Cybersécurité: Faut-il attaquer l'attaquant ? (LIO lutte informatique offensive)

 

Cybersécurité et Sécurité offensive (LIO): vers l'affrontement numérique ? 

 

55265bad35704bb01ba8dea0

                    Quelle cyber-cible "stratégique" après TV5 en avril dernier ? 

 

Ce qu'en pensent les experts:

 

Cédric Pernet, chercheur Cyber Safety Solutions, Trend Micro :

« Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT. »

 

 

Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

  - « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit ne pourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »

(Lire en fin d'article un extrait de l'entretien de Thomas Girard)

 

 

 

Cédric Pernet est un ancien officier de Police Judiciaire à l'OCLCTIC. Il a été membre du Cert LEXI et consultant CERT SG avant d'intégrer Cassidian / EADS Airbus Group et rejoindre en février 2015 Trend Micro comme chercheur. Il est l'auteur d'un excellent livre chez Eyrolles : « APT : Sécurité et espionnage informatique ». APT, 0Day, offensif...  trois mots pour une même problématique: la cyber-riposte. En cyber-défense, c'est acquis (LIO lutte informatique offensive) via la dernière version du Livre Blanc mais en cybersécurité par exemple jusqu où "pousser" les missions de Forensic ? 

Faut-il attaquer l'attaquant ? La question se pose aujourd'hui même si certains la réfute... du moins officiellement (cf la section BONUS en fin d'interview)  Elle sera au coeur des prochaines Assises de la Sécurité en octobre prochain comme elle est déjà "franchement" abordée dans de nombreuses conférences IT depuis des années. Alors parlons-en avec Cédric Pernet.... et quelques autres personnalités scientifiques moins "frileuses" que d'autres obligées de respecter les règles "confidential corporate" sur ce sujet. 

 

  

1 - Cyberisques NEWS: Cédric, pour connaître ton attaquant attaque-le. Nouvelle cyber-doctrine ou démagogie ? Cyber-riposter c'est accepter de se mettre au niveau des cyber-délinquants en ignorant morale et législation. Est ce envisageable en cyber-sécurité ?

Cédric Pernet: Je ne pense pas qu'il faille attaquer l'attaquant, cela reviendrait à se mettre à son niveau, celui d’un cybercriminel. D’autant plus qu’il peut y avoir une investigation judiciaire en cours n’importe où dans le monde sur tel ou tel groupe d’attaquants, et il n’est pas forcément facile d’être au courant de cette investigation. En revanche, il est possible de collaborer avec d'autres chercheurs et des structures de type CSIRT/CERT, services judiciaires et autres partenaires du secteur privé. Il est ainsi possible d’obtenir des données sans passer par l'offensif et souvent de mettre à mal des structures d’attaquants*.

Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT.

 

2 - Si une cyber-riposte est décidée, quelles sont les limites à ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés.

Je me pose la question de la plus-value d’une telle opération. Si les secrets de l’entreprise ont déjà fuité, c’est trop tard de toute façon pour les récupérer. Quel serait le but de cette cyber riposte ? Mieux connaître l’attaquant ? Cela ne semble pas être la priorité d’un décideur qui se fait compromettre et dérober ses secrets. Sa priorité consiste a écarter l’attaquant et ne plus lui donner la possibilité de revenir. Remonter à la source d’une attaque n’est pas dans ses priorités immédiates. La question de cyber ripostes organisées par certaines entités étatiques se pose, mais je ne pense pas être à même d’y répondre.

 

3 En pratique, quels outils voire cyber-armes utilisés pour cyber-riposter ? Comment avec quelles vulnérabilités a exploiter ?

La riposte peut prendre divers aspects. Tout est possible. Tout dépend de la cible. En APT la phase de reconnaissance permet de comprendre le niveau de maturité informatique de la cible et ainsi savoir quelle technicité déployer pour attaquer. Les mêmes outils sont toujours utilisés : des RAT, Backdoors et des outils pour rebondir dans le système compromis. Il faut laisser de côté les idées reçues qui disent qu'il faut des exploits « 0day » pour s'introduire sur un réseau. En pratique, c'est assez facile de pénétrer la plupart des entreprises. Les décideurs sont parfois influencés par des discours marketing de fournisseurs qui font croire que certains produits sont « magiques » et vont tout faire tous seuls, mais derrière ces équipements de sécurité il faut des analystes et des gens compétents pour analyser les détections en fonction de leur importance. Hiérarchiser les informations reçues est capital. Un SOC qui se contente de lever des alertes sans les faire qualifier finement par un analyste en Threat Intelligence ne sert à rien.

 

4 Combien de vulnérabilités 0day sont achetées en moyenne chaque mois dans le monde ? Par qui**?

C’est difficile à estimer, pour ce qui est de la quantité. Les acheteurs sont généralement des Etats ou des entreprises privées C’est un marché forcément très discret**.

 

5 Industriels / éditeurs : les rôles sont ils bien répartis sur le marché des Zéro day ***?

Certaines entreprises vendent effectivement des outils de type RAT/backdoor, ou des exploits 0day. Pour ce qui est des attaquants APT, ils utilisent des malwares développés en interne ou des malwares tiers modifiés pour ne pas être détectés facilement par les AV.

L’achat de malware/RAT à des tiers est risqué, ils peuvent contenir des backdoors, qui ne sont généralement détectables qu’en procédant par rétro-ingénierie, ce qui prend du temps.

Chez les éditeurs les binaires tournent dans des sandbox d’analyse et cela suffit dans la grande majorité des cas. Quelques-uns nécessitent une analyse manuelle, ce sont en général des malwares plus sophistiqués.

 

6 – Peut-on estimer le « Business de la LIO (lutte informatique offensive) » en 2015 ?

Il existe un marché du zero day dont les prix varient par exploit de quelques centaines d’Euros à plusieurs centaines de milliers d'Euros. Le prix est fixé à partir de plusieurs paramètres, dont notamment l’exploitabilité de la vulnérabilité et sa fréquence en entreprise. Un exploit fonctionnant pour un logiciel présent dans toutes les entreprises vaudra forcément plus cher qu’un exploit ciblant un logiciel moins répandu.

 

7 La confiance dans les équipements demeure une question stratégique : faut-il faire des audits « hard » comme on pratique les audits de codes ?

Effectivement, on en arrive à avoir la nécessité de faire des audits de ces matériels par des tiers de confiance. Si j’étais RSSI chez un OIV je voudrai avoir la certitude que le matériel et son code sont « propres ».

 

8 Cybersabotage ? Quelle réponse en cas de cyber-chantage et d'attaques ciblées ?

Dans l’idéal, il faut déjà avoir des plans de réponse au cyber chantage et ne pas attendre passivement que cette situation catastrophique se présente un jour. Il faut avoir des backups de ses données stockés en dehors de tout système connecté, etc.

En cas d’attaque ciblée, il faut faire intervenir une équipe de réponse à incident qualifiée, rapidement. Cette ressource ne se trouve généralement pas en interne et nécessite souvent une intervention externe. Cela a du sens, parce que des profils internes même orientés sécurité n’auront pas l’expérience d’autres profils habitués à travailler sur des APT. L’expérience est déterminante lors d’une réponse à incident sur APT.

Le nerf de la guerre dans la lutte contre les APT c'est la sensibilisation qui implique le collaborateur. On peut par exemple mettre en place des sensibilisations pour les nouveaux employés qui impliquent de leur faire remplir des questionnaires ludiques de sécurité, ou encore lancer de véritables campagnes de phishing et aller voir individuellement les personnes y ayant répondu.

Propos recueillis par Jean Philippe Bichard pour cyberisques NEWS

 

Pour accéder à l'intégralité de notre contenu: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

BONUS : (extrait)

Sur le site d'un acteur connu en prestations de services de cybersécurité on peut lire : 

Les APT ne sont plus réservées aux intérêts nationaux. Les cybercriminels se sont professionnalisés et rivalisent aujourd’hui en sophistication avec les attaques étatiques les plus abouties. Toute entreprise doit donc aujourd'hui préparer sa défense et concevoir sa riposte..."

Officiellement, cet acteur ne désire pas s'exprimer c'est du moins ce qu'affirme son service de communication externe (Agence PR). Officieusement donc, nous l'avons rencontré pour échanger entres autres sur l'évolution du cadre légal lié à la LIO (Lutte informatique offensive). Article à venir :)    doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. Toute entreprise doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. 

 

 

* collaboration Trend Micro/Interpol/Kaspersky/Microsoft/Cyber Defence Institute : http://blog.trendmicro.com/trendlabs-security-intelligence/simda-a-botnet-takedown/

 

** http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/ et https://hackerone.com

 

*** http://cyberisques.com/fr/mots-cles-1/446-trendlabs-les-tetes-chercheuses-de-trend-micro-pretes-pour-passer-a-l-offensif

 

 

 

 


Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

 

- « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit nepourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »


 

1-  Faut il attaquer l'attaquant ? Pour connaître ton attaquant attaque-le. Nouvelle doctrine ou démagogie ? Autrement dit cyber-riposter c'est aussi se mettre au niveau des cyber-délinquants en ignorant morale et législation ? 

 

 

 

Il faut attendre la doctrine cyber qui sortira en intégrant peut-être l'aspect Cyber à une nouvelle arme, voire une nouvelle armée. La philosophie des règles d'engagements devrait y être précisée. Cyber protection, cyberdéfense, cyberésilience : ces trois thèmes cyber ont des approches différentes mais sont complémentaires. Au Ministère, on se rend compte que sur un théâtre par exemple ce sont les mêmes personnes qui font de la cyberdéfense (partie LID) et de la cybersécurité (partie SSI).

 

Quant à la partie offensive, avec des cyber arsenaux... personne ne l'évoque clairement aujourd'hui. A l'instar du nucléaire, on ne va pas faire défiler ces armes au défilé du 14 juillet. Malgré tout, on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO.

 

Dans le privé, nous sommes à la limite du tolérable concernant la sécurité des patrimoines immatériels de grandes entreprises françaises même si certains grands comptes sont en mesure de se protéger relativement correctement. Le renforcement de la législation devrait permettre un certain renforcement à marche forcée des entreprises.

 

Concernant le chiffre (cryptographie), il a toujours eu une place particulière : est-on sûr que les algorithmes et leur l'implémentation sont invulnérables aux puissances étrangères ? En tout cas il faut l'espérer, même si c'est une question que l'on peut se poser.

 

 

 

2 - Si une cyber-riposte est décidée, quelles sont les limites a ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés

 

L'analogie avec les opérations spéciales semble se dessiner aujourd'hui. De mon point de vue, il faut considérer l'outil informatique offensif comme un effecteur comme les autres.
Concernant l'Etat, les limites à ne pas franchir seront définies par une doctrine militaire. On est dans le pur commandement militaire. Quel est l'effet recherché ? La destruction, le pourrissement, la mise hors service, le renseignement, etc. ? Veut-on laisser des traces oupas ? Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée. 


2bis - Quelles règlesd'engagement dans le domaine cyber ? Quel positionnement de l'arme cyber dans les armées ?

...

(Suite de l'article accessible pour les abonnés à Cyberisques NEWS)

 

 

 

A consulter: (extrait) 

http://legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000030405967&dateTexte=&oldAction=dernierJO&categorieLien=id&utm_content=bufferd7b72&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

- "ShortMag" Magazine des ingénieurs de l'armement, HS Janvier 2014 l'article de Jean-François Pacault "A l'attaque!"

http://www.netragard.com/exploit-acquisition-program-shut-down

http://www.pwc.co.uk/assets/pdf/2015-ISBS-Technical-Report-blue-digital.pdf

 - ...

  

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires