add blog articles

2025-10-29 13:06:05 +02:00 · 2024-01-03 14:29:06 +01:00 · 2024-01-03 14:29:06 +01:00 · c3d625e1d0
--- a/content/articles/3CX_attaque_supply_Chain/3CX.pdf
+++ b/content/articles/3CX_attaque_supply_Chain/3CX.pdf
--- a/content/articles/3CX_attaque_supply_Chain/3CX.tex
+++ b/content/articles/3CX_attaque_supply_Chain/3CX.tex
@ -0,0 +1,65 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                       
+\title{3CX: un exemple d'attaque par supply chain }          
+\author{Sebastien Larinier \and Bertrand Boyer} %\and Autre Auteur}
+ \date{11 avril 2023}                     
+			    
+\sloppy  
+\begin{document}
+
+\maketitle                 
+
+Article qui reprend la version originale de \href{Seb sur Medium }{https://sebdraven.medium.com/3cx-une-attaque-par-supplychain-cb4d579aa675}
+\\
+
+Le logiciel 3CX a subi une attaque par supply chain depuis au moins le 22 mars 2023. Ce logiciel est utilisé par de nombreuses entreprises (600 000 entreprises dont American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA ) pour leur téléphonie (VoIP). Il s'installe sur les postes de travail Windows, MacOs et Android. Utilisé par plusieurs milliers de clients, ce logiciel est donc très intéressant pour ce type d'attaque et assure à l'acteur malveillant à l'origine de l'opération de nombreuses possibilités d'action. En la matière, on se souvient en particulier de \href{Solar Wind}{https://www.lemagit.fr/actualites/252507574/Une-nouvelle-porte-derobee-attribuee-aux-pirates-de-laffaire-SolarWinds} qui avait ouvert la porte à ce type d'attaque par des acteurs généralement étatiques au regard des capacités déployées.
+\\
+
+Le but de cet article n'est pas tant d'analyser l'attaque par elle-même et le malware déployé (puisque cela a été très bien fait par  \href{Volexity}{https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/}) mais bien plus de présenter l'impact de l'attaque et les conséquences associées.
+
+Une bonne infographie de Thomas Rochia \href{https://twitter.com/fr0gger_/status/1641668394155151366?s=20} est également disponible et présente clairement les étapes clefs de l'attaque.
+\\
+
+\section{Petits rappel des faits}
+
+Comme pour toute attaque de la supply chain, c'est le processus de mise à jour du logiciel qui a été compromis par le groupe d'attaquant. Ainsi, lorsque le logiciel 3CX procède à sa mise à jour, il va installer, en plus, une Dynamic Link Library malveillante qu'il va charger. L'impact est direct puisque l'attaquant a la main sur l'ensemble des machines pour lesquelles la mise à jour a été faite (patchez qui disaient..). De fait, ce type d'attaque est probablement le plus efficace pour compromettre rapidement un nombre important de machines, ce qui en fait un mode d'action à haute valeur ajoutée.
+\\
+
+Dans le cas de 3CX, c'est la DLL ffmpeg.dll qui va être installée. Puis, comme l'explique Volexity, la DLL télécharge, après son chargement, un fichier hoster sur Github qui est encodé en base64 et chiffré en AES. Ce fichier a des urls où le malware va être téléchargé.
+\\
+
+\section{Le stealer lui-même}
+
+On a d'abord parlé de stealer mais ce malware s'apparente plus à un outil de reconnaissance, il ne se contente pas de voler des informations mais permet de déployer largement d'autres fonctionnalités. En effet, au vu du nombre d'utilisateurs de 3CX (12 millions environ), compromettre autant de clients revient, pour l'attaquant, à adopter une technique de "pêche au chalut". Après avoir jeté ses filets, il va devoir trier et sélectionner les cibles les plus pertinentes. Pour cela, il devra se fonder sur les informations remontées sur le C2 dans un fichier json ainsi que la GUI de la machine qui passe dans les headers HTTPs. Si la machine l'intéresse, il va maintenir le C2.
+
+Autre impact fort, mis en avant par Volexity, est un chargeur de shellcode. “L’activité post-exploitation la plus courante observée à ce jour est la création d’un shell de commande interactif”, a également averti le service  \href{Managed Detection and Response de Sophos}{https://fr.techbriefly.com/3cx-pirate-dans-une-attaque-de-la-chaine-dapprovisionnement-qui-compromet-12-millions-dutilisateurs-tech-72095/?utm_content=cmp-true}. Ce qui veut dire qu'une fois le malware exécuté, il peut charger ce qu'il veut comme code (et donc ne plus être un simple stealer). En outre, il peut faire cela uniquement en mémoire. Cela sera donc plus difficile pour les équipes de réponses sur incident et pour les analystes de déterminer ce que souhaite réellement l'attaquant. 
+
+
+\section{l'attribution à la Corée du Nord ?}
+
+Les experts de Sophos ne se sont pas lancés dans une attribution directe. Ils estiment qu’ils “ne peuvent pas valider cette attribution avec une grande confiance”, CrowdStrike, à l'inverse, pense que l’attaque a été menée par \href{Labyrinth Collima }{https://www.crowdstrike.com/adversaries/labyrinth-chollima/}, généralement associé au gouvernement nord-coréen. Plus largement l'attaque est attribuée à Lazarus \href{https://attack.mitre.org/groups/G0032/}. sur la base du shellcode et de la clé AES utilisée. Cela peut faire un court pour plusieurs raisons :
+
+\begin{itemize}
+\item{Le kit peut avoir été acheté}
+\item{Les attaquants ont pu délibérément utiliser des clés et des shellcode connus pour faire un false flag.}
+\item{Les prochains jours, mois permettront peut-être d'avoir plus de détails sur cette attaque (ou pas).}
+\end{itemize}
+
+Une chose est certaine si l'on regarde la chronologie complète de l'attaque, notamment chez Sentinel One \href{https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/}, l'infrastructure est là depuis février 2022.
+Les premiers déploiements de la version backdoorées est 22 mars 2023.
+De plus, certains artefacts, comme des dates de compilation, \href{remontent à janvier 2023.}{https://twitter.com/Hexacorn/status/1641465612386856970?s=20}
+L'attaque a dont été donc préparée de longue date par un acteur sachant exactement ce qu'il faisait. Cette notion de préparation et de ciblage ne laisse pas beaucoup de doute sur la nature étatique de l'attaquant et sur sa capacité à toucher de nombreuses victimes. 
+\\
+
+Sources : 
+\href{https://news.sophos.com/fr-fr/2023/04/03/logiciel-3cx-desktop-cible-par-attaque-informations-clients-sophos/ }
+\href{https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/}
+
+
+\end{document}
--- a/content/articles/3CX_attaque_supply_Chain/infographie.webp
+++ b/content/articles/3CX_attaque_supply_Chain/infographie.webp
--- a/content/articles/Bitskrieg_review/Bitskrieg.md
+++ b/content/articles/Bitskrieg_review/Bitskrieg.md
@ -0,0 +1,60 @@
+---
+title: "Bitskrieg: The New Challenge of Cyberwarfare"
+---
+Cette recension a été publiée dans le numéro de printemps 2022 de
+Politique étrangère (n° 1/2022). Elle propose une analyse de l'ouvrage
+de John Arquilla, Bitskrieg: The New Challenge of Cyberwarfare (Polity
+Press, 2021, 240 pages).\
+Plus de trente ans après son article *cyberwar is coming* écrit avec
+David Ronfeldt, John Arquilla prolonge son étude de la conflictualité à
+l'ère numérique en appelant à un véritable changement d'approche.
+Soulignant les limites de la conception d'une défense statique de type
+ligne Maginot, il poursuit la métaphore historique en posant le concept
+de *bitskrieg*. John Arquilla est un auteur reconnu sur les questions de
+cyberdéfense et sa proximité avec les sphères du pouvoir aux États-Unis
+depuis plus de trente ans en fait un témoin précieux pour appréhender
+les approches stratégiques développées outre-Atlantique.
+
+Il propose ici un travail qui oscille entre ses premiers constats des
+années 1990 et la situation actuelle. L'auteur porte un regard parfois
+critique sur ses propres approches et les conseils qu'il a pu donner au
+plus haut niveau de l'appareil sécuritaire américain, depuis la première
+guerre du Golfe en 1991. Prenant en compte les dangers et opportunités
+de la révolution de l'information, Bitskrieg cherche à dépasser la
+notion de *cyberguerre*. Véritable fil rouge de l'ouvrage, cet aspect
+est illustré par des retours d'expérience et exemples qui ont ponctué
+les dernières décennies.\
+Constatant la lente émergence d'une *cyberguerre* destructrice et
+mortifère, l'auteur présente au long des cinq chapitres les récentes
+évolutions en matière de conflictualité et souligne en particulier
+l'arrivée de ce qu'il appelle la *Cool War*. S'il a fallu 138 années
+entre l'apparition du premier sous-marin et son intégration complète
+dans la palette stratégique, la *Cool War* s'est imposée en moins de dix
+ans. Cette forme d'affrontement fait aussi bien la part belle aux
+attaques informatiques conduites par des cybercriminels qui font peser
+un risque croissant sur les économies connectées, qu'au vol de données à
+caractère personnel, comme celui ayant touché le personnel de
+l'administration fédérale en 2015. Cette guerre *cool*, dont les
+principaux acteurs ne sont pas nécessairement en uniforme, illustre la
+lenteur avec laquelle la cyberguerre se matérialise. En effet, alors
+même que la crainte d'un *cyber Pearl Harbour* est communément évoquée
+depuis de nombreuses années, l'auteur s'interroge sur la faible
+incarnation dans les opérations militaires des actions cyber offensives.
+Son expérience personnelle lui permet de mettre en lumière les
+difficultés d'intégration de ces actions par l'appareil militaire, par
+nature conservateur.\
+Même si la bataille numérique semble présenter un nouveau visage,
+l'auteur s'attache à démontrer que la cyberguerre n'est en fait qu'un
+sous-domaine de la guerre de l'information et de la guerre en réseau.
+Cet aspect est selon lui toujours mal appréhendé par les appareils
+politiques et militaires. Enfin, l'auteur consacre un chapitre à la
+question du contrôle des armes dans le cyberespace et à la difficulté de
+mettre en œuvre un mécanisme reposant sur autre chose qu'une politique
+déclaratoire.\
+John Arquilla appelle ainsi à repenser la cybersécurité à l'aune des
+évolutions techniques et stratégiques. Il présente les nombreux défis
+qu'implique une nouvelle approche de la cyberdéfense, plus dynamique et
+reposant davantage sur la traque de l'adversaire. Très accessible,
+Bitskrieg synthétise sans concession deux décennies d'approches
+conceptuelles de la cyberguerre et alimente la réflexion sur l'urgence
+de la prise en compte du fait numérique pour prévenir le prochain choc.
--- a/content/articles/Bitskrieg_review/Bitskrieg.tex
+++ b/content/articles/Bitskrieg_review/Bitskrieg.tex
@ -0,0 +1,34 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                       
+\title{Bitskrieg:The New Challenge of Cyberwarfare}          
+\author{Bertrand Boyer} %\and Autre Auteur}
+ \date{21 septembre 2022}                     
+			    
+\sloppy  
+\begin{document}
+
+\maketitle                 
+
+Cette recension a été publiée dans le numéro de printemps 2022 de Politique étrangère (n° 1/2022). Elle propose une analyse de l’ouvrage de John Arquilla, Bitskrieg: The New Challenge of Cyberwarfare (Polity Press, 2021, 240 pages). 
+\\
+
+Plus de trente ans après son article \textit{cyberwar is coming} écrit avec David Ronfeldt, John Arquilla prolonge son étude de la conflictualité à l’ère numérique en appelant à un véritable changement d’approche. Soulignant les limites de la conception d’une défense statique de type ligne Maginot, il poursuit la métaphore historique en posant le concept de \textit{bitskrieg}. John Arquilla est un auteur reconnu sur les questions de cyberdéfense et sa proximité avec les sphères du pouvoir aux États-Unis depuis plus de trente ans en fait un témoin précieux pour appréhender les approches stratégiques développées outre-Atlantique.
+
+Il propose ici un travail qui oscille entre ses premiers constats des années 1990 et la situation actuelle. L’auteur porte un regard parfois critique sur ses propres approches et les conseils qu’il a pu donner au plus haut niveau de l’appareil sécuritaire américain, depuis la première guerre du Golfe en 1991. Prenant en compte les dangers et opportunités de la révolution de l’information, Bitskrieg cherche à dépasser la notion de \textit{cyberguerre}. Véritable fil rouge de l’ouvrage, cet aspect est illustré par des retours d’expérience et exemples qui ont ponctué les dernières décennies.
+\\
+
+Constatant la lente émergence d’une \textit{cyberguerre} destructrice et mortifère, l’auteur présente au long des cinq chapitres les récentes évolutions en matière de conflictualité et souligne en particulier l’arrivée de ce qu’il appelle la \textit{Cool War}. S’il a fallu 138 années entre l’apparition du premier sous-marin et son intégration complète dans la palette stratégique, la \textit{Cool War} s’est imposée en moins de dix ans. Cette forme d’affrontement fait aussi bien la part belle aux attaques informatiques conduites par des cybercriminels qui font peser un risque croissant sur les économies connectées, qu’au vol de données à caractère personnel, comme celui ayant touché le personnel de l’administration fédérale en 2015. Cette guerre \textit{cool}, dont les principaux acteurs ne sont pas nécessairement en uniforme, illustre la lenteur avec laquelle la cyberguerre se matérialise. En effet, alors même que la crainte d’un \textit{cyber Pearl Harbour} est communément évoquée depuis de nombreuses années, l’auteur s’interroge sur la faible incarnation dans les opérations militaires des actions cyber offensives. Son expérience personnelle lui permet de mettre en lumière les difficultés d’intégration de ces actions par l’appareil militaire, par nature conservateur.
+\\
+
+Même si la bataille numérique semble présenter un nouveau visage, l’auteur s’attache à démontrer que la cyberguerre n’est en fait qu’un sous-domaine de la guerre de l’information et de la guerre en réseau. Cet aspect est selon lui toujours mal appréhendé par les appareils politiques et militaires. Enfin, l’auteur consacre un chapitre à la question du contrôle des armes dans le cyberespace et à la difficulté de mettre en œuvre un mécanisme reposant sur autre chose qu’une politique déclaratoire.
+\\
+
+John Arquilla appelle ainsi à repenser la cybersécurité à l’aune des évolutions techniques et stratégiques. Il présente les nombreux défis qu’implique une nouvelle approche de la cyberdéfense, plus dynamique et reposant davantage sur la traque de l’adversaire. Très accessible, Bitskrieg synthétise sans concession deux décennies d’approches conceptuelles de la cyberguerre et alimente la réflexion sur l’urgence de la prise en compte du fait numérique pour prévenir le prochain choc.
+
+\end{document}
--- a/content/articles/Bitskrieg_review/bitskrieg.jpg
+++ b/content/articles/Bitskrieg_review/bitskrieg.jpg
--- a/content/articles/Bitskrieg_review/bitskrieg.pdf
+++ b/content/articles/Bitskrieg_review/bitskrieg.pdf
--- a/content/articles/Cryptomonnaie_nationale_chine/Crypto_chine.md
+++ b/content/articles/Cryptomonnaie_nationale_chine/Crypto_chine.md
@ -0,0 +1,155 @@
+---
+title: Cryptomonnaie nationale chinoise
+---
+De la crainte d'une concurrence privée à la souveraineté monétaire, à
+une souveraineté économique retrouvée grâce à une cryptomonnaie
+nationale, l'expérience chinoise.
+
+De fin 2019 à mai 2022, les chinois ont effectué 83 milliards de yuans
+en transactions marchandes (12 milliards d'euros) dans la monnaie
+nationale digitale appelée e-CNY. C'est une sorte de cryptomonnaie
+d'État, gérée par la People's Bank of China (PBOC), dont la valeur est
+associée à la devise nationale et garantie par l'État. Ce e-CNY n'est
+aujourd'hui encore qu'au stade de pilote, dans 23 villes et 15
+provinces, et nécessitera des investissements importants pour adapter le
+fonctionnement et l'équipement des institutions financières, ainsi
+qu'une réforme importante des textes et régulations de la banque
+centrale. Le modèle économique de cette devise n'est pas encore défini,
+sa gestion et conversion sont gratuites pour tous les acteurs
+aujourd'hui, ce qui ne sera pas soutenable dans un modèle courant. Si
+elle est développée à usage de marché interne et du secteur de la vente
+aux particuliers dans un premier temps, il est possible d'envisager un
+usage plus international et stratégique d'une devise digitale dans un
+monde en fragmentation.
+
+L'initiative remonte à 2014, et a été formalisée en détail dans le plan
+Économie 2035 de 2020 qui définit la recherche dans ce domaine comme un
+axe stratégique : « faire progresser régulièrement la recherche et le
+développement de la monnaie numérique ». Ce programme national de la
+banque centrale est confié à M. MU Changchun, directeur de l'Institut de
+recherche pour la devise digitale. C'est déjà le deuxième plan
+quinquennal qui intègre le développement de cette devise digitale comme
+un axe stratégique, et coordonne les aspects de recherche, les questions
+d'investissements en infrastructure, les évolutions législatives, et la
+vision de l'économie pour la Chine.
+
+Le contexte de digitalisation du pays est très en avance sur les pays
+occidentaux. Le développement économique et la montée du pouvoir d'achat
+de la population se sont faits avec la digitalisation. Le développement
+du commerce a donc eu lieu, en parallèle avec les paiements digitaux.
+Depuis 20 ans, la majorité des transactions des particuliers s'effectue
+sur deux systèmes de paiement digitalisés sur smartphone : Alipay's et
+WeChat pay. Les 83 milliards de yuans de transaction en trois ans en
+eRMB sont donc à rapprocher des 10 trillions de yuans mensuels en 2020
+pour Alipay's.
+
+L'enjeu du gouvernement Chinois dans l'acceptation par la population de
+cette nouvelle devise nationale n'est donc pas le passage au digital,
+mais le changement de support digital. Et cela passe, comme dans toutes
+les économies du monde, par la confiance puis par l'expérience
+utilisateur. La confiance en une cryptomonnaie d'État passe par la
+communication sur le caractère légal et garanti par l'État. La Chine
+n'emploie jamais le mot cryptomonnaie pour désigner le e-CNY, mais parle
+de yuan digital.
+
+La première interface utilisateur intuitive et pensée service arrive en
+janvier 2022 dans les 12 premières villes pilotes, juste avant l'essai à
+grande échelle pour les JO d'hiver à Pékin. Elle comprend les fonctions
+de paiement sur smartphone, mais également l'ensemble des transactions
+bancaires à distance, les virements et transferts d'argent, les échanges
+de e-CNY de particulier à particulier, et un porte-monnaie électronique
+e-CNY accessible en ligne et hors ligne. Tout cela sans frais dans la
+version pilote.
+
+Cette monnaie digitale doit également assurer les trois fonctions
+monétaires principales de stockage de valeur, unité de compte, et moyen
+d'échange. Les deux premiers étant garantis par l'État et la banque
+centrale, les prochaines étapes vers un pilote général se concentrent
+sur le moyen d'échange pour faciliter l'adoption par la population, et
+donc plus particulièrement sur le secteur de la distribution et vente
+aux particuliers. Un autre accélérateur pour l'adoption nationale de
+cette devise est le paiement des salaires, la population étant
+naturellement encline à dépenser son salaire dans la monnaie de
+paiement. Enfin, arrive en dernière étape, le paiement des taxes et
+services à l'État. Les évolutions législatives vont s'accélérer pour
+supporter l'adoption du e-CNY.
+
+La vision a été donnée par le directeur de l'Institut de recherche sur
+la devise digitale de la banque centrale de Chine, M. MU en juillet
+2022, avec en priorité la réconciliation de deux objectifs antagonistes
+: la protection de la vie privée des utilisateurs de cette monnaie, et
+le respect des réglementations internationales de lutte contre le
+blanchiment de l'argent et contre le financement du terrorisme. Le
+concept retenu est celui de « l'anonymisation contrôlée », ne permettant
+un accès aux données de l'individu que suite à détection de flux
+financiers douteux. Les évolutions législatives concerneront également
+la certification d'opérateurs, les conditions de transferts de fonds,
+les sanctions en cas de transactions illégales. Une initiative nationale
+donc, mais qui pose des questions de stratégie monétaire et de
+gouvernance économique mondiale. Si la devise dominante actuelle dans le
+commerce international est le dollar américain, et le système
+transactionnel interbancaire SWIFT, les récents événements et
+l'isolement économique de la Russie posent la question de flux
+financiers alternatifs. La Russie a ainsi proposé à ses partenaires
+commerciaux un système alternatif au SWIFT pour les transactions
+bancaires. Une devise digitale garantie par l'État chinois pourrait tout
+aussi bien devenir demain une alternative au dollar américain pour les
+transactions commerciales internationales. La Chine a également un
+système de transaction interbancaire concurrent au SWIFT, le Cross
+Border Interbank Payment System (CIPS). C'est dans ce contexte de guerre
+Ukraine -- Russie que l'ancien Gouverneur de la Banque Centrale M. ZHOU
+Xiaochaun a prononcé un discours au forum pour la finance globale à
+Tsinghua en avril 2022 se voulant rassurant sur le sujet :
+
+« Le yuan digital de la Chine est destiné aux transactions pour le
+commerce de détail en Chine, pour la commodité des gens ordinaires et
+petits commerçants, pas pour remplacer le dollar américain. (...) Mais
+il n'est pas exclu que le e-CNY ne puisse pas servir de paiement à
+l'international dans le futur, mais plus à des fins de commerce
+international. »
+
+Si la Chine est la première économie majeure à avoir lancé la
+digitalisation d'une devise nationale, elle n'est pas le seul pays à
+développer cette technologie. La première initiative a eu lieu aux
+Bahamas, dont la banque centrale avait lancée, en octobre 2020, le Sand
+Dollars. Selon un sondage de la Bank for International Settlements de
+fin 2019 auprès de 66 banques centrales majeures, 80
+
+Bahamas, avec une devise digitale lancée officiellement en 2020 ;
+
+Ukraine et Uruguay, avec des pilotes menés et finalisés en 2018 sans
+généralisation ;
+
+Caraïbes, Suède et Chine avec des pilotes lancés en 2020 et toujours en
+cours.
+
+La Chine étant la seule grande puissance économique à développer à son
+échelle cette devise digitale, elle est également en position de définir
+de futurs standards mondiaux. Le Président de la République Populaire de
+Chine avait prononcé un discours au G20 le 21 novembre 2020 en ce sens
+où il avait appelé l'organisation « à discuter de l'élaboration des
+normes et des principes pour les monnaies numériques des banques
+centrales (CBDC) avec une attitude ouverte et accommodante, et à gérer
+correctement tous les types de risques et de défis tout en faisant
+pression collectivement pour le développement du système monétaire
+international ». Les BRICS, depuis le déclenchement de la guerre entre
+Russie et Ukraine, sont à la recherche de solutions alternatives
+économiques et financières. L'Argentine, et plus récemment l'Algérie,
+ont officiellement candidaté pour rejoindre l'organisation. De nombreux
+autres pays du Sud cherchent à s'en rapprocher. Même si la création du
+e-CNY avait pour but premier le marché intérieur chinois, les tensions
+mondiales et l'imposition des sanctions économiques et financières dans
+un conflit armé accélèrent la recherche de solutions alternatives pour
+le commerce mondial, et par conséquent l'intérêt pour le e-CNY.
+
+Les freins principaux restant à l'adoption internationale d'une devise
+numérique sont la capacité technologique et la définition des standards
+internationaux. Des contraintes qui trouveront une solution dans le
+temps tant que le financement sera assuré et la vision long terme
+maintenue. Les deux facteurs clés du succès de cette démarche chinoise
+sont le financement et la vision long-terme associés à une ressources
+humaine formée et disponible en grand nombre. Une question se pose sur
+la capacité d'autres États à mobiliser ces mêmes facteurs clés pour
+permettre la mise en œuvre d'une e-devise alternative sur le marché
+financier international, et ainsi offrir aux autres pays le choix entre
+plusieurs modèles économiques et sociétaux.
--- a/content/articles/Cryptomonnaie_nationale_chine/Crypto_chine.tex
+++ b/content/articles/Cryptomonnaie_nationale_chine/Crypto_chine.tex
@ -0,0 +1,51 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                       
+\title{Cryptomonnaie nationale, l’expérience chinoise}          
+\author{CNWHY}
+ \date{29 Janvier 2023}                     
+			    
+\sloppy  
+\begin{document}
+
+
+De la crainte d’une concurrence privée à la souveraineté monétaire, à une souveraineté économique retrouvée grâce à une cryptomonnaie nationale, l’expérience chinoise.
+
+
+
+De fin 2019 à mai 2022, les chinois ont effectué 83 milliards de yuans en transactions marchandes (12 milliards d’euros) dans la monnaie nationale digitale appelée e-CNY. C’est une sorte de cryptomonnaie d’État, gérée par la People’s Bank of China (PBOC), dont la valeur est associée à la devise nationale et garantie par l’État. Ce e-CNY n’est aujourd’hui encore qu’au stade de pilote, dans 23 villes et 15 provinces, et nécessitera des investissements importants pour adapter le fonctionnement et l’équipement des institutions financières, ainsi qu’une réforme importante des textes et régulations de la banque centrale. Le modèle économique de cette devise n’est pas encore défini, sa gestion et conversion sont gratuites pour tous les acteurs aujourd’hui, ce qui ne sera pas soutenable dans un modèle courant. Si elle est développée à usage de marché interne et du secteur de la vente aux particuliers dans un premier temps, il est possible d’envisager un usage plus international et stratégique d’une devise digitale dans un monde en fragmentation. 
+
+L’initiative remonte à 2014, et a été formalisée en détail dans le plan Économie 2035 de 2020 qui définit la recherche dans ce domaine comme un axe stratégique : « faire progresser régulièrement la recherche et le développement de la monnaie numérique ». Ce programme national de la banque centrale est confié à M. MU Changchun, directeur de l’Institut de recherche pour la devise digitale. C’est déjà le deuxième plan quinquennal qui intègre le développement de cette devise digitale comme un axe stratégique, et coordonne les aspects de recherche, les questions d’investissements en infrastructure, les évolutions législatives, et la vision de l’économie pour la Chine. 
+
+
+
+Le contexte de digitalisation du pays est très en avance sur les pays occidentaux. Le développement économique et la montée du pouvoir d’achat de la population se sont faits avec la digitalisation. Le développement du commerce a donc eu lieu, en parallèle avec les paiements digitaux. Depuis 20 ans, la majorité des transactions des particuliers s’effectue sur deux systèmes de paiement digitalisés sur smartphone : Alipay’s et WeChat pay. Les 83 milliards de yuans de transaction en trois ans en eRMB sont donc à rapprocher des 10 trillions de yuans mensuels en 2020 pour Alipay’s. 
+
+L’enjeu du gouvernement Chinois dans l’acceptation par la population de cette nouvelle devise nationale n’est donc pas le passage au digital, mais le changement de support digital. Et cela passe, comme dans toutes les économies du monde, par la confiance puis par l’expérience utilisateur. La confiance en une cryptomonnaie d’État passe par la communication sur le caractère légal et garanti par l’État. La Chine n’emploie jamais le mot cryptomonnaie pour désigner le e-CNY, mais parle de yuan digital. 
+
+La première interface utilisateur intuitive et pensée service arrive en janvier 2022 dans les 12 premières villes pilotes, juste avant l’essai à grande échelle pour les JO d’hiver à Pékin. Elle comprend les fonctions de paiement sur smartphone, mais également l’ensemble des transactions bancaires à distance, les virements et transferts d’argent, les échanges de e-CNY de particulier à particulier, et un porte-monnaie électronique e-CNY accessible en ligne et hors ligne. Tout cela sans frais dans la version pilote. 
+
+Cette monnaie digitale doit également assurer les trois fonctions monétaires principales de stockage de valeur, unité de compte, et moyen d’échange. Les deux premiers étant garantis par l’État et la banque centrale, les prochaines étapes vers un pilote général se concentrent sur le moyen d’échange pour faciliter l’adoption par la population, et donc plus particulièrement sur le secteur de la distribution et vente aux particuliers. Un autre accélérateur pour l’adoption nationale de cette devise est le paiement des salaires, la population étant naturellement encline à dépenser son salaire dans la monnaie de paiement. Enfin, arrive en dernière étape, le paiement des taxes et services à l’État. Les évolutions législatives vont s’accélérer pour supporter l’adoption du e-CNY. 
+
+La vision a été donnée par le directeur de l'Institut de recherche sur la devise digitale de la banque centrale de Chine, M. MU en juillet 2022, avec en priorité la réconciliation de deux objectifs antagonistes : la protection de la vie privée des utilisateurs de cette monnaie, et le respect des réglementations internationales de lutte contre le blanchiment de l’argent et contre le financement du terrorisme. Le concept retenu est celui de « l’anonymisation contrôlée », ne permettant un accès aux données de l’individu que suite à détection de flux financiers douteux. Les évolutions législatives concerneront également la certification d’opérateurs, les conditions de transferts de fonds, les sanctions en cas de transactions illégales. Une initiative nationale donc, mais qui pose des questions de stratégie monétaire et de gouvernance économique mondiale. Si la devise dominante actuelle dans le commerce international est le dollar américain, et le système transactionnel interbancaire SWIFT, les récents événements et l’isolement économique de la Russie posent la question de flux financiers alternatifs. La Russie a ainsi proposé à ses partenaires commerciaux un système alternatif au SWIFT pour les transactions bancaires. Une devise digitale garantie par l’État chinois pourrait tout aussi bien devenir demain une alternative au dollar américain pour les transactions commerciales internationales. La Chine a également un système de transaction interbancaire concurrent au SWIFT, le Cross Border Interbank Payment System (CIPS). C’est dans ce contexte de guerre Ukraine – Russie que l’ancien Gouverneur de la Banque Centrale M. ZHOU Xiaochaun a prononcé un discours au forum pour la finance globale à Tsinghua en avril 2022 se voulant rassurant sur le sujet : 
+
+« Le yuan digital de la Chine est destiné aux transactions pour le commerce de détail en Chine, pour la commodité des gens ordinaires et petits commerçants, pas pour remplacer le dollar américain. (…) Mais il n’est pas exclu que le e-CNY ne puisse pas servir de paiement à l’international dans le futur, mais plus à des fins de commerce international. » 
+
+Si la Chine est la première économie majeure à avoir lancé la digitalisation d’une devise nationale, elle n’est pas le seul pays à développer cette technologie. La première initiative a eu lieu aux Bahamas, dont la banque centrale avait lancée, en octobre 2020, le Sand Dollars. Selon un sondage de la Bank for International Settlements de fin 2019 auprès de 66 banques centrales majeures, 80 % d’entre elles déclaraient étudier la devise digitale face à la menace que représentait une potentielle devise privée (Facebook Libra). En 2020, peu de pays avaient un réel développement de devise digitale sous forme de pilote :
+
+    Bahamas, avec une devise digitale lancée officiellement en 2020 ;
+
+    Ukraine et Uruguay, avec des pilotes menés et finalisés en 2018 sans généralisation ;
+
+    Caraïbes, Suède et Chine avec des pilotes lancés en 2020 et toujours en cours.
+
+La Chine étant la seule grande puissance économique à développer à son échelle cette devise digitale, elle est également en position de définir de futurs standards mondiaux. Le Président de la République Populaire de Chine avait prononcé un discours au G20 le 21 novembre 2020 en ce sens où il avait appelé l’organisation « à discuter de l’élaboration des normes et des principes pour les monnaies numériques des banques centrales (CBDC) avec une attitude ouverte et accommodante, et à gérer correctement tous les types de risques et de défis tout en faisant pression collectivement pour le développement du système monétaire international ». Les BRICS, depuis le déclenchement de la guerre entre Russie et Ukraine, sont à la recherche de solutions alternatives économiques et financières. L’Argentine, et plus récemment l’Algérie, ont officiellement candidaté pour rejoindre l’organisation. De nombreux autres pays du Sud cherchent à s’en rapprocher. Même si la création du e-CNY avait pour but premier le marché intérieur chinois, les tensions mondiales et l’imposition des sanctions économiques et financières dans un conflit armé accélèrent la recherche de solutions alternatives pour le commerce mondial, et par conséquent l’intérêt pour le e-CNY. 
+
+Les freins principaux restant à l’adoption internationale d’une devise numérique sont la capacité technologique et la définition des standards internationaux. Des contraintes qui trouveront une solution dans le temps tant que le financement sera assuré et la vision long terme maintenue. Les deux facteurs clés du succès de cette démarche chinoise sont le financement et la vision long-terme associés à une ressources humaine formée et disponible en grand nombre. Une question se pose sur la capacité d’autres États à mobiliser ces mêmes facteurs clés pour permettre la mise en œuvre d’une e-devise alternative sur le marché financier international, et ainsi offrir aux autres pays le choix entre plusieurs modèles économiques et sociétaux.
+
+\end{document}
--- a/content/articles/CyberPower/Cyberpower.md
+++ b/content/articles/CyberPower/Cyberpower.md
@ -0,0 +1,33 @@
+---
+Title: Cyberpower
+---
+À l'invitation de l'IHEDN, Eviatar Matania a pu présenter son dernier
+livre, édité en français, Cyberpower (Israël, la révolution cyber et le
+monde de demain) aux éditions Les Arènes.
+
+Eviatar est un précurseur des questions de la cyber sécurité et a
+successivement occupé les fonctions de responsable du bureau national
+cyber (2011) puis fondateur et directeur de l'Agence nationale de
+sécurité de l'État d'Israël (2015).
+
+Si l'on a tendance a souvent associer les termes d'affrontement ou de
+guerre au domaine cyber, Eviatar a choisi d'explorer ce qui fait d'une
+nation une puissance cyber. Inspiré de sa propre expérience et de la
+dynamique qu'il a imprimé à l'état d'Israël, il évoque des principes
+tels que le rôle primordial de la cyberdéfense (la meilleure défense...
+c'est bien la défense) et le rôle prépondérant des agences de
+renseignement techniques pour la maîtrise et l'emploi de l'arme cyber.
+
+Dans un monde où la perception de l'arme cyber a basculé en 2010, pour
+devenir une arme d'emploi avec le ver Stuxnet, Eviatar s'attache à
+décrire les grands principes autour desquels les nations pourraient
+constituer et exercer leur puissance dans ce domaine. S'il évoque
+l'absence de frontières géographiques, il insiste surtout la nécessité
+de se défendre contre tous (et pas seulement ses voisins) ainsi que le
+rôle que le secteur privé comme les états doivent jouer dans ce domaine.
+On y retrouve des principes simples tels que le durcissement des
+systèmes, la développement de la résilience et de la défense nationale
+mais qui prennent plus de sens au travers de l'expérience de l'auteur.
+
+Découvrez l'intégralité de
+[la conférence est ici](https://youtu.be/MEaIojimLJ)
--- a/content/articles/CyberPower/Cyberpower.tex
+++ b/content/articles/CyberPower/Cyberpower.tex
@ -0,0 +1,26 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                       
+\title{Cyberpower - Eviata Matania}          
+\author{Nicolas Chevrier}
+\date{26 septembre 2022}                     
+			    
+\sloppy  
+\begin{document}
+
+À l’invitation de l’IHEDN, Eviatar Matania a pu présenter son dernier livre, édité en français, Cyberpower (Israël, la révolution cyber et le monde de demain) aux éditions Les Arènes.
+
+Eviatar est un précurseur des questions de la cyber sécurité et a successivement occupé les fonctions de responsable du bureau national cyber (2011) puis fondateur et directeur de l’Agence nationale de sécurité de l’État d’Israël (2015).
+
+Si l’on a tendance a souvent associer les termes d’affrontement ou de guerre au domaine cyber, Eviatar a choisi d’explorer ce qui fait d’une nation une puissance cyber. Inspiré de sa propre expérience et de la dynamique qu’il a imprimé à l’état d’Israël, il évoque des principes tels que le rôle primordial de la cyberdéfense (la meilleure défense… c’est bien la défense) et le rôle prépondérant des agences de renseignement techniques pour la maîtrise et l’emploi de l’arme cyber.
+
+Dans un monde où la perception de l’arme cyber a basculé en 2010, pour devenir une arme d’emploi avec le ver Stuxnet, Eviatar s’attache à décrire les grands principes autour desquels les nations pourraient constituer et exercer leur puissance dans ce domaine. S’il évoque l’absence de frontières géographiques, il insiste surtout la nécessité de se défendre contre tous (et pas seulement ses voisins) ainsi que le rôle que le secteur privé comme les états doivent jouer dans ce domaine. On y retrouve des principes simples tels que le durcissement des systèmes, la développement de la résilience et de la défense nationale mais qui prennent plus de sens au travers de l’expérience de l’auteur.
+
+Découvrez l'intégralité de \href{la conférence ici}{https://youtu.be/MEaIojimLJ}
+\end{document}
+
--- a/content/articles/CyberWar_Livre/CyberWar.md
+++ b/content/articles/CyberWar_Livre/CyberWar.md
@ -0,0 +1,168 @@
+---
+Title: Cyber War
+---
+Par Nicolas Chevrier La lecture ou la relecture de l'ouvrage de Clarke
+et Knake, bien nommé Cyber War est encore très riche d'enseignement
+malgré une publication un peu datée, en 2010 (il y a eu une nouvelle
+édition par Harper Collins en 2012).
+
+Douze années peuvent sembler bien longues dans un domaine aussi
+dynamique et évolutif que la cyber. Et pourtant, chaque étape de cet
+ouvrage a relativement peu souffert du temps écoulé. Il est probable que
+la saveur particulière des livres anglo-saxons y soit pour beaucoup. Un
+soupçon de pragmatisme et une construction bien ficelée : succession
+d'une histoire principale agrémenté d'anecdotes ; un peu de retour
+d'expérience dispensé ici et là, une vision et des propositions
+concrètes pour se projeter une fois la lecture achevée. Sans surprise,
+c'est exactement ce que l'on retrouve dans Cyber War.
+
+Quelques carences sont toutefois présentes et autant commencer par
+celles-ci. De cette manière on sait ce que l'on ne trouvera pas en
+lisant cet ouvrage.
+
+Du fait de sa publication en 2010, l'approche du sujet est très "réseau
+centrée" : au sens transport de l'information. Les deux auteurs font
+grand cas du rôle prépondérant que devraient jouer les opérateurs de
+télécommunication (les fameux "Tier 1") dans la détection des cyber
+attaques qui sont perpétrées à l'encontre des États-Unis ou de leurs
+alliés. Un argumentaire relativement développé, visant à conférer aux
+dits opérateurs (1) l'obligation de surveiller le trafic, notamment
+entrant, (2) de l'analyser (le "Deep Packet Inspection" -DPI- laissait
+alors espérer un tas de choses) et (3) les moyens législatifs d'agir à
+l'encontre de tout trafic jugé malveillant. Ça fleure bon les années
+2010 ! De plus, le développement plus récent des infrastructures de
+stockage de type clouds et le changement de paradigme sécurité du tout
+réseau vers des sondes data sont évidemment absents. D'ailleurs,
+l'approche technique est plutôt faible, mais ça n'est pas ce qui fait
+l'attrait de l'ouvrage.
+
+Les atouts de Cyber War sont tout autres et à vrai dire, plutôt
+nombreux. Le premier consiste en l'histoire contée de l'adoption du
+cyber par le Departement of Defense et les services de renseignement
+américains. On ne se pose plus vraiment la question aujourd'hui, mais
+les grands acteurs qui façonnent notre quotidien dans le cyberespace ont
+une histoire très récente. Encore plus que celle des armées de l'air
+créées majoritairement dans la première moitié du XXème siècle. Elle est
+d'ailleurs tout aussi mouvementée et passionnante pour qui s'intéresse
+plus aux capacités cyber qu'à la forme de l'empennage de tel ou tel
+aéronef ! Il s'agit donc de déterminer quel ancien "corps" sera le
+premier à conquérir ce nouvel espace, y attirer les crédits afférents et
+ainsi répondre aux défis futurs de la Nation comme de servir les
+intérêts de quelques ambitieux.
+
+Depuis des positions bien intégrées aux cercles politiques et
+décisionnels, Clarke (conseiller à Maison Blanche puis coordinateur de
+la cybersécurité) donne vie à cette aventure au début des années 90
+alors que l'armée américaine s'interrogeait sur les possibilités de
+s'introduire au sein des systèmes de défense anti aérienne de l'armée
+irakienne pour appuyer les opérations militaires plus traditionnelles.
+Un dilemme toujours contemporain se fait alors jour, opposant l'entrave
+à la collecte de renseignement. L'entrave et, de manière générale,
+l'emploi de capacités cyber furent défendus très tôt par l'United State
+Air Force dont le directeur de la Task Force Cyber disait déjà en 2008 :
+"If you are defending in cyberspace, you're already too late. If you do
+not dominate in cyberspace, then ou can not dominate in other domains."
+
+Toute ces déclarations n'étaient pas spécialement au goût des agences de
+renseignement et tout particulièrement de la National Security Agency
+qui préfère opérer en toute discrétion. La situation a finalement évolué
+vers la création d'un commandement dual-hatted, regroupant la NSA et le
+US Cyber Command sous une même autorité.
+
+Les affaires militaires et du renseignement étant en quelque sorte entre
+de bonnes mains, les auteurs vont dès lors s'attacher à explorer
+l'épineux problème de la défense de la nation américaine, i.e. les
+infrastructures critiques, les entreprises, le gouvernement fédéral,
+etc. Clarke et Knake n'auront de cesse d'énumérer les nombreux
+renoncements de la politique américaine tant en termes de politique
+incitative d'intégration de la cybersécurité dans le développement du
+secteur technologique, l'édictions de standards de sécurité ou encore
+l'incarnation d'un leadership au sein de l'Etat fédéral. Si l'on sait
+que les Républicains ont toujours rechigné à mener une politique
+intrusive pour le secteur privé, les Démocrates n'ont pas sauté le pas
+non plus. Quant à la faiblesse de leadership, force est de reconnaître
+que les nombreux postes de coordinateur (que Clarke a notamment occupé)
+étaient essentiellement consultatifs, manquant de pouvoir de conviction
+et de coercition. De plus, ils étaient installés au sein d'un Department
+of Homeland Security (DHS) trop jeune et trop grand pour s'intéresser
+suffisamment aux défis et menaces issus du cyberespace. En effet, les
+années 2000-2010 étaient bien plus marquées par les conséquences de
+l'attaque terroriste du 11 septembre, i.e. la la lutte contre le
+terrorisme (le « War on Terror » de Georges W. Bush) et la conduite de
+deux guerres en Irak et en Afghanistan que par la menace probable d'un
+ensemble de geeks en "hoodies", pianotant frénétiquement sur des
+claviers d'ordinateurs...
+
+Notons qu'en 2010, il s'agissait d'un bilan audacieux et visionnaire en
+2010, où la bascule de la lutte contre le terrorisme vers le concept de
+"Great Power Competition" ne s'était pas encore opérée. Les auteurs
+avaient notamment pressenti qu'en l'absence d'une défense à la hauteur
+des adversaires des États-Unis, il serait délicat d'employer l'arme
+cyber de manière offensive.
+
+Pour en arriver là, il conviendrait de développer une stratégie
+défensive initiale, sobrement baptisée "defensive triad" par les deux
+auteurs. Il s'agirait de mettre en oeuvre des critères de sécurité
+promulgués au travers de lois et réglementations fédérales. Celles-ci
+sont regroupées au sein de trois piliers :
+
+• La défense des opérateurs de transports de communications dits "Tier 1
+operators" au travers desquels transite 90
+
+• La sécurisation de la "power grid" américaine. Rappelons ici que
+l'alimentation électrique aux États-Unis ne fait pas l'objet d'un
+monopole comme en France et qu'une myriade d'opérateurs privés sont
+regroupés au sein de trois grandes "grilles". Cela constitue tout à la
+fois un avantage, une forme de résilience par l'hétérogénéité des
+systèmes mais aussi une grande faiblesse. En effet, toute attaque
+réussie même avec un impact minime serait perçue comme une échec et un
+aveu de faiblesse de l'État américain (nda : et du Canada car les 3
+grilles recouvrent toute l'Amérique du Nord.
+
+• Enfin, la défense du DoD... au travers des systèmes logiciels et
+matériels employés, la redondance de systèmes classifiés, l'intégration
+de la sécurité dans les grands programmes militaires de demain (les
+débuts du F35), etc.
+
+Poursuivant la réflexion quant à l'emploi des capacités cyber, notamment
+offensives, les auteurs procèdent à une comparaison fort intéressante de
+la doctrine d'emploi de l'arme nucléaire dont a largement bénéficié (nda
+: certainement à tort) la doctrine cyber. Si vous avez toujours voulu
+savoir pourquoi l'on a parlé et l'on parle encore de dissuasion cyber
+(ou "cyber deterrence") alors cette section vous éclairera. On comprend
+ainsi qu'avec une défense faible et un investissement important dans les
+capacités offensives, les États-Unis ont eu tendance à ériger une
+réalité qu'ils se sont imposés en doctrine, plutôt que de réfléchir aux
+objectifs stratégiques à atteindre. Dans ce cas là, un plan différent
+aurait certainement été adopté, travaillant à réduire leurs faiblesses
+pour se renforcer collectivement.
+
+Enfin la stratégie américaine est mise à l'épreuve d'un exercice
+organisé au plus haut niveau de l'État. Cet exercice "tapis vert" ou
+"Table Top Exercice - TTX" pour reprendre la terminologie militaire voit
+s'affronter deux équipes, l'une chinoise et l'autre américaine, autour
+d'un scénario bien ficelé. Si l'on retrouve les bases d'un conflit
+traditionnel en mer de Chine, laissant craindre l'escalade dangereuse
+dans l'affrontement de bâtiments des marines des deux pays, l'emploi de
+capacités offensives cyber est rapidement placé au centre du scénario.
+Sans en révéler toute la teneur, l'équipe jouant les États-Unis choisit
+à un moment de mener des cyber attaques contre les infrastructures
+critiques civiles chinoises. L'objectif est d'envoyer un message fort,
+espérant ainsi forcer l'adversaire à reculer, sans engager un
+affrontement maritime incertain... Mais l'équipe chinoise ayant anticipé
+cette possibilité par la mise en place de mesures de résilience
+informatique, réduisent drastiquement l'effet de la cyber attaque
+américaine. Loin de les effrayer, ils libèrent à leur tour des cyber
+attaques sur des cibles civiles américaines. Attaques qui génèrent
+nettement plus de dégâts et un camouflet pour la superpuissance
+américaine.
+
+Ainsi, au lieu d'empêcher une escalade militaire, les capacités
+offensives américaines, en l'absence d'une base défensive forte, ont ici
+eu l'effet inverse.
+
+Les auteurs ont ainsi à cœur de démontrer que la volonté de puissance et
+de domination du cyber espace par les États-Unis ne peut se faire de
+manière unilatérale et doit passer par un sursaut dans le domaine
+défensif. Un sursaut qui en 2022, tarde encore à se réaliser
+outre-Atlantique.
--- a/content/articles/CyberWar_Livre/CyberWar.tex
+++ b/content/articles/CyberWar_Livre/CyberWar.tex
@ -0,0 +1,38 @@
+
+Par Nicolas Chevrier
+La lecture ou la relecture de l’ouvrage de Clarke et Knake, bien nommé Cyber War est encore très riche d’enseignement malgré une publication un peu datée, en 2010 (il y a eu une nouvelle édition par Harper Collins en 2012).
+
+
+Douze années peuvent sembler bien longues dans un domaine aussi dynamique et évolutif que la cyber. Et pourtant, chaque étape de cet ouvrage a relativement peu souffert du temps écoulé. Il est probable que la saveur particulière des livres anglo-saxons y soit pour beaucoup. Un soupçon de pragmatisme et une construction bien ficelée : succession d’une histoire principale agrémenté d’anecdotes ; un peu de retour d’expérience dispensé ici et là, une vision et des propositions concrètes pour se projeter une fois la lecture achevée. Sans surprise, c’est exactement ce que l’on retrouve dans Cyber War.
+
+Quelques carences sont toutefois présentes et autant commencer par celles-ci. De cette manière on sait ce que l’on ne trouvera pas en lisant cet ouvrage.
+
+Du fait de sa publication en 2010, l’approche du sujet est très “réseau centrée” : au sens transport de l’information. Les deux auteurs font grand cas du rôle prépondérant que devraient jouer les opérateurs de télécommunication (les fameux “Tier 1”) dans la détection des cyber attaques qui sont perpétrées à l’encontre des États-Unis ou de leurs alliés. Un argumentaire relativement développé, visant à conférer aux dits opérateurs (1) l’obligation de surveiller le trafic, notamment entrant, (2) de l’analyser (le “Deep Packet Inspection” -DPI- laissait alors espérer un tas de choses) et (3) les moyens législatifs d’agir à l’encontre de tout trafic jugé malveillant. Ça fleure bon les années 2010 ! De plus, le développement plus récent des infrastructures de stockage de type clouds et le changement de paradigme sécurité du tout réseau vers des sondes data sont évidemment absents. D’ailleurs, l’approche technique est plutôt faible, mais ça n’est pas ce qui fait l’attrait de l’ouvrage. 
+
+Les atouts de Cyber War sont tout autres et à vrai dire, plutôt nombreux. Le premier consiste en l’histoire contée de l’adoption du cyber par le Departement of Defense et les services de renseignement américains. On ne se pose plus vraiment la question aujourd’hui, mais les grands acteurs qui façonnent notre quotidien dans le cyberespace ont une histoire très récente. Encore plus que celle des armées de l’air créées majoritairement dans la première moitié du XXème siècle. Elle est d’ailleurs tout aussi mouvementée et passionnante pour qui s’intéresse plus aux capacités cyber qu’à la forme de l’empennage de tel ou tel aéronef ! Il s’agit donc de déterminer quel ancien “corps” sera le premier à conquérir ce nouvel espace, y attirer les crédits afférents et ainsi répondre aux défis futurs de la Nation comme de servir les intérêts de quelques ambitieux. 
+
+Depuis des positions bien intégrées aux cercles politiques et décisionnels, Clarke (conseiller à Maison Blanche puis coordinateur de la cybersécurité) donne vie à cette aventure au début des années 90 alors que l’armée américaine s’interrogeait sur les possibilités de s’introduire au sein des systèmes de défense anti aérienne de l’armée irakienne pour appuyer les opérations militaires plus traditionnelles. Un dilemme toujours contemporain se fait alors jour, opposant l’entrave à la collecte de renseignement. L’entrave et, de manière générale, l’emploi de capacités cyber furent défendus très tôt par l’United State Air Force dont le directeur de la Task Force Cyber disait déjà en 2008 : “If you are defending in cyberspace, you’re already too late. If you do not dominate in cyberspace, then ou can not dominate in other domains.”
+
+Toute ces déclarations n’étaient pas spécialement au goût des agences de renseignement et tout particulièrement de la National Security Agency qui préfère opérer en toute discrétion. La situation a finalement évolué vers la création d’un commandement dual-hatted, regroupant la NSA et le US Cyber Command sous une même autorité.
+
+Les affaires militaires et du renseignement étant en quelque sorte entre de bonnes mains, les auteurs vont dès lors s’attacher à explorer l’épineux problème de la défense de la nation américaine, i.e. les infrastructures critiques, les entreprises, le gouvernement fédéral, etc. Clarke et Knake n’auront de cesse d’énumérer les nombreux renoncements de la politique américaine tant en termes de politique incitative d’intégration de la cybersécurité dans le développement du secteur technologique, l’édictions de standards de sécurité ou encore l’incarnation d’un leadership au sein de l’Etat fédéral. Si l’on sait que les Républicains ont toujours rechigné à mener une politique intrusive pour le secteur privé, les Démocrates n’ont pas sauté le pas non plus. Quant à la faiblesse de leadership, force est de reconnaître que les nombreux postes de coordinateur (que Clarke a notamment occupé) étaient essentiellement consultatifs, manquant de pouvoir de conviction et de coercition. De plus, ils étaient installés au sein d’un Department of Homeland Security (DHS) trop jeune et trop grand pour s’intéresser suffisamment aux défis et menaces issus du cyberespace. En effet, les années 2000-2010 étaient bien plus marquées par les conséquences de l’attaque terroriste du 11 septembre, i.e. la la lutte contre le terrorisme (le « War on Terror » de Georges W. Bush) et la conduite de deux guerres en Irak et en Afghanistan que par la menace probable d’un ensemble de geeks en “hoodies”, pianotant frénétiquement sur des claviers d’ordinateurs…
+
+Notons qu’en 2010, il s’agissait d’un bilan audacieux et visionnaire en 2010, où la bascule de la lutte contre le terrorisme vers le concept de “Great Power Competition” ne s’était pas encore opérée. Les auteurs avaient notamment pressenti qu’en l’absence d’une défense à la hauteur des adversaires des États-Unis, il serait délicat d’employer l’arme cyber de manière offensive. 
+
+Pour en arriver là, il conviendrait de développer une stratégie défensive initiale, sobrement baptisée “defensive triad” par les deux auteurs. Il s’agirait de mettre en oeuvre des critères de sécurité promulgués au travers de lois et réglementations fédérales. Celles-ci sont regroupées au sein de trois piliers :
+
+•               La défense des opérateurs de transports de communications dits “Tier 1 operators” au travers desquels transite 90 % du trafic Internet nord américain. L’objectif serait ainsi de leur donner les moyens de détecter le trafic malveillant et les doter, grâce à un cadre réglementaire ad hoc, de l’autorité nécessaire au blocage du-dit trafic.
+
+•               La sécurisation de la “power grid” américaine. Rappelons ici que l’alimentation électrique aux États-Unis ne fait pas l’objet d’un monopole comme en France et qu’une myriade d’opérateurs privés sont regroupés au sein de trois grandes “grilles”. Cela constitue tout à la fois un avantage, une forme de résilience par l’hétérogénéité des systèmes mais aussi une grande faiblesse. En effet, toute attaque réussie même avec un impact minime serait perçue comme une échec et un aveu de faiblesse de l’État américain (nda : et du Canada car les 3 grilles recouvrent toute l’Amérique du Nord.
+
+•               Enfin, la défense du DoD… au travers des systèmes logiciels et matériels employés, la redondance de systèmes classifiés, l’intégration de la sécurité dans les grands programmes militaires de demain (les débuts du F35), etc.
+
+
+
+Poursuivant la réflexion quant à l’emploi des capacités cyber, notamment offensives, les auteurs procèdent à une comparaison fort intéressante de la doctrine d’emploi de l’arme nucléaire dont a largement bénéficié (nda : certainement à tort) la doctrine cyber. Si vous avez toujours voulu savoir pourquoi l’on a parlé et l’on parle encore de dissuasion cyber (ou “cyber deterrence”) alors cette section vous éclairera. On comprend ainsi qu’avec une défense faible et un investissement important dans les capacités offensives, les États-Unis ont eu tendance à ériger une réalité qu’ils se sont imposés en doctrine, plutôt que de réfléchir aux objectifs stratégiques à atteindre. Dans ce cas là, un plan différent aurait certainement été adopté, travaillant à réduire leurs faiblesses pour se renforcer collectivement.
+
+Enfin la stratégie américaine est mise à l’épreuve d’un exercice organisé au plus haut niveau de l’État. Cet exercice “tapis vert” ou “Table Top Exercice - TTX” pour reprendre la terminologie militaire voit s’affronter deux équipes, l’une chinoise et l’autre américaine, autour d’un scénario bien ficelé. Si l’on retrouve les bases d’un conflit traditionnel en mer de Chine, laissant craindre l’escalade dangereuse dans l’affrontement de bâtiments des marines des deux pays, l’emploi de capacités offensives cyber est rapidement placé au centre du scénario. Sans en révéler toute la teneur, l’équipe jouant les États-Unis choisit à un moment de mener des cyber attaques contre les infrastructures critiques civiles chinoises. L’objectif est d’envoyer un message fort, espérant ainsi forcer l’adversaire à reculer, sans engager un affrontement maritime incertain… Mais l’équipe chinoise ayant anticipé cette possibilité par la mise en place de mesures de résilience informatique, réduisent drastiquement l’effet de la cyber attaque américaine. Loin de les effrayer, ils libèrent à leur tour des cyber attaques sur des cibles civiles américaines. Attaques qui génèrent nettement plus de dégâts et un camouflet pour la superpuissance américaine. 
+
+Ainsi, au lieu d’empêcher une escalade militaire, les capacités offensives américaines, en l’absence d’une base défensive forte, ont ici eu l’effet inverse. 
+
+Les auteurs ont ainsi à cœur de démontrer que la volonté de puissance et de domination du cyber espace par les États-Unis ne peut se faire de manière unilatérale et doit passer par un sursaut dans le domaine défensif. Un sursaut qui en 2022, tarde encore à se réaliser outre-Atlantique.
--- a/content/articles/DISARM_CTI/DISARM.tex
+++ b/content/articles/DISARM_CTI/DISARM.tex
@ -0,0 +1,331 @@
+
+
+
+Disarm, un pas vers la CTI pour lutter contre la désinformation
+La multiplication des campagnes de désinformation et leur impact potentiel sur la société ont conduit de nombreuses organisations (universités, think tank, ONG, administrations, plateformes) à étudier et analyser cette menace. Cet intérêt a résulté dans l’élaboration de schémas descriptifs permettant de mettre en lumière le comportement de ces acteurs et les objectifs de leurs campagnes. Cette démarche a ainsi pu se nourrir de la riche littérature et de l’expérience accumulée dans un autre champ d’analyse de la menace : la Cyber Threat Intelligence (CTI).
+
+Les éléments nécessaires à la création de campagnes de manipulation de l’information sont multiples : memes, narratifs, faux sites, et présentent des niveaux de complexités divers. A l’image des APT (Advanced Persistent Threat), les groupes qui conduisent ces opérations ont donc des besoins très spécifiques et doivent mettre en place des infrastructures et des outils en amont de leurs actions. C’est précisément cette approche qui a conduit en 2011, le groupe Lockheed Martin à mettre en place sa célèbre Cyber kill chain. Cette représentation décrit les étapes d’une attaque informatique. Ainsi, chaque étape permet de déduire les indices à détecter afin de contrer le plus en amont possible une intrusion dans un système d’information. Dans les campagnes informationnelles et typiquement celles conduites via les réseaux sociaux, cette approche est totalement transposable. 
+
+Approche  de la désinformation dans le cadre de la CTI
+
+Une brève histoire des modèles en CTI
+
+La Cyber Threat Intelligence est une discipline qui vise à identifier et analyser les menaces. Elle s'intéresse évidemment à l’analyse des données techniques liées à une attaque ou à des menaces connues mais également au contexte dans son ensemble pour, comme dans le domaine militaire, « éclairer la décision ». Le renseignement sur les menaces cyber est une activité de renseignement dont le produit, l’analyse, doit orienter les décideurs sur les actions à conduire pour minimiser la menace, la prévenir ou la traiter.
+
+La modélisation en CTI se fonde initialement sur l’analyse d’indicateurs statiques, c’est le point de départ du concept de kill chain ou encore du Diamond Model. Ce dernier élaboré à partir de 2013 par Sergio Caltagirone, Andrew Pendergast et Christophe Betz est une matrice qui s’inspire du modèle de Michael Porter utilisé en analyse macroéconomique. Dans le cadre de la CTI, la modélisation des attaques informatiques repose sur des événements séquencés pour lesquels on identifie un adversaire, des capacités déployées, une infrastructure et une victime. Ces quatre facteurs constituent les quatre angles du diamant. Ces évènements sont rassemblés pour constituer une campagne 
+
+
+(fig 1 : source Threat Intel 101 — Le modèle en Diamant, Sekoia
+
+https://medium.com/cyberthreatintel/threat-intel-101-le-mod%C3%A8le-en-diamant-81ff503ada7f). 
+
+En analysant et en rassemblant plusieurs campagnes qui partagent certaines caractéristiques, on peut faire apparaître un « groupe d’activité ». Ces groupes sont à l’origine de la numérotation des APT (Advanced Persistant Threat) et permettent d’analyser les acteurs sur la base de leur comportement. 
+
+Ainsi le rapport Mandiant de 2013 portant sur APT 1 marque un tournant majeur dans la jeune histoire de la Cyber et de l’analyse de la menace car il lance véritablement l’analyse « à fin d’attribution ». Les modèles développés fournissent la base nécessaire à l’attribution ou au moins à l’imputation, pour ce qui relève des « campagnes étatiques », car l’intrusion est documentée de manière globale et favorise la prise en compte du contexte et des données non-techniques. Ces données permettent de dresser une première approche de la stratégie de l’attaquant. Sur cette base, les éditeurs pointent plus ou moins directement la responsabilité vers des entités étatiques. 
+
+Progressivement, l’analyse d’une intrusion sera documentée de façon globale et dynamique. Le modèle Diamant permet donc d’accompagner une démarche d’investigation au cours de laquelle l’analyste pivote d’une information à une autre, découvrant de nouveaux éléments sur l’attaquant. En s’appuyant sur ce formalisme, les investigateurs éclairent progressivement le contour des attaquants et de leurs comportements. Comme tous les modèles, le Diamant a ses limites et l’une des principales demeure la difficulté à le décliner en une stratégie de détection d’incidents, de collecte et d’enrichissement de logs au sein d’un système d’information. S’il est visuellement attractif sur un powerpoint destiné aux décideurs pour présenter une menace, il est rarement l’outil préféré des équipes de réponse à incidents. Pourtant compatible avec une Cyber Kill Chain les résultats sont parfois peu lisibles. Beaucoup y préfèreront le framework MITRE ATT&CK.
+
+MITRE ATT&CK, la matrice des matrices
+
+La démarche proposée par MITRE ATT&CK s’appuie sur une cartographie détaillée des actions que doit entreprendre un attaquant pour conduire une intrusion sur un système d’information. C’est donc une démarche centrée sur le comportement de l’attaquant et sa compréhension plus que sur les événements comme dans les modèles précédents.
+
+MITRE est historiquement connu dans la communauté de la sécurité informatique pour maintenir la liste des Common Vulnerabilities Exposure (CVE). Depuis 2013, il développe un modèle d’analyse de la menace qui n’a cessé d’évoluer. Rendu public en 2015, cet outil très flexible se présente sous la forme d’un wiki qui rassemble des données sur les acteurs, les campagnes et les tactiques, techniques et procédures (TTPs). Véritable base de connaissance qui cartographie les modes opératoires des groupes d’attaquants (MOA), il s’impose comme une référence au sein de la communauté CTI.
+
+Le modèle ATT&CK, qui signifie Adversarial Tactics, Techniques, and Common Knowledge, est connu pour sa visualisation sous forme de matrice qui rend l’approche extrêmement intuitive. La matrice présente en entrée les tactiques et décrit pour chacune les techniques que l‘attaquant devra mettre en œuvre. 
+
+Les tactiques, contrairement à la définition militaire, désignent un ensemble d'objectifs que l’attaquant cherche à atteindre ou, plus précisément, doit atteindre dans le système informatique visé suivant son schéma d’attaque. Initialement au nombre de 9 puis de 11 MITRE distingue aujourd’hui les tactiques suivantes :
+
+    Reconnaissance (10 techniques – active scanning, search open technical database, gather victim network information, etc.) ;
+
+    Ressource development (7 techniques – acquire infrastructure, compromise accounts, etc.) ;
+
+    Initial access (9 techniques – phising, supply chain compromise, valid accounts, etc. ;
+
+    Execution (13 techniques – command and scriptying interpreter, native API, User execution, etc.) ;
+
+    Persistence (19 techniques – external remove service, create account, implant internal image, etc.) ;
+
+    Privilege escalation (13 techniques – boot or logon autostart execution, hijack execution flow, etc.) ;
+
+    Defense evasion (42 techniques – access token manipulation, deploy container, rootkit, XSL script processing, etc.) ;
+
+    Credential access (17 techniques – brute force, forge web credentials, input capture, etc.) ;
+
+    Discovery (30 techniques – cloud service discovery, account discovery, domain trust discovery, etc.) ;
+
+    Lateral movement (9 techniques – exploitaiton of remote service, lateral tool transfer, etc.) ;
+
+    Collection (17 techniques – automated collection, audio capture, screen capture, email collection, etc.) ;
+
+    Command and control (16 techniques – data obfuscation, proxy, remote access software, encrypted channel, etc.) ;
+
+    Exfiltration (9 techniques – exfiltration over C2 channel, exfiltration over web service, exfiltration over physical medium, etc.) ;
+
+    Impact (13 techniques – account removal, data destruction, data manipulation, defacement, etc.).
+
+
+Chaque tactique donne lieu à une cartographie de techniques que nous retrouvons dans la matrice. Souple d’emploi, le navigateur permet de visualiser les techniques mises en œuvre par un attaquant, de versionner et d’analyser son évolution.
+
+L’analyse des campagnes de désinformation peut ainsi très largement bénéficier de l’expérience acquise dans le domaine de la CTI. En particulier en important la notion de TTPs et en s’appuyant sur les qualités éprouvées de MITRE ATT&CK que sont : 
+
+    la souplesse d’utilisation : la matrice est régulièrement mise à jour afin de correspondre à l’évolution des pratiques des acteurs malveillants ;
+
+    une approche heuristique et l’association d’une base de connaissance. Les TTPs sont liés entre eux. En découvrir un c’est comprendre où il se place dans l’intégralité d’une campagne, et ainsi anticiper ce que l’on peut encore attendre ou ce qu’il peut déjà s’être passé en amont.
+
+    la compréhension du comportement d’un acteur, en liant des détections pour mieux évaluer ou estimer les objectifs stratégiques de la campagne ;
+
+    la qualification d’une campagne dans son ampleur, dans son coût pour l’attaquant en évaluant la difficulté pour lui de mettre en œuvre certaines techniques.
+
+En capitalisant sur l’approche CTI et la modélisation ATT&CK, l’analyse des campagnes de désinformation peut rapidement gagner en maturité et développer des méthodes de détection et de remédiation qui reposent sur une analyse objective des techniques mises en œuvre par les attaquants. 
+
+Étudier la désinformation
+
+Les campagnes dmanipulation de l’information en ligne peuvent prendre de multiples formes. À titre d’exemple, une campagne d’astroturfing demande de coordonner un réseau de trolls ou de bots pour pousser un message ou un hashtag. Cela ne présente pas le même niveau de complexité, ni le même besoin en temps ou en compétences techniques que l’usage du typosquatting ou la création d’un réseau de sites internet. Par ailleurs, bien que la question des campagnes d’ingérence étrangère soit ancienne, les récents développements du web et des outils à disposition ont permis aux acteurs malveillants de disposer de ressources extrêmement variées et performantes.
+
+Depuis 2019, de nombreux acteurs de la lutte contre la désinformation ont cherché un moyen de décrire les campagnes de manière objective et uniforme. Nombre d’entre eux se sont appuyé sur des réflexions empiriques liées à la menace informationnelle, à l’instar du Coordinated inauthentic behavior (CIB) développé par Facebook, la méthode ABC développée par Camille FRANÇOIS pour Graphika et augmentée d’un D par Alexandre ALAPHILIPPE et d’un E (Effect) par James PAMMENT. Ces modèles ont, entre autres, répondu aux problématiques spécifiques de la diffusion des campagnes sur les plateformes de réseaux sociaux.
+
+D’autres modèles de description s’appuient sur des canevas issus de l’étude de la menace dans le champ cyber, du fait notamment de la présence d’éléments informationnels au sein d’attaques cyber. C’est le cas de la matrice Disarm qui capitalise sur le savoir-faire de la matrice MITRE ATT&CK dont elle est largement inspirée.
+
+De quoi parle-t-on ?
+
+Créée en 2019, la matrice AMITT est un cadre d’analyse qui permet de décrire et de comprendre les incidents (terminologie issue du cyber) de désinformation. Le Minsifosec est un groupe de travail qui a réfléchi et établi des standards pour permettre le partage de l’information dans le cadre des campagnes de désinformation. Pour ce faire, ils ont examiné différents modèles comportementaux issus de la sécurité de l’information, de l’analyse des réseaux sociaux, du marketing. Ils ont ainsi créé la matrice AMITT en prenant pour modèle le Mitre ATT&CK. Aujourd'hui mise à jour et maintenue par la Disarm Foundation, sous le nom de Disarm, la matrice s’est enrichie de tactiques et de techniques et procédures supplémentaires.
+
+Disarm est donc une matrice de description des opérations de désinformation centrées sur le comportement de l’attaquant et décrite par l'intermédiaire de tactiques, techniques et procédures (TTP).
+
+À l’instar du MITRE ATT&CK, Disarm présente de nombreux avantages dans le cadre de la description des campagnes. Elle permet :
+
+    d’imputer ou, au moins, de caractériser un acteur par la récurrence des techniques, tactiques ou procédures qu’il emploie lors de ses campagnes ;
+
+    de comprendre le niveau d’effort et des moyens à la disposition d’un acteur malveillant ;
+
+    de capitaliser des campagnes et incidents dans un modèle stable, pérenne, interopérable et ouvert.
+
+    de partager de l’information structurée entre les acteurs de la lutte contre les campagnes de manipulation de l’information.
+
+Disarm
+
+La matrice Disarm est structurée en 3 éléments principaux : phases, étapes (ou tactiques) et techniques, du plus macro au plus micro. 
+
+Les phases
+
+Les campagnes d’influences informationnelles sont composées en général de 4 phases qui correspondent aux séquences de mise en œuvre de la campagne. Chaque phase est le regroupement de tactiques et de leurs techniques associées. 
+
+Figure 2. Structuration des tactiques, techniques et procédures au sein de la matrice Disarm
+
+    La planification permet de visualiser le but de la campagne ou de l’incident. Elle définit les moyens nécessaires à sa mise en place. Cette étape se concentre sur les résultats attendus par les acteurs malveillants. Dans le domaine militaire on parle d’état final recherché (EFR).
+
+    La préparation regroupe les activités menées avant l'exécution de la campagne : le développement d’un écosystème nécessaire pour soutenir une action (personnes, réseau, canaux, contenu, etc.).
+
+    L’exécution consiste en la réalisation de l’action, de l'exposition initiale à la conclusion ou au maintien de la présence en cas de menace persistante (on notera ici la similitude avec les attaques informatiques ou l’on évoque la persistance comme un facteur central d’une opération). 
+
+    L’évaluation est une étape nécessaire qui détermine l’efficacité de l’action.
+
+Les étapes (ou tactiques)
+
+Les phases sont découpées en tactiques. Elles sont aujourd’hui au nombre de seize et leur nombre peut changer en fonction de la mise à jour de la matrice (à l’instar d’ATT&CK) pour correspondre aux évolutions des pratiques des acteurs malveillants.
+
+Phase
+	
+
+Tactique
+	
+
+Description de la tactique
+	
+
+Objectif de la tactique
+
+Planification
+	
+
+Planification de la stratégie
+	
+
+Définir l’état final recherché, c’est-à-dire l’ensemble des conditions requises permettant de déclarer l’accomplissement des objectifs stratégiques.
+	
+
+Mettre en cohérence les audiences ciblées et les finalités stratégiques de la campagne.
+
+
+	
+
+Planification des objectifs
+	
+
+Planifier des objectifs stratégiques liés à l’exécution de tactiques nécessaires à leur réalisation.
+	
+
+Définir des objectifs intermédiaires permettant d’atteindre l’état final recherché.
+
+
+	
+
+Analyse des publics cibles
+	
+
+Identifier et analyser des audiences ciblées, c’est-à-dire l’ensemble de leurs attributs qu’une opération d’influence pourrait incorporer dans sa stratégie vers celles-ci.
+	
+
+Permettre la personnalisation des contenus et de la stratégie d’influence selon l’analyse obtenue.
+
+Préparation
+	
+
+Développement des récits
+	
+
+Promouvoir et renforcer des récits généraux en s’appuyant sur de nombreux récits locaux, diffusés régulièrement (à bas bruit en général) via les différents artefacts créés pour la campagne.
+	
+
+Occuper et dominer le débat numérique en imposant progressivement des récits phares sur la société.
+
+
+	
+
+Fabrication des contenus
+	
+
+Créer ou acquérir des textes, images et tous les contenus nécessaires au soutien des récits généraux et des récits secondaires.
+	
+
+Soutenir la mise en place des récits phares à l’aide de contenus crédibles.
+
+
+	
+
+Mise en place des canaux de communication
+	
+
+Créer, modifier ou compromettre des outils de messagerie (comptes de réseaux sociaux, chaînes de médias, personnel opérationnel).
+	
+
+Faire la promotion des messages directement à l’audience ciblée sans dépendre d’entités externes.
+
+
+	
+
+Mise en place des canaux de légitimation des récits
+	
+
+Établir des ressources dédiées à la légitimation des récits (faux sites news, faux experts, sources vérifiées compromises).
+	
+
+La création de relais informationnels soutient la légitimation des récits.
+
+
+	
+
+Microciblage des audiences clefs
+	
+
+Cibler des groupes de population très spécifiques via des contenus localisés, les fonctionnalités publicitaires des plateformes ou la création de chambres d’écho.
+	
+
+Il vise à garantir une meilleure perception des récits de la part de certaines audiences et à consolider voire polariser les opinions d’audiences clefs.
+
+
+	
+
+Sélection des canaux selon leur usage
+	
+
+Sélectionner, après étude de marché, des vecteurs des différents narratifs ou artefacts créés, que ce soit des plateformes (réseaux sociaux, plateformes en ligne de partage de vidéos, hashtags, etc.), des médias traditionnels (télévision, journaux), etc. Étudier les fonctionnalités et l’accessibilité des plateformes.
+	
+
+Déterminer quels seront les canaux et leurs usages qui maximiseront la diffusion des narratifs et artefacts de l’opération d’influence.
+
+Exécution
+	
+
+Amorçage de la campagne
+	
+
+Publier du contenu à une petite échelle ciblée en amont de la publication à grande échelle.
+	
+
+Tester l’efficacité du dispositif mis en place et affiner les messages (A/B testing, utilisation de black SEO, etc.)
+
+
+	
+
+Diffusion du contenu vers le grand public
+	
+
+Diffuser largement du contenu à l’ensemble du public   (diffusion de narratifs et artefacts sur les réseaux sociaux, publication   d’articles, rédaction de commentaires, etc.).
+	
+
+Atteindre les publics ciblés.
+
+
+	
+
+Maximisation de l’exposition 
+	
+
+Amplifier via des stratégies cross-plateformes, de flooding et via des réseaux de trolls ou de bots.
+	
+
+Assurer un maximum d’effets de la campagne.
+
+
+	
+
+Mise en œuvre d’actions agressives en ligne
+	
+
+Nuire à ses adversaires dans les espaces en ligne par le biais du harcèlement, de la divulgation d'informations privées et du contrôle de l'espace d'information.
+	
+
+Supprimer toute opposition et remise en question de la campagne.
+
+
+	
+
+Mise en œuvre d’actions hors ligne 
+	
+
+Inciter les utilisateurs à s’engager physiquement : de l’appel à manifester à l’achat de marchandises en passant par l’action violente.
+	
+
+Faire basculer la campagne virtuelle dans le monde réel et toucher de nouvelles audiences.
+
+
+	
+
+Persistance dans l’environnement informationnel
+	
+
+Poursuite del’amplification de narratifs et effacement des traces (dissimulation des moyens employés, de l’identité des acteurs), même si l’événement principal est terminé.
+	
+
+Assurer la continuité de la campagne sur le long-terme.
+
+Évaluation
+	
+
+Évaluation de l’efficacité des actions
+	
+
+Évaluer l’efficacité des actions
+	
+
+| Left-aligned | Center-aligned | Right-aligned |
+| :---         |     :---:      |          ---: |
+| git status   | git status     | git status    |
+| git diff     | git diff       | git diff      |
+
+ 
+
+
+Les techniques et procédures
+
+Les techniques et procédures décrivent le comportement de l’acteur malveillant. Par sa projection sous forme de matrice dynamique, et sachant que chaque étape de la matrice s’appuie sur les étapes précédentes, la détection d’un TTPs permet de mettre en évidence l’état d’avancée d’une campagne, les moyens utilisés par l’attaquant et enfin, d’évaluer son niveau d’effort et les capacités dont il dispose.
+
+Et ensuite ?
+
+La fondation Disarm se charge de faire vivre cette matrice en mettant notamment à jour les TTPs en fonction de l’évolution et de la sophistication des campagnes. Elle travaille également à plébisciter son emploi auprès des différents acteurs de la lutte contre la désinformation : plateformes, institutions, think tanks, etc. afin, entre autres, de permettre une détection plus rapide, une qualification plus qualitative et un partage de l’information efficace.
+
+La désinformation a besoin de se nourrir de la maturité et de l’avancée des questions qui préoccupent la CTI en matière d’état de la menace, d’anticipation, de capitalisation et de partage de l'information. Du lien entre ces deux matières peut naître des outils comme la matrice Disarm. C’est d’autant plus important qu’en retour, Disarm est un outil qui peut également alimenter le travail de la CTI. En effet, des campagnes comme Ghostwriter ou bien encore les Macron Leaks démontrent bien l’intrication de ces différents champs. Que ce soit le fruit d’une campagne mise en place par un acteur étatique ou une action opportuniste permise par une fuite de données, les pratiques des attaquants ne se limitent pas au champ du cyber ou de la désinformation. Ainsi doit-il en être également pour les acteurs qui souhaitent lutter contre. C’est la complémentarité technique de ces matrices qui permet la description de ces campagnes complexes. Et c’est la complémentarité des pratiques qui permettra une lutte efficace contre la désinformation et les campagnes informationnelles.
+
+
+
--- a/content/articles/DISARM_CTI/Disarm_cti.md
+++ b/content/articles/DISARM_CTI/Disarm_cti.md
@ -0,0 +1,504 @@
+---
+title: "Disarm, un pas vers la CTI pour lutter contre la désinformation"
+---
+Disarm, un pas vers la CTI pour lutter contre la désinformation La
+multiplication des campagnes de désinformation et leur impact potentiel
+sur la société ont conduit de nombreuses organisations (universités,
+think tank, ONG, administrations, plateformes) à étudier et analyser
+cette menace. Cet intérêt a résulté dans l'élaboration de schémas
+descriptifs permettant de mettre en lumière le comportement de ces
+acteurs et les objectifs de leurs campagnes. Cette démarche a ainsi pu
+se nourrir de la riche littérature et de l'expérience accumulée dans un
+autre champ d'analyse de la menace : la Cyber Threat Intelligence (CTI).
+
+Les éléments nécessaires à la création de campagnes de manipulation de
+l'information sont multiples : memes, narratifs, faux sites, et
+présentent des niveaux de complexités divers. A l'image des APT
+(Advanced Persistent Threat), les groupes qui conduisent ces opérations
+ont donc des besoins très spécifiques et doivent mettre en place des
+infrastructures et des outils en amont de leurs actions. C'est
+précisément cette approche qui a conduit en 2011, le groupe Lockheed
+Martin à mettre en place sa célèbre Cyber kill chain. Cette
+représentation décrit les étapes d'une attaque informatique. Ainsi,
+chaque étape permet de déduire les indices à détecter afin de contrer le
+plus en amont possible une intrusion dans un système d'information. Dans
+les campagnes informationnelles et typiquement celles conduites via les
+réseaux sociaux, cette approche est totalement transposable.
+
+Approche de la désinformation dans le cadre de la CTI
+
+Une brève histoire des modèles en CTI
+
+La Cyber Threat Intelligence est une discipline qui vise à identifier et
+analyser les menaces. Elle s'intéresse évidemment à l'analyse des
+données techniques liées à une attaque ou à des menaces connues mais
+également au contexte dans son ensemble pour, comme dans le domaine
+militaire, « éclairer la décision ». Le renseignement sur les menaces
+cyber est une activité de renseignement dont le produit, l'analyse, doit
+orienter les décideurs sur les actions à conduire pour minimiser la
+menace, la prévenir ou la traiter.
+
+La modélisation en CTI se fonde initialement sur l'analyse d'indicateurs
+statiques, c'est le point de départ du concept de kill chain ou encore
+du Diamond Model. Ce dernier élaboré à partir de 2013 par Sergio
+Caltagirone, Andrew Pendergast et Christophe Betz est une matrice qui
+s'inspire du modèle de Michael Porter utilisé en analyse
+macroéconomique. Dans le cadre de la CTI, la modélisation des attaques
+informatiques repose sur des événements séquencés pour lesquels on
+identifie un adversaire, des capacités déployées, une infrastructure et
+une victime. Ces quatre facteurs constituent les quatre angles du
+diamant. Ces évènements sont rassemblés pour constituer une campagne
+
+(fig 1 : source Threat Intel 101 --- Le modèle en Diamant, Sekoia
+
+https://medium.com/cyberthreatintel/threat-intel-101-le-mod
+
+En analysant et en rassemblant plusieurs campagnes qui partagent
+certaines caractéristiques, on peut faire apparaître un « groupe
+d'activité ». Ces groupes sont à l'origine de la numérotation des APT
+(Advanced Persistant Threat) et permettent d'analyser les acteurs sur la
+base de leur comportement.
+
+Ainsi le rapport Mandiant de 2013 portant sur APT 1 marque un tournant
+majeur dans la jeune histoire de la Cyber et de l'analyse de la menace
+car il lance véritablement l'analyse « à fin d'attribution ». Les
+modèles développés fournissent la base nécessaire à l'attribution ou au
+moins à l'imputation, pour ce qui relève des « campagnes étatiques »,
+car l'intrusion est documentée de manière globale et favorise la prise
+en compte du contexte et des données non-techniques. Ces données
+permettent de dresser une première approche de la stratégie de
+l'attaquant. Sur cette base, les éditeurs pointent plus ou moins
+directement la responsabilité vers des entités étatiques.
+
+Progressivement, l'analyse d'une intrusion sera documentée de façon
+globale et dynamique. Le modèle Diamant permet donc d'accompagner une
+démarche d'investigation au cours de laquelle l'analyste pivote d'une
+information à une autre, découvrant de nouveaux éléments sur
+l'attaquant. En s'appuyant sur ce formalisme, les investigateurs
+éclairent progressivement le contour des attaquants et de leurs
+comportements. Comme tous les modèles, le Diamant a ses limites et l'une
+des principales demeure la difficulté à le décliner en une stratégie de
+détection d'incidents, de collecte et d'enrichissement de logs au sein
+d'un système d'information. S'il est visuellement attractif sur un
+powerpoint destiné aux décideurs pour présenter une menace, il est
+rarement l'outil préféré des équipes de réponse à incidents. Pourtant
+compatible avec une Cyber Kill Chain les résultats sont parfois peu
+lisibles. Beaucoup y préfèreront le framework MITRE ATT&CK.
+
+MITRE ATT&CK, la matrice des matrices
+
+La démarche proposée par MITRE ATT&CK s'appuie sur une cartographie
+détaillée des actions que doit entreprendre un attaquant pour conduire
+une intrusion sur un système d'information. C'est donc une démarche
+centrée sur le comportement de l'attaquant et sa compréhension plus que
+sur les événements comme dans les modèles précédents.
+
+MITRE est historiquement connu dans la communauté de la sécurité
+informatique pour maintenir la liste des Common Vulnerabilities Exposure
+(CVE). Depuis 2013, il développe un modèle d'analyse de la menace qui
+n'a cessé d'évoluer. Rendu public en 2015, cet outil très flexible se
+présente sous la forme d'un wiki qui rassemble des données sur les
+acteurs, les campagnes et les tactiques, techniques et procédures
+(TTPs). Véritable base de connaissance qui cartographie les modes
+opératoires des groupes d'attaquants (MOA), il s'impose comme une
+référence au sein de la communauté CTI.
+
+Le modèle ATT&CK, qui signifie Adversarial Tactics, Techniques, and
+Common Knowledge, est connu pour sa visualisation sous forme de matrice
+qui rend l'approche extrêmement intuitive. La matrice présente en entrée
+les tactiques et décrit pour chacune les techniques que l'attaquant
+devra mettre en œuvre.
+
+Les tactiques, contrairement à la définition militaire, désignent un
+ensemble d'objectifs que l'attaquant cherche à atteindre ou, plus
+précisément, doit atteindre dans le système informatique visé suivant
+son schéma d'attaque. Initialement au nombre de 9 puis de 11 MITRE
+distingue aujourd'hui les tactiques suivantes :
+
+Reconnaissance (10 techniques -- active scanning, search open technical
+database, gather victim network information, etc.) ;
+
+Ressource development (7 techniques -- acquire infrastructure,
+compromise accounts, etc.) ;
+
+Initial access (9 techniques -- phising, supply chain compromise, valid
+accounts, etc. ;
+
+Execution (13 techniques -- command and scriptying interpreter, native
+API, User execution, etc.) ;
+
+Persistence (19 techniques -- external remove service, create account,
+implant internal image, etc.) ;
+
+Privilege escalation (13 techniques -- boot or logon autostart
+execution, hijack execution flow, etc.) ;
+
+Defense evasion (42 techniques -- access token manipulation, deploy
+container, rootkit, XSL script processing, etc.) ;
+
+Credential access (17 techniques -- brute force, forge web credentials,
+input capture, etc.) ;
+
+Discovery (30 techniques -- cloud service discovery, account discovery,
+domain trust discovery, etc.) ;
+
+Lateral movement (9 techniques -- exploitaiton of remote service,
+lateral tool transfer, etc.) ;
+
+Collection (17 techniques -- automated collection, audio capture, screen
+capture, email collection, etc.) ;
+
+Command and control (16 techniques -- data obfuscation, proxy, remote
+access software, encrypted channel, etc.) ;
+
+Exfiltration (9 techniques -- exfiltration over C2 channel, exfiltration
+over web service, exfiltration over physical medium, etc.) ;
+
+Impact (13 techniques -- account removal, data destruction, data
+manipulation, defacement, etc.).
+
+Chaque tactique donne lieu à une cartographie de techniques que nous
+retrouvons dans la matrice. Souple d'emploi, le navigateur permet de
+visualiser les techniques mises en œuvre par un attaquant, de versionner
+et d'analyser son évolution.
+
+L'analyse des campagnes de désinformation peut ainsi très largement
+bénéficier de l'expérience acquise dans le domaine de la CTI. En
+particulier en important la notion de TTPs et en s'appuyant sur les
+qualités éprouvées de MITRE ATT&CK que sont :
+
+la souplesse d'utilisation : la matrice est régulièrement mise à jour
+afin de correspondre à l'évolution des pratiques des acteurs
+malveillants ;
+
+une approche heuristique et l'association d'une base de connaissance.
+Les TTPs sont liés entre eux. En découvrir un c'est comprendre où il se
+place dans l'intégralité d'une campagne, et ainsi anticiper ce que l'on
+peut encore attendre ou ce qu'il peut déjà s'être passé en amont.
+
+la compréhension du comportement d'un acteur, en liant des détections
+pour mieux évaluer ou estimer les objectifs stratégiques de la campagne
+;
+
+la qualification d'une campagne dans son ampleur, dans son coût pour
+l'attaquant en évaluant la difficulté pour lui de mettre en œuvre
+certaines techniques.
+
+En capitalisant sur l'approche CTI et la modélisation ATT&CK, l'analyse
+des campagnes de désinformation peut rapidement gagner en maturité et
+développer des méthodes de détection et de remédiation qui reposent sur
+une analyse objective des techniques mises en œuvre par les attaquants.
+
+Étudier la désinformation
+
+Les campagnes dmanipulation de l'information en ligne peuvent prendre de
+multiples formes. À titre d'exemple, une campagne d'astroturfing demande
+de coordonner un réseau de trolls ou de bots pour pousser un message ou
+un hashtag. Cela ne présente pas le même niveau de complexité, ni le
+même besoin en temps ou en compétences techniques que l'usage du
+typosquatting ou la création d'un réseau de sites internet. Par
+ailleurs, bien que la question des campagnes d'ingérence étrangère soit
+ancienne, les récents développements du web et des outils à disposition
+ont permis aux acteurs malveillants de disposer de ressources
+extrêmement variées et performantes.
+
+Depuis 2019, de nombreux acteurs de la lutte contre la désinformation
+ont cherché un moyen de décrire les campagnes de manière objective et
+uniforme. Nombre d'entre eux se sont appuyé sur des réflexions
+empiriques liées à la menace informationnelle, à l'instar du Coordinated
+inauthentic behavior (CIB) développé par Facebook, la méthode ABC
+développée par Camille FRANÇOIS pour Graphika et augmentée d'un D par
+Alexandre ALAPHILIPPE et d'un E (Effect) par James PAMMENT. Ces modèles
+ont, entre autres, répondu aux problématiques spécifiques de la
+diffusion des campagnes sur les plateformes de réseaux sociaux.
+
+D'autres modèles de description s'appuient sur des canevas issus de
+l'étude de la menace dans le champ cyber, du fait notamment de la
+présence d'éléments informationnels au sein d'attaques cyber. C'est le
+cas de la matrice Disarm qui capitalise sur le savoir-faire de la
+matrice MITRE ATT&CK dont elle est largement inspirée.
+
+De quoi parle-t-on ?
+
+Créée en 2019, la matrice AMITT est un cadre d'analyse qui permet de
+décrire et de comprendre les incidents (terminologie issue du cyber) de
+désinformation. Le Minsifosec est un groupe de travail qui a réfléchi et
+établi des standards pour permettre le partage de l'information dans le
+cadre des campagnes de désinformation. Pour ce faire, ils ont examiné
+différents modèles comportementaux issus de la sécurité de
+l'information, de l'analyse des réseaux sociaux, du marketing. Ils ont
+ainsi créé la matrice AMITT en prenant pour modèle le Mitre ATT&CK.
+Aujourd'hui mise à jour et maintenue par la Disarm Foundation, sous le
+nom de Disarm, la matrice s'est enrichie de tactiques et de techniques
+et procédures supplémentaires.
+
+Disarm est donc une matrice de description des opérations de
+désinformation centrées sur le comportement de l'attaquant et décrite
+par l'intermédiaire de tactiques, techniques et procédures (TTP).
+
+À l'instar du MITRE ATT&CK, Disarm présente de nombreux avantages dans
+le cadre de la description des campagnes. Elle permet :
+
+d'imputer ou, au moins, de caractériser un acteur par la récurrence des
+techniques, tactiques ou procédures qu'il emploie lors de ses campagnes
+;
+
+de comprendre le niveau d'effort et des moyens à la disposition d'un
+acteur malveillant ;
+
+de capitaliser des campagnes et incidents dans un modèle stable,
+pérenne, interopérable et ouvert.
+
+de partager de l'information structurée entre les acteurs de la lutte
+contre les campagnes de manipulation de l'information.
+
+Disarm
+
+La matrice Disarm est structurée en 3 éléments principaux : phases,
+étapes (ou tactiques) et techniques, du plus macro au plus micro.
+
+Les phases
+
+Les campagnes d'influences informationnelles sont composées en général
+de 4 phases qui correspondent aux séquences de mise en œuvre de la
+campagne. Chaque phase est le regroupement de tactiques et de leurs
+techniques associées.
+
+Figure 2. Structuration des tactiques, techniques et procédures au sein
+de la matrice Disarm
+
+La planification permet de visualiser le but de la campagne ou de
+l'incident. Elle définit les moyens nécessaires à sa mise en place.
+Cette étape se concentre sur les résultats attendus par les acteurs
+malveillants. Dans le domaine militaire on parle d'état final recherché
+(EFR).
+
+La préparation regroupe les activités menées avant l'exécution de la
+campagne : le développement d'un écosystème nécessaire pour soutenir une
+action (personnes, réseau, canaux, contenu, etc.).
+
+L'exécution consiste en la réalisation de l'action, de l'exposition
+initiale à la conclusion ou au maintien de la présence en cas de menace
+persistante (on notera ici la similitude avec les attaques informatiques
+ou l'on évoque la persistance comme un facteur central d'une opération).
+
+L'évaluation est une étape nécessaire qui détermine l'efficacité de
+l'action.
+
+Les étapes (ou tactiques)
+
+Les phases sont découpées en tactiques. Elles sont aujourd'hui au nombre
+de seize et leur nombre peut changer en fonction de la mise à jour de la
+matrice (à l'instar d'ATT&CK) pour correspondre aux évolutions des
+pratiques des acteurs malveillants.
+
+Phase
+
+Tactique
+
+Description de la tactique
+
+Objectif de la tactique
+
+Planification
+
+Planification de la stratégie
+
+Définir l'état final recherché, c'est-à-dire l'ensemble des conditions
+requises permettant de déclarer l'accomplissement des objectifs
+stratégiques.
+
+Mettre en cohérence les audiences ciblées et les finalités stratégiques
+de la campagne.
+
+
+
+Planification des objectifs
+
+Planifier des objectifs stratégiques liés à l'exécution de tactiques
+nécessaires à leur réalisation.
+
+Définir des objectifs intermédiaires permettant d'atteindre l'état final
+recherché.
+
+
+
+Analyse des publics cibles
+
+Identifier et analyser des audiences ciblées, c'est-à-dire l'ensemble de
+leurs attributs qu'une opération d'influence pourrait incorporer dans sa
+stratégie vers celles-ci.
+
+Permettre la personnalisation des contenus et de la stratégie
+d'influence selon l'analyse obtenue.
+
+Préparation
+
+Développement des récits
+
+Promouvoir et renforcer des récits généraux en s'appuyant sur de
+nombreux récits locaux, diffusés régulièrement (à bas bruit en général)
+via les différents artefacts créés pour la campagne.
+
+Occuper et dominer le débat numérique en imposant progressivement des
+récits phares sur la société.
+
+
+
+Fabrication des contenus
+
+Créer ou acquérir des textes, images et tous les contenus nécessaires au
+soutien des récits généraux et des récits secondaires.
+
+Soutenir la mise en place des récits phares à l'aide de contenus
+crédibles.
+
+
+
+Mise en place des canaux de communication
+
+Créer, modifier ou compromettre des outils de messagerie (comptes de
+réseaux sociaux, chaînes de médias, personnel opérationnel).
+
+Faire la promotion des messages directement à l'audience ciblée sans
+dépendre d'entités externes.
+
+
+
+Mise en place des canaux de légitimation des récits
+
+Établir des ressources dédiées à la légitimation des récits (faux sites
+news, faux experts, sources vérifiées compromises).
+
+La création de relais informationnels soutient la légitimation des
+récits.
+
+
+
+Microciblage des audiences clefs
+
+Cibler des groupes de population très spécifiques via des contenus
+localisés, les fonctionnalités publicitaires des plateformes ou la
+création de chambres d'écho.
+
+Il vise à garantir une meilleure perception des récits de la part de
+certaines audiences et à consolider voire polariser les opinions
+d'audiences clefs.
+
+
+
+Sélection des canaux selon leur usage
+
+Sélectionner, après étude de marché, des vecteurs des différents
+narratifs ou artefacts créés, que ce soit des plateformes (réseaux
+sociaux, plateformes en ligne de partage de vidéos, hashtags, etc.), des
+médias traditionnels (télévision, journaux), etc. Étudier les
+fonctionnalités et l'accessibilité des plateformes.
+
+Déterminer quels seront les canaux et leurs usages qui maximiseront la
+diffusion des narratifs et artefacts de l'opération d'influence.
+
+Exécution
+
+Amorçage de la campagne
+
+Publier du contenu à une petite échelle ciblée en amont de la
+publication à grande échelle.
+
+Tester l'efficacité du dispositif mis en place et affiner les messages
+(A/B testing, utilisation de black SEO, etc.)
+
+
+
+Diffusion du contenu vers le grand public
+
+Diffuser largement du contenu à l'ensemble du public (diffusion de
+narratifs et artefacts sur les réseaux sociaux, publication d'articles,
+rédaction de commentaires, etc.).
+
+Atteindre les publics ciblés.
+
+
+
+Maximisation de l'exposition
+
+Amplifier via des stratégies cross-plateformes, de flooding et via des
+réseaux de trolls ou de bots.
+
+Assurer un maximum d'effets de la campagne.
+
+
+
+Mise en œuvre d'actions agressives en ligne
+
+Nuire à ses adversaires dans les espaces en ligne par le biais du
+harcèlement, de la divulgation d'informations privées et du contrôle de
+l'espace d'information.
+
+Supprimer toute opposition et remise en question de la campagne.
+
+
+
+Mise en œuvre d'actions hors ligne
+
+Inciter les utilisateurs à s'engager physiquement : de l'appel à
+manifester à l'achat de marchandises en passant par l'action violente.
+
+Faire basculer la campagne virtuelle dans le monde réel et toucher de
+nouvelles audiences.
+
+
+
+Persistance dans l'environnement informationnel
+
+Poursuite del'amplification de narratifs et effacement des traces
+(dissimulation des moyens employés, de l'identité des acteurs), même si
+l'événement principal est terminé.
+
+Assurer la continuité de la campagne sur le long-terme.
+
+Évaluation
+
+Évaluation de l'efficacité des actions
+
+Évaluer l'efficacité des actions
+
+\| Left-aligned \| Center-aligned \| Right-aligned \| \| :--- \| :---:
+\| ---: \| \| git status \| git status \| git status \| \| git diff \|
+git diff \| git diff \|
+
+Les techniques et procédures
+
+Les techniques et procédures décrivent le comportement de l'acteur
+malveillant. Par sa projection sous forme de matrice dynamique, et
+sachant que chaque étape de la matrice s'appuie sur les étapes
+précédentes, la détection d'un TTPs permet de mettre en évidence l'état
+d'avancée d'une campagne, les moyens utilisés par l'attaquant et enfin,
+d'évaluer son niveau d'effort et les capacités dont il dispose.
+
+Et ensuite ?
+
+La fondation Disarm se charge de faire vivre cette matrice en mettant
+notamment à jour les TTPs en fonction de l'évolution et de la
+sophistication des campagnes. Elle travaille également à plébisciter son
+emploi auprès des différents acteurs de la lutte contre la
+désinformation : plateformes, institutions, think tanks, etc. afin,
+entre autres, de permettre une détection plus rapide, une qualification
+plus qualitative et un partage de l'information efficace.
+
+La désinformation a besoin de se nourrir de la maturité et de l'avancée
+des questions qui préoccupent la CTI en matière d'état de la menace,
+d'anticipation, de capitalisation et de partage de l'information. Du
+lien entre ces deux matières peut naître des outils comme la matrice
+Disarm. C'est d'autant plus important qu'en retour, Disarm est un outil
+qui peut également alimenter le travail de la CTI. En effet, des
+campagnes comme Ghostwriter ou bien encore les Macron Leaks démontrent
+bien l'intrication de ces différents champs. Que ce soit le fruit d'une
+campagne mise en place par un acteur étatique ou une action opportuniste
+permise par une fuite de données, les pratiques des attaquants ne se
+limitent pas au champ du cyber ou de la désinformation. Ainsi doit-il en
+être également pour les acteurs qui souhaitent lutter contre. C'est la
+complémentarité technique de ces matrices qui permet la description de
+ces campagnes complexes. Et c'est la complémentarité des pratiques qui
+permettra une lutte efficace contre la désinformation et les campagnes
+informationnelles.
--- a/content/articles/Disarm/Disarm_matrice.md
+++ b/content/articles/Disarm/Disarm_matrice.md
@ -0,0 +1,281 @@
+---
+title: "Disarm : une matrice pour décrire les campagnes d'influence"
+---
+En octobre 2022, l'entreprise de cybersécurité américaine Mandiant a
+publié un article décrivant plusieurs campagnes d'influences semble-t-il
+d'origine chinoise, visant les États-Unis. Les éléments relevés
+décrivaient trois narratifs différents portés par le même acteur.
+
+Cet acteur, Dragonbridge, a été observé dès 2019 par Mandiant qui a
+constaté de nombreuses campagnes d'influence portées par ce réseau de
+milliers de comptes présents sur de nombreux réseaux sociaux et canaux
+de communication. Si, au départ, ce groupe a surtout mené des campagnes
+d'influences en faveur de la Chine, il s'attaque désormais, depuis
+quelques mois, à l'image des États-Unis. Il a également utilisé ses
+comptes de réseaux sociaux pour lancer des campagnes de dénigrement
+envers des entreprises d'exploitation de terres rares, canadiennes,
+australiennes et américaines.
+
+Dragonbridge a porté, cette fois-ci, trois narratifs spécifiques :
+
+tout d'abord, il a réattribué aux États-Unis, une campagne APT,
+normalement attribuée à un acteur proche de l'État chinois. En effet, en
+2020, pendant la pandémie, un groupe nommé APT 41 (Advanced Persistant
+Threat) avait mis en place une très large campagne de cyber-espionnage ;
+
+il a également poussé des narratifs visant à discréditer le système
+électoral américain en vue des midterms ;
+
+enfin, il allègue que l'explosion du pipeline NordStream 2 serait dû aux
+États-Unis.
+
+La publication de Mandiant revient ensuite sur toutes les tactiques,
+techniques et procédures (TTPs) utilisées par Dragonbridge pour pousser
+ces narratifs, en souligne à quel point ceux-ci sont innovants (cf. le
+titre de l'article : « Pro-PRC DRAGONBRIDGE Influence Campaign Leverages
+New TTPs to Aggressively Target U.S. Interests, Including Midterm
+Elections »).
+
+Cependant, lorsque l'on étudie ces tactiques, techniques et procédures à
+l'aune de la matrice Disarm on se rend compte que, même s'ils peuvent
+être nouveaux dans le cadre de leur exploitation par Dragonbridge, tous
+les éléments sont déjà présents dans Disarm.
+
+Disarm est une matrice open-source basée sur le comportement des acteurs
+malveillants qui permet de visualiser et de traduire une campagne
+d'influence sous la forme de TTPs. Cette traduction permet, à l'instar
+de la matrice MITRE ATT&CK utilisée dans le cadre de la Cyber Threat
+Intelligence (CTI, collecte et capitalisation de renseignements sur les
+campagnes d'attaques cyber) d'enregistrer ces éléments et d'alimenter
+des outils d'archivage et d'exploitation de type MISP ou bien encore
+OpenCTI.
+
+La matrice Disarm présente de nombreux intérêts dans la description de
+campagnes d'influence ou d'opérations informationnelles. La description
+des TTPs permet de mesurer, dans un premier temps, le niveau d'effort
+que l'acteur consent dans une campagne en cours ou qu'il cherche à
+mettre en place. Après avoir traduit les éléments visibles de cette
+campagne selon les critères de la matrice, l'analyste est en mesure de
+déterminer le temps investi par l'attaquant pour développer les
+artefacts nécessaires à sa campagne, ainsi que les moyens à sa
+disposition (notamment financiers).
+
+Dans un second temps, cette traduction permet de comprendre la
+structuration de cette campagne en mettant en lumière le comportement de
+l'attaquant. En effet, les TTPs sont liées entre elles, en terme de
+temporalité ou de techniques. Rendre visible une technique, tactique ou
+procédure permet de comprendre ce dont l'acteur a eu besoin, en amont,
+pour la développer et ce qu'il cherche à obtenir comme effet grâce à
+celle-ci. À l'instar de la CTI, l'analyse de ces TTPs constitue donc un
+premier pas dans la création d'outils et de méthodes pour répondre aux
+opérations de campagnes de manipulation de l'information.
+
+Cet article met enfin, un élément très important en lumière. En effet,
+Mandiant souligne que cet acteur a déjà été observé. Les supports qu'il
+utilise ont déjà été relevés (profils de réseaux sociaux notamment).
+Pourtant il persiste en exploitant les même outils, les mêmes comptes.
+Ce qui souligne le fait que les acteurs de ces campagnes de manipulation
+de l'information ne s'arrêtent pas parce qu'on les a exposés. Ils
+reviennent.
+
+Ci-dessous les différentes TTPs relevées par Mandiant dans son article
+et traduites dans la matrice Disarm.
+
+TTPs : TA13 T0072.005
+
+Nom : Target audience analysis Political segmentation
+
+Extrait de l'article : « Aggressively targeting the United States by
+seeking to sow division both between the U.S. and its allies and within
+the U.S. political system itself »
+
+Cibler les États-Unis de manière agressive en cherchant à semer la
+division tant entre les États-Unis et leurs alliés qu'au sein même du
+système politique américain. Le groupe Dragonbridge utilise des
+narratifs existants sur la justice sociale et les conflits raciaux et
+s'appuie sur des narratifs comme « Le vote ne soignera pas la maladie
+dont souffre les États-Unis ; le système législatif américain est
+inefficace. »
+
+TTPs : TA14 T0068
+
+Nom : Respond to breaking news event or active crisis
+
+Extrait : « Allegations that the U.S. was responsible for the Nord
+Stream gas pipeline explosions.
+
+DRAGONBRIDGE's messaging mirrored Russian President Vladimir Putin's
+statements that the U.S. had sabotaged the pipelines ».
+
+Proclamer que les États-Unis sont responsables des explosions du gazoduc
+Nord Stream.
+
+Le message de DRAGONBRIDGE reflète les déclarations du président russe
+Vladimir Poutine selon lesquelles les États-Unis auraient saboté les
+pipelines.
+
+TTPs : TA14 T0083
+
+Nom : Integrate target audiance vulnerabilities into narrative
+
+Extrait : « Discredit the U.S. democratic process, including attempts to
+discourage Americans from voting in the 2022 U.S. midterm elections. »
+
+Discréditer le processus démocratique américain, notamment en tentant de
+décourager les Américains de voter lors des élections de mi-mandat de
+2022. Le narratif poussé étant que le processus démocratique américain
+serait en train de se détériorer, deviendrait inefficace, que la société
+serait fondamentalement divisée.
+
+TTPs : TA06 T0019.002
+
+Nom : Hijack hashtags
+
+Extrait : « Accounts also used the hashtags #AllRoadsLeadToChengdu or
+#Chengdu404, which were used by the legitimate Intrusion Truth regarding
+APT41 ».
+
+Réutiliser un \# employé par Intrusion Truth pour attribuer APT41 à la
+Chine et l'exploiter en disant que ce sont, en fait, les États-Unis qui
+sont derrière ce groupe.
+
+TTPs : TA06 T0023
+
+Nom : Distort facts
+
+Extrait : « Claims that the China-nexus threat group APT41 is instead a
+U.S. government-backed actor »
+
+Affirmer que le groupe de menace APT41, lié à la Chine, est un acteur
+soutenu par le gouvernement américain.
+
+TTPs : TA06 T0087 & TA07 T0105.002 & TA17 T0119
+
+Nom : Develop Video-based Content & Video Sharing & Cross-posting
+
+Extrait : « DRAGONBRIDGE accounts posted an English-language video
+across multiple platforms containing content attempting to discourage
+Americans from voting in the upcoming U.S. midterm elections »
+
+Des comptes DRAGONBRIDGE ont publié une vidéo en anglais sur plusieurs
+plateformes. Le contenu de cette vidéo vise à décourager les Américains
+de voter lors des prochaines élections de mi-mandat aux États-Unis.
+
+Remarque : il est logique qu'avant de publier une vidéo, il faille la
+produire. L'intérêt de le faire apparaître dans la matrice c'est que
+l'on peut ainsi se situer temporellement dans la campagne. Produire une
+vidéo, commencer à la diffuser, faire en sorte que celle-ci se retrouve
+sur de nombreuses plate-formes pour être sûr de sa visibilité : tous ces
+éléments sont liés à des acteurs, des temps d'action et de planification
+différents. Visualiser cette TTP au sein de la matrice permet également
+de se poser la question des différents intervenants dans une campagne.
+En effet, la fabrication de la vidéo a sûrement été externalisée à une
+entreprise tierce.
+
+TTPs : TA06 T0089.002
+
+Nom : Create inauthentic documents
+
+Extrait : « While we have previously observed DRAGONBRIDGE themes
+involving alleged malicious U.S. cyber activity, fabrications regarding
+APT41 as American in origin appears to be an escalation in the degree of
+implied U.S. operations. »
+
+Créer des preuves attribuant de manière fallacieuse l'APT 41 aux
+États-Unis.
+
+TTPs : TA06 T0089.003
+
+Nom : Alter authentic documents
+
+Extrait : « Plagiarism and Alteration of News Articles »
+
+Plagiat et altération d'articles d'actualité : plagier des articles et
+des tweets existants, originellement publiés par Intrusion Truth.
+
+TTPs : TA16 T0090
+
+Nom : Create inauthentic accounts
+
+Extrait :
+
+« Accounts' use of profile photos appropriated from various online
+sources, including stock photography.
+
+Suggesting that they sought to obfuscate their identities.
+
+Clustering of their creation dates.
+
+Suggesting possible batch creation.
+
+Similar patterns in usernames consisting of English-language names,
+followed by seemingly random numeric strings.
+
+Many accounts posting similar or identical content »
+
+Utilisation par les comptes de photos de profil provenant de diverses
+sources en ligne, y compris de photographies de stock suggérant qu'ils
+ont cherché à dissimuler leur identité.
+
+Regroupement de leurs dates de création suggérant une possible création
+par lots.
+
+Schémas similaires dans les noms d'utilisateur, composés de noms en
+langue anglaise, suivis de chaînes numériques apparemment aléatoires.
+
+Comptes publiant des contenus similaires ou identiques.
+
+TTPs : TA16 T0099 & TA16 T0100
+
+Nom : Prepare assets impersonting legitimate entities & Co-opte trusted
+sources
+
+Extrait : « Nuanced Impersonation of Cyber Actors. We identified what we
+assessed with moderate to high confidence, on a per-account basis, to be
+eight Twitter accounts impersonating Intrusion Truth comprising part of
+the DRAGONBRIDGE campaign. »
+
+Usurpation d'identité des cyberacteurs. Huit comptes Twitter se feraient
+passer pour Intrusion Truth dans le cadre de la campagne DRAGONBRIDGE.
+
+Usurpation d'identité d'un groupe qui publie normalement des documents
+et des analyses sur la menace cyber.
+
+Création de faux profils reprenant des acteurs de ce groupe pour poster
+des tweets plagiés ou altérés.
+
+Utilisation des comptes de réseaux sociaux ressemblant à un groupe connu
+et référencé (Intrusion Truth), utilisation de médias reconnus : un
+article de blog de Mandiant, un article du site d'infos Sing Tao Daily,
+etc.
+
+TTPs : TA09 T0116
+
+Nom : Comment or reply on content
+
+Extrait : « Separate DRAGONBRIDGE accounts have also replied to tweets
+posted by the original Intrusion Truth, questioning the veracity of the
+group's information while highlighting alleged malicious U.S. cyber
+activities. »
+
+Des comptes distincts de DRAGONBRIDGE ont également répondu à des tweets
+postés originellement par Intrusion Truth, mettant en doute la véracité
+des informations du groupe tout en soulignant que les États-Unis
+seraient responsables d'activités cybernétiques malveillantes.
+
+TTPs : TA11 T0059
+
+Nom : Play the long game
+
+Extrait : « Several of these impersonator accounts promoted content and
+hashtags similar, or identical to, other DRAGONBRIDGE messaging on
+alleged malicious cyber activity »
+
+Réutilisation des faux profils de réseaux sociaux pour promouvoir
+d'autres campagnes de Dragonbridge.
+
+Remarque : Si certaines TTPs semblent faire doublon ou répéter les mêmes
+éléments, on observe cependant que, dans la globalité de la matrice,
+elles sont en fait complémentaires. Finalement, c'est la place qu'elles
+prennent dans la temporalité de la campagne qui explique ces
+ressemblances.
--- a/content/articles/Disarm/Disarm_matrice.tex
+++ b/content/articles/Disarm/Disarm_matrice.tex
@ -0,0 +1,156 @@
+En octobre 2022, l’entreprise de cybersécurité américaine Mandiant a publié un article décrivant plusieurs campagnes d’influences semble-t-il d’origine chinoise, visant les États-Unis. Les éléments relevés décrivaient trois narratifs différents portés par le même acteur.
+
+Cet acteur, Dragonbridge, a été observé dès 2019 par Mandiant qui a constaté de nombreuses campagnes d’influence portées par ce réseau de milliers de comptes présents sur de nombreux réseaux sociaux et canaux de communication. Si, au départ, ce groupe a surtout mené des campagnes d’influences en faveur de la Chine, il s’attaque désormais, depuis quelques mois, à l’image des États-Unis. Il a également utilisé ses comptes de réseaux sociaux pour lancer des campagnes de dénigrement envers des entreprises d’exploitation de terres rares, canadiennes, australiennes et américaines.
+
+Dragonbridge a porté, cette fois-ci, trois narratifs spécifiques :
+
+    tout d’abord, il a réattribué aux États-Unis, une campagne APT, normalement attribuée à un acteur proche de l’État chinois. En effet, en 2020, pendant la pandémie, un groupe nommé APT 41 (Advanced Persistant Threat) avait mis en place une très large campagne de cyber-espionnage ;
+
+    il a également poussé des narratifs visant à discréditer le système électoral américain en vue des midterms ;
+
+    enfin, il allègue que l’explosion du pipeline NordStream 2 serait dû aux États-Unis.
+
+La publication de Mandiant revient ensuite sur toutes les tactiques, techniques et procédures (TTPs) utilisées par Dragonbridge pour pousser ces narratifs, en souligne à quel point ceux-ci sont innovants (cf. le titre de l’article : « Pro-PRC DRAGONBRIDGE Influence Campaign Leverages New TTPs to Aggressively Target U.S. Interests, Including Midterm Elections »). 
+
+Cependant, lorsque l’on étudie ces tactiques, techniques et procédures à l’aune de la matrice Disarm on se rend compte que, même s’ils peuvent être nouveaux dans le cadre de leur exploitation par Dragonbridge, tous les éléments sont déjà présents dans Disarm.
+
+Disarm est une matrice open-source basée sur le comportement des acteurs malveillants qui permet de visualiser et de traduire une campagne d’influence sous la forme de TTPs. Cette traduction permet, à l’instar de la matrice MITRE ATT&CK utilisée dans le cadre de la Cyber Threat Intelligence (CTI, collecte et capitalisation de renseignements sur les campagnes d’attaques cyber) d’enregistrer ces éléments et d’alimenter des outils d’archivage et d’exploitation de type MISP ou bien encore OpenCTI.
+
+La matrice Disarm présente de nombreux intérêts dans la description de campagnes d’influence ou d’opérations informationnelles. La description des TTPs permet de mesurer, dans un premier temps, le niveau d’effort que l’acteur consent dans une campagne en cours ou qu’il cherche à mettre en place. Après avoir traduit les éléments visibles de cette campagne selon les critères de la matrice, l’analyste est en mesure de déterminer le temps investi par l’attaquant pour développer les artefacts nécessaires à sa campagne, ainsi que les moyens à sa disposition (notamment financiers). 
+
+Dans un second temps, cette traduction permet de comprendre la structuration de cette campagne en mettant en lumière le comportement de l’attaquant. En effet, les TTPs sont liées entre elles, en terme de temporalité ou de techniques. Rendre visible une technique, tactique ou procédure permet de comprendre ce dont l’acteur a eu besoin, en amont, pour la développer et ce qu’il cherche à obtenir comme effet grâce à celle-ci. À l’instar de la CTI, l’analyse de ces TTPs constitue donc un premier pas dans la création d’outils et de méthodes pour répondre aux opérations de campagnes de manipulation de l'information.
+
+Cet article met enfin, un élément très important en lumière. En effet, Mandiant souligne que cet acteur a déjà été observé. Les supports qu’il utilise ont déjà été relevés (profils de réseaux sociaux notamment). Pourtant il persiste en exploitant les même outils, les mêmes comptes. Ce qui souligne le fait que les acteurs de ces campagnes de manipulation de l'information ne s’arrêtent pas parce qu’on les a exposés. Ils reviennent.
+
+Ci-dessous les différentes TTPs relevées par Mandiant dans son article et traduites dans la matrice Disarm.
+
+TTPs : TA13 T0072.005 
+
+Nom : Target audience analysis Political segmentation
+
+Extrait de l’article : « Aggressively targeting the United States by seeking to sow division both between the U.S. and its allies and within the U.S. political system itself »
+
+Cibler les États-Unis de manière agressive en cherchant à semer la division tant entre les États-Unis et leurs alliés qu'au sein même du système politique américain. Le groupe Dragonbridge utilise des narratifs existants sur la justice sociale et les conflits raciaux et s'appuie sur des narratifs comme « Le vote ne soignera pas la maladie dont souffre les États-Unis ; le système législatif américain est inefficace. »
+
+TTPs : TA14 T0068
+
+Nom : Respond to breaking news event or active crisis
+
+Extrait : « Allegations that the U.S. was responsible for the Nord Stream gas pipeline explosions.
+
+DRAGONBRIDGE’s messaging mirrored Russian President Vladimir Putin’s statements that the U.S. had sabotaged the pipelines ».
+
+Proclamer que les États-Unis sont responsables des explosions du gazoduc Nord Stream.
+
+Le message de DRAGONBRIDGE reflète les déclarations du président russe Vladimir Poutine selon lesquelles les États-Unis auraient saboté les pipelines.
+
+TTPs : TA14 T0083  
+
+Nom : Integrate target audiance vulnerabilities into narrative
+
+Extrait : « Discredit the U.S. democratic process, including attempts to discourage Americans from voting in the 2022 U.S. midterm elections. »
+
+Discréditer le processus démocratique américain, notamment en tentant de décourager les Américains de voter lors des élections de mi-mandat de 2022. Le narratif poussé étant que le processus démocratique américain serait en train de se détériorer, deviendrait inefficace, que la société serait fondamentalement divisée.  
+
+TTPs : TA06 T0019.002
+
+Nom : Hijack hashtags
+
+Extrait : « Accounts also used the hashtags #AllRoadsLeadToChengdu or #Chengdu404, which were used by the legitimate Intrusion Truth regarding APT41 ».
+
+Réutiliser un # employé par Intrusion Truth pour attribuer APT41 à la Chine et l’exploiter en disant que ce sont, en fait, les États-Unis qui sont derrière ce groupe.
+
+TTPs : TA06 T0023
+
+Nom : Distort facts	
+
+Extrait : « Claims that the China-nexus threat group APT41 is instead a U.S. government-backed actor »
+
+Affirmer que le groupe de menace APT41, lié à la Chine, est un acteur soutenu par le gouvernement américain.	
+
+TTPs : TA06 T0087 & TA07 T0105.002 & TA17 T0119
+
+Nom : Develop Video-based Content & Video Sharing & Cross-posting
+
+Extrait : « DRAGONBRIDGE accounts posted an English-language video across multiple platforms containing content attempting to discourage Americans from voting in the upcoming U.S. midterm elections »
+
+Des comptes DRAGONBRIDGE ont publié une vidéo en anglais sur plusieurs plateformes. Le contenu de cette vidéo vise à décourager les Américains de voter lors des prochaines élections de mi-mandat aux États-Unis.
+
+Remarque : il est logique qu’avant de publier une vidéo, il faille la produire. L’intérêt de le faire apparaître dans la matrice c’est que l’on peut ainsi se situer temporellement dans la campagne. Produire une vidéo, commencer à la diffuser, faire en sorte que celle-ci se retrouve sur de nombreuses plate-formes pour être sûr de sa visibilité : tous ces éléments sont liés à des acteurs, des temps d’action et de planification différents. Visualiser cette TTP au sein de la matrice permet également de se poser la question des différents intervenants dans une campagne. En effet, la fabrication de la vidéo a sûrement été externalisée à une entreprise tierce.
+
+TTPs : TA06 T0089.002
+
+Nom : Create inauthentic documents
+
+Extrait : « While we have previously observed DRAGONBRIDGE themes involving alleged malicious U.S. cyber activity, fabrications regarding APT41 as American in origin appears to be an escalation in the degree of implied U.S. operations. »
+
+Créer des preuves attribuant de manière fallacieuse l'APT 41 aux États-Unis.
+
+TTPs : TA06 T0089.003
+
+Nom : Alter authentic documents
+
+Extrait : « Plagiarism and Alteration of News Articles »
+
+Plagiat et altération d'articles d'actualité : plagier des articles et des tweets existants, originellement publiés par Intrusion Truth.
+
+TTPs : TA16 T0090
+
+Nom : Create inauthentic accounts
+
+Extrait : 
+
+    « Accounts' use of profile photos appropriated from various online sources, including stock photography. 
+
+    Suggesting that they sought to obfuscate their identities. 
+
+    Clustering of their creation dates. 
+
+    Suggesting possible batch creation. 
+
+    Similar patterns in usernames consisting of English-language names, followed by seemingly random numeric strings. 
+
+    Many accounts posting similar or identical content »
+
+
+    Utilisation par les comptes de photos de profil provenant de diverses sources en ligne, y compris de photographies de stock suggérant qu'ils ont cherché à dissimuler leur identité.
+
+    Regroupement de leurs dates de création suggérant une possible création par lots.
+
+    Schémas similaires dans les noms d'utilisateur, composés de noms en langue anglaise, suivis de chaînes numériques apparemment aléatoires.
+
+    Comptes publiant des contenus similaires ou identiques.
+
+
+TTPs : TA16 T0099 & TA16 T0100
+
+Nom : Prepare assets impersonting legitimate entities & Co-opte trusted sources
+
+Extrait : « Nuanced Impersonation of Cyber Actors. We identified what we assessed with moderate to high confidence, on a per-account basis, to be eight Twitter accounts impersonating Intrusion Truth comprising part of the DRAGONBRIDGE campaign. »
+
+    Usurpation d'identité  des cyberacteurs. Huit comptes Twitter se feraient passer pour Intrusion Truth dans le cadre de la campagne DRAGONBRIDGE. 
+
+    Usurpation d'identité d'un groupe qui publie normalement des documents et des analyses sur la menace cyber. 
+
+    Création de faux profils reprenant des acteurs de ce groupe pour poster des tweets plagiés ou altérés.
+
+    Utilisation des comptes de réseaux sociaux ressemblant à un groupe connu et référencé (Intrusion Truth), utilisation de médias reconnus : un article de blog de Mandiant, un article du site d'infos Sing Tao Daily, etc.
+
+
+TTPs : TA09 T0116
+
+Nom : Comment or reply on content
+
+Extrait : « Separate DRAGONBRIDGE accounts have also replied to tweets posted by the original Intrusion Truth, questioning the veracity of the group’s information while highlighting alleged malicious U.S. cyber activities. »
+
+Des comptes distincts de DRAGONBRIDGE ont également répondu à des tweets postés originellement par Intrusion Truth, mettant en doute la véracité des informations du groupe tout en soulignant que les États-Unis seraient responsables d'activités cybernétiques malveillantes. 
+
+TTPs : TA11 T0059
+
+Nom : Play the long game
+
+Extrait : « Several of these impersonator accounts promoted content and hashtags similar, or identical to, other DRAGONBRIDGE messaging on alleged malicious cyber activity »
+
+Réutilisation des faux profils de réseaux sociaux pour promouvoir d'autres campagnes de Dragonbridge.
+
+Remarque : Si certaines TTPs semblent faire doublon ou répéter les mêmes éléments, on  observe cependant que, dans la globalité de la matrice, elles sont en fait complémentaires. Finalement, c’est la place qu’elles prennent dans la temporalité de la campagne qui explique ces ressemblances.
--- a/content/articles/Faux_articles_Parisien/Article.tex
+++ b/content/articles/Faux_articles_Parisien/Article.tex
@ -0,0 +1,171 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                          
+
+\title{Faux articles du Parisien, un exemple de la tactique T0099 (DISARM)}          
+\author{Contribution M82} %\and Autre Auteur}
+ \date{18 juin 2023}                     
+			    
+\sloppy  
+\begin{document}
+
+\maketitle                 
+
+Nombreux sont ceux qui ont été trompés par \href{https://twitter.com/search?q=Un\%20exode\%20massif\%20pour\%20\%C3\%A9chapper\%20\%C3\%A0\%20l\%27esclavage\%20militaire&src=typed_query}{ces articles et les ont relayés. D’ailleurs, certains se sont rendus compte de la supercherie et ont supprimés leurs tweets. D’autres ont reconnu leur erreur : « J'ai relayé un moment à tort cet article et je le regrette, et ce, même si je conteste le narratif otanien. » peut-on lire sur LinkedIn.}
+ Mais pour la plupart, le mal est fait. 
+
+
+Cette technique, qui utilise les visuels et les codes d’un site légitime est connue sous le nom de typosquatting elle est identifiée dans la matrice DISARM en tant que tactique T0099 « Prepare assets Impersonating Legitmate entities » et se situe dans la phase « préparatoire » d’une campagne de manipulation de l’information.
+
+
+L'intention de ce faux imitant le Parisien était claire : faire douter l'opinion publique française du bien-fondé du soutien de la France à l'Ukraine.
+
+Cette intention est particulièrement lisible dans les extraits suivants:
+
+
+« Les pertes effroyables subies par l'armée ukrainienne ont montré aux Ukrainiens ordinaires à quel point leurs chances de revenir vivants du front étaient minces, après quoi le désir de "se battre jusqu'à ce que la Russie soit vaincue" a brusquement disparu. Et la "contre-offensive" prévue, au cours de laquelle des soldats de l'armée ukrainienne non entraînés seront lancés contre des soldats de l'armée russe bien entraînés, réduit ces chances à néant. »
+ Ou encore :
+
+« Le slogan "L'Ukraine doit gagner sur le champ de bataille", promu avec insistance par les dirigeants des États-Unis et d'autres pays occidentaux, ne suscite aucun enthousiasme chez l'Ukrainien ordinaire – il a déjà bien compris que lorsqu'il s'applique à lui personnellement, ce slogan signifie : "Tu dois crever au front, parce que c'est ce que Washington a ordonné". »
+
+ Il faut reconnaitre que tout a été fait pour induire en erreur. Seule l'URL visible dans la barre d'adresse permet de séparer le bon grain de l'ivraie. 
+
+
+
+L'adresse du vrai site du Parisien est, en effet, leparisien.fr, alors que celle du faux est leparisien.ltd. Cette extension, aussi appelée top-level-domain est, a priori, dédiée aux sociétés commerciales à responsabilité limitée. LTD signifiant Limited est un statut principalement utilisé au Royaume Uni, en Irlande, en Inde et à Hong Kong. Mais n'importe qui peut réserver un nom de domaine en .ltd.
+
+Ce nom de domaine du faux site du Parisien a été déposé récemment : le 2 février 2023 exactement. Pas moins de 21 articles ont été retrouvé pour le moment. Leur publication s'est échelonnée du 17 février au 19 avril (cf. liste en annexe), si tant est que les dates affichées sur les articles soient exactes. Mais tous n'ont pas eu le même succès que celui sur la supposée désertion des soldats ukrainiens et certains ne sont plus en ligne. Ces articles ont pu être archivés par Waybackmachine, instantanés de pages web. Pour éviter d'apporter du trafic et de la visibilité au faux site Le Parisien, nous avons ajouté les liens pointant vers la Waybackmachine, un site qui enregistre des URL et archive des captures de sites, plutôt que vers le faux site.
+
+
+L'article du 3 mars dernier sur le financement par la France des athlètes ukrainiens est particulièrement intéressant dans sa conception et révélateur du modus operandi et du narratif développé.
+
+ L'article débute par \href{https://www.lequipe.fr/Athletisme/Actualites/La-france-promet-une-aide-d-un-million-d-euros-aux-athletes-ukrainiens-pour-les-jo-2024/1382521}{l'annonce le 24 février par la ministre des Sports, Amélie Oudéa-Castera,} du déblocage d'une aide d'un million d'euros en faveur des athlètes ukrainiens leur servant à préparer au mieux les JO 2024. Puis poursuit sur \href{https://www.lequipe.fr/Tous-sports/Actualites/L-aide-financiere-de-la-france-aux-sportifs-ukrainiens-mal-comprise-par-les-athletes-tricolores/1383462}{la réaction du triple champion de France du 1 500 m Alexis Miellet et celle d'Ayodélé Ikuesan}, vice-championne d'Europe du relais 4x100 m en 2014 reprises in extenso. L'article dérive soudainement et délivre le narratif brutalement anti-occidental suivant : « Alors que le pays mène une guerre brutale, où l'Occident investit des milliards, la "jeunesse dorée" ukrainienne fait la fête dans les meilleures stations balnéaires d'Europe. Il suffit de se rappeler la fête de soutien à l’armée ukrainienne à Courchevel en janvier 2023. » Ceci faisant sans doute allusion à une \href{https://www.tf1info.fr/international/video-guerre-ukraine-russie-des-jeunes-skieurs-francais-et-russes-a-courchevel-ont-ils-fete-la-mort-de-kiev-avec-un-cercueil-aux-couleurs-de-l-ukraine-2250135.html}{fête filmée à Courchevel, séquence aussi bien diffusée par des comptes pro-Kiev que pro-Kremlin début mars 2023}. Ce faux article de conclure sur des déclarations, non sourcées, d'Alain Juillet, exploitant ici un biais d’autorité, technique d’influence bien documentée en psychologie sociale (voir par exemple  BRION, A., BRUN, L., BOUBON, W., \& JULLIARD, Y. Démêler l’influence respective de l’expertise et de l’autorité sur les changements d’attitude.) :
+
+
+« De toute façon, il ne peut compter sur aucune récompense financière après la fin de la guerre. Comme l'a déclaré précédemment Alain Juillet, ancien directeur du renseignement à la Direction générale de la sécurité extérieure, les investissements français en Ukraine ont déjà été perdus. Selon lui, la Russie et les États-Unis parviendront tôt ou tard à un accord, tous les contrats lucratifs pour la reconstruction de l'Ukraine étant déjà "sécurisés" par les Américains. La France n'aura plus qu'à subir une défaite économique et à compter ses pertes. »
+
+
+
+
+Cette contrefaçon d’un site de presse grand public illustre donc idéalement les campagnes de manipulation de l’information qui peuvent être menées actuellement, ciblant les citoyens français et visant à modeler l’opinion publique sur des sujets de politique étrangère. Ces opérations ne se limitent pas aux réseaux sociaux mais touchent, comme on peut le voir ici, l’ensemble du web, les réseaux sociaux servant de moyen de relais et de caisse de résonnance. Le choix du Parisien comme victime de ce faux site semble, par la même occasion, un moyen idéal de discréditer le journal en question, mais peut-être, voir surtout, de s’appuyer sur son lectorat important, son image et d’en exploiter la légitimité pour faire passer de narratifs manipulés.
+\\
+
+  A lire sur le même thème :
+\href{https://www.disinfo.eu/wp-content/uploads/2022/09/Doppelganger-1.pdf}{Le rapport de Eu DisinfoLab Doppelganger Media clones serving Russian propaganda }
+\\
+
+Liste des articles (nous ne diffusons pas les liens cliquables pour éviter de générer du trafic sur ces sites):
+\\
+
+17 février 2023
+Nostalgie de la Russie
+La France a beaucoup à perdre en mettant fin à sa coopération avec la Russie. Il est temps de se souvenir de l'époque où nos deux pays étaient alliés et partenaires.
+\\
+
+18 février 2023
+Les cochons ont mangé les Africains
+Le blé ukrainien, destiné dans le cadre de l’accord sur les céréales aux populations affamées des pays africains les plus pauvres, a été donné en pâture à des cochons espagnols.
+\\
+
+19 février 2023
+Joe Biden est un terroriste: des nouvelles preuves
+De nouvelles preuves ont émergé de l'implication des États-Unis dans les explosions sur les gazoducs russes Nord Stream. Ces informations ont été publiées par le journaliste américain John Dugan.
+\\
+
+3 mars 2023
+Les athlètes ukrainiens recevront un million. Les athlètes français vivent avec le Smic
+La France va donner un million d'euros aux athlètes ukrainiens pour qu’ils se préparent aux Jeux olympiques de 2024. Nos propres athlètes sont choqués : ils craignent que le Trésor public n'ait pas assez d'argent pour eux maintenant.
+\\
+
+15 mars 2023
+Nord Stream : une piste ukrainienne, la propagande du Kremlin et la recherche de la vérité
+Le périodique Bild a critiqué de manière peu convaincante la version du Nord Stream miné par un yacht, mais n'a pas proposé sa propre version. Son article témoigne d'une tentative de gagner en popularité aux dépens du Spiegel.
+\\
+
+20 mars 2023
+Les réserves de Moscou sont-elles inépuisables? Les géants russes de l'armement font preuve de puissance.
+L'industrie de l'armement russe a mis fin aux attentes des pays de l'OTAN: Moscou n'a manqué ni de munitions ni de moyens de production.
+\\
+
+21 mars 2023
+Le cauchemar de l'Occident. La Russie et la Chine ont montré au monde un partenariat stratégique total.
+Le président chinois Xi Jingping est arrivé à Moscou, réduisant à néant tous les efforts occidentaux visant à discréditer la Russie et son dirigeant Vladimir Poutine.
+\\
+
+21 mars 2023
+Le droit à l'absurde. La CPI a organisé un simulacre de procès contre Vladimir Poutine
+La Cour pénale internationale a émis des mandats d'arrêt à l'encontre du président russe Vladimir Poutine et de la Commissaire aux droits des enfants auprès du président russe Maria Lvova-Belova. Ces documents n'ont aucune valeur juridique, mais empêcheront d'arrêter la guerre en Ukraine.
+\\
+
+21 mars 2023
+Le mandat d'arrêt de Poutine est un verdict pour l'Europe. Un nouveau pas vers la Troisième Guerre mondiale.
+Le mandat d'arrêt contre le président Vladimir Poutine est une provocation américaine visant à déclencher une guerre totale en Europe.
+\\
+
+23 mars 2023
+Seules la Chine et la Russie veulent la paix en Europe ? Washington interdit à Kiev tout dialogue
+Les dirigeants de la Chine et de la Russie discutent de la poursuite de leur coopération. Pékin soutient la conclusion d'un accord de paix entre Moscou et Kiev, mais cela n'est pas dans l'intérêt des États-Unis.
+\\
+
+24 mars 2023
+La guerre en Europe n'est plus nécessaire. Le secrétaire d'État américain parle de nouvelles frontières pour l'Ukraine.
+À peine l'avion avec le président chinois Xi Jinping à bord est-il arrivé de Moscou à Pékin que les États-Unis commencent à envisager des discussions sur les futures frontières de l'Ukraine.
+\\
+ 
+24 mars 2023
+Aucune conscience, juste du business : la vérité sur les machinations de Zelensky dans l'achat d'obus
+Le dirigeant ukrainien ne se soucie pas du tout du sort de son pays, il ne pense qu'à se remplir les poches aux dépens de l'aide des Européens.
+\\
+
+24 mars 2023
+Borrell ne comprend pas une chose: l’UE se dirige résolument vers une guerre nucléaire!
+Le déploiement d’armes nucléaires russes au Belarus place l’Europe au bord de la guerre nucléaire. Il est grand temps de passer aux négociations.
+\\
+ 
+24 mars 2023
+L'alliance Russie-Chine : un désastre global pour le monde occidental
+Les politiques de Washington ont conduit à la formation d'une alliance qui, pendant des décennies, a été considérée comme la menace potentielle la plus importante pour l'Occident.
+\\
+
+24 mars 2023
+L'occupation de la Laure des Grottes de Kiev. Hiérarques authentiques et ceux "sous couverture".
+Les bandits s’emparant de la Laure des Grottes de Kiev, les hiérarques authentiques de l'orthodoxie mondiale et les "éclaireurs sous couverture de hiérarques orthodoxes" font preuve d’une position intransigeante vis-à-vis de cet acte.
+\\
+
+24 mars 2023
+Le chemin de la folie. Oublier une guerre ratée pour commencer la suivante
+Les Américains ont dépensé près de 2 000 milliards de dollars et tué des centaines de milliers d'Irakiens pour que "les fruits de la victoire reviennent à la Chine"
+\\
+
+24 mars 2023
+Le pape s'inquiète pour l'Ukraine. Il n’est plus possible de fermer les yeux à la persécution de l'Église orthodoxe ukrainienne
+Le pape et l'ONU ont réagi à l'appel du patriarche Kirill de Moscou et de toutes les Russies
+\\
+
+24 mars 2023
+Les États-Unis ont perdu leur leadership et livrent l'Ukraine aux Russes. Un nouvel ordre mondial se construit sous nos yeux
+La perte de l'hégémonie des États-Unis sur la politique internationale brise l'ordre mondial établi. Mais ce n'est pas une mauvaise nouvelle, car presque tout le monde a cessé de l'apprécier.
+\\ 
+
+4 avril 2023
+Détourner l’attention de Pékin de Moscou. La "mission impossible" de Macron
+Emmanuel Macron se rend en Chine pour une ambitieuse mission diplomatique visant à détourner l’attention de Pékin de Moscou. Mais il est très peu probable qu’il réussisse.
+\\
+
+4 avril 2023
+Des milliers de milliards perdus.
+Un économiste de renom prédit une nouvelle crise bancaire.
+\\
+
+19 avril 2023
+Un exode massif pour échapper à l'esclavage militaire. Les Ukrainiens tentent d'échapper à une mort imminente sur le front.
+La résistance passive à la mobilisation en Ukraine devient progressivement systémique.
+\\
+
+
+\end{document}
--- a/content/articles/Faux_articles_Parisien/Faux
+++ b/content/articles/Faux_articles_Parisien/Faux
--- a/content/articles/Faux_articles_Parisien/Faux_Articles_Parisien.md
+++ b/content/articles/Faux_articles_Parisien/Faux_Articles_Parisien.md
@ -0,0 +1,204 @@
+---
+title: "Faux articles du Parisien"
+---
+Nombreux sont ceux qui ont été trompés par [ces articles et les ont
+relayés. D'ailleurs, certains se sont rendus compte de la supercherie et
+ont supprimés leurs tweets. D'autres ont reconnu leur erreur : « J'ai
+relayé un moment à tort cet article et je le regrette, et ce, même si je
+conteste le narratif otanien. » peut-on lire sur
+LinkedIn.](https://twitter.com/search?q=Un%20exode%20massif%20pour%20%C3%A9chapper%20%C3%A0%20l%27esclavage%20militaire&src=typed_query)
+Mais pour la plupart, le mal est fait.
+
+Cette technique, qui utilise les visuels et les codes d'un site légitime
+est connue sous le nom de typosquatting elle est identifiée dans la
+matrice DISARM en tant que tactique T0099 « Prepare assets Impersonating
+Legitmate entities » et se situe dans la phase « préparatoire » d'une
+campagne de manipulation de l'information.
+
+L'intention de ce faux imitant le Parisien était claire : faire douter
+l'opinion publique française du bien-fondé du soutien de la France à
+l'Ukraine.
+
+Cette intention est particulièrement lisible dans les extraits suivants:
+
+« Les pertes effroyables subies par l'armée ukrainienne ont montré aux
+Ukrainiens ordinaires à quel point leurs chances de revenir vivants du
+front étaient minces, après quoi le désir de \"se battre jusqu'à ce que
+la Russie soit vaincue\" a brusquement disparu. Et la
+\"contre-offensive\" prévue, au cours de laquelle des soldats de l'armée
+ukrainienne non entraînés seront lancés contre des soldats de l'armée
+russe bien entraînés, réduit ces chances à néant. » Ou encore :
+
+« Le slogan \"L'Ukraine doit gagner sur le champ de bataille\", promu
+avec insistance par les dirigeants des États-Unis et d'autres pays
+occidentaux, ne suscite aucun enthousiasme chez l'Ukrainien ordinaire --
+il a déjà bien compris que lorsqu'il s'applique à lui personnellement,
+ce slogan signifie : \"Tu dois crever au front, parce que c'est ce que
+Washington a ordonné\". »
+
+Il faut reconnaitre que tout a été fait pour induire en erreur. Seule
+l'URL visible dans la barre d'adresse permet de séparer le bon grain de
+l'ivraie.
+
+L'adresse du vrai site du Parisien est, en effet, leparisien.fr, alors
+que celle du faux est leparisien.ltd. Cette extension, aussi appelée
+top-level-domain est, a priori, dédiée aux sociétés commerciales à
+responsabilité limitée. LTD signifiant Limited est un statut
+principalement utilisé au Royaume Uni, en Irlande, en Inde et à Hong
+Kong. Mais n'importe qui peut réserver un nom de domaine en .ltd.
+
+Ce nom de domaine du faux site du Parisien a été déposé récemment : le 2
+février 2023 exactement. Pas moins de 21 articles ont été retrouvé pour
+le moment. Leur publication s'est échelonnée du 17 février au 19 avril
+(cf. liste en annexe), si tant est que les dates affichées sur les
+articles soient exactes. Mais tous n'ont pas eu le même succès que celui
+sur la supposée désertion des soldats ukrainiens et certains ne sont
+plus en ligne. Ces articles ont pu être archivés par Waybackmachine,
+instantanés de pages web. Pour éviter d'apporter du trafic et de la
+visibilité au faux site Le Parisien, nous avons ajouté les liens
+pointant vers la Waybackmachine, un site qui enregistre des URL et
+archive des captures de sites, plutôt que vers le faux site.
+
+L'article du 3 mars dernier sur le financement par la France des
+athlètes ukrainiens est particulièrement intéressant dans sa conception
+et révélateur du modus operandi et du narratif développé.
+
+L'article débute par [l'annonce le 24 février par la ministre des
+Sports, Amélie
+Oudéa-Castera,](https://www.lequipe.fr/Athletisme/Actualites/La-france-promet-une-aide-d-un-million-d-euros-aux-athletes-ukrainiens-pour-les-jo-2024/1382521)
+du déblocage d'une aide d'un million d'euros en faveur des athlètes
+ukrainiens leur servant à préparer au mieux les JO 2024. Puis poursuit
+sur [la réaction du triple champion de France du 1 500 m Alexis Miellet
+et celle d'Ayodélé
+Ikuesan](https://www.lequipe.fr/Tous-sports/Actualites/L-aide-financiere-de-la-france-aux-sportifs-ukrainiens-mal-comprise-par-les-athletes-tricolores/1383462),
+vice-championne d'Europe du relais 4x100 m en 2014 reprises in extenso.
+L'article dérive soudainement et délivre le narratif brutalement
+anti-occidental suivant : « Alors que le pays mène une guerre brutale,
+où l'Occident investit des milliards, la \"jeunesse dorée\" ukrainienne
+fait la fête dans les meilleures stations balnéaires d'Europe. Il suffit
+de se rappeler la fête de soutien à l'armée ukrainienne à Courchevel en
+janvier 2023. » Ceci faisant sans doute allusion à une [fête filmée à
+Courchevel, séquence aussi bien diffusée par des comptes pro-Kiev que
+pro-Kremlin début mars
+2023](https://www.tf1info.fr/international/video-guerre-ukraine-russie-des-jeunes-skieurs-francais-et-russes-a-courchevel-ont-ils-fete-la-mort-de-kiev-avec-un-cercueil-aux-couleurs-de-l-ukraine-2250135.html).
+Ce faux article de conclure sur des déclarations, non sourcées, d'Alain
+Juillet, exploitant ici un biais d'autorité, technique d'influence bien
+documentée en psychologie sociale (voir par exemple BRION, A., BRUN, L.,
+BOUBON, W., & JULLIARD, Y. Démêler l'influence respective de l'expertise
+et de l'autorité sur les changements d'attitude.) :
+
+« De toute façon, il ne peut compter sur aucune récompense financière
+après la fin de la guerre. Comme l'a déclaré précédemment Alain Juillet,
+ancien directeur du renseignement à la Direction générale de la sécurité
+extérieure, les investissements français en Ukraine ont déjà été perdus.
+Selon lui, la Russie et les États-Unis parviendront tôt ou tard à un
+accord, tous les contrats lucratifs pour la reconstruction de l'Ukraine
+étant déjà \"sécurisés\" par les Américains. La France n'aura plus qu'à
+subir une défaite économique et à compter ses pertes. »
+
+Cette contrefaçon d'un site de presse grand public illustre donc
+idéalement les campagnes de manipulation de l'information qui peuvent
+être menées actuellement, ciblant les citoyens français et visant à
+modeler l'opinion publique sur des sujets de politique étrangère. Ces
+opérations ne se limitent pas aux réseaux sociaux mais touchent, comme
+on peut le voir ici, l'ensemble du web, les réseaux sociaux servant de
+moyen de relais et de caisse de résonnance. Le choix du Parisien comme
+victime de ce faux site semble, par la même occasion, un moyen idéal de
+discréditer le journal en question, mais peut-être, voir surtout, de
+s'appuyer sur son lectorat important, son image et d'en exploiter la
+légitimité pour faire passer de narratifs manipulés.\
+A lire sur le même thème : [Le rapport de Eu DisinfoLab Doppelganger
+Media clones serving Russian propaganda
+](https://www.disinfo.eu/wp-content/uploads/2022/09/Doppelganger-1.pdf)\
+Liste des articles (nous ne diffusons pas les liens cliquables pour
+éviter de générer du trafic sur ces sites):\
+17 février 2023 Nostalgie de la Russie La France a beaucoup à perdre en
+mettant fin à sa coopération avec la Russie. Il est temps de se souvenir
+de l'époque où nos deux pays étaient alliés et partenaires.\
+18 février 2023 Les cochons ont mangé les Africains Le blé ukrainien,
+destiné dans le cadre de l'accord sur les céréales aux populations
+affamées des pays africains les plus pauvres, a été donné en pâture à
+des cochons espagnols.\
+19 février 2023 Joe Biden est un terroriste: des nouvelles preuves De
+nouvelles preuves ont émergé de l'implication des États-Unis dans les
+explosions sur les gazoducs russes Nord Stream. Ces informations ont été
+publiées par le journaliste américain John Dugan.\
+3 mars 2023 Les athlètes ukrainiens recevront un million. Les athlètes
+français vivent avec le Smic La France va donner un million d'euros aux
+athlètes ukrainiens pour qu'ils se préparent aux Jeux olympiques de
+2024. Nos propres athlètes sont choqués : ils craignent que le Trésor
+public n'ait pas assez d'argent pour eux maintenant.\
+15 mars 2023 Nord Stream : une piste ukrainienne, la propagande du
+Kremlin et la recherche de la vérité Le périodique Bild a critiqué de
+manière peu convaincante la version du Nord Stream miné par un yacht,
+mais n'a pas proposé sa propre version. Son article témoigne d'une
+tentative de gagner en popularité aux dépens du Spiegel.\
+20 mars 2023 Les réserves de Moscou sont-elles inépuisables? Les géants
+russes de l'armement font preuve de puissance. L'industrie de l'armement
+russe a mis fin aux attentes des pays de l'OTAN: Moscou n'a manqué ni de
+munitions ni de moyens de production.\
+21 mars 2023 Le cauchemar de l'Occident. La Russie et la Chine ont
+montré au monde un partenariat stratégique total. Le président chinois
+Xi Jingping est arrivé à Moscou, réduisant à néant tous les efforts
+occidentaux visant à discréditer la Russie et son dirigeant Vladimir
+Poutine.\
+21 mars 2023 Le droit à l'absurde. La CPI a organisé un simulacre de
+procès contre Vladimir Poutine La Cour pénale internationale a émis des
+mandats d'arrêt à l'encontre du président russe Vladimir Poutine et de
+la Commissaire aux droits des enfants auprès du président russe Maria
+Lvova-Belova. Ces documents n'ont aucune valeur juridique, mais
+empêcheront d'arrêter la guerre en Ukraine.\
+21 mars 2023 Le mandat d'arrêt de Poutine est un verdict pour l'Europe.
+Un nouveau pas vers la Troisième Guerre mondiale. Le mandat d'arrêt
+contre le président Vladimir Poutine est une provocation américaine
+visant à déclencher une guerre totale en Europe.\
+23 mars 2023 Seules la Chine et la Russie veulent la paix en Europe ?
+Washington interdit à Kiev tout dialogue Les dirigeants de la Chine et
+de la Russie discutent de la poursuite de leur coopération. Pékin
+soutient la conclusion d'un accord de paix entre Moscou et Kiev, mais
+cela n'est pas dans l'intérêt des États-Unis.\
+24 mars 2023 La guerre en Europe n'est plus nécessaire. Le secrétaire
+d'État américain parle de nouvelles frontières pour l'Ukraine. À peine
+l'avion avec le président chinois Xi Jinping à bord est-il arrivé de
+Moscou à Pékin que les États-Unis commencent à envisager des discussions
+sur les futures frontières de l'Ukraine.\
+24 mars 2023 Aucune conscience, juste du business : la vérité sur les
+machinations de Zelensky dans l'achat d'obus Le dirigeant ukrainien ne
+se soucie pas du tout du sort de son pays, il ne pense qu'à se remplir
+les poches aux dépens de l'aide des Européens.\
+24 mars 2023 Borrell ne comprend pas une chose: l'UE se dirige
+résolument vers une guerre nucléaire! Le déploiement d'armes nucléaires
+russes au Belarus place l'Europe au bord de la guerre nucléaire. Il est
+grand temps de passer aux négociations.\
+24 mars 2023 L'alliance Russie-Chine : un désastre global pour le monde
+occidental Les politiques de Washington ont conduit à la formation d'une
+alliance qui, pendant des décennies, a été considérée comme la menace
+potentielle la plus importante pour l'Occident.\
+24 mars 2023 L'occupation de la Laure des Grottes de Kiev. Hiérarques
+authentiques et ceux \"sous couverture\". Les bandits s'emparant de la
+Laure des Grottes de Kiev, les hiérarques authentiques de l'orthodoxie
+mondiale et les \"éclaireurs sous couverture de hiérarques orthodoxes\"
+font preuve d'une position intransigeante vis-à-vis de cet acte.\
+24 mars 2023 Le chemin de la folie. Oublier une guerre ratée pour
+commencer la suivante Les Américains ont dépensé près de 2 000 milliards
+de dollars et tué des centaines de milliers d'Irakiens pour que \"les
+fruits de la victoire reviennent à la Chine\"\
+24 mars 2023 Le pape s'inquiète pour l'Ukraine. Il n'est plus possible
+de fermer les yeux à la persécution de l'Église orthodoxe ukrainienne Le
+pape et l'ONU ont réagi à l'appel du patriarche Kirill de Moscou et de
+toutes les Russies\
+24 mars 2023 Les États-Unis ont perdu leur leadership et livrent
+l'Ukraine aux Russes. Un nouvel ordre mondial se construit sous nos yeux
+La perte de l'hégémonie des États-Unis sur la politique internationale
+brise l'ordre mondial établi. Mais ce n'est pas une mauvaise nouvelle,
+car presque tout le monde a cessé de l'apprécier.\
+4 avril 2023 Détourner l'attention de Pékin de Moscou. La \"mission
+impossible\" de Macron Emmanuel Macron se rend en Chine pour une
+ambitieuse mission diplomatique visant à détourner l'attention de Pékin
+de Moscou. Mais il est très peu probable qu'il réussisse.\
+4 avril 2023 Des milliers de milliards perdus. Un économiste de renom
+prédit une nouvelle crise bancaire.\
+19 avril 2023 Un exode massif pour échapper à l'esclavage militaire. Les
+Ukrainiens tentent d'échapper à une mort imminente sur le front. La
+résistance passive à la mobilisation en Ukraine devient progressivement
+systémique.\
--- a/content/articles/Faux_articles_Parisien/fake
+++ b/content/articles/Faux_articles_Parisien/fake
--- a/content/articles/Faux_articles_Parisien/parisien2.jpg
+++ b/content/articles/Faux_articles_Parisien/parisien2.jpg
--- a/content/articles/Future_cyberOPS/Shaping
+++ b/content/articles/Future_cyberOPS/Shaping
@ -0,0 +1,66 @@
+In his 2013 book, “Cyber War Will Not Take Place” Thomas Rid argues, “cyber-operations in wartime are not as useful as bombs and missiles when it comes to inflicting the maximum amount of physical and psychological damage on the enemy.” 
+
+From day one of the Russian offensive, cyber experts and advocates have been looking for the « cyber » smoking gun in Ukraine. Russia is unarguably a “first class” country in cyberspace and probably one of the few countries skillful enough to launch destructive cyber-attacks to achieve its strategic goals in support of kinetic operations. Thus, as the crisis escalated before 24 February 2022, fear of a « cyber shock and awe » grew. However, so far, the Russo-Ukrainian war reminds us that war is still "flesh and steel" . Mud and geography still impose their rules, and logistics are critical to both sides. Does it mean that cyber operations are ineffective, too weak, and unable to produce any strategic value? 
+
+
+To answer this, one must first explore how Russia is shifting from the use of cyber operations in hybrid conflict to wartime. This is worth a look as Russia has a strong military background in information operations (IO) and electronic warfare (EW). Russia has also a strong reputation in clandestine cyber operation. "SolarWinds" is undoubtedly a masterpiece we have to keep in mind while assessing Russian capabilities. Understanding how to integrate cyber operations into a large scale, mainly air-land, campaign can inform our own processes. It must also contribute to shape our own military model especially when the French Strategic Vision is highlighting the need to « win the war before the war » and emphasizing the critical role of information dominance. On the other side the way Ukraine, with no military command dedicated to cyberspace, is fighting in the “fifth domain” is equally instructive to understand the very changing nature of cyberwarfare.
+
+As western armed forces are building up their Cyberforce and developing Multi dimensional Warfare doctrine, the war in Ukraine is a wakeup call to speed up the process. Russia failed to integrate cyber offensive capacities in its shift from low to high intensity. This shift is not only a matter of force structure, logistic and fire power; it may broadly have an impact on how the entire chain of command integrates new fighting domains. What Russo-Ukrainian war tells us about the nature of cyberwarfare is that shifting from a covert proxy war to a high intensity campaign requires specific capabilities, human resources, and task organization.
+
+What have we seen?
+
+For a wider view than that of the most recent weeks of the conflict, we may analyze Russian cyber operations starting in 2014. What are Russia’s cyber offensive capabilities; How it integrates cyberattacks alongside conventional or special operations is key to understand the shift from low to high intensity conflicts.
+
+Clandestine actions and Hybrid Warfare phase.
+
+Cyber conflict between Russia and Ukraine has its roots in the lasting strategic confrontation between the two countries. Looking back to the early 2000’s, Ukraine was repeatedly targeted by Russian special operations whether in cyberspace or in the physical domain. In this early stage, cyber operations mostly gathered intelligence without being detected or supported political destabilization. From 2014, and the first hybrid operation, to the 2022 conventional invasion, Russian cyber activity mostly consisted of major Advanced Persistent Threats (APT) such as Turla, Sandworm, APT 28 or APT 29. 
+
+Records of disruptive cyberattacks between 2014 to 2017 show attempts to target the power grid (2015 and 2016) leading to few hours of local disruption for around 230,000 customers in western Ukraine. Then, election interference (2014) targeted computer systems of the Central Election Commission. These also contributed to fears of Russian interference in the democratic process.
+
+All put together, none of these attacks had a real strategic value apart from signaling effect. However, during this “hybrid war” phase, one cyberattack had a significant impact on Ukraine and caused collateral damage far beyond what was initially expected. In 2017, a self-spreading malware sneaked into the Ukrainian private sector IT system and irreversibly encrypted data. Pretending to be a ransomware, NotPetya’s purpose was to cause maximum damage. The tactic used to deploy the malware led cybersecurity experts, UK officials, and the US to blame Russian responsibility. This widely publicized example of a large clandestine disruptive operation is almost the only documented example to be analyzed by western staff officers for lessons learned. 
+
+Still during this first phase of conflict, Russian intelligence agencies conducted most of the offensive activities. Hence, their unique advantage was to proceed in secret and provide “plausible deniability” to Russian authorities. A primary aim of a cyber operation is to collect intelligence through Computer Network Exploitation (CNE) and provide materials for subversion (leaks). Offensive capabilities are then subject to a set of challenges including, avoiding detection, assessing effects, reducing collateral damage, protecting specific tools and infrastructure, targeted intelligence to tailor the malware, etc. Consequently, cyber operations during a hybrid war phase rely on a specific momentum, a high level of secrecy and are hardly integrated with other military activities included Special Forces. Years of cyberattacks in hybrid operations in Ukraine apparently produced poor strategic value and failed to achieve Russian dominance over Ukraine. It also sowed the idea that cyber operations are always covert or clandestine, thus being less attractive for the conventional Russian military apparatus.
+
+
+
+Unleash hell ! or not...
+
+Since February 2022, as the conflict shifted from low-intensity / hybrid to a high intensity / conventional war, disruptive cyber operations in support of the Russian air-land campaign are yet to be documented. One could argue that we missed the point here: cyberattacks may have occurred but Ukrainian cyberdefense, and its allies simply prevented them. If true, excepted the ViaSat cyberattack, none of the Russian attempts to degrade, disrupt or deny Ukrainian freedom of maneuver in cyberspace was a success. Nevertheless, Microsoft observed close to 40 “destructive attacks … targeting hundreds of systems”; more than 40% of these “were aimed at organizations in critical infrastructure sectors that could have negative second-order effects on the Ukrainian government, military, economy and civilians.” The important word here is “could”. Cybersecurity experts are raising questions about some key points of the Microsoft report, namely the claims about a combined physical and cyber-attack on a nuclear power plant.
+
+Surprisingly, most of the tactics and tools such as DDoS attacks or data wiping are not new and barely at the state of the art. Disruptive operations in support of regular military action seem then to mobilize less sophisticated capabilities than large-scale intelligence gathering operations, network exploitation and advanced persistent threat (APT). Are we then facing the same teams?
+
+Attempts to disrupt Ukrainian command and control, communications or power grid failed whereas at the tactical level traditional electronic warfare activities support troops on the frontline. Shifting from clandestine hybrid operations to disruptive actions in support of an uncovered face conventional offensive seems to be quite challenging. When avoiding attribution is no more a concern one could easily ask why those operations are still led by the intel community.
+
+Information warfare is not a myth in the digital age and....it works !
+
+Years of hybrid approach of conflict shaped new capabilities for information operations (IO) in the Russian course of action. Combined use of electronic warfare, SIGINT and message delivery in support of the targeting process seems quite effective, at least since 2014, and one would expect Russian forces to deliver such effects during the initial assault phase.
+
+Sending text messages to Ukrainian troops or family to degrade morale and encourage them to surrender or to break operational security procedures is a masterpiece of information operation. From late 2014 to 2016, a Russian malware was able to retrieve communications and locational data from devices used by the Ukrainian artillery, at the tactical level it enabled Russian artillery strikes in support of pro-Russian separatists in eastern Ukraine.
+
+Eight years later, Ukrainian troops learned from their mistakes and very few examples of such successful deliberate targeting are reported. Instead, massive use of jamming capabilities and large scale artillery shelling are replacing targeted hybrid tactics.
+
+Information warfare is not limited to tactical support; the changing nature of IO is much more tangible in support of political objectives, or to directly strike strategic targets and international audience. Understanding the impact of social media on how people and leaders address a situation is what differentiates the most between the 2014 hybrid and the 2022 conventional phases. 
+
+As disruptive cyberattacks had a questionable effect, one cannot forget the impact on the population and the growing feeling of fear and frustration generated during the pre-invasion phase. This point should be considered when assessing low-intensity or low-impact cyberattacks. One official website offline for a couple of hours, large scale defacements or a multiple services disruption may not have a strategic impact comparable to a missile strike but generate a feeling among the population and the defenders hardly assessed. Those are tactics directly inherited from guerilla type warfare. Small bites lower the morale and the fighting spirit but can hardly be decisive by themselves.
+
+Digital information operations in this war are a critical part of the conflict both to gain international support for Ukraine and to spread misinformation and disinformation on the Russian side. 
+
+What have we learned and is it relevant?
+
+Ukraine was probably a cyber-sandbox for Russia during the hybrid phase between 2014 and 2017. The World-class actor conducted massive cyber espionage and was probably deeply enrooted in most of Ukrainian critical infrastructure. What Russo-Ukrainian war tells us about the nature of cyberwarfare is that shifting from a covert proxy war to a high intensity campaign requires specific capabilities and task organization. It also requires a strategy to operate both with the latest technology and at the same time old-fashioned methods to avoid enemy jamming or cell phone trapping capabilities. Ukrainian troops use methods like runners and dispatch riders, or wired networks.
+
+Russian relative use of cyber disruptive operations is far from a sign of weakness and inefficiency but more likely a proof of mis-integration and failure to adapt its cyber force to this type of confrontation. Years of covert operations conducted by the Russian intelligence community proved their ability and technical skills, the missing point is how to coordinate or integrate those capabilities within a conventional military operation. The Russian military apparatus seems to experience the lack of trained and educated cyber operations planners. The lack of understanding of how to integrate effects from cyberspace operations into plans combined with the misunderstanding of military planning by those in charge of offensive military operations (hackers group or intelligence officers) lead to a dead end.
+
+Therefore, at the tactical level, electronic warfare is still a major tool to disrupt and degrade adversary freedom of maneuver in cyberspace and at the strategic level; intelligence agencies play their own game targeting political and military high value targets.
+
+To assess and analyze Russian cyber operations in Ukraine we also have to change the way we think of it. As Lauren Zabierek says, “Just because certain expectations of the use of cyber have not matched what we have thus far observed does not mean that Russia is not using cyber to achieve intended effects against Ukraine.” Thus as one expected the “big one” or a Cyber-gedon, we’ve learned in this conflict that Cyber and military operations serve different objectives and “Cyber operations are most effective in pursuing informational goals, such as gathering intelligence, stealing technology or winning public opinion or diplomatic debates.”
+
+The changing nature of cyberwar puts the stress on information dominance. The first large-scale conflict of the social media era, the war is followed world-wide on Twitter, Telegram, Tik Tok and others platforms. Lack of trusted sources and implication of the private sector turned social media to a tactical asset. Open-source intelligence and commercial satellite imagery now provide tactical data for both sides this quickly contribute to replace defaulting regular military systems
+
+This may probably be the most relevant lesson form this war. Smartphones and publicly available technology could be enablers in every soldier’s pocket. The ability to report enemy positions and movement, document with videos and picture, access to satellite imagery or high-speed internet connection is a game changer for the population and for the armed forces. Therefore, to shape our future cyberforce we may not only consider lessons learned from Russia because they have a full range of capability, but we may also take into account how a country without a dedicated cyber military organization is fighting. 
+
+Protecting targeted audience from massive online disinformation appear to be a collective line of effort. From service members to civilians, from military leaders to political decision makers, understanding the strength and weakness of our information processing system seems to be the core of a in depth defense. Integration of cyber capabilities into more conventional military operations appers to be quite challenging and requires educated and trained staff officers.
+
+Russia proves today that Cyber is a tool among others for the force commander, and it is not a magic bullet.
+
+ 
--- a/content/articles/Future_cyberOPS/Shaping_The_Future.md
+++ b/content/articles/Future_cyberOPS/Shaping_The_Future.md
@ -0,0 +1,244 @@
+---
+title: Shaping the future of cyber operations
+---
+In his 2013 book, "Cyber War Will Not Take Place" Thomas Rid argues,
+"cyber-operations in wartime are not as useful as bombs and missiles
+when it comes to inflicting the maximum amount of physical and
+psychological damage on the enemy."
+
+From day one of the Russian offensive, cyber experts and advocates have
+been looking for the « cyber » smoking gun in Ukraine. Russia is
+unarguably a "first class" country in cyberspace and probably one of the
+few countries skillful enough to launch destructive cyber-attacks to
+achieve its strategic goals in support of kinetic operations. Thus, as
+the crisis escalated before 24 February 2022, fear of a « cyber shock
+and awe » grew. However, so far, the Russo-Ukrainian war reminds us that
+war is still \"flesh and steel\" . Mud and geography still impose their
+rules, and logistics are critical to both sides. Does it mean that cyber
+operations are ineffective, too weak, and unable to produce any
+strategic value?
+
+To answer this, one must first explore how Russia is shifting from the
+use of cyber operations in hybrid conflict to wartime. This is worth a
+look as Russia has a strong military background in information
+operations (IO) and electronic warfare (EW). Russia has also a strong
+reputation in clandestine cyber operation. \"SolarWinds\" is undoubtedly
+a masterpiece we have to keep in mind while assessing Russian
+capabilities. Understanding how to integrate cyber operations into a
+large scale, mainly air-land, campaign can inform our own processes. It
+must also contribute to shape our own military model especially when the
+French Strategic Vision is highlighting the need to « win the war before
+the war » and emphasizing the critical role of information dominance. On
+the other side the way Ukraine, with no military command dedicated to
+cyberspace, is fighting in the "fifth domain" is equally instructive to
+understand the very changing nature of cyberwarfare.
+
+As western armed forces are building up their Cyberforce and developing
+Multi dimensional Warfare doctrine, the war in Ukraine is a wakeup call
+to speed up the process. Russia failed to integrate cyber offensive
+capacities in its shift from low to high intensity. This shift is not
+only a matter of force structure, logistic and fire power; it may
+broadly have an impact on how the entire chain of command integrates new
+fighting domains. What Russo-Ukrainian war tells us about the nature of
+cyberwarfare is that shifting from a covert proxy war to a high
+intensity campaign requires specific capabilities, human resources, and
+task organization.
+
+What have we seen?
+
+For a wider view than that of the most recent weeks of the conflict, we
+may analyze Russian cyber operations starting in 2014. What are Russia's
+cyber offensive capabilities; How it integrates cyberattacks alongside
+conventional or special operations is key to understand the shift from
+low to high intensity conflicts.
+
+Clandestine actions and Hybrid Warfare phase.
+
+Cyber conflict between Russia and Ukraine has its roots in the lasting
+strategic confrontation between the two countries. Looking back to the
+early 2000's, Ukraine was repeatedly targeted by Russian special
+operations whether in cyberspace or in the physical domain. In this
+early stage, cyber operations mostly gathered intelligence without being
+detected or supported political destabilization. From 2014, and the
+first hybrid operation, to the 2022 conventional invasion, Russian cyber
+activity mostly consisted of major Advanced Persistent Threats (APT)
+such as Turla, Sandworm, APT 28 or APT 29.
+
+Records of disruptive cyberattacks between 2014 to 2017 show attempts to
+target the power grid (2015 and 2016) leading to few hours of local
+disruption for around 230,000 customers in western Ukraine. Then,
+election interference (2014) targeted computer systems of the Central
+Election Commission. These also contributed to fears of Russian
+interference in the democratic process.
+
+All put together, none of these attacks had a real strategic value apart
+from signaling effect. However, during this "hybrid war" phase, one
+cyberattack had a significant impact on Ukraine and caused collateral
+damage far beyond what was initially expected. In 2017, a self-spreading
+malware sneaked into the Ukrainian private sector IT system and
+irreversibly encrypted data. Pretending to be a ransomware, NotPetya's
+purpose was to cause maximum damage. The tactic used to deploy the
+malware led cybersecurity experts, UK officials, and the US to blame
+Russian responsibility. This widely publicized example of a large
+clandestine disruptive operation is almost the only documented example
+to be analyzed by western staff officers for lessons learned.
+
+Still during this first phase of conflict, Russian intelligence agencies
+conducted most of the offensive activities. Hence, their unique
+advantage was to proceed in secret and provide "plausible deniability"
+to Russian authorities. A primary aim of a cyber operation is to collect
+intelligence through Computer Network Exploitation (CNE) and provide
+materials for subversion (leaks). Offensive capabilities are then
+subject to a set of challenges including, avoiding detection, assessing
+effects, reducing collateral damage, protecting specific tools and
+infrastructure, targeted intelligence to tailor the malware, etc.
+Consequently, cyber operations during a hybrid war phase rely on a
+specific momentum, a high level of secrecy and are hardly integrated
+with other military activities included Special Forces. Years of
+cyberattacks in hybrid operations in Ukraine apparently produced poor
+strategic value and failed to achieve Russian dominance over Ukraine. It
+also sowed the idea that cyber operations are always covert or
+clandestine, thus being less attractive for the conventional Russian
+military apparatus.
+
+Unleash hell ! or not\...
+
+Since February 2022, as the conflict shifted from low-intensity / hybrid
+to a high intensity / conventional war, disruptive cyber operations in
+support of the Russian air-land campaign are yet to be documented. One
+could argue that we missed the point here: cyberattacks may have
+occurred but Ukrainian cyberdefense, and its allies simply prevented
+them. If true, excepted the ViaSat cyberattack, none of the Russian
+attempts to degrade, disrupt or deny Ukrainian freedom of maneuver in
+cyberspace was a success. Nevertheless, Microsoft observed close to 40
+"destructive attacks ... targeting hundreds of systems"; more than 40
+
+Surprisingly, most of the tactics and tools such as DDoS attacks or data
+wiping are not new and barely at the state of the art. Disruptive
+operations in support of regular military action seem then to mobilize
+less sophisticated capabilities than large-scale intelligence gathering
+operations, network exploitation and advanced persistent threat (APT).
+Are we then facing the same teams?
+
+Attempts to disrupt Ukrainian command and control, communications or
+power grid failed whereas at the tactical level traditional electronic
+warfare activities support troops on the frontline. Shifting from
+clandestine hybrid operations to disruptive actions in support of an
+uncovered face conventional offensive seems to be quite challenging.
+When avoiding attribution is no more a concern one could easily ask why
+those operations are still led by the intel community.
+
+Information warfare is not a myth in the digital age and\....it works !
+
+Years of hybrid approach of conflict shaped new capabilities for
+information operations (IO) in the Russian course of action. Combined
+use of electronic warfare, SIGINT and message delivery in support of the
+targeting process seems quite effective, at least since 2014, and one
+would expect Russian forces to deliver such effects during the initial
+assault phase.
+
+Sending text messages to Ukrainian troops or family to degrade morale
+and encourage them to surrender or to break operational security
+procedures is a masterpiece of information operation. From late 2014 to
+2016, a Russian malware was able to retrieve communications and
+locational data from devices used by the Ukrainian artillery, at the
+tactical level it enabled Russian artillery strikes in support of
+pro-Russian separatists in eastern Ukraine.
+
+Eight years later, Ukrainian troops learned from their mistakes and very
+few examples of such successful deliberate targeting are reported.
+Instead, massive use of jamming capabilities and large scale artillery
+shelling are replacing targeted hybrid tactics.
+
+Information warfare is not limited to tactical support; the changing
+nature of IO is much more tangible in support of political objectives,
+or to directly strike strategic targets and international audience.
+Understanding the impact of social media on how people and leaders
+address a situation is what differentiates the most between the 2014
+hybrid and the 2022 conventional phases.
+
+As disruptive cyberattacks had a questionable effect, one cannot forget
+the impact on the population and the growing feeling of fear and
+frustration generated during the pre-invasion phase. This point should
+be considered when assessing low-intensity or low-impact cyberattacks.
+One official website offline for a couple of hours, large scale
+defacements or a multiple services disruption may not have a strategic
+impact comparable to a missile strike but generate a feeling among the
+population and the defenders hardly assessed. Those are tactics directly
+inherited from guerilla type warfare. Small bites lower the morale and
+the fighting spirit but can hardly be decisive by themselves.
+
+Digital information operations in this war are a critical part of the
+conflict both to gain international support for Ukraine and to spread
+misinformation and disinformation on the Russian side.
+
+What have we learned and is it relevant?
+
+Ukraine was probably a cyber-sandbox for Russia during the hybrid phase
+between 2014 and 2017. The World-class actor conducted massive cyber
+espionage and was probably deeply enrooted in most of Ukrainian critical
+infrastructure. What Russo-Ukrainian war tells us about the nature of
+cyberwarfare is that shifting from a covert proxy war to a high
+intensity campaign requires specific capabilities and task organization.
+It also requires a strategy to operate both with the latest technology
+and at the same time old-fashioned methods to avoid enemy jamming or
+cell phone trapping capabilities. Ukrainian troops use methods like
+runners and dispatch riders, or wired networks.
+
+Russian relative use of cyber disruptive operations is far from a sign
+of weakness and inefficiency but more likely a proof of mis-integration
+and failure to adapt its cyber force to this type of confrontation.
+Years of covert operations conducted by the Russian intelligence
+community proved their ability and technical skills, the missing point
+is how to coordinate or integrate those capabilities within a
+conventional military operation. The Russian military apparatus seems to
+experience the lack of trained and educated cyber operations planners.
+The lack of understanding of how to integrate effects from cyberspace
+operations into plans combined with the misunderstanding of military
+planning by those in charge of offensive military operations (hackers
+group or intelligence officers) lead to a dead end.
+
+Therefore, at the tactical level, electronic warfare is still a major
+tool to disrupt and degrade adversary freedom of maneuver in cyberspace
+and at the strategic level; intelligence agencies play their own game
+targeting political and military high value targets.
+
+To assess and analyze Russian cyber operations in Ukraine we also have
+to change the way we think of it. As Lauren Zabierek says, "Just because
+certain expectations of the use of cyber have not matched what we have
+thus far observed does not mean that Russia is not using cyber to
+achieve intended effects against Ukraine." Thus as one expected the "big
+one" or a Cyber-gedon, we've learned in this conflict that Cyber and
+military operations serve different objectives and "Cyber operations are
+most effective in pursuing informational goals, such as gathering
+intelligence, stealing technology or winning public opinion or
+diplomatic debates."
+
+The changing nature of cyberwar puts the stress on information
+dominance. The first large-scale conflict of the social media era, the
+war is followed world-wide on Twitter, Telegram, Tik Tok and others
+platforms. Lack of trusted sources and implication of the private sector
+turned social media to a tactical asset. Open-source intelligence and
+commercial satellite imagery now provide tactical data for both sides
+this quickly contribute to replace defaulting regular military systems
+
+This may probably be the most relevant lesson form this war. Smartphones
+and publicly available technology could be enablers in every soldier's
+pocket. The ability to report enemy positions and movement, document
+with videos and picture, access to satellite imagery or high-speed
+internet connection is a game changer for the population and for the
+armed forces. Therefore, to shape our future cyberforce we may not only
+consider lessons learned from Russia because they have a full range of
+capability, but we may also take into account how a country without a
+dedicated cyber military organization is fighting.
+
+Protecting targeted audience from massive online disinformation appear
+to be a collective line of effort. From service members to civilians,
+from military leaders to political decision makers, understanding the
+strength and weakness of our information processing system seems to be
+the core of a in depth defense. Integration of cyber capabilities into
+more conventional military operations appers to be quite challenging and
+requires educated and trained staff officers.
+
+Russia proves today that Cyber is a tool among others for the force
+commander, and it is not a magic bullet.
--- a/content/articles/Rapport_ENISA_2023/ENISA_désinfo.tex
+++ b/content/articles/Rapport_ENISA_2023/ENISA_désinfo.tex
@ -0,0 +1,50 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                          
+
+\title{Remarques sur la question de la manipulation de l'information dans le rapport ENISA2023}          
+\author{Anaïs Meunier} %\and Autre Auteur}
+ \date{22 octobre 2023}                     
+			    
+\sloppy  
+\begin{document}
+
+\maketitle                 
+
+Il y a quelques jours, le \href{https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023}{rapport de l'ENISA }sur le panorama de la menace était diffusé, celui-ci, très complet traite des menaces cyber en général et un chapitre est consacré aux manipulations de l'information. Le document prend le temps de redéfinir les termes "manipulations de l'information" et de les situer dans le contexte de la menace cyber. Cette démarche est en phase avec les initiatives actuelles en France comme en Europe. Cette volonté de clarifier les concepts est essentielle, bien que, comme tout cadre conceptuel et opérationnel, elle présente des limites.
+\\
+
+Dans le chapitre consacré aux manipulations de l'information, l'ENISA (l’Agence de l’Union européenne pour la cybersécurité) met l’accent sur le comportement de l’attaquant plutôt que sur les récits exploités. C'est un élément crucial qui contribue à rétablir de l'objectivité dans le débat, car il ne se positionne pas sur la question de la vérité, ce qui demeure un enjeu fondamental dans une société démocratique, mais sur celui de l'intentionalité. Ainsi, se fonder sur le comportement permet de mettre en lumière l'intention malveillante de l'attaquant et d'intégrer le champ des \textit{Foreign Information Manipulation and Interference} (FIMI, ce que nous appellerions en français : ingérences numériques étrangères) dans le domaine de la cybersécurité.
+\\
+
+Cela revêt une importance particulière pour l'agence, car l'un des piliers de la cybersécurité est de garantir la sécurité des systèmes d'information, et les FIMI vont à l'encontre de cette garantie. Enfin, les deux types d'attaques se manifestent au sein de campagnes hybrides, comme le souligne notamment le corpus analysé dans le rapport de l'ENISA, qui repose sur des données issues de la veille du SEAE. Il est donc essentiel d'étudier et de combattre dans les différents domaines d'un même champ.
+\\
+
+Le rapport débute en mettant en avant les tactiques les plus exploitées, telles qu'elles sont décrites dans la matrice Disarm. Deux remarques principales peuvent être formulées.
+En premier lieu, il est essentiel de souligner que toutes les tactiques ne sont pas équivalentes dans la matrice DISARM. Bien que DISARM se fonde sur le travail du MITRE ATT\&CK pour décrire de manière dynamique le comportement de l'attaquant, les phases qui se situent dans le \textit{"Left of Boom"} (avant l'explosion de la campagne) et le \textit{"Right of Boom"} n'ont pas exactement le même statut. En général, les éléments du \textit{Left} sont déduits, car il est difficile de déterminer quand l'attaquant prépare sa campagne, tente de recruter des influenceurs ou fait appel à une ferme de \textit{bots}. En fonction des méthodologies utilisées, ces éléments seront plus ou moins présents dans la description de la campagne. L'analyste doit donc décider s'il doit ou non inclure des techniques, tactiques et procédures (TTPs) qu'il ne peut que déduire de ses observations et non pas observer directement.
+Deuxième limite, le corpus fait remonter de nombreux incidents liés au conflit russo-ukrainien. Cette observation est pertinente car c'est dans ce contexte que l'on observe le plus grand nombre de campagnes ou d'incidents hybrides. Cependant, cela ne représente pas la totalité du paysage des attaques informationnelles en Europe.
+
+\\Au-delà de ces deux éléments, le chapitre sur les FIMI et les campagnes et incidents hybrides révèle des points très intéressants :
+\\
+\begin{itemize}
+\item les campagnes n'ont pas besoin d'être très sophistiquées pour être efficaces. Leur persistance est la caractéristique la plus déterminante. Les TTPs les plus couramment exploitées incluent l'utilisation de faux comptes, la création de sites web inauthentiques, l'exploitation de médias d'État, ainsi que l'utilisation de boucles de rétroaction sur les réseaux sociaux et les médias traditionnels (ce qui s'avère particulièrement efficace).
+\item L'utilisation de l'intelligence artificielle permet de créer des contrefaçons de qualité à moindre coût (grâce à l'accessibilité et à la facilité d'utilisation des outils d'IA générative). Bien que le public soit parfaitement capable de discerner ce qui relève de la contrefaçon et de mettre en place des mécanismes de défense, l'usage massif de cette technique, qui permet d'agir rapidement, à grande échelle et avec un volume important, rend l'utilisation de l'IA dangereuse (voir figure 45 page 119).
+\\
+
+\end{itemize}
+
+
+Par ailleurs, l'un des derniers points pertinents soulevés concerne l'externalisation de plus en plus fréquente, que ce soit pour offrir des services de désinformation (\textit{Disinformation-as-a-Service}) ou pour proposer des services de désinformation à la demande (\textit{Disinformation-for-Hire}). Cette tendance est très présente dans le domaine de la cybercriminalité et a été mise en avant dans le dernier rapport sur la menace de l'ANSSI. L'ENISA cite notamment le travail d'enquête réalisé sur la \href{https://www.theguardian.com/world/2023/feb/15/aims-software-avatars-team-jorge-disinformation-fake-profiles}{Team Jorge} comme exemple significatif. 
+Cette externalisation nourrit en un écosystème qui repose également beaucoup sur la publicité.
+\\
+
+
+Le modèle économique d’internet repose sur la rémunération à l’engagement et ainsi favorise les fausses informations de manière plus lucrative que les informations véridiques. Ainsi, les 40 principaux sites d’information américains diffusant de la désinformation sur l’intégrité des élections américaines génèrent plus de 42,7 millions de revenus publicitaires par an. L’utilisation de la publicité pour générer des revenus grâce à la désinformation est sans doute un des points centraux qui permettent d’alimenter cette économie souterraine.
+
+
+\end{document}
--- a/content/articles/Rapport_ENISA_2023/Rapport
+++ b/content/articles/Rapport_ENISA_2023/Rapport
--- a/content/articles/Top
+++ b/content/articles/Top
@ -0,0 +1,6 @@
+https://github.com/M82-project/productions_M82/issues/2#issue-1879121922
+
+![Cyberstructure](https://github.com/M82-project/productions_M82/assets/105561997/b6407597-5e10-4c28-8400-3b459f293fb2)
+![pernet](https://github.com/M82-project/productions_M82/assets/105561997/0909eaeb-e
+![3483452](https://github.com/M82-project/productions_M82/assets/105561997/e5c37efd-625e-445a-9d82-0d7ee362df77)
+c4e-498f-8dc8-94abac77af6a)
--- a/content/articles/Top
+++ b/content/articles/Top
@ -0,0 +1,117 @@
+---
+title: La sélection M82
+---
+Chiffrement, red team, CERT, ISO27001, ANSSI... Le vocabulaire du cyber
+peut sembler hermétique pour un néophyte. Mais si ce domaine est vaste
+et technique, il reste cependant accessible à tous ceux qui souhaitent
+s'y intéresser ; et notamment ceux n'ayant pas de formation en
+informatique.
+
+L'objectif de cet article est de vous proposer un top 5 des ouvrages
+accessibles pour les débutants. Si ces livres ne feront pas de vous des
+experts, ils vous permettront de découvrir la grande variété des sujets
+appartenant au domaine du « cyber ». Libre à vous ensuite d'approfondir
+grâce à des ouvrages plus spécifiques.
+
+Bonne lecture !
+
+-   **Cyberattaques de Gérôme Billois**, 2022, éd. Hachette, 239 p.\
+    La qualité d'un consultant réside souvent dans sa capacité à
+    expliquer des choses complexes de manière accessible. C'est
+    justement ce qu'arrive à faire Gérôme Billois avec cet ouvrage
+    complet et au design soigné. Vous y trouverez des récits sur les
+    différents types de cyberattaques, des explications sur les enjeux
+    de la cyber sécurité pour les états, les entreprises et les
+    individus ainsi que des portraits de professionnels représentant la
+    grande diversité des métiers. Ce libre est le B.A.-BA pour tout
+    nouvel entrant dans le domaine de la cybersécurité et notamment ceux
+    qui se destinent à une carrière dans le conseil.
+
+-   **Cyberstructure -- L'Internet, un espace politique** de Stéphane
+    Bortzmeyer, 2018, éd. C&F éditions, 268 p.\
+    Écrit par un expert des questions d'internet et travaillant pour
+    l'AFNIC (organisme gestionnaire du registre des noms de domaine en
+    .fr), ce livre se divise en deux parties. La première se concentre
+    sur le fonctionnement d'internet : les protocoles, les applications
+    web, les organismes de gouvernance et quelques sujets particuliers
+    tels que les crypto monnaies. La deuxième partie est dédiée à une
+    réflexion sur les aspects politiques d'internet : doit-on limiter le
+    chiffrement ? Les concepts de sécurité et vie privée sont-ils
+    opposés ? Quelles technologies choisir pour l'internet de demain ?
+
+-   **Sécurité et espionnage informatique -- Connaissance de la menace
+    APT** de Cédric Pernet, 2015, éd. Eyrolles, 220 p.\
+    Maitriser sa sécurité signifie que l'on doit comprendre les menaces
+    auxquelles il faut faire face et c'est justement l'objet de ce livre
+    consacré aux APT. Les APT, pour Advanced Persistent Threats, sont
+    les menaces du haut du spectre (étatiques ou criminelles). L'auteur
+    va ainsi définir ce terme qui fait débat au sein de la communauté
+    cyber avant d'en décrire les différentes phases. L'exposé est
+    enrichi d'exemples concrets et aborde certains aspects techniques.
+    Il ne couvre cependant pas les actions à mener pour répondre à ce
+    type de menace (la réponse à incident). Pour les débutants, il est
+    intéressant de noter que si les APT sont des menaces avec un impact
+    potentiel élevé, il ne s'agit pas forcément des attaques les plus
+    sophistiquées techniquement.
+
+-   **Les bases du hacking** de Patrick Engebretson, 2017, éd. Pearson,
+    220 p.\
+    Vous souhaitez concrètement comprendre comment se déroule une
+    cyberattaque ? Alors ce guide est fait pour vous ! Patrick
+    Engebretson, professeur américain en sécurité informatique, va vous
+    présenter chaque étape d'une attaque (reconnaissance, scan,
+    exploitation, maintien d'accès) à l'aide d'un cas d'étude. Grâce à
+    ses conseils, aux outils gratuits et aux lignes de commande
+    présentées vous serez en mesure de refaire l'attaque depuis votre
+    ordinateur personnel. Bien que ce livre comporte des éléments
+    techniques, il reste accessible dans sa grande majorité à tous.
+
+-   **La Cyberdéfense -- Politique de l'espace numérique** sous la dir.
+    Amaël Cattaruzza, Didier Danet & Stéphane Taillat, 2019, éd. Armand
+    Colin, 255 p.\
+    Cet ouvrage collectif analyse la cyberdéfense sous le prisme des
+    relations internationales. Les auteurs présentent l'état des
+    connaissances scientifiques dans des sujets variés tel que le
+    concept de guerre cyber, les enjeux de souveraineté numérique, le
+    positionnement des grands pays cyber (États-Unis, Chine, Russie), le
+    droit international appliqué au numérique... Plus théorique que
+    pratique, cet ouvrage est un indispensable pour les étudiants ayant
+    un projet de mémoire en lien avec la cyberdéfense.
+
+Et voici deux coups de cœurs personnels que je recommande :\
+
+-   **Mémoires vives d'Edward Snowden**, 2019, éd. Seuil, 384 p.\
+    Après avoir travaillé pour la CIA et la NSA, Edward Snowden est
+    devenu célèbre en diffusant auprès de journalistes occidentaux de
+    très nombreux documents classifiés issus des agences de
+    renseignements américaines et du ministère de la défense. Dans ce
+    livre, le lanceur d'alerte relate sa carrière et les réflexions qui
+    l'ont poussé à agir de la sorte. Il relate également ses activités
+    de cyber espionnage et les capacités américaines en matière de
+    renseignement technique. Cette histoire a été adaptée par Oliver
+    Stone dans le film Snowden avec Joseph Gordon Lewits. Le
+    documentaire Citizenfour de Laura Poitras relate également la
+    relation entre E. Snowden et les journalistes ayant reçu les
+    documents classifiés.\
+
+-   **25 énigmes ludiques pour s'initier à la cryptographie** de Pascal
+    Lafourcade & Malika More, 2021, éd. Dunod, 209 p.\
+    Écrit par deux chercheurs de l'IUT d'informatique de l'Université
+    Clermont Auvergne, ce livre a pour objectif de vous initier à la
+    cryptographie, l'art de rendre illisible un message pour le protéger
+    des regards indiscrets. À travers ces 25 énigmes, aux niveaux de
+    difficulté variés, vous découvrirez des concepts de chiffrements
+    dont certains sont toujours utilisés aujourd'hui. Les énigmes sont
+    également agrémentées d'encadrés sur l'histoire du chiffrement.
+    Rassurez-vous, pas besoin d'être un mathématicien chevronné pour
+    résoudre ces énigmes. Un niveau minimum de lycée est conseillé, mais
+    des indices vous aideront en cas de blocage. Bonne chance ! Si le
+    sujet vous intéresse, je vous conseille le podcast français
+    NoLimitSecu n°332 dédié au livre, avec Pascal Lafourcade en invité.\
+
+Enfin je ne peux que vous recommander de suivre [le MOOC gratuit de
+l'ANSSI](https://secnumacademie.gouv.fr/) (Agence nationale de la
+sécurité des systèmes d'information) qui est une très bonne introduction
+à la cybersécurité. Vous y apprendrez notamment les bonnes pratiques
+d'hygiène numérique qui s'appliquent aux personnes comme aux
+entreprises.
--- a/content/articles/Top
+++ b/content/articles/Top
@ -0,0 +1,70 @@
+\documentclass[a4paper]{article}
+
+\usepackage[utf8]{inputenc}   
+\usepackage[T1]{fontenc}      
+\usepackage{geometry}  
+\usepackage{hyperref}       
+\usepackage[francais]{babel}  
+                          
+
+\title{TOP 5 des livres cyber pour les débutants !}          
+\author{Contriburion M82} %\and Autre Auteur}
+\date{21 juin 2023}                     
+			    
+\sloppy  
+\begin{document}
+
+\maketitle                 
+
+La sélection M82
+
+Chiffrement, red team, CERT, ISO27001, ANSSI… Le vocabulaire du cyber peut sembler hermétique pour un néophyte. Mais si ce domaine est vaste et technique, il reste cependant accessible à tous ceux qui souhaitent s’y intéresser ; et notamment ceux n’ayant pas de formation en informatique. 
+
+L’objectif de cet article est de vous proposer un top 5 des ouvrages accessibles pour les débutants. Si ces livres ne feront pas de vous des experts, ils vous permettront de découvrir la grande variété des sujets appartenant au domaine du « cyber ». Libre à vous ensuite d’approfondir grâce à des ouvrages plus spécifiques.
+
+Bonne lecture !
+
+\begin{itemize}
+
+\item \textbf{Cyberattaques de Gérôme Billois}, 2022, éd. Hachette, 239 p.
+\\
+La qualité d’un consultant réside souvent dans sa capacité à expliquer des choses complexes de manière accessible. C’est justement ce qu’arrive à faire Gérôme Billois avec cet ouvrage complet et au design soigné. Vous y trouverez des récits sur les différents types de cyberattaques, des explications sur les enjeux de la cyber sécurité pour les états, les entreprises et les individus ainsi que des portraits de professionnels représentant la grande diversité des métiers. Ce libre est le B.A.-BA pour tout nouvel entrant dans le domaine de la cybersécurité et notamment ceux qui se destinent à une carrière dans le conseil.
+
+
+
+\item \textbf{Cyberstructure – L’Internet, un espace politique} de Stéphane Bortzmeyer, 2018, éd. C\&F éditions, 268 p.
+\\
+Écrit par un expert des questions d’internet et travaillant pour l’AFNIC (organisme gestionnaire du registre des noms de domaine en .fr), ce livre se divise en deux parties. La première se concentre sur le fonctionnement d’internet : les protocoles, les applications web, les organismes de gouvernance et quelques sujets particuliers tels que les crypto monnaies. La deuxième partie est dédiée à une réflexion sur les aspects politiques d’internet : doit-on limiter le chiffrement ? Les concepts de sécurité et vie privée sont-ils opposés ? Quelles technologies choisir pour l’internet de demain ?
+
+
+\item \textbf{Sécurité et espionnage informatique – Connaissance de la menace APT} de Cédric Pernet, 2015, éd. Eyrolles, 220 p.
+\\
+Maitriser sa sécurité signifie que l’on doit comprendre les menaces auxquelles il faut faire face et c’est justement l’objet de ce livre consacré aux APT. Les APT, pour Advanced Persistent Threats, sont les menaces du haut du spectre (étatiques ou criminelles). L’auteur va ainsi définir ce terme qui fait débat au sein de la communauté cyber avant d’en décrire les différentes phases. L’exposé est enrichi d’exemples concrets et aborde certains aspects techniques. Il ne couvre cependant pas les actions à mener pour répondre à ce type de menace (la réponse à incident). Pour les débutants, il est intéressant de noter que si les APT sont des menaces avec un impact potentiel élevé, il ne s’agit pas forcément des attaques les plus sophistiquées techniquement.
+
+
+\item \textbf{Les bases du hacking} de Patrick Engebretson, 2017, éd. Pearson, 220 p.
+\\
+Vous souhaitez concrètement comprendre comment se déroule une cyberattaque ? Alors ce guide est fait pour vous ! Patrick Engebretson, professeur américain en sécurité informatique, va vous présenter chaque étape d’une attaque (reconnaissance, scan, exploitation, maintien d’accès) à l’aide d’un cas d’étude. Grâce à ses conseils, aux outils gratuits et aux lignes de commande présentées vous serez en mesure de refaire l’attaque depuis votre ordinateur personnel. Bien que ce livre comporte des éléments techniques, il reste accessible dans sa grande majorité à tous.
+
+
+\item \textbf{La Cyberdéfense – Politique de l’espace numérique} sous la dir. Amaël Cattaruzza, Didier Danet \& Stéphane Taillat, 2019, éd. Armand Colin, 255 p.
+\\
+Cet ouvrage collectif analyse la cyberdéfense sous le prisme des relations internationales. Les auteurs présentent l’état des connaissances scientifiques dans des sujets variés tel que le concept de guerre cyber, les enjeux de souveraineté numérique, le positionnement des grands pays cyber (États-Unis, Chine, Russie), le droit international appliqué au numérique… Plus théorique que pratique, cet ouvrage est un indispensable pour les étudiants ayant un projet de mémoire en lien avec la cyberdéfense.
+
+\end{itemize}
+
+Et voici deux coups de cœurs personnels que je recommande :
+\\
+\begin{itemize}
+
+\item \textbf{Mémoires vives d’Edward Snowden}, 2019, éd. Seuil, 384 p.
+\\
+Après avoir travaillé pour la CIA et la NSA, Edward Snowden est devenu célèbre en diffusant auprès de journalistes occidentaux de très nombreux documents classifiés issus des agences de renseignements américaines et du ministère de la défense. Dans ce livre, le lanceur d’alerte relate sa carrière et les réflexions qui l’ont poussé à agir de la sorte. Il relate également ses activités de cyber espionnage et les capacités américaines en matière de renseignement technique. Cette histoire a été adaptée par Oliver Stone dans le film Snowden avec Joseph Gordon Lewits. Le documentaire Citizenfour de Laura Poitras relate également la relation entre E. Snowden et les journalistes ayant reçu les documents classifiés. 
+\\
+\item \textbf{25 énigmes ludiques pour s’initier à la cryptographie} de Pascal Lafourcade & Malika More, 2021, éd. Dunod, 209 p.
+\\
+Écrit par deux chercheurs de l’IUT d’informatique de l’Université Clermont Auvergne, ce livre a pour objectif de vous initier à la cryptographie, l’art de rendre illisible un message pour le protéger des regards indiscrets. À travers ces 25 énigmes, aux niveaux de difficulté variés, vous découvrirez des concepts de chiffrements dont certains sont toujours utilisés aujourd’hui. Les énigmes sont également agrémentées d’encadrés sur l’histoire du chiffrement. Rassurez-vous, pas besoin d’être un mathématicien chevronné pour résoudre ces énigmes. Un niveau minimum de lycée est conseillé, mais des indices vous aideront en cas de blocage. Bonne chance ! Si le sujet vous intéresse, je vous conseille le podcast français NoLimitSecu n°332 dédié au livre, avec Pascal Lafourcade en invité.
+\\
+\end{itemize}
+Enfin je ne peux que vous recommander de suivre \href{https://secnumacademie.gouv.fr/}{le MOOC gratuit de l’ANSSI} (Agence nationale de la sécurité des systèmes d'information) qui est une très bonne introduction à la cybersécurité. Vous y apprendrez notamment les bonnes pratiques d’hygiène numérique qui s’appliquent aux personnes comme aux entreprises. 
+\end{document}
--- a/content/articles/Visuels_fond_écran/1702666687638.jpeg
+++ b/content/articles/Visuels_fond_écran/1702666687638.jpeg
--- a/content/articles/Visuels_fond_écran/1702666687645.jpeg
+++ b/content/articles/Visuels_fond_écran/1702666687645.jpeg
--- a/content/articles/Visuels_fond_écran/1702666687650.jpeg
+++ b/content/articles/Visuels_fond_écran/1702666687650.jpeg
--- a/content/articles/Visuels_fond_écran/1702666687655.jpeg
+++ b/content/articles/Visuels_fond_écran/1702666687655.jpeg
--- a/content/articles/Visuels_fond_écran/1702666687662.jpg
+++ b/content/articles/Visuels_fond_écran/1702666687662.jpg
--- a/content/articles/Visuels_fond_écran/1702666687667.jpg
+++ b/content/articles/Visuels_fond_écran/1702666687667.jpg
--- a/content/articles/Visuels_fond_écran/1702666687671.jpg
+++ b/content/articles/Visuels_fond_écran/1702666687671.jpg
--- a/content/articles/Visuels_fond_écran/1702666687677.jpg
+++ b/content/articles/Visuels_fond_écran/1702666687677.jpg
--- a/content/articles/Visuels_fond_écran/1702666687682.jpg
+++ b/content/articles/Visuels_fond_écran/1702666687682.jpg
--- a/content/articles/Visuels_fond_écran/1702666687686.jpg
+++ b/content/articles/Visuels_fond_écran/1702666687686.jpg
--- a/content/articles/Visuels_fond_écran/Bibliographie_M82.jpg
+++ b/content/articles/Visuels_fond_écran/Bibliographie_M82.jpg
--- a/content/articles/Visuels_fond_écran/GrenouilleIA.jpg
+++ b/content/articles/Visuels_fond_écran/GrenouilleIA.jpg
--- a/content/articles/Visuels_fond_écran/M82_B.jpg
+++ b/content/articles/Visuels_fond_écran/M82_B.jpg
--- a/content/articles/Visuels_fond_écran/M82_N.jpg
+++ b/content/articles/Visuels_fond_écran/M82_N.jpg
--- a/content/articles/Visuels_fond_écran/M82_sport
+++ b/content/articles/Visuels_fond_écran/M82_sport
--- a/content/articles/Visuels_fond_écran/galaxie
+++ b/content/articles/Visuels_fond_écran/galaxie
--- a/content/articles/Visuels_fond_écran/texte
+++ b/content/articles/Visuels_fond_écran/texte
@ -0,0 +1 @@
+Dans cette section retrouvez nos visuels
--- a/content/articles/Volt_Typhoon/FelixVault.jpg
+++ b/content/articles/Volt_Typhoon/FelixVault.jpg
--- a/content/articles/Volt_Typhoon/Volt.md
+++ b/content/articles/Volt_Typhoon/Volt.md
@ -0,0 +1,134 @@
+---
+title: Volt Typhoon
+---
+
+Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la
+CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes
+(ACSC, ASD) publiaient une Joint Cybersecurity Advisory au sujet d'un
+mode opératoire des attaquants (MOA) baptisé[Volt Typhoon](https://www.nytimes.com/2023/05/24/us/politics/china-guam-malware-cyber-microsoft.html)
+Cette publication est elle-même accompagnée d'un billet de blog de
+l'éditeur Microsoft détaillant les tactiques, techniques et procédures
+(TTPs) de ce [MOA](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/)
+Actif depuis mi-2021, Volt Typhoon serait associé aux autorités
+chinoises et se livrerait à des campagnes d'espionnage. La victimologie
+de ce mode opératoire apparait particulièrement large et en parfaite
+adéquation avec les centres d'intérêt de Pékin. Elle couvrirait le
+secteur des télécommunications, des services, des transports, les
+technologies de l'information, l'éducation, le maritime ainsi que les
+institutions gouvernementales. Dans son rapport, Microsoft met néanmoins
+l'emphase sur une campagne de Volt Typhoon qui ciblerait des
+infrastructures critiques à Guam et ailleurs aux États-Unis. Derrière
+une formulation prudente, l'éditeur américain suggère que ce MOA
+pourrait chercher à se prépositionner à des fins de sabotage
+[« Microsoft assesses with moderate confidence that this Volt Typhoon
+campaign is pursuing development of capabilities that could disrupt
+critical communications infrastructure between the United States and
+Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/})
+Ce n'est pas la première que la Chine est accusée de se livrer à des
+opérations de pré positionnement à des fins de sabotage. En 2021,
+Recorded Future rapportait ainsi que le mode opératoire RedEcho aurait
+visé plusieurs infrastructures critiques du réseau électrique indien.
+Dénuée d'intérêt économique, une telle campagne aurait ainsi eu pour
+objectif, selon Recorded Future, d'être en mesure de réaliser des
+coupures de courant. Une hypothèse crédible dès lors que cette opération
+intervenait dans le contexte de tensions dans certains territoires
+frontaliers disputés par les deux puissances
+<https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf>
+Peu discrète, cette campagne aurait alors pu être en réalité un
+avertissement à destination des [autorités>
+indiennes](https://www.intrinsec.com/wp-content/uploads/2023/04/Intrinsec-TLP_White_report_-Final.pdf). La Chine aurait cependant continué à cibler le secteur de
+l'énergie indien en 2022, utilisant notamment des objets connectés
+compromit comme serveurs de commande et de contrôle (C2) et aurait
+utilisé à cette même fin l'outil légitime [FastReverseProxy](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/)
+En avril 2020, un acteur, associé à la Chine par l'éditeur de solution
+de cybersécurité Cycraft Technology, se serait, quant à lui, livré à des
+opérations de sabotage d'infrastructures vitales à Taiwan, en marge de
+l'inauguration du mandat du nouveau Président taiwanais, peu favorable à
+Pékin
+<https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5>
+Cette opération de sabotage avait néanmoins été déguisée en attaque par
+rançongiciel, suggérant une volonté de ses auteurs de brouiller les
+pistes et d'éviter une attribution trop simple de cette campagne.
+Si des précédents existent donc, force est néanmoins de constater que le
+ciblage d'infrastructures vitales américaines à des fins de
+prépositionnement -- si avéré - constituerait la confirmation d'une
+évolution majeure des finalités de la lutte informatique offensive
+chinoise. En pareille hypothèse, Guam constituerait à n'en pas douter
+une cible de choix pour Pékin. Ce territoire des États-Unis constitue en
+effet une pièce maitresse du
+[dispositif militaire américain](https://en.wikipedia.org/wiki/Andersen_Air_Force_Base) dans le Pacifique ainsi qu'un nœud de communication
+majeur. Comme le rapporte le New York Times, Guam serait en particulier
+au centre de toute [réponse américaine en cas d'invasion de Taiwan](https://media.defense.gov/2023/May/24/2003229517/-1/-1/0/CSA_Living_off_the_Land.PDF).
+Au-delà de la possible finalité de ses campagnes, ce sont les TTPs de
+Volt Typhoon qui interpellent. En effet, ce mode opératoire semble
+chercher à rester discret au maximum. En témoigne par exemple
+l'utilisation de techniques dites Living off the land, c'est-à-dire
+l'utilisation d'outils et solutions légitimes déjà présents sur le
+système d'information compromis, et non de codes malveillants
+<https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/> déployés
+pour l'occasion.
+
+En outre, Volt Typhoon aurait également utilisé des routeurs
+d'entreprises et de particuliers (SOHO, pour Small Office/Home Office)
+comme Operation relay boxes (ORBs) afin de communiquer avec son
+infrastructure d'attaque. Cette technique permet, entre autres, à un
+attaquant de réduire la probabilité d'être détecté, notamment en
+utilisant des routeurs situés dans l'aire géographique de sa cible ;
+tout en rendant la cartographie de son infrastructure d'attaque plus
+compliquée. L'utilisation d'ORBs semble d'ailleurs une tendance
+grandissante chez les acteurs associés à la Chine, en témoignent les cas
+[d'APT31](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/})
+ou de
+[Red Menshen](https://www.recordedfuture.com/redecho-targeting-indian-power-sector). Cette technique fut d'ailleurs utilisée lors de la campagne
+précitée ciblant le grid indien, tout comme l'utilisation de l'outil
+légitime FastReverseProxy. Difficile néanmoins d'en tirer de réelle
+conclusion en matière d'imputation tant les modes opératoires associés à
+la [Chine](
+\href{<https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
+sont adeptes du partage de TTPs, d'outil et d'infrastructure}.Discret au
+moment de l'accès initial et dans le choix de son infrastructure, les
+opérateurs de Volt Typhoon le semblent cependant beaucoup moins dans
+leurs actions sur les systèmes d'information de leurs victimes.
+Microsoft rapporte ainsi que :
+
+["Once Volt Typhoon gains access to a target environment, they begin
+conducting hands-on-keyboard activity via the command line. Some of
+these commands appear to be exploratory or experimental, as the
+operators adjust and repeat them multiple times"](https://www.recordedfuture.com/continued-targeting-of-indian-power-grid-assets)
+
+En outre, les commandes exécutées par Volt Typhoon apparaissent
+particulièrement bruyantes :
+Un tel manque de discrétion au moment de la post-exploitation n'est pas
+rare chez les opérateurs de modes opératoires associés à la Chine.
+Plusieurs hypothèses, non mutuellement exclusives, peuvent être
+formulées pour expliquer un tel comportement. Tout d'abord, il est
+possible que, face à des pénuries de main-d'œuvre, l'accès initial soit
+réservé aux meilleurs opérateurs. L'attaquant peut, par exemple,
+considérer (à tort ou à raison) qu'il est plus important d'éviter d'être
+détecté au moment de la compromission de sa victime, qu'aux étapes
+suivantes de l'opération. Il est également possible que les opérateurs
+cherchent à réduire leurs coûts, employant à ce stade des individus
+moins bien formés, ou tentent simplement d'agir le plus rapidement
+possible, quitte à être plus bruyants.
+Un tel manque de discrétion interroge néanmoins dans le cadre d'une
+éventuelle opération de prépositionnement. En effet, un attaquant a tout
+intérêt à voler sous le radar de ses cibles afin de pérenniser son accès
+et de pouvoir l'utiliser à des fins de sabotage en cas de conflit. Là
+encore, plusieurs explications sont possibles : s'agissait-il d'envoyer
+un message à Washington ? Est-ce réellement une opération de
+prépositionnement qui est décrite dans ce rapport de Microsoft ?
+Plusieurs questions restent ainsi en suspens, et la faible littérature
+disponible en sources ouvertes sur Volt Typhoon ne permet d'y apporter
+de réponse pour l'instant.
+La menace dans le cyberespace est souvent décrite comme des capacités au
+service d'une intention et qui exploitent une ou des opportunités. S'il
+ne fait guère de doute - à l'aune de ces publications sur Volt Typhoon
+et plus généralement sur la lutte informatique chinoise - que Pékin
+dispose de capacités suffisamment avancées pour pouvoir se livrer à des
+opérations de sabotage, et que de nombreuses opportunités sont
+susceptibles de se présenter à l'avenir ; la question de l'intention des
+autorités chinoises demeure. Au-delà des attaques cybercriminelles qui
+sont monnaie courante aujourd'hui et des opérations d'espionnage
+susceptibles de les viser, les opérateurs d'importance vitale en France
+et en Europe devront également probablement suivre de près l'évolution
+de la pratique chinoise en matière de prépositionnement et sabotage.
--- a/content/articles/Volt_Typhoon/Volt_Typhoon
+++ b/content/articles/Volt_Typhoon/Volt_Typhoon
--- a/content/articles/Volt_Typhoon/florianVolt.jpg
+++ b/content/articles/Volt_Typhoon/florianVolt.jpg