Le JSF s'en va-t-en-cyberguerre
22 avril 2009 — Appelons cela un “nouveau front”, effectivement, dans la longue guerre du Joint Strike Fighter (JSF, alias F-35); – cette fois, le front de la cyberguerre, mais toujours dans le cadre général de la guerre de la communication pour ce programme. L’article du Wall Street Journal (WSJ), que nous avons présenté et commenté le 21 avril 2009, a provoqué de fortes réactions. D’une façon générale, les officiels divers, tant du DoD que des constructeurs (Lockheed Martin [LM]), tentent avec insistance de minimiser l’information, affirmant que les domaines “classified” ne sont pas touchés par les “fuites” consécutives aux attaques, comme le laisse entendre l’article du WSJ. Au contraire, le WSJ a annoncé, après ces réactions officielles minimisant les fuites, qu’il confirmait ses affirmations, après consultations renouvelées de ses sources. Le WSJ est connu pour le sérieux de ses affirmations, dans tous les cas il a cette réputation et c’est ce qui compte en l’occurrence.
• Principalement, dans son article du 21 avril 2009, le WSJ laisse entendre que les attaques s’intensifient et semblent atteindre un nouveau niveau : «Attacks like these – or U.S. awareness of them – appear to have escalated in the past six months, said one former official briefed on the matter. “There's never been anything like it,” this person said, adding that other military and civilian agencies as well as private companies are affected. “It's everything that keeps this country going.”»
• Ces affirmations sont particulièrement délicates pour le DoD et les autres acteurs du programme JSF dans la mesure où l’alerte est déjà ancienne et qu’un rapport datant du 8 mars 2008 par les services de sécurité du Pentagone, obtenu par le groupe d’investigation sur le gouvernement POGO (qui ne manque pas de souligner, ce 21 avril 2009 la prescience de la publication de ce rapport), signalait des atteintes importantes au niveau de la sécurité et un niveau de protection insatisfaisant: «DoD had controls in place to validate the legitimacy of the seven requests for exporting Joint Strike Fighter technology in our review. However, DoD did not always employ sufficient controls to evaluate potential unauthorized access to classified U.S. technology.» Le rapport indiquait notamment les faiblesses probables de la protection de certains contractants majeurs, particulièrement BAE : «…DoD’s advanced aviation and weapons technology in the Joint Strike Fighter program may have been compromised by unauthorized access at facilities and in computers at BAE Systems.» Le rapport recommandait des mesures supplémentaires de sécurité et certaines garanties lui avaient été données. Il ne semble pas qu’elles aient été très efficaces, ou simplement mises en place. La chose est confirmée par l’article du WSJ («The intruders entered through vulnerabilities in the networks of two or three contractors helping to build the high-tech fighter jet, according to people who have been briefed on the matter. Lockheed Martin is the lead contractor on the program, and Northrop Grumman Corp. and BAE Systems PLC also play major roles in its development.») Le cas de BAE est particulièrement sensible, bien entendu, parce que la société reste d’origine et de structure britanniques, ce qui doit renforcer la suspicion US de travailler avec des non-US alors que le programme JSF est fortement appuyé sur la coopération avec des non-US.
• Un fait ennuyeux pour les autorités du DoD est que, notamment selon Reuters le 21 avril 2009, le service qui avait conduit le rapport de mars 2008 est revenu en octobre 2008 sur certaines affirmations ou spéculations du rapport en affirmant que les préoccupations qui y étaient exposées n’étaient pas fondées, notamment concernant BAE. «Last October [2008], the Pentagon's chief internal watchdog office withdrew a finding that U.S. technology in the F-35 might have been compromised by unauthorized access at units of BAE Systems. In a rare climbdown, the inspector general's office said in an October 23-dated statement that it had lacked “sufficient appropriate évidence” to support the conclusion of a March 6 report in which it had raised alarm about the security oversight of BAE facilities and computers.» L’article du WSJ contredit in fine cette démarche et la charge du soupçon de complaisance pour ne pas compromettre le développement du programme JSF, par ailleurs si handicapé et controversé. Il faut rappeler qu’à cette époque une équipe (England-Young) particulièrement favorable au JSF dirigeait l’acquisition au DoD à un moment où le programme était devenu très vulnérable parce que très controversé en termes de relations publiques. Il n’était pas temps de laisser proliférer un autre axe de critique contre le JSF.
• Particulièrement inquiétante et préoccupante pour les autorités officielles US, ce pourquoi également elles tendent de minimiser l’article du WSJ, l’affirmation de cet article que l’étendue des dégâts n’est pas connue, que les officiels ne contrôlent pas le bilan et l’intensité de ces attaques, qu’enfin ils ne contrôlent pas tous les accès de ces attaques. «The spies inserted technology that encrypts the data as it's being stolen; as a result, investigators can't tell exactly what data has been taken. A former Pentagon official said the military carried out a thorough cleanup. Fighting online attacks like these is particularly difficult because defense contractors may have uneven network security, but the Pentagon is reliant on them to perform sensitive work.» Dans ce cas, c'est encore BAE qui est implicitement mis en cause, les allusions suggérant que les autorités US, particulièrement, ne contrôlent pas ce contractant principal non-US du programme JSF, à qui sont confiés des données extrêmement sensibles; méchante affaire pour les “special relationships”.
• Enfin, on doit insister sur un point important, en rappelant (article du WSJ) l’ampleur pour la sécurité de cette affaire, dans la mesure où elle affecte également des système de contrôle général et de contrôle aérien, dont peut dépendre le JSF et d’autres systèmes. «In his speech in Austin, Mr. Brenner, the U.S. counterintelligence chief, issued a veiled warning about threats to air traffic in the context of Chinese infiltration of U.S. networks. He spoke of his concerns about the vulnerability of U.S. air traffic control systems to cyber infiltration, adding “our networks are being mapped.” He went on to warn of a potential situation where “a fighter pilot can't trust his radar.”»
22 avril 2009 — Appelons cela un “nouveau front”, effectivement, dans la longue guerre du Joint Strike Fighter (JSF, alias F-35); – cette fois, le front de la cyberguerre, mais toujours dans le cadre général de la guerre de la communication pour ce programme. L’article du Wall Street Journal (WSJ), que nous avons présenté et commenté le 21 avril 2009, a provoqué de fortes réactions. D’une façon générale, les officiels divers, tant du DoD que des constructeurs (Lockheed Martin [LM]), tentent avec insistance de minimiser l’information, affirmant que les domaines “classified” ne sont pas touchés par les “fuites” consécutives aux attaques, comme le laisse entendre l’article du WSJ. Au contraire, le WSJ a annoncé, après ces réactions officielles minimisant les fuites, qu’il confirmait ses affirmations, après consultations renouvelées de ses sources. Le WSJ est connu pour le sérieux de ses affirmations, dans tous les cas il a cette réputation et c’est ce qui compte en l’occurrence.
• Principalement, dans son article du 21 avril 2009, le WSJ laisse entendre que les attaques s’intensifient et semblent atteindre un nouveau niveau : «Attacks like these – or U.S. awareness of them – appear to have escalated in the past six months, said one former official briefed on the matter. “There's never been anything like it,” this person said, adding that other military and civilian agencies as well as private companies are affected. “It's everything that keeps this country going.”»
• Ces affirmations sont particulièrement délicates pour le DoD et les autres acteurs du programme JSF dans la mesure où l’alerte est déjà ancienne et qu’un rapport datant du 8 mars 2008 par les services de sécurité du Pentagone, obtenu par le groupe d’investigation sur le gouvernement POGO (qui ne manque pas de souligner, ce 21 avril 2009 la prescience de la publication de ce rapport), signalait des atteintes importantes au niveau de la sécurité et un niveau de protection insatisfaisant: «DoD had controls in place to validate the legitimacy of the seven requests for exporting Joint Strike Fighter technology in our review. However, DoD did not always employ sufficient controls to evaluate potential unauthorized access to classified U.S. technology.» Le rapport indiquait notamment les faiblesses probables de la protection de certains contractants majeurs, particulièrement BAE : «…DoD’s advanced aviation and weapons technology in the Joint Strike Fighter program may have been compromised by unauthorized access at facilities and in computers at BAE Systems.» Le rapport recommandait des mesures supplémentaires de sécurité et certaines garanties lui avaient été données. Il ne semble pas qu’elles aient été très efficaces, ou simplement mises en place. La chose est confirmée par l’article du WSJ («The intruders entered through vulnerabilities in the networks of two or three contractors helping to build the high-tech fighter jet, according to people who have been briefed on the matter. Lockheed Martin is the lead contractor on the program, and Northrop Grumman Corp. and BAE Systems PLC also play major roles in its development.») Le cas de BAE est particulièrement sensible, bien entendu, parce que la société reste d’origine et de structure britanniques, ce qui doit renforcer la suspicion US de travailler avec des non-US alors que le programme JSF est fortement appuyé sur la coopération avec des non-US.
• Un fait ennuyeux pour les autorités du DoD est que, notamment selon Reuters le 21 avril 2009, le service qui avait conduit le rapport de mars 2008 est revenu en octobre 2008 sur certaines affirmations ou spéculations du rapport en affirmant que les préoccupations qui y étaient exposées n’étaient pas fondées, notamment concernant BAE. «Last October [2008], the Pentagon's chief internal watchdog office withdrew a finding that U.S. technology in the F-35 might have been compromised by unauthorized access at units of BAE Systems. In a rare climbdown, the inspector general's office said in an October 23-dated statement that it had lacked “sufficient appropriate évidence” to support the conclusion of a March 6 report in which it had raised alarm about the security oversight of BAE facilities and computers.» L’article du WSJ contredit in fine cette démarche et la charge du soupçon de complaisance pour ne pas compromettre le développement du programme JSF, par ailleurs si handicapé et controversé. Il faut rappeler qu’à cette époque une équipe (England-Young) particulièrement favorable au JSF dirigeait l’acquisition au DoD à un moment où le programme était devenu très vulnérable parce que très controversé en termes de relations publiques. Il n’était pas temps de laisser proliférer un autre axe de critique contre le JSF.
• Particulièrement inquiétante et préoccupante pour les autorités officielles US, ce pourquoi également elles tendent de minimiser l’article du WSJ, l’affirmation de cet article que l’étendue des dégâts n’est pas connue, que les officiels ne contrôlent pas le bilan et l’intensité de ces attaques, qu’enfin ils ne contrôlent pas tous les accès de ces attaques. «The spies inserted technology that encrypts the data as it's being stolen; as a result, investigators can't tell exactly what data has been taken. A former Pentagon official said the military carried out a thorough cleanup. Fighting online attacks like these is particularly difficult because defense contractors may have uneven network security, but the Pentagon is reliant on them to perform sensitive work.» Dans ce cas, c'est encore BAE qui est implicitement mis en cause, les allusions suggérant que les autorités US, particulièrement, ne contrôlent pas ce contractant principal non-US du programme JSF, à qui sont confiés des données extrêmement sensibles; méchante affaire pour les “special relationships”.
• Enfin, on doit insister sur un point important, en rappelant (article du WSJ) l’ampleur pour la sécurité de cette affaire, dans la mesure où elle affecte également des système de contrôle général et de contrôle aérien, dont peut dépendre le JSF et d’autres systèmes. «In his speech in Austin, Mr. Brenner, the U.S. counterintelligence chief, issued a veiled warning about threats to air traffic in the context of Chinese infiltration of U.S. networks. He spoke of his concerns about the vulnerability of U.S. air traffic control systems to cyber infiltration, adding “our networks are being mapped.” He went on to warn of a potential situation where “a fighter pilot can't trust his radar.”»
Commentaire