jeudi 28 octobre 2010

Opération Bickshot Yankee et vulnérabilité des PC du Pentagone (MAJ1)

Le secrétaire adjoint américain à la Défense, William Lynn, s'est récemment et longuement épanché dans le dernier numéro de la revue Foreign Affairs sur la cybersécurité, thème du mois de l'Alliance Géostratégique.
"Some of the most sophisticated integrated defense software that is commercially available now have 5–­­10 million lines of code, and they are massive, work-intensive, difficult products to develop. The average malware has stayed constant over the last decade, and it's about 175 lines of code".
Il prend comme exemple, pour illustrer ses propos, l'opération "Bickshot Yankee" qui a visé les ordinateurs du Pentagone en 2008. Une carte mémoire malveillante ayant été insérée dans un ordinateur de l'US Air Force sur une base au Moyen-Orient.


Elle aurait entraîné selon le responsable, une véritable prise de conscience conduisant à une réflexion doctrinale interservices et à la mise en œuvre de mesures de sécurité ainsi que de nouvelles structures, comme l'US Cyber Command.

Enfin, pour montrer le différentiel temporel dans le cycle de développement et d'innovation entre des services officiels et des entreprises, William Lynn fait cette remarque:
« Il faut 81 mois au Pentagone pour développer un nouveau système informatique. Il a fallu 24 mois pour lancer l'iPhone ».
Pour trouver encore quelques tirades bien placées, cet long entretien est à lire.

Articles complémentaires:

5 commentaires:

  1. Yes,
    Sauf que si les ordis de la défense américaine fonctionnaient comme certaines évolutions d'I-phone ou de microsoft, je pense qu'elle aurait vraiment des soucis à se faire.
    N'oublions pas que les virus et autres saloperies numériques utilisent les failles de conception et de programmation de société qui sortent en 24 mois des produits qui fonctionnent à peu près et dont la vérification qualité est loin d'être optimale. Cela fonctionne en gros (et honnêtement c'est suffisant pour M. tout le monde). La sûreté nucléaire américaine ou les réseaux de défense ne peuvent pas fonctionner "en gros". D'ailleurs, mesdames, messieurs, les clients, c'est vous qui leur faites la vérification... et gratuitement en plus !
    Cordialement

    RépondreSupprimer
  2. @SD

    Pas faux sur la qualité demandée pour les secteurs stratégiques (défense mais aussi énergie, santé, etc.) et pour le tout-venant lambda.

    Et si nous pouvons être utile en étant des testeurs malgré nous...

    Néanmoins, l'inertie organisationnelle est loin d'être (je pense) seulement le fait de l'innovation technique et technologique en elle même. Son assimilation/incorporation/acceptation culturelle demande autant (voire plus) que la réalisation.

    RépondreSupprimer
  3. Quand on voit la qualité de certains systèmes développés sur des années pour une armée/les armées/le ministère/ le gouvernement, on peut rester dubitatif sur l'exigence de qualité ou de sécurité comme cause de la durée du développement. Il n'y a pas que les systèmes à destination des opérations qui sont je pense visés par ces remarques: pensons à Rhapsodie, le système de gestion du personnel, pas calibré pour les tuyaux en place et présentant des lacunes concernant la gestion des accès à l'information; ou encore Chorus, grâce auquel les entreprises sont payées avec 8 ou 10 mois de retard, ce qui fait que plus personne ne répond aux appels d'offre de la Marine pour des travaux d'infra...
    Les procédures de développement de logiciels sont les mêmes que pour le matériel, d'ailleurs les industriels sont les mêmes. Résultat: des millions d'euros et 7 ans de développement pour un logiciel de simulation qui ferait mourir de rire le programmeur de Tetris...
    On a peut-être raté un virage quelque part?
    L'industrie de l'armement nous a habitués à de longs délais de développement, en rapport avec la durée de vie des matériels. Le tempo n'est pas le même dans le cyberespace: l'évolution des systèmes informatiques est trop rapide pour qu'on utilise les mêmes procédures que pour le développement d'un avion ou d'un char.
    Cela dit, je parle là bien sûr des systèmes non vitaux, mais dont le mauvais fonctionnement est une cause de perturbations parfois graves: effets sur le moral, coût, retards, qualité et temps d'entraînement...

    RépondreSupprimer
  4. @ F. de St V

    En fait, oui pour l'assimilation culturelle. Pour changer le "comme d'hab", c'est parfois difficile dans les milieux de défense. Dans le cas du commerce, nous ne retenons que les produits qui ont été des succès. Les autres (nombreux) peuplent les cimetières de la R&D que nous ne visitons jamais...

    @Cadfannan
    Les exemples que vous citez sont des développements sur un modèle type privé et grande consommation. Pour les problèmes d'inertie, ils sont réels et ne sont pas liées uniquement au domaine défense...

    RépondreSupprimer
  5. "La sûreté nucléaire américaine ou les réseaux de défense ne peuvent pas fonctionner "en gros"."

    J'ai vu faire des trucs, et pas sur du système d'info de gestion, mais du SIC, pas très jojo qui n'a rien à envier (et pour cause !) à l'ex-firme de Bilou ;-)

    RépondreSupprimer

Pour faciliter les réponses et le suivi, merci d'utiliser, au moins, un pseudo récurrent.