le cloud et cloud-to-edge.

La combinaison de leurs outils transformerait les capacités, notamment la planification opérationnelle, la conception des politiques, la formation collective, la résilience nationale et l’expérimentation en matière de défense.

Dans le cadre de ce partenariat, les organisations utilisant Microsoft Azure pourront proposer des produits tels que des modèles, des ensembles de données et des applications d’intelligence artificielle par le biais de la plateforme d’Improbable.

Les deux entreprises ont déclaré que cela renforcerait l’innovation dans le développement de l’environnement synthétique et faciliterait l’accès des clients de la défense aux capacités fournies par l’industrie, le gouvernement et les universités.

Gus MacGregor-Millar, directeur général de Microsoft Defence & Intelligence, a déclaré : “Nous sommes fiers d’annoncer que la plateforme d’environnement synthétique d’Improbable est désormais disponible sur le cloud Microsoft Azure et l’offre Azure Stack.”

“Nous sommes ravis de combiner nos forces complémentaires et d’offrir à nos clients du secteur de la défense et du renseignement le potentiel de transformation des environnements synthétiques alimentés par des calculs sécurisés et fiables dans le cloud.”

Microsoft et Improbable ont déclaré que la combinaison de la plate-forme d’environnement synthétique et des services professionnels, ainsi que des “écosystèmes de partenaires communs”, permettrait de “développer, valider, déployer et adapter plus rapidement et plus facilement des solutions d’environnement synthétique” conçues pour répondre à de plus nombreux défis en matière de défense et de sécurité.

Microsoft a battu Amazon pour le contrat de $10 milliards du Pentagone

Vendredi, le ministère de la Défense a annoncé qu’il accordera à Microsoft un contrat de 10 milliards de dollars sur 10 ans pour transformer ses systèmes de cloud computing.

Amazon avait été considérée comme le chef de file de l’opération pendant une grande partie des 15 mois du processus d’appel d’offres. Oracle et Google ont également soumis des offres.

Rencontrez le nouveau géant militaire américain : Amazon

Le président Donald Trump a publiquement minimisé à plusieurs reprises les perspectives d’Amazon, et un rédacteur de discours pour l’ancien ministre de la Défense Jim Mattis a déclaré au Washington Post que Trump était intervenu pour mettre l’entreprise hors contrat.

L’intention est de mettre à jour la panoplie technologique du ministère de la Défense en remplaçant ses réseaux informatiques complexes, vieux de plusieurs décennies, par un unique système de cloud computing. C’est un coup de force pour l’entreprise, bien qu’il soit susceptible de causer des tensions parmi le personnel de Microsoft.

Compte tenu de certaines allégations concernant une intervention politique potentielle dans le processus d’appel d’offres et de l’énorme valeur financière du contrat, Amazon pourrait choisir de poursuivre le ministère de la Défense en justice. Il a un peu plus d’une semaine pour se prononcer.

Dans un communiqué, un porte-parole d’Amazon Web Services (AWS) a déclaré que l’entreprise était “surprise par cette conclusion”.

MIT Technology Review, Reuters

Rencontrez le nouveau géant militaire américain : Amazon

L’accord controversé du Pentagone sur le cloud computing JEDI (Joint Enterprise Defense Infrastructure), d’une valeur de 10 milliards de dollars, est l’un des contrats de défense les plus lucratifs jamais conclus. Amazon est en pole position pour gagner – et son entrée dans l’armée a été longue à venir.

En juillet, alors que le président Donald Trump était dans le Bureau ovale avec le premier ministre néerlandais, il a pris quelques instants pour répondre aux questions des journalistes. Ses commentaires, d’une manière typique, couvraient des sujets disparates – de la création d’emplois à l’escouade des femmes du Congrès qu’il attaque régulièrement en passant par les sanctions contre la Turquie. Puis un journaliste lui a posé des questions sur un obscur contrat du Pentagone appelé JEDI et lui a demandé s’il avait l’intention d’intervenir.

“Lequel est-ce ?” Demanda Trump. “Amazon ?”

Le journaliste faisait référence à un contrat lucratif et bientôt attribué pour fournir des services de cloud computing au ministère de la Défense. Il vaut jusqu’à 10 milliards de dollars, et Amazon a longtemps été considéré comme le chef de file. Mais l’accord a fait l’objet d’un examen minutieux de la part de ses rivaux qui ont déclaré que le processus d’appel d’offres était biaisé en faveur du géant du commerce électronique.

“C’est un très gros contrat”, a déclaré Trump. “L’un des plus gros jamais vu concernant le cloud et beaucoup d’autres choses. Et nous recevons beaucoup de plaintes de la part de nombreuses autres entreprises, et de grandes entreprises. Certaines des plus grandes entreprises du monde s’en plaignent.”

“Microsoft, Oracle et IBM”, a-t-il poursuivi, “étaient tous hérissés”.

“Alors on va y jeter un coup d’œil. Nous allons y jeter un coup d’œil très attentif.”

Peu de temps après, le Pentagone a fait une annonce : le contrat a été suspendu jusqu’à ce que le processus d’appel d’offres ait fait l’objet d’un examen approfondi.

Beaucoup l’ont vu comme un autre coup de poing de Trump chez son ennemi juré Jeff Bezos, le PDG d’Amazon et propriétaire du Washington Post. Depuis son arrivée à la Maison-Blanche, Trump s’en prend régulièrement à Bezos sur Twitter, lui reprochant une couverture médiatique négative, critiquant les affaires fiscales d’Amazon, et même l’impact de l’entreprise sur le service postal américain.

Après tout, jusqu’à il y a quelques mois à peine, la plupart des Américains n’avaient jamais entendu parler de JEDI et s’en souciaient encore moins. Comparativement aux efforts de construction de gros avions de chasse ou de missiles hypersoniques – le genre de projets militaires dont nous avons l’habitude d’entendre parler -, le programme Joint Enterprise Defense Infrastructure semblait carrément ennuyeux. Ses dispositions les plus intéressantes comprennent les centres de données hors site, les systèmes informatiques et les applications Web.

C’est peut-être tout aussi banal qu’Amazon soit en lice pour un tel contrat. Après tout, c’est le premier fournisseur mondial de cloud computing ; sa division Amazon Web Services (AWS) a généré plus de 25 milliards de dollars de revenus en 2018.

Mais la diatribe de Trump ne concernait pas seulement une guerre contractuelle entre une poignée d’entreprises technologiques. Il mettait en lumière la nature changeante d’Amazon et son rôle dans la sécurité nationale et la politique. L’entreprise a passé la dernière décennie à travailler avec soin vers le cœur de Washington, et aujourd’hui – non content d’être le plus grand détaillant en ligne du monde – elle est sur le point de devenir l’un des plus grands entrepreneurs de la défense des États-Unis.

Qui a besoin de la démocratie quand on a des données ?

Retour sur le JEDI

Le Sheraton Hotel à Pentagon City, un quartier adjacent du ministère de la Défense, est loin de l’esprit de la Silicon Valley et de sa culture de startup. En mars 2018, la salle de bal de 1 000 places de cet hôtel des années 1970 regorgeait de fournisseurs intéressés à faire une offre sur le JEDI. Alors que les participants étaient assis dans des fauteuils de style Louis XIV, un défilé de responsables du Pentagone en uniforme a parlé de la stratégie d’approvisionnement.

Pour les soumissionnaires habituels du Beltway, ce spectacle était familier jusqu’à ce que Chris Lynch monte sur scène. Lynch, décrit par une publication de la défense comme le “gourou du numérique du Pentagone vêtu d’un sweat à capuche”, portait des lunettes de soleil à monture rouge sur le front et un t-shirt Star Wars portant l’emblème “Cloud City”.

Il était arrivé au Pentagone trois ans plus tôt pour rafraîchir la bureaucratie militaire moribonde. Entrepreneur en série travaillant dans les domaines de l’ingénierie et du marketing à Seattle, il a rapidement gagné l’hostilité des entrepreneurs fédéraux méfiants à l’égard de ce que le Pentagone avait l’intention de faire. Certains ont pris sa tenue décontractée comme un ricanement délibéré à la communauté boutonnée de Beltway.

“Il y a une place pour cela et ce n’est pas dans le Pentagone”, déclare John Weiler, directeur exécutif du Conseil consultatif sur l’acquisition des technologies de l’information (IT Acquisition Advisory Council), une association industrielle qui compte parmi ses membres des sociétés souhaitant soumissionner pour JEDI. “Je suis désolé de porter un sweat à capuche et toutes ces choses stupides. [Il porte] un genre d’uniforme pour déclarer en quelque sorte qu’il est un geek, mais en réalité, il ne l’est pas.”

Même ceux qui n’ont pas été offensés pensaient que Lynch avait clairement indiqué où se situaient ses préférences – et ce n’était pas avec les entrepreneurs fédéraux traditionnels.

“Et si nous devions tirer parti de toutes ces solutions incroyables qui ont été développées et conduites par des personnes qui n’ont rien à voir avec le gouvernement fédéral ?” A-t-il demandé lors de son discours devant la salle bondée. “Et si nous devions débloquer ces capacités pour accomplir la mission de défense nationale ? Et si nous tirions parti des marketplaces à longue traîne qui se sont développés dans les industries du cloud commercial ? C’est ce que JEDI est.”

Le Pentagone avait certainement décidé de prendre des mesures non conventionnelles avec ce contrat. Tout cela a été confié à un seul contractant, selon un calendrier accéléré, qui permettrait d’attribuer le contrat d’ici quelques mois. De nombreux membres du public ont déduit que l’accord était signé pour Amazon.

M. Weiler affirme que le contrat comporte de “grands défauts” et que l’approche du Pentagone finira par faire perdre de la rentabilité potentielle. Au lieu d’avoir plusieurs entreprises en concurrence pour réduire les coûts, il n’y aura qu’un cloud unique provenant d’un seul fournisseur.

Cette approche unique n’a pas fonctionné pour la CIA, – qui a annoncé son intention de faire appel à plusieurs fournisseurs plus tôt cette année, – et elle ne fonctionnera pas pour le ministère de la Défense, a-t-il déclaré. Et il ajoute que cet accord signifie que toutes les applications existantes devront migrer vers le cloud, que cela soit approprié ou non. “Certaines choses n’ont rien à y faire”, dit-il. “Certaines choses n’étaient pas conçues pour en tirer profit.”

En août 2018, Oracle a déposé une réclamation auprès du Government Accountability Office, affirmant que le contrat était “conçu autour d’un service cloud particulier”. (IBM a emboîté le pas peu de temps après.) Le même mois, la publication Defence One révélait que RosettiStarr, une firme d’enquêteur de Washington, préparait un dossier avec des reporters affirmant que Sally Donnelly, haut responsable du Pentagone et ancien consultant externe d’Amazon, avait tenté de favoriser la société de commerce électronique. RosettiStarr a refusé d’identifier le client qui a payé pour son travail.

Le logiciel de reconnaissance faciale en cloud de l’entreprise, qui permet de détecter l’âge, le sexe et certaines émotions ainsi que d’identifier les visages, est déjà utilisé par certains services de police, et en 2018 Amazon a acheté Ring, qui fait des sonnettes intelligentes qui capturent des vidéos.

Le FBI teste la biométrie faciale Amazon

Le drame a continué. En décembre 2018, Oracle, qui n’a pas été retenu pour l’étape finale de l’appel d’offres, a déposé de nouveaux documents alléguant un conflit d’intérêts. Deap Ubhi, qui travaillait avec Lynch au bureau des services numériques de défense du Pentagone, avait négocié un emploi avec Amazon alors qu’il travaillait pour JEDI, selon Oracle.

Des questions ont également été soulevées au sujet d’une visite de James Mattis, alors secrétaire à la Défense, sur la côte Ouest en 2017, qui comprenait une visite dans la Silicon Valley et une visite au siège d’Amazon à Seattle. En chemin, Mattis s’est déclaré “un grand admirateur de ce qu’ils font là-bas”, et il a ensuite été photographié marchant côte à côte avec Bezos.

(L’admiration de Mattis pour l’innovation n’a pas toujours été égalée par son discernement; jusqu’en 2017, il siégeait au conseil d’administration de Theranos, la firme de diagnostic du sang présentée comme une fraude).

Amazon et le Pentagone ont nié toute allégation de comportement abusif et ont reçu en juillet le soutien d’un juge fédéral, qui avait estimé que la société n’avait pas influencé indûment le contrat. C’était avant que le président Trump n’intervienne.

“Dès le premier jour, nous avons concouru pour JEDI en raison de l’ampleur et de la profondeur de nos services et sur le niveau de sécurité et de performance opérationnelle correspondant”, a déclaré un porte-parole d’AWS à MIT Technology Review.

Quel que soit le résultat de la révision de JEDI, il est clair que la dépendance du Pentagone à l’égard de la Silicon Valley augmente.

L’une des raisons pourrait être liée aux priorités du ministère de la Défense lui-même. Autrefois, elle a ouvert la voie à la science informatique – bon nombre des technologies qui ont rendu possible le cloud computing, y compris l’Internet lui-même, provenaient de la recherche commanditée par l’armée. Aujourd’hui, cependant, l’argent que les grandes entreprises de technologie apportent à la technologie de l’information est inférieur à ce que le Pentagone dépense pour la recherche informatique. DARPA, qui a financé la création de l’Arpanet (le précurseur de l’Internet) à partir des années 1960, est toujours impliqué dans le science informatique, mais quand il s’agit de cloud computing, il ne construit pas sa propre version.

Jonathan Smith, un responsable de programme DARPA, a déclaré que le travail de l’agence sur le cloud se concentre aujourd’hui sur le développement de prototypes sécurisés et open-source pouvant être adoptés par quiconque, qu’il s’agisse de gouvernements, d’un milieu universitaire ou de sociétés commerciales, comme Amazon.

Une force se réveille

Il s’agit d’un revirement rapide par rapport à il y a un peu plus d’une décennie, lorsque Amazon avait obtenu une assignation à comparaître devant le gouvernement pour obtenir les dossiers de quelque 24 000 livres dans le cadre d’une affaire de fraude. “Les rumeurs, fondées ou non, d’une enquête criminelle fédérale orwellienne sur les habitudes de lecture des clients d’Amazon pourraient effrayer d’innombrables clients potentiels en les dissuadant d’annuler des achats de livres en ligne”, a écrit le juge dans son jugement de 2007 en faveur d’Amazon. Ceux qui connaissaient bien la culture organisationnelle à l’époque disent qu’elle était généralement hostile à l’idée de travailler avec le gouvernement. Contrairement à Larry Ellison, qui s’est ouvertement vanté que la CIA était le client de lancement d’Oracle, Bezos faisait partie d’une deuxième vague de magnats de la technologie qui se méfiaient des liens avec les autorités fédérales.

Pourtant, l’entreprise faisait déjà ses premiers pas dans les services de cloud computing, ce qui en ferait un partenaire gouvernemental évident. En 2003, deux employés, Benjamin Black et Chris Pinkham, ont rédigé un article décrivant un système de serveur virtuel normalisé pour fournir puissance de calcul, stockage de données et infrastructure sur demande. Si Amazon trouvait ce système utile, ont-ils suggéré, d’autres entreprises le feraient aussi. Un jour, ceux qui ne voulaient pas exploiter leurs propres serveurs n’auraient plus à le faire : ils pourraient simplement les louer.

Le duo a présenté l’idée à Bezos, qui leur a dit de la suivre. Lancé publiquement en mars 2006, bien avant des services concurrents comme Microsoft Azure et Google Cloud, AWS domine désormais le marché. Les services cloud ont fourni à Amazon 13 % de son activité globale en 2018 et une part disproportionnée de ses bénéfices. AWS compte des millions de clients, dont Netflix, Airbnb et GE.

Le fait de fournir une infrastructure à d’autres entreprises a ouvert la porte aux organismes gouvernementaux. En 2013, AWS a remporté une victoire surprise en devenant le fournisseur de cloud computing de la CIA. Cet accord, d’une valeur de 600 millions de dollars, a fait d’Amazon un important entrepreneur en matière de sécurité nationale du jour au lendemain.

Depuis, les choses se sont accélérées. Amazon a investi massivement dans de nouveaux centres de données en Virginie du Nord, et en février 2019, après un concours très médiatisé, la société a annoncé qu’elle avait choisi Crystal City, en Virginie – une banlieue de Washington, DC, à moins d’un mile du Pentagone – comme site pour son deuxième siège social. (New York a également été choisie comme ville gagnante, mais Amazon a par la suite abandonné ses projets à la suite de l’opposition du public aux allégements fiscaux que la ville avait accordés à la société).

Tout cela s’est déroulé sans grande friction, alors que d’autres géants de la technologie ont eu des relations chaotiques avec l’appareil de la sécurité nationale. En 2015, Apple a publiquement défié le FBI lorsqu’on lui a demandé d’entrer par effraction dans un téléphone appartenant à l’un des auteurs d’une fusillade de masse à San Bernardino, en Californie (le FBI a retiré sa demande après avoir versé près de 1 million de dollars à des hackers pour pouvoir y accéder). Et Google s’est retiré de l’appel d’offres pour JEDI l’année dernière après qu’un employé se soit révolté à propos de son travail sur un contrat d’intelligence artificielle du Pentagone, Project Maven.

Le Pentagone cache des informations des travaux de Google sur les drones militaires

Amazon n’a pas connu le même type de réaction de la part du personnel – peut-être parce qu’il est notoire pour une approche dure des négociations de travail. Et même lorsque ses employés sont devenus agités, ce n’était pas à cause des liens d’Amazon avec la CIA ou le Pentagone, mais parce qu’elle vendait des services Web à Palantir, la société d’analyse de données qui collabore avec Immigration and Customs Enforcement. Les employés d’Amazon ont écrit une lettre ouverte à Bezos pour protester contre la “politique immorale des États-Unis”, mais cela n’a guère eu d’effet.

Microsoft et Amazon sous le feu de la technologie de reconnaissance faciale

Et ce serait une surprise si cela se produisait. Il est difficile d’imaginer qu’après plus de cinq années consacrées à fournir la base informatique à la CIA, alors qu’elle menait des frappes de drones dans le monde entier, Amazon hésiterait soudainement à travailler à la lutte contre la fraude en matière d’immigration.

L’Empire contre-attaque

Alors pourquoi Amazon s’est-elle lancée dans la sécurité nationale ? Beaucoup pensent qu’il s’agit d’argent sale. Stephen E. Arnold, spécialiste des logiciels de renseignement et d’application de la loi, a utilisé une série de vidéos en ligne pour retracer l’évolution d’Amazon depuis 2007, alors qu’elle n’avait “en fait aucune présence” dans le gouvernement IT, jusqu’à aujourd’hui, où elle semble destinée à dominer. “Amazon veut neutraliser puis déplacer les fournisseurs traditionnels du Département de la Défense et devenir l’IBM du 21ème siècle pour le gouvernement américain”, dit-il.

Trey Hodgkins est d’accord. “Le gagnant du contrat [JEDI] va contrôler une partie importante des clouds dans l’ensemble du gouvernement fédéral”, a déclaré Hodgkins, qui était jusqu’à récemment vice-président principal de l’Alliance de la technologie de l’information pour le secteur public, une association d’entrepreneurs en IT. L’alliance s’est dissoute en 2018 après avoir soulevé des préoccupations au sujet du JEDI, après quoi Amazon, l’un de ses membres, a quitté et formé sa propre association. Les agences civiles, dit-il, se tournent vers le Pentagone et disent : “Vous savez quoi ? Si c’est assez bon et assez substantiel pour eux – à l’échelle – alors ça va probablement aller pour nous.”

“Et si nous tirions parti de toutes ces solutions incroyables qui ont été développées et conduites par des personnes qui n’ont rien à voir avec le gouvernement fédéral ?”

Mais Arnold croit qu’Amazon est en train de s’engager davantage dans le commerce mondial du maintien de l’ordre public et de la sécurité. Le logiciel de reconnaissance faciale en cloud de l’entreprise, Rekognition, qui permet de détecter l’âge, le sexe et certaines émotions ainsi que d’identifier les visages, est déjà utilisé par certains services de police, et en 2018 Amazon a acheté Ring, qui fait des sonnettes intelligentes qui capturent la vidéo.

Le FBI teste la biométrie faciale Amazon

Ring pourrait sembler être un bon investissement en tant que consommateur, mais selon Arnold, la société crée une technologie qui peut exploiter son trésor de données relatives aux consommateurs, aux finances et au maintien de l’ordre. “Amazon souhaite devenir le fournisseur privilégié du gouvernement fédéral, des États, des comtés et des collectivités locales lorsque des solutions en matière de police et de renseignement sont nécessaires”, a-t-il déclaré. Cet été, Vice News a révélé que Ring aidait à fournir une vidéo aux services de police locaux.

Mais ce n’est que le début. Arnold prédit qu’Amazon ira au-delà des marchés américains du renseignement et du maintien de l’ordre et se tournera vers le monde. Cela, prédit-il, vaut des dizaines de milliards de dollars.

Le résultat net n’est pas la seule préoccupation, cependant : il y a aussi l’influence. Un ancien responsable du renseignement avec qui j’ai parlé m’a dit que les contrats du gouvernement et l’achat du Washington Post ne sont pas deux mesures distinctes pour Bezos, mais font partie d’une poussée plus large dans la capitale. Loin d’une conspiration, dit-il, c’est ce que les capitaines d’industrie ont toujours fait. “Il n’y a rien de tordu là-dedans”, a dit l’ancien fonctionnaire. “Bezos ne fait que défendre ses intérêts.”

Et peut-être que l’objectif ultime n’est pas seulement d’augmenter le nombre de contrats gouvernementaux, mais aussi d’influencer les réglementations qui pourraient affecter Amazon. Aujourd’hui, certaines de ses plus grandes menaces ne sont pas des concurrents, mais des législateurs et des politiciens qui défendent les mesures antitrust contre les géants de la technologie. (Ou, peut-être, un président soutenant qu’il devrait payer plus d’impôts.) Et Bezos comprend clairement qu’opérer à Washington nécessite d’avoir accès à qui que ce soit à la Maison-Blanche et d’exercer une influence sur lui ; en 2015, il a engagé Jay Carney, l’ancien attaché de presse du président Obama, comme cadre supérieur, et plus tôt cette année AWS a engagé Jeff Miller, un collecteur de fonds, pour faire pression en son nom.

Amazon a déclaré au MIT Technology Review que l’accent mis sur la sécurité nationale s’inscrit dans le cadre d’un mouvement plus large vers le secteur public.

“Nous sommes convaincus que les milieux de la défense, du renseignement et de la sécurité nationale méritent d’avoir accès à la meilleure technologie au monde”, a déclaré un porte-parole. “Et nous nous engageons à soutenir leurs missions essentielles de protection de nos citoyens et de défense de notre pays.”

Tout le monde n’est pas d’accord. Steve Aftergood, qui dirige le Project on Government Secrecy à la Federation of American Scientists, suit les dépenses en matière de renseignement et les questions de protection de la vie privée depuis des décennies. Je lui ai demandé s’il s’inquiétait de l’expansion rapide d’Amazon dans le domaine de la sécurité nationale. “Nous semblons courir vers une nouvelle configuration du gouvernement et de l’industrie sans avoir bien réfléchi à toutes les implications. Et certaines de ces implications ne sont peut-être pas entièrement prévisibles”, a-t-il écrit dans un courriel. “Mais chaque fois que vous établissez une nouvelle concentration de pouvoir et d’influence, vous devez également créer une structure compensatoire qui aura l’autorité et la capacité d’exercer une surveillance efficace. Jusqu’à présent, cette structure de surveillance ne semble pas recevoir l’attention qu’elle mérite.”

Si les observateurs et les critiques ont raison, le contrat JEDI du Pentagone n’est qu’un tremplin pour qu’Amazon qui finira par prendre le contrôle de l’ensemble du cloud gouvernemental, servant de centre de stockage de données pour tout, des casiers judiciaires aux audits fiscaux. Si cela concerne certains de l’extérieur qui regardent, c’est comme à l’habitude pour ceux qui se trouvent à l’intérieur du Beltway, où le gouvernement a toujours été le client le plus important et le plus lucratif.

“Bezos est malin d’arriver au début”, dit l’ancien responsable du renseignement. “Il a vu qu’il y avait de l’or dans ces collines”.

MIT Technology Review, Nextgov

Sharon Weinberger est chef du bureau de Washington pour Yahoo News et l’auteur de The Imagineers of War: The Untold Story of DARPA, the Pentagon Agency That Changed the World. Imagineers of War est une histoire fascinante et révolutionnaire dans laquelle la science, la technologie et la politique se rencontrent.

Le Pentagone cache des informations des travaux de Google sur les drones militaires

Les 5 000 pages de documents du projet ont été jugées trop sensibles pour être divulguées.

Neuf mois après les protestations internes et le tollé général du public qui ont poussé Google à cesser de développer l’IA pour les drones militaires, le Département de la Défense garde secret tous les dossiers du mystérieux projet Maven, de l’intelligence artificielle avancée pour une guerre algorithmique – également appelé Algorithmic Warfare Cross-Functional Team (AWCFT).

Maven a pour mission “d’accélérer l’intégration du Big Data et du Machine Learning au Département de la Défense”. Au total, le Département de la Défense a dépensé 7,4 milliards de dollars dans des domaines liés à l’intelligence artificielle en 2017, a rapporté le Wall Street Journal.

“Les personnes et les ordinateurs travailleront en symbiose pour augmenter la capacité des systèmes d’armes à détecter des objets”, a déclaré le colonel Drew Cukor, chef du corps des marines et du AWCFT. “Nous espérons qu’un analyste sera capable de faire deux fois plus de travail, voire trois fois plus, qu’il le fait actuellement. C’est notre objectif.”

“Nous sommes dans une course aux armements d’intelligence artificielle”, a déclaré Cukor. “… C’est ce qui se passe dans l’industrie et les cinq grandes sociétés Internet s’y emploient activement.”

Il y a plus d’un an, le journaliste de The Intercept, Sam Biddle, a essayé d’utiliser le droit de l’information publique pour en savoir plus sur les drones. Biddle écrit que le Département de la Défense a identifié 5 000 pages de documents et de dossiers pertinents – mais a jugé que chaque phrase était trop sensible pour être divulguée au public.

The Intercept rapporte que le Département de la Défense a affirmé que chaque enregistrement de la participation de Google dans le projet Maven, qui a depuis lors changé de mains de Google à la société de défense Anduril Industries, contient des “informations critiques sur la sécurité des infrastructures”.

Le Département de la Défense a envoyé à The Intercept une note de service de Lisa Hershman, Chief Management Officer, qui a écrit que la divulgation des archives du Projet Maven “fournirait à un adversaire des informations pour perturber, détruire ou endommager la technologie, les opérations et les installations militaires du DoD et mettre en danger la vie de son personnel”.

Malheureusement pour les journalistes, le gouvernement a recours à une série d’astuces un peu obscurs pour refuser les demandes de documents publics. Dans ce cas, les lois qui protègent les informations sur les ” infrastructures critiques” ont été rédigées pour protéger les usines de produits chimiques ou les installations de stockage d’explosifs – et non un logiciel d’IA permettant de guider les drones.

Biddle écrit que l’équipe juridique de The Intercept a l’intention de combattre le Département de la Défense parce qu’il a refusé l’accès aux archives de manière trop agressive, de sorte qu’il y a une chance que nous puissions bientôt en apprendre davantage sur les recherches militaires insaisissables.

The Intercept, Gizmodo

Biométrie, la clé pour empêcher les terroristes de voyager

L’amélioration des systèmes de validation de l’identité et l’utilisation de la biométrie sont des éléments clés de la nouvelle stratégie de la Maison-Blanche visant à empêcher les terroristes de voyager et à aider les partenaires étrangers à adopter cette technologie.

Le 20 février, la Maison-Blanche a publié la “Stratégie nationale de lutte contre les déplacements à des fins terroristes” (PDF-National Strategy to Combat Terrorist Travel) qui énonce trois objectifs pour réduire la capacité des terroristes de voyager entre les pays et à l’intérieur de ceux-ci. Le premier objectif est d’identifier et de dissuader les terroristes avant qu’ils ne voyagent, le second est de détecter et d’intercepter les terroristes pendant leur voyage, et le troisième est de renforcer les capacités de sécurité des voyages et des partenaires étrangers.

Les sous-sections expliquant les objectifs stratégiques des trois buts font spécifiquement référence à la biométrie.

L’objectif stratégique 1.2, qui vise à améliorer la collecte et l’analyse de l’information par les services de renseignement et les organismes de maintien de l’ordre public, comprend un appel à “améliorer la fonctionnalité des systèmes de gestion de l’identité et à accroître la collecte et l’utilisation des données biométriques, biographiques et dérogatoires pour le contrôle et la vérification”.

L’objectif stratégique 2.1 accorde la priorité à l’utilisation accrue des équipements et des technologies biométriques pour identifier les terroristes parmi les passagers.

L’objectif stratégique 3.2, qui vise à renforcer les capacités de filtrage et d’identification des partenaires étrangers, appelle à encourager et à soutenir les efforts des partenaires étrangers visant à accroître le partage de données biométriques et d’autres données relatives aux voyageurs.

Le filtrage est défini comme un contrôle “biographique et/ou biométrique” par rapport aux listes de surveillance et aux renseignements sur les menaces, et est mentionné à de nombreuses reprises dans le document de 21 pages.

Le Biometrics Institute travaille avec les agences antiterroristes de l’ONU sur la façon d’appliquer de manière responsable la force de l’identification biométrique à leurs efforts, et le programme biométrique d’entrée-sortie des voyageurs des États-Unis pour la douane et la protection des frontières (Customs and Border Protection-CBP), continue de se développer malgré les difficultés. La biométrie est également vantée pour la fluidité des déplacements alors que les aéroports sont de plus en plus encombrés.

La Maison Blanche a publié le même jour un autre document sur la sécurité de l’aviation intitulé “National Strategy for Aviation Security“, qui propose de nouvelles approches permettant de créer un écosystème d’aviation sécurisé à plusieurs niveaux qui s’adapte de manière adéquate aux menaces en mutation exponentielle découlant des nouvelles cyber-technologies perturbatrices, ainsi qu’à la prévalence croissante des systèmes d’aviation sans pilote (UAS).

La Stratégie nationale pour la sûreté de l’aviation, met davantage l’accent sur l’ensemble des menaces qui pèsent sur l’écosystème des transports des États-Unis et détaille les nouvelles contre-mesures et politiques. Parmi les menaces spécifiques abordées dans le rapport figurent les terroristes, les États-nations hostiles, les criminels, les insiders et les services de renseignement étrangers qui pourraient tenter de bombarder un avion ou d’introduire clandestinement du matériel ou du personnel aux États-Unis, entre autres préoccupations. En outre, le rapport tient également compte du risque de propagation de maladies infectieuses pendant les voyages en avion.

Il est important de noter que ces documents anticipent une augmentation des dépenses publiques consacrées à l’intégration de technologies préventives sophistiquées, notamment la biométrie.

HSDL, The White House, Biometricupdate

La Thaïlande approuve une loi controversée sur la cybersécurité

La Thaïlande adopte une loi permettant à l’État d’accéder aux communications privées

L’Assemblée législative nationale thaïlandaise a adopté une loi controversée sur la cybersécurité pour permettre à l’État de perquisitionner, saisir et infiltrer des données et du matériel informatique sans ordonnance judiciaire.

Un projet de loi sur la protection des données personnelles adopté plus tôt dans la même journée n’assurerait aucune protection, puisqu’il prévoit une exemption pour les demandes de données émanant d’un service de sécurité de l’État.

Phys.org

La France abandonne Google pour récupérer son indépendance en ligne

La France travaille d’arrache-pied pour éviter de devenir une colonie numérique des États-Unis ou de la Chine. Le mois dernier, l’Assemblée nationale et le ministère des Armées ont déclaré que leurs appareils numériques cesseraient d’utiliser Google comme moteur de recherche par défaut. Au lieu de cela, ils utiliseront Qwant, le moteur de recherche français qui se targue de ne pas suivre ses utilisateurs.

«Nous devons donner l’exemple», a déclaré Florian Bachelier, l’un des députés présidant le groupe de travail de l’Assemblée sur la cybersécurité et la souveraineté numérique, créé en avril 2018 pour aider à protéger les entreprises françaises et les agences de l’Etat des cyberattaques et de la dépendance croissante à l’égard des entreprises étrangères.

Wired

Rapport: il est facile de pirater toute une génération d’armes militaires

Le Government Accountability Office (GAO) a annoncé que le Pentagone avait été pris au dépourvu. Il s’avère que les systèmes d’armes d’une génération entière, y compris ceux en cours de développement, sont vraiment faciles à pirater.

Il n’y a pratiquement aucune excuse pour que l’armée soit aussi laxiste en matière de sécurité numérique, car son armement – ainsi que la nature même de la guerre – est de plus en plus numérique.

Il s’avère que plusieurs des tests effectués au cours des années étaient incomplets, ce qui a conduit les responsables à ne pas prendre en compte les vulnérabilités apparues.

Le rapport, qui a omis de nombreux détails cruciaux sur les systèmes les plus vulnérables, a indiqué que de petites équipes de hackers informatiques au chapeau blanc (“white hat” un hacker éthique) étaient en mesure de se connecter à divers systèmes d’armes en moins d’une heure.

Les hackers, selon le rapport, ont été en mesure de prendre le contrôle des principaux systèmes d’armes et d’opérer en grande partie sans être détectés, en partie à cause de problèmes fondamentaux tels qu’une mauvaise gestion des mots de passe et des communications non chiffrées.

L’armée américaine a le budget le plus élevé au monde, cependant, la cybersécurité de l’armée échoue régulièrement à ces tests depuis 2012, selon le rapport. Face à tout cela, il semble que l’armée ait laissé ses armes et ses systèmes numériques les plus avancés au grand jour.

U.S. Government Accountability Office, Phys.org