- En Europe, la cybersécurité ne se limite plus à la réponse au piratage et aux ransomwares : elle pose désormais la question de savoir si les télécommunications, l’électricité, les ponts et l’informatique publique peuvent tenir dans le chaos d’une ère d’avant-guerre
- Les conditions essentielles sont une infrastructure robuste qui ne s’effondre pas d’elle-même, des dépendances connues et la maîtrise technique permettant de réparer soi-même en cas de problème
- Stuxnet, la destruction des modems Viasat, ainsi que les attaques contre le réseau électrique ukrainien et Kyivstar montrent que des cyberattaques peuvent aller au-delà de l’interruption de service et mener à la destruction d’équipements et à la paralysie des infrastructures sociales
- Le réseau de communication d’urgence et l’exploitation des ponts aux Pays-Bas dépendent du cloud, du réseau téléphonique, de VPN et d’équipes de maintenance à l’étranger, si bien qu’en cas de panne d’électricité ou de guerre, la chaîne de rétablissement peut se rompre
- Alors que la dépendance à Google, Microsoft, AWS et à l’exploitation étrangère d’équipements télécoms augmente, les effectifs techniques internes diminuent, tout comme la capacité autonome de rétablissement des organisations
Cybersécurité à l’ère d’avant-guerre
- Donald Tusk a déclaré que l’Europe était entrée dans « une nouvelle ère », c’est-à-dire une ère d’avant-guerre ; dans ce contexte, la cybersécurité doit être envisagée non plus seulement comme une question de protection du secret ou de défense contre les ransomwares, mais comme un enjeu de survie des infrastructures sociales
- Le secrétaire général de l’OTAN, Mark Rutte, a lui aussi déclaré dans un discours du 12 décembre 2024 qu’il fallait « passer à un état d’esprit de temps de guerre »
- Tout le monde redoute des incidents cyber catastrophiques comme des coupures d’électricité, des pannes d’Internet ou la paralysie d’hôpitaux, mais ils ne se sont encore produits que de manière limitée
- En 2013, Brenno de Winter estimait qu’il faudrait un accident majeur, comparable au naufrage du Titanic, pour que la réglementation se durcisse réellement, mais même sans tel événement, l’UE a adopté plusieurs lois sur la cybersécurité
- Il existe déjà 6 ou 7 textes, mais un seul n’a été activé que partiellement, tandis que les autres sont encore en cours de mise en place
- Ces lois se rapprochent d’un environnement post-Titanic, susceptible d’améliorer dans une certaine mesure l’état de la cybersécurité
Exemples réels de cyberattaques militaires
- Stuxnet visait les centrifugeuses d’uranium iraniennes : l’opération ne s’est pas contentée d’arrêter l’installation, elle a amené l’équipement à se détruire physiquement lui-même
- Juste avant l’invasion de l’Ukraine par la Russie, l’attaque contre les modems Viasat a eu lieu
- Les attaquants ont effacé le firmware des modems de communication satellite, les rendant bons à remplacer
- En Allemagne, 4 000 éoliennes utilisant ces modems n’ont plus pu être exploitées
- Les communications militaires ukrainiennes ont également été fortement perturbées, au bénéfice de la Russie
- La Russie avait déjà auparavant paralysé le réseau électrique ukrainien par des moyens comparables
- Côté ukrainien, les systèmes étaient simples et robustes, et la capacité de réaction était bonne, ce qui a limité la panne à environ 6 heures
- Ces cas sont rares, mais ils montrent qu’en temps de guerre, une cyberattaque peut aller bien au-delà d’une simple panne réseau et conduire à la destruction d’équipements ainsi qu’à la paralysie des infrastructures sociales
Trois conditions nécessaires dans une situation de chaos
- En cas de guerre, de désordre massif ou de panne électrique, trois propriétés deviennent essentielles
- Robustesse : l’infrastructure ne doit pas s’effondrer d’elle-même, même sans attaque
- Dépendances limitées et connues : il faut savoir si l’on dépend d’un ordinateur ou d’une personne situé à 5 000 km
- Propriété réparable : il faut comprendre directement l’équipement, le firmware, le câblage et l’état de configuration, et pouvoir improviser des solutions temporaires
- Des outils de communication modernes comme Microsoft 365 peuvent tomber un ou deux jours par an sans même être attaqués, ce qui rend difficile de les considérer comme des infrastructures robustes au sens ci-dessus
- Un opérateur télécom dont la maintenance des équipements est assurée à 5 000 km devient difficile à assister lorsque la connexion est coupée
- En situation d’urgence, il peut être nécessaire d’utiliser un câble non officiel faute de disposer du bon, ou même de corriger soi-même le firmware
Le recul des réseaux de communication d’urgence
- Le sound-powered phone est un équipement simple fonctionnant sans électricité, qui permet de communiquer avec le pont même lorsqu’un navire est en feu
- Il est si simple et robuste qu’il fonctionnerait même après avoir été frappé au marteau
- Il permet de relier jusqu’à 10 stations et peut fonctionner sur 50 km de câble
- L’ancien Mini-noodnet néerlandais était un réseau d’urgence en cuivre reliant 20 bunkers
- Il était entièrement indépendant du réseau téléphonique classique et conçu pour survivre à la guerre et aux catastrophes
- Son architecture était entièrement redondée en A/B
- Ce réseau a été fermé, et les installations de communication d’urgence modernisées dépendent désormais de services VPN de KPN et de modems DSL
- Tous les appels passent par plusieurs routeurs de KPN, et si quelque chose casse, il est probable que ce soit l’un des premiers points de rupture
- Il y a quelques années, on a tenté d’utiliser ce système lors d’une panne d’électricité, mais il n’a pas fonctionné
- WhatsApp est largement utilisé comme moyen de communication de catastrophe de facto par le gouvernement néerlandais
- L’idée même d’un réseau d’urgence basé sur de courts messages texte reste utile
- Mais si les câbles vers les États-Unis sont coupés, WhatsApp peut lui aussi tomber, ce qui signifie que la redondance du réseau d’urgence lui-même est faible
Ponts et capacité de réparation sur site
- Rijkswaterstaat indique souvent, lorsqu’un pont ne se ferme pas, qu’« un ingénieur a été appelé »
- Pour réparer un pont, le réseau téléphonique doit fonctionner, et le numéro de l’ingénieur peut se trouver dans un fichier Excel hébergé dans le cloud
- En 2024, la chaîne de rétablissement d’un pont peut inclure le cloud, le réseau téléphonique, les véhicules d’intervention sur site et, parfois, même le cloud du fourgon électrique
- Les infrastructures sociales modernes sont devenues un système qui ne tient que si l’électricité, les câbles vers les États-Unis, le cloud et le réseau téléphonique fonctionnent tous
- Le Botlek Bridge, pont moderne, est tombé en panne 250 fois au total, avec environ 75 pannes par an au début
- Il s’agit d’un axe essentiel pour le trafic poids lourds, si bien que l’impact des pannes était important
- La présence permanente d’un ingénieur dédié dans un fourgon sur site a permis de réduire le temps d’indisponibilité d’environ moitié
- Il existe même un site de suivi des pannes et un service d’alertes SMS
- Des années plus tard, la cause s’est révélée être un câble Ethernet défectueux ou un port défaillant sur le serveur gérant l’état et les capteurs
- Le fait de ne pas avoir trouvé la cause pendant plus de trois ans révèle un manque de contrôle sur sa propre infrastructure
- Le Maeslantkering constitue au contraire un exemple de grande infrastructure simple et robuste
- C’est un ouvrage destiné à bloquer les hautes eaux, et les moteurs rouges utilisés pour le fermer servent uniquement à pousser la structure jusqu’à sa fermeture
- Même si les moteurs ne fonctionnent pas, il existe d’autres moyens de le fermer, et il n’est pas nécessaire qu’il se ferme complètement
- Il s’agit d’une structure passive qui ne dépend pas de capteurs
Infrastructures télécoms et dépendance à l’étranger
- Lors des débats sur la 5G, le sujet politique a été traité comme s’il s’agissait de décider s’il fallait utiliser de nouveaux équipements chinois, alors qu’en réalité le camp chinois exploitait déjà une grande partie des équipements télécoms
- Le fait que les offres d’emploi de KPN ne montrent pas de postes d’exploitation liés à la 5G suggère que l’opérateur n’exploite pas directement cette infrastructure
- Autrefois, les télécommunications étaient jugées suffisamment importantes pour justifier 20 bunkers et un réseau indépendant ; aujourd’hui, on a en quelque sorte accepté une structure exploitée depuis Pékin
- Le passage des opérateurs à des équipements Ericsson et Nokia est positif, mais le personnel de maintenance n’est pas forcément un « Sven » en Suède : il peut être situé très loin
- La Chine et l’Inde sont étroitement alignées avec la Russie, et en cas d’attaque de hackers russes, rien ne garantit qu’une organisation externe comme Infosys viendra à la rescousse
- L’Europe dispose de compétences en optique avancée et en équipements de fabrication de puces, mais elle n’a pas suffisamment mis l’accent sur l’exploitation directe de ses infrastructures critiques
Les vulnérabilités sont trop élémentaires et trop nombreuses
- Le journaliste néerlandais Joost Schellevis a scanné l’Internet néerlandais pendant un week-end et trouvé 10 000 points exposés aux hackers
- Le NCSC et d’autres travaillent à l’amélioration de la situation, et les scans de vulnérabilités sont désormais possibles
- À une époque, un journaliste pouvait faire ce type de scan, mais l’État néerlandais ne le pouvait pas pour des raisons juridiques
- Les conseils du type « achetez un bon pare-feu et vous serez en sécurité » ont du mal à tenir dans l’état actuel des choses
- De nombreux grands éditeurs de sécurité sortent chaque année des produits très peu sûrs, contenant des centaines de problèmes
- Il est devenu habituel de voir apparaître chaque mois des centaines de vulnérabilités dans les mises à jour de sécurité de grands fournisseurs comme Oracle ou Microsoft
- Beaucoup d’incidents récents ne viennent pas uniquement d’attaques sophistiquées, mais aussi d’erreurs extrêmement basiques
- Un logiciel de help desk permettait d’accéder à un nouveau compte administrateur et de réinitialiser des mots de passe simplement en ajoutant une barre oblique à la fin de l’URL
- GitLab a laissé pendant environ 6 mois un problème où, lors d’une réinitialisation de mot de passe, le lien était envoyé à une seconde adresse e-mail alors que seule la première était vérifiée pour savoir si elle avait des droits d’administrateur
- Ivanti reste en 2024 un exemple où une manipulation de chemin aussi basique que
../fonctionne encore
- Le gouvernement américain a interdit l’usage d’Ivanti, tandis que le gouvernement néerlandais estime qu’il suffit de placer un autre pare-feu en amont
Le cloud n’est pas une réponse automatique
- La conclusion selon laquelle « migrer vers le cloud rend plus sûr » ne tient pas
- Microsoft a affirmé avoir détecté l’intrusion et être en train d’y répondre, avant de reconnaître ensuite qu’il restait malgré tout encore compromis
- On peut en tirer l’idée que, pour connaître le véritable état de sécurité d’une entreprise, il faut lire ses déclarations aux marchés financiers
- Si une entreprise dissimule un problème dans ce cadre, son conseil d’administration peut être sanctionné, ce qui rend ces documents relativement plus francs
- Le Cyber Safety Review Board américain a enquêté sur un incident impliquant Microsoft, et le rapport associé est cité comme référence importante
- L’Europe et les Pays-Bas déplacent une grande partie de leur IT vers de grands clouds comme Google, Microsoft et AWS
- Le gouvernement néerlandais affirme que certaines données, comme les informations confidentielles et des registres publics de base, ne seront pas déplacées vers le cloud
- Mais pour le reste, la migration vers le cloud reste envisageable
- Lorsqu’une organisation qui exploitait sa propre IT migre vers le cloud, ses équipes d’exploitation internes s’en vont
- Il arrive aussi qu’elles partent d’elles-mêmes parce que le travail devient ennuyeux
- Les meilleurs profils techniques rejoignent les entreprises du cloud, après quoi il devient difficile de comprendre leurs modes de fonctionnement internes
- Le problème central est qu’il ne reste plus, au sein des organisations critiques, assez de personnes sachant réellement ce que font les ordinateurs
Le coût des décisions non techniques
- Aux Pays-Bas comme en Europe, la prise de décision peut suivre une logique très peu technique
- Des personnes ayant étudié le droit, l’histoire, les arts ou le français peuvent se retrouver à décider de stratégies cloud, tandis que celles qui comprennent ce que fait réellement un ordinateur peuvent manquer autour de la table
- Pendant que les techniciens n’assistent pas aux réunions, une entreprise peut décider d’externaliser l’ensemble de son fonctionnement à l’étranger
- La tendance actuelle va vers une compréhension de plus en plus faible de ce que l’on exploite soi-même, et une dépendance de plus en plus forte à des personnes éloignées
- Cette évolution est déjà allée beaucoup trop loin et semble davantage s’aggraver que s’arrêter
Kyivstar et la différence de capacité de rétablissement en temps de guerre
- L’Ukraine avait déjà vécu deux années de guerre, si bien qu’une grande partie de ce qui pouvait simplement se casser s’était déjà cassée
- La Russie a ensuite lancé une attaque destructrice contre Kyivstar, l’un des grands opérateurs télécoms ukrainiens
- Kyivstar et les acteurs ukrainiens s’étaient préparés au chaos et ont pu reconstruire le système à partir de zéro, le remettant en service en 2 jours
- On craint qu’en cas d’attaque identique contre VodafoneZiggo ou Odido, sans aide extérieure, ils puissent rester indisponibles pendant six mois
- La raison est qu’ils ne connaissent pas suffisamment bien leurs propres systèmes
- Comme pendant le Covid, lorsqu’il était impossible de produire soi-même des masques et des équipements de protection individuelle et qu’il a fallu dépendre de la Chine, il serait dangereux, en temps de guerre, de devoir demander à l’Inde ou à une administration Donald Trump de résoudre des problèmes de cloud
Petite expérimentation logicielle et problème de complexité
- En cherchant à partager des images sans utiliser le cloud, des sites modernes comme Imgur ont été présentés comme des services comportant environ 5 millions de lignes de code et une très forte complexité
- Une solution maison de partage d’images ne comptait que 1 600 lignes de code, soit des milliers de fois moins que les services concurrents
- L’IEEE a évoqué ce cas, y compris dans son magazine papier
- Des experts en sécurité ont audité ces 1 600 lignes et y ont trouvé trois vulnérabilités majeures
- Même un petit code peut cacher de graves vulnérabilités
- Cela conduit à la conclusion qu’un code de 5 millions de lignes peut, en pratique, rester perpétuellement peu sûr
- Un code réduit, peu de dépendances et une structure compréhensible restent possibles, mais cela ne garantit toujours pas automatiquement la sécurité
État actuel et avertissement pratique
- Les systèmes qui soutiennent la vie quotidienne sont trop complexes et trop fragiles, au point d’échouer d’eux-mêmes même sans attaque
- Lorsqu’un grand opérateur télécom tombe en panne, il faut désormais se demander s’il s’agit d’une cyberattaque ou simplement d’incompétence
- La maintenance technique s’éloigne de plus en plus, et même dans les offres d’emploi des opérateurs, on voit peu de postes liés à l’exploitation directe des réseaux radio
- Les capacités techniques internes s’affaiblissent, et pour maintenir les communications en fonctionnement, il faut de l’aide venant du monde entier
- Si l’on transpose cette situation à un contexte de guerre, les conséquences attendues sont très mauvaises
- La cause tient au fait que des décideurs non techniques ont privilégié des choix moins chers ou moins contraignants ; il faudrait davantage de pensée technique, mais on ne voit pas clairement comment y parvenir
1 commentaires
Avis sur Hacker News
Je suis entièrement d’accord avec le point de vue de l’auteur. Par exemple, dans les European Train Control Systems, beaucoup de gens veulent utiliser le GPS pour vérifier la position sûre des trains, ce qui plaît au secteur spatial, car cela permet de justifier le coût de la mise en orbite de satellites comme Galileo.
Mais si l’on mène un exercice de vérification préalable à une guerre, on arrive immédiatement à la conclusion que si le GPS est brouillé ou perturbé, tous les trains d’Europe ne peuvent plus que ramper puis s’arrêter. Avant la guerre en Ukraine, on entendait assez peu ce type d’avertissement.
Les infrastructures critiques ne doivent pas dépendre de ce qui se trouve dans l’espace ou à l’autre bout du monde. Dans ces domaines, la régulation doit passer avant la logique de marché, et on ne peut pas attendre le prochain Titanic.
Wabtec a subi une intrusion, mais affirme que seules des informations sur des employés étaient concernées, pas les systèmes de contrôle.
https://www.wabteccorp.com/digital-intelligence/signaling-an...
https://industrialcyber.co/ransomware/wabtec-suffers-data-br...
Comme avec la pandémie, tant qu’on n’est pas directement touché, cela peut sembler anodin.
https://en.wikipedia.org/wiki/Ascension_(healthcare_system)
https://www.wired.com/story/change-healthcare-admits-it-paid...
Par ailleurs, un ordinateur situé à 5 000 km n’est pas forcément une mauvaise chose. Si l’on vit sur la Gulf Coast exposée aux ouragans, on souhaite avoir des ressources de calcul de secours allumées en dehors de la région. Après Katrina, la faculté de médecine de Tulane a pu se réorganiser rapidement grâce à un forum qui tournait sur une VM en Roumanie, alors que le reste était sous les eaux.
Les téléphones autoalimentés par la voix (sound-powered phones), j’en ai utilisé pour le contrôle des avaries à bord de navires, et ils fonctionnent rarement correctement. Pour coordonner une vraie intervention contre un incendie, il faut des radios et le système de diffusion interne du navire, qui dépendent de l’électricité.
Même lors de la panne de courant de 4 heures qui a touché toute la région de San Diego en 2011 à l’heure de pointe, le réseau mobile fonctionnait, et j’ai pu envoyer par e-mail des documents à Tokyo depuis une voiture, sans feux de signalisation.
Il y a eu des cas où les câbles côté américain ont été coupés, mais il existe aussi beaucoup de catastrophes où les câbles restent intacts. La dégradation gracieuse vient d’options largement distribuées ; si l’on pense que les réseaux IP sont fragiles, il vaut mieux disposer d’un terminal Starlink et d’une licence de radioamateur.
https://en.wikipedia.org/wiki/SpaceX_Starshield
C’est l’un des meilleurs textes que j’aie lus sur HN jusqu’ici, et j’aimerais qu’il soit vu par davantage de monde. Même en tant que « nerd », je me demande souvent si nous n’essayons pas de résoudre par une approche de nerd des problèmes qui pourraient l’être plus simplement.
On choisit souvent, semble-t-il, la méthode la plus complexe ou la plus nerd pour prouver à nous-mêmes et aux autres que nous en sommes capables, plutôt que parce qu’il faut vraiment le faire. Bien sûr, cela ne veut pas dire que cette approche est toujours mauvaise ; pour certains problèmes, une solution simple est plus appropriée.
https://en.m.wikipedia.org/wiki/Therac-25
Je suis d’accord sur le fait que des non-techniciens ont fait des choix optimisés pour le moins cher, et deux éléments s’y ajoutent. Les acteurs malveillants de la cybersécurité sont décentralisés, distribués, innovent et partagent rapidement, tandis que les défenseurs sont centralisés, propriétaires et enfermés dans leurs périmètres.
De plus, les fournisseurs de logiciels et de services n’ont traditionnellement pas intégré de réseau sécurisé dans leurs produits, laissant aux clients le soin de l’ajouter ensuite. C’est risqué, car le réseau est souvent la surface d’attaque la plus vaste et la plus vulnérable.
Tout ce qu’elle peut donc faire, c’est acheter encore un outil parmi les milliers de fournisseurs qui promettent « achetez ça et vous serez en sécurité », ce qui devrait évidemment sonner creux pour quiconque a déjà conçu un produit sécurisé.
La plupart des outils sont un peu utiles ou totalement inutiles, mais jamais une solution miracle. Pour construire un produit sécurisé, il faut faire de la sécurité une exigence de premier ordre et l’intégrer à la conception dès le premier jour. C’est facile à dire, difficile à faire.
Il y a une dizaine d’années, j’avais écrit un texte prédisant que les États-Unis n’interviendraient pas pour soutenir de petits alliés, parce que les infrastructures occidentales étaient vulnérables aux opérations cyber. Le raisonnement était que le coût du chaos intérieur provoqué par des attaques contre les infrastructures les ferait hésiter à s’engager dans une guerre à l’étranger, et que cette vulnérabilité enhardirait des adversaires comme la Russie ou la Chine.
Jusqu’ici, je me suis trompé. Quelques incidents récents touchant des infrastructures ont ressemblé à des opérations russes de dissuasion du type « si vous ne reculez pas, voilà ce que nous pouvons vous montrer », mais les États-Unis restent profondément impliqués dans la guerre en Ukraine et semblent aussi fournir une couverture à Israël face à l’Iran. On ne voit pas beaucoup d’inquiétude à l’idée que ces deux adversaires pourraient avoir la capacité d’interrompre le réseau électrique américain.
La Chine aussi adopte une ligne dure envers Taïwan, mais elle semble se satisfaire de la gérer plutôt que de procéder à une annexion politique complète, et semble aussi prendre au sérieux le soutien américain à Taïwan. Même si l’on suppose que la Chine pourrait arrêter presque tout ce qui, aux États-Unis, contient des semi-conducteurs.
Peut-être que, dans le nouvel ordre mondial, les États n’ont pas forcément besoin d’étendre leur territoire souverain s’ils peuvent gérer efficacement ce dont ils ont besoin. À part des cas comme le déploiement de missiles, pourquoi envahir la vache et assumer la charge de la gouverner, si l’on peut obtenir le lait ? Dans ce cas, le cyber s’inscrit dans une dynamique plus fluide que les hypothèses géopolitiques d’avant l’espace et les réseaux.
S’il y avait eu beaucoup de débats bruyants sur la nécessité d’investir davantage dans le cyber offensif, cela m’aurait inquiété. La manière même dont on fait comme si cela n’existait pas en dit déjà assez.
Je suis l’auteur. Si vous avez des questions, dites-moi.
Et comme Microsoft a aidé à la défense, ce n’était pas un mauvais investissement. Je me demande s’il existait une évaluation quantitative du risque pour comprendre les dommages potentiels si les Russes lançaient une attaque similaire contre les Pays-Bas.
Tout ce qui relève de l’infrastructure IT était externalisé en Inde, ou, dans le meilleur des cas, en Pologne. Dans les bureaux de l’UE, même les personnes compétentes n’ont pas l’autorisation d’utiliser leur propre matériel. Il faut supplier pendant des semaines des responsables de tickets peu qualifiés chez le prestataire, et enchaîner des réunions sans fin.
Les employés de l’UE sont relégués au rôle d’usine à fonctionnalités ou de gestionnaires de processus, sans aucune opération. C’est le genre de logique « ce n’est pas une compétence cœur ».
Je ne travaillerai plus jamais pour une grande entreprise européenne « importante pour la sécurité nationale ». Cela vous vide de votre âme, et il est parfaitement clair que tout le monde s’en fiche.
Chaque fois que je vois une news disant que des dizaines de milliards d’euros sont alloués à la souveraineté de l’UE, ça me fait mal. J’ai trop souvent vécu des réunions interminables dans des équipes de 10 managers et 2 ingénieurs, à supplier l’équipe de $indian_outsourcing_company de me laisser faire mon travail.
Il n’y a aucune chance que cela se passe bien si l’approvisionnement alimentaire dépend entièrement d’un système satellitaire fragile et facile à brouiller.
https://www.404media.co/solar-storm-knocks-out-tractor-gps-s...
Ce que j’ai trouvé diffère un peu sur des détails essentiels. Les turbines ont continué à fonctionner, et le nombre semble être 5 800, pas 4 000. Ce qui a été perdu semble être la capacité de supervision et de contrôle à distance.
https://cyberconflicts.cyberpeaceinstitute.org/law-and-polic...
Ce serait utile si vous pouviez expliquer cette différence. Je compte clairement partager cette transcription avec d’autres personnes, donc cela vaut la peine de clarifier ce point.
J’ai récemment demandé à des contrôleurs aériens ce qui se passerait s’ils ne pouvaient plus utiliser le GPS, et ils ont tous eu une réaction mal à l’aise.
Ce serait une journée extrêmement chargée à vectoriser tous les avions pour les faire atterrir. Car, soudain, la plupart des avions ne pourraient plus naviguer en sécurité et, dans les faits, ne pourraient plus décoller.
Je pense que réduire le budget des aides à la navigation au sol est une folie.
Malheureusement, avec la préférence donnée aux waypoints GPS, ces moyens sont de moins en moins utilisés et tendent de fait à être supprimés. Même lorsqu’ils existent encore, les pilotes les utilisent moins au quotidien, donc leur expérience diminue.
Cet article présente plusieurs scénarios où les pilotes dépendent uniquement du GPS. Ils utilisent des waypoints basés sur le GPS même là où il n’y a pas de VOR, pour bénéficier de vents favorables et de routes plus directes ; les départs et arrivées RNAV s’appuient sur « uniquement le GPS, et non sur des aides radio », afin d’offrir un espacement plus précis et une capacité plus élevée. Dans des zones comme les terrains montagneux, le GPS est utilisé comme substitut à l’ILS pour certaines approches.
https://simpleflying.com/gps-in-aviation-pilots-guide/
Confier en sous-traitance à China une trop grande part de la maintenance des infrastructures nationales me paraît complètement fou
Si China envahit Taiwan, que pourrons-nous faire alors qu’elle disposera d’un tel levier sur nous ? La dépendance au gaz de Russia était déjà bien assez problématique
C’est aussi pour cela que les États-Unis maintiennent une présence aussi importante au Middle East
Je me demande s’il existe, en secret, une destruction mutuelle assurée dans la cyberguerre
L’hypothèse selon laquelle les grandes puissances disposent à tout moment de suffisamment de 0-day pour, en les utilisant ensemble, formater une bonne partie des ordinateurs et téléphones du monde entier paraît assez plausible. Il ne serait pas non plus très difficile de concevoir un ver qui utilise intelligemment les IP pour cibler un pays donné
Il est difficile d’imaginer l’ampleur des dégâts si seulement 25 % des ordinateurs professionnels et domestiques étaient effacés, de même que la plupart des téléphones non mis à jour depuis six mois et une part assez importante des serveurs en ligne
L’idée que le Kremlin économiserait ses 0-day pour un conflit plus grave n’est pas convaincante. Le Kremlin considère la situation en Ukraine comme un enjeu très sérieux pour la sécurité nationale Russian, a utilisé en masse des missiles coûtant plus d’un million de dollars pièce pour affaiblir le réseau électrique ukrainien, et a aussi tenté plusieurs fois d’assassiner le président ukrainien
Dans ce cas, pourquoi n’aurait-il pas tout fait pour infliger à l’Ukraine le maximum de dégâts possibles par des cyberattaques ?
Si le COVID-19 n’a pas changé notre dépendance au fait de confier les basses besognes à l’étranger, je pense qu’il est très peu probable qu’une situation de pré-guerre y change quoi que ce soit
Nous sommes une espèce qui optimise pour le chemin le plus court et rogne sur les angles au passage. Ce n’est qu’une fois la catastrophe arrivée, assis sur les cendres, que nous nous demanderons « qu’est-ce qu’on a bien pu rater ? »
Certaines entreprises et certains gouvernements promeuvent le Friendshoring afin de réduire les risques géopolitiques tout en conservant l’accès aux marchés internationaux et aux chaînes d’approvisionnement. Bonnie Glick, qui était administratrice adjointe de l’USAID au début de la pandémie de Covid-19, a été la première à employer l’expression « allied shoring », et les nouvelles politiques commerciales américaines, notamment l’USMCA et l’IPEF, s’inscrivent aussi dans une logique de Friendshoring
https://en.wikipedia.org/wiki/Friendshoring
Ça me reste en travers de la gorge d’avoir soulevé de nombreuses inquiétudes de sécurité à propos des logiciels des tribunaux et du système judiciaire, puis d’avoir été, peu après, de fait licencié
Depuis, je suis toujours sans emploi, mes revenus deviennent incertains et ma recherche de poste n’avance absolument pas
Combien de personnes très compétentes techniquement ont aujourd’hui autant de mal à trouver un emploi ? À quel point sont-elles tentées de passer black hat à cause de leurs revenus ? Je ne dois pas être le seul à me poser la question
Dans toutes les entreprises où j’ai travaillé, j’ai vu d’énormes failles de sécurité. Tant que les cases à cocher pour l’assurance sont remplies, personne ne s’en soucie
Si tu connais des astuces black hat, envoie-les-moi aussi… je plaisante