« Le renseignement cyber - No Log » : différence entre les versions
(→15’ 35) |
Aucun résumé des modifications |
||
Ligne 79 : | Ligne 79 : | ||
<b>Véronique Loquet : </b>Le <em>ransomware</em> ce sont les rançongiciels<ref>[https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel Rançongiciel]</ref>. On l’avait vu dans un épisode précédent. J’imagine qu’on ne trouve pas ça non plus en tapant sur Google, sur le vulgaire moteur de recherche auquel tout le monde a accès. | <b>Véronique Loquet : </b>Le <em>ransomware</em> ce sont les rançongiciels<ref>[https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel Rançongiciel]</ref>. On l’avait vu dans un épisode précédent. J’imagine qu’on ne trouve pas ça non plus en tapant sur Google, sur le vulgaire moteur de recherche auquel tout le monde a accès. | ||
<b>Barbara Louis-Sidney : </b>Ça dépend. Il y a | <b>Barbara Louis-Sidney : </b>Ça dépend. Il y a beaucoup de mythes sur le darknet<ref>[https://fr.wikipedia.org/wiki/Darknet Darknet]</ref>, dark web<ref>[https://fr.wikipedia.org/wiki/Dark_web Dark web]</ref>, etc. Il y a des choses qu’on peut trouver en tapant dans des moteurs de recherche mais c’est vrai que, darknet ou pas, en fait ce sont souvent des sites internet d’initiés qu’il faut connaître pour avoir accès à ces informations-là et pouvoir les trouver. Donc ça prend un peu de temps pour se mettre dedans, mais une fois qu’on a accès à un premier site, on peut aller en cascade et en trouver d’autres. | ||
<b>Véronique Loquet : </b>Et ça fait partie aussi de ton travail ? | <b>Véronique Loquet : </b>Et ça fait partie aussi de ton travail ? | ||
Ligne 139 : | Ligne 139 : | ||
<b>Barbara Louis-Sidney : </b>C’est un vrai challenge parce que ça dépend vraiment de à qui on s’adresse. Ça implique de parler un langage commun. On peut très bien utiliser des frameworks, enfin des outils comme MITRE ATT&CK<ref>[https://www.welivesecurity.com/fr/2019/09/18/introduction-mitre-attack-utilite/ MITRE ATT&CK]</ref>, qui vont nous permettre de classer les différentes techniques avec des numéros spécifiques pour avoir ce langage commun. Sinon, ce qu’on fait, on utilise notre base de Threat Intelligence où on a les différents niveaux d’information qui sont disponibles : le niveau stratégique où on va expliquer la menace, ses motivations, ses cibles et les principales techniques utilisées et puis on descend aussi jusqu’au niveau technique où on aura les noms de domaines et l’adresse IP, etc., qui pourront être utilisés directement dans des outils de cybersécurité par les profils techniques. | <b>Barbara Louis-Sidney : </b>C’est un vrai challenge parce que ça dépend vraiment de à qui on s’adresse. Ça implique de parler un langage commun. On peut très bien utiliser des frameworks, enfin des outils comme MITRE ATT&CK<ref>[https://www.welivesecurity.com/fr/2019/09/18/introduction-mitre-attack-utilite/ MITRE ATT&CK]</ref>, qui vont nous permettre de classer les différentes techniques avec des numéros spécifiques pour avoir ce langage commun. Sinon, ce qu’on fait, on utilise notre base de Threat Intelligence où on a les différents niveaux d’information qui sont disponibles : le niveau stratégique où on va expliquer la menace, ses motivations, ses cibles et les principales techniques utilisées et puis on descend aussi jusqu’au niveau technique où on aura les noms de domaines et l’adresse IP, etc., qui pourront être utilisés directement dans des outils de cybersécurité par les profils techniques. | ||
<b>Véronique Loquet : </b>J’imagine que quand tu as des entreprises clientes, il faut que tu rendes un rapport qui soit lisible par des gens qui ne sont pas forcément en lien avec la cybersécurité. Ces informations intéressent aussi les | <b>Véronique Loquet : </b>J’imagine que quand tu as des entreprises clientes, il faut que tu rendes un rapport qui soit lisible par des gens qui ne sont pas forcément en lien avec la cybersécurité. Ces informations intéressent aussi les comex [comité de direction] exécutif], les patrons des entreprises. | ||
<b>Barbara Louis-Sidney : </b>Tout à fait, c’est ça. Pour ces profils-là on fera plutôt des panoramas des menaces où on expliquera des tendances. Donc c’est donc la même information, mais avec différentes facettes ou différentes traductions. Pour les uns on va donner des informations contextuelles techniques, parfois géopolitiques, économiques, pour aider à la prise de décision. Pour d’autres, si on descend un peu plus, ça va aider aussi à la prise de décision en termes de choix d'outils de cybersécurité pour prioriser ; ça peut engager des budgets, ça peut décider l’achat de telle ou telle solution. Et pour d’autres, des informations techniques pour détecter immédiatement. | <b>Barbara Louis-Sidney : </b>Tout à fait, c’est ça. Pour ces profils-là on fera plutôt des panoramas des menaces où on expliquera des tendances. Donc c’est donc la même information, mais avec différentes facettes ou différentes traductions. Pour les uns on va donner des informations contextuelles techniques, parfois géopolitiques, économiques, pour aider à la prise de décision. Pour d’autres, si on descend un peu plus, ça va aider aussi à la prise de décision en termes de choix d'outils de cybersécurité pour prioriser ; ça peut engager des budgets, ça peut décider l’achat de telle ou telle solution. Et pour d’autres, des informations techniques pour détecter immédiatement. | ||
Ligne 166 : | Ligne 166 : | ||
<b>Véronique Loquet : </b>Quand je lui demande quelles qualités font un bon chercheur en Threat Intelligence, Barbara me répond : | <b>Véronique Loquet : </b>Quand je lui demande quelles qualités font un bon chercheur en Threat Intelligence, Barbara me répond : | ||
<b>Barbara Louis-Sidney : </b>La ténacité, la curiosité, un peu d’esprit de compétition parce que, finalement, l’objectif c’est d’essayer d’avoir une longueur par rapport à l’attaquant. [On entend un petit déclic, NdT]. Désolé, on va le couper. | <b>Barbara Louis-Sidney : </b>La ténacité, la curiosité, un peu d’esprit de compétition parce que, finalement, l’objectif c’est d’essayer d’avoir une longueur d'avance par rapport à l’attaquant. [On entend un petit déclic, NdT]. Désolé, on va le couper. | ||
<b>Véronique Loquet : </b>Super. | <b>Véronique Loquet : </b>Super. |
Version du 12 avril 2021 à 10:43
Titre : Le renseignement cyber
Intervenant·e·s : Barbara Louis-Sidney - Véronique Loquet
Lieu : NO LOG, saison 1, ép. 6
Date : 11 janvier 2021
Durée : 30 min 39
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Véronique Loquet : Vous écoutez l’épisode 6 du podcast NO LOG et je m’appelle Véronique Loquet.
Aujourd’hui, nous allons parler de Threat Intelligence. Vous l’avez compris, depuis le début de cette saison, on explore les différents aspects de la menace cyber. Elle va de l’escroquerie à l’usurpation d’identité, de la demande de rançon à l’espionnage industriel ou encore à la déstabilisation économique ou étatique. Les entreprises sont devenues le champ de bataille des cyberguerres. Elles apprennent à se barricader pour se protéger le plus possible. Si vis pacem, para bellum , « si tu veux la paix, prépare la guerre ».
Saviez-vous qu’il existe des espions un peu particuliers qui enquêtent sur le crime cyber. C’est le rôle de la Threat Intelligence. Anticiper les attaques grâce à une fine connaissance du profil des assaillants et de leur mode opératoire.
Pour en parler, j’ai invité Barbara Louis-Sidney. On pourrait dire que c’est une espionne, mais c’est surtout une experte du cybercrime qui se bat du bon côté de la force.
Pour commencer, j’ai demandé à Barbara de m’expliquer son objectif en tant que professionnelle de la Threat Intelligence[1].
Barbara Louis-Sidney : J’expliquerai de façon simple en commençant par les menaces. Les entreprises, en particulier les institutions, font face à des menaces au quotidien, sont victimes de cyberattaques et, pour se protéger de ces cyberattaques, on peut faire le choix d’essayer de comprendre comment les personnes qui lancent ces attaques-là fonctionnement, donc quelles sont leurs méthodes, leurs objectifs.
La Threat Intelligence c’est ça, c’est essayer de comprendre comment fonctionne l’attaquant pour mieux anticiper et s’en protéger.
Véronique Loquet : En fait, cette activité de renseignement adaptée au monde cyber n’est pas nouvelle. Elle existe depuis une vingtaine d’années. Elle s’est développée plus largement dans la tourmente des APT [Advanced Persistent Threat], ce qu’on appelle en français MPA pour menaces persistantes avancées[2]. Est-ce que tu peux nous expliquer en quoi consistent ces menaces APT ?
Barbara Louis-Sidney : Menaces persistantes et avancées. Déjà ce sont des attaques sophistiquées qui sont soit sophistiquées d’un point de vue technique parce que l’attaquant peut très bien développer ses propres logiciels malveillants, la complexité peut être technique, mais aussi en termes d’ingénierie sociale où on a des attaquants qui peuvent aller très loin dans l’usurpation de marques ou d’identités pour tromper la cible et parfois n’ont pas besoin d’être avancés techniquement mais plutôt d’être avancés dans leurs capacités à tromper la victime.
Véronique Loquet : Les victimes.
Barbara Louis-Sidney : Tout à fait.
Véronique Loquet : Dans le domaine des APT, la liste est longue. Prenons quelques exemples : les actions malveillantes du groupe de cybercriminels russes Turla qui vise des intérêts politiques. Très actif depuis 2008, Turla s’est illustré pendant le sommet du G20 à Hambourg en octobre 2017. C’est cet événement que nous raconte Barbara.
Barbara Louis-Sidney : Le groupe Turla est un groupe lié à la Russie.
Véronique Loquet : Un groupe de criminels.
Barbara Louis-Sidney : Un groupe de cybercriminels qui est lié à la Russie, donc c’est un groupe étatique qui, en 2017, a tenté de cibler le G20 en réutilisant un ancien logiciel malveillant qu’ils avaient développé avant. Je trouve ça intéressant parce que, dans un premier temps, on a ce logiciel malveillant qui s’appelle Kopiluwak qui est un outil de reconnaissance, qui va permettre à l’attaquant, une fois qu’il a déployé le logiciel sur le système d’information, de collecter les informations nécessaires à une attaque qui doit survenir plus tard.
Deuxième point intéressant c’est que là on a à faire à des attaquants qui ont été complexes d’un point de vue ingénierie sociale et qui ont déployé des moyens assez conséquents pour tromper les victimes. Pourquoi parle-t-on du G20 qui a eu lieu en octobre 2017 ? Parce que des entreprises spécialisées en cybersécurité ont identifié des phishing, des mails de phishing vers mi-juillet, qui reprenaient un document officiel et non-public qui s’adressait initialement à des personnes qui sont invitées au G20. Ce procédé d’intrusion initiale est assez intéressant.
Ce phishing, avec ce document leurre, permettait finalement de déployer leur logiciel malveillant à eux, fait sur mesure, mais qui existait déjà avant. C’est intéressant déjà pour la notion de temporalité, parce que là on a une menace persistante, qui, surtout, s’inscrit de mi-juillet à octobre, peut-être même avant et peut-être même après, donc on a déjà une idée du nombre de mois que ça peut prendre pour l’attaquant s’il souhaite agir en amont du G20. Et puis cette question du vecteur initial, la reconnaissance qui est intéressante et puis la dimension un peu avancée qui est assez particulière parce que le code qui permettait de déposer le logiciel malveillant de reconnaissance sur le système de la victime lui n’était pas du tout camouflé. Il était totalement transparent, donc il n’y avait pas forcément de complexité outre mesure à l’analyse. La complexité vient dans les moyens que se sont donnés les attaquants pour rendre crédible leur attaque.
Véronique Loquet : Quand on parle d’ingénierie sociale, on parle d’exploiter la faiblesse humaine ?
Barbara Louis-Sidney : Tout à fait. Quand on est invité au G20 et qu’on a un document officiel, non-public, qui nous parvient comme ça, on est tenté de cliquer, c’est tout à fait logique et n’importe qui serait tombé dans le panneau. On s’est posé la question, on ne sait pas ce qui s’est produit après donc ça caractérise pas mal de campagnes d’attaques où on manque de visibilité. On sait que c’est une APT potentielle parce que le groupe est déjà un groupe qui met en place des techniques très complexes depuis des années, qui est très sophistiqué, c’est l’un des groupes les plus sophistiqués – par exemple ils peuvent utiliser des connexions satellites pour communiquer avec leurs malwares à distance, c’est un exemple parmi tant d’autres. C’est un groupe très sophistiqué qui a lancé cette attaque-là et on ne dispose pas de visibilité supplémentaire sur la suite.
Véronique Loquet : Il reste donc impossible d’évaluer les dommages commis par ce groupe criminel étatique. Lié au renseignement russe, Turla fait reparler de lui en 2018 lorsqu’il pirate les systèmes des ministères de la Défense et des Affaires étrangères en Allemagne. Cette fois, Turla est soupçonné de s’être introduit pendant un an dans les réseaux informatiques et de s’être procuré plusieurs documents.
Ce type d’offensive, que la Russie appelle « conflit hybride », s’inscrit durablement dans le paysage géopolitique.
Barbara Louis-Sidney : Un autre exemple, ce serait plutôt un groupe et pas une campagne d’attaques, j’avais pensé à APT41 qui est un groupe chinois ou potentiellement d’origine chinoise, parce qu’on a un groupe qui, ici, va réaliser des activités de cyberespionnage avec des objectifs qui correspondent à ceux des plans quinquennaux chinois, avec des horaires qui correspondent également et puis des individus qui ont été identifiés sur des forums, des individus d’origine chinoise qui ont été identifiés, qui se sont présentés.
Véronique Loquet : Des APT, Barbara en voit beaucoup dans son métier. Elle mentionne le groupe d’origine chinoise APT41. Ce groupe est connu pour effectuer des intrusions et de l’espionnage ciblé sur des secteurs stratégiques de l’économie.
APT41 est à l’origine d’opérations contre de nombreux pays dont la France. Il touche des secteurs d’activité comme la santé, le jeu vidéo, l’enseignement supérieur, l’industrie high-tech ou encore les médias. Ce type de piratage nécessite souvent des moyens importants et il peut rester totalement invisible pour les entreprises ou les institutions visées. L’attaquant s’introduit au cœur du système d’information de sa victime et conserve discrètement un accès pour récupérer de l’information stratégique sur le long terme.
Barbara Louis-Sidney : J’ai choisi cet exemple-là du point de vue APT et groupe, pas ATP et campagne, mais là un groupe, parce que ce groupe-là est étatique. Il réalise à la fois des activités de cyberespionnage dans un objectif géopolitique clair, mais il va aussi réaliser sur son temps libre on va dire, avec les individus membres de ce groupe-là, des attaques à but lucratif, des attaques qui ont pour objectif un gain financier. Donc il va mélanger cybercriminalité classique, traditionnelle, et justement ces fameux APT qui ont pour objectif de collecter des informations stratégiques.
Véronique Loquet : Barbara étudie les moyens, les motivations et les modes opératoires qui vont être caractéristiques d’une activité ou d’un groupe criminel en particulier.
Barbara Louis-Sidney : On va essayer d’identifier des éléments sur toute la chaîne d’exécution de l’attaque, de l’intrusion initiale à la réalisation des objectifs finaux de l’attaque. On peut retrouver des mails, donc on va récupérer des adresses mails, le contenu de ces mails, des liens. Si dans ces mails on a un lien ou un document malveillant à télécharger, le document sera téléchargé sur le poste, donc ça aussi c’est quelque chose qui peut être détecté. Le lien va tenter de se connecter à un site internet qui peut être malveillant, donc là aussi c’est quelque chose qui peut être détecté dans les événements de connexion.
On peut aussi observer ce que le logiciel malveillant qui est installé va tenter de faire : est-ce qu’il va tenter de modifier des répertoires spécifiques, des dossiers ? Est-ce qu’il va tenter d’installer des choses supplémentaires ? Est-ce qu’il va tenter de se connecter à l’infrastructure de l’attaquant pour communiquer avec l’attaquant ? Tout ça laisse des traces qu’on peut identifier.
Véronique Loquet : Là on vient d’aborder les APT, mais le crime cyber est rarement à court d’idées. Toute une chaîne d’outils et de compétences permet aujourd’hui de faire vivre le concept de crime as a service. Est-ce que tu peux nous expliquer cette notion de crime as a service parce qu’aujourd’hui j’ai l’impression que c’est quand même assez simple pour des gens qui n’ont pas forcément des techniques avancées, justement ce dont on parlait tout à l’heure, de pouvoir, en tout cas, être des cybercriminels sans être de très bons hackers ?
Barbara Louis-Sidney : Finalement le crime as a service c’est une véritable économie. On a une sorte de division des tâches avec des personnes qui se spécialisent dans certaines parties de cette fameuse chaîne d’exécution. Certains vont vendre le malware déjà réalisé ; d’autres vont vendre des accès, donc ils vont réaliser l’intrusion initiale ; d’autres vont vendre cette partie qu’on appelle la reconnaissance, donc ils vont accéder à des systèmes d’information qu’ils ont compromis en masse et ils vont tenter de faire une première qualification de la victime, des cibles, pour savoir si ces cibles sont intéressantes.
Il y a aussi la possibilité de revendre les résultats d’une première attaque, donc des mots de passe, des identifiants, etc.
Il y a aussi la logique d’abonnement, un peu comme on peut s’abonner à de la VOD ou autre, on peut s’abonner à des outils qui sont totalement en ligne et qui permettent de faire des attaques en déni de service à la demande avec un paiement en fonction du nombre de cibles ou de l’ampleur de l’attaque.
On a également du ransomware as a service auquel on s’abonne également.
Véronique Loquet : Le ransomware ce sont les rançongiciels[3]. On l’avait vu dans un épisode précédent. J’imagine qu’on ne trouve pas ça non plus en tapant sur Google, sur le vulgaire moteur de recherche auquel tout le monde a accès.
Barbara Louis-Sidney : Ça dépend. Il y a beaucoup de mythes sur le darknet[4], dark web[5], etc. Il y a des choses qu’on peut trouver en tapant dans des moteurs de recherche mais c’est vrai que, darknet ou pas, en fait ce sont souvent des sites internet d’initiés qu’il faut connaître pour avoir accès à ces informations-là et pouvoir les trouver. Donc ça prend un peu de temps pour se mettre dedans, mais une fois qu’on a accès à un premier site, on peut aller en cascade et en trouver d’autres.
Véronique Loquet : Et ça fait partie aussi de ton travail ?
Barbara Louis-Sidney : Oui.
Véronique Loquet : Justement comment ça permet d’identifier les auteurs de crimes cyber et comment on enquête, en fait, sur les individus?
Barbara Louis-Sidney : On va rarement tenter d’identifier qui, mais plutôt quoi, comment et pourquoi. Effectivement, on peut tomber sur des informations qui nous permettent d’identifier qui. Par exemple, c’est ce qui a été fait pour APT41. On a retrouvé sur des forums publics des traces des attaquants d’APT41 avec leurs pseudonymes. Une fois qu’on a leurs pseudonymes on peut continuer et voir si ces personnes laissent des traces, en fait.
Donc en retrouvant les mêmes logiciels malveillants, en retrouvant des noms de domaines qui se ressemblent, qui sont enregistrés à la chaîne avec une convention de nommage spécifique, en retrouvant des répertoires, etc., tout ça nous permet d’identifier des clusters d’activité et pas forcément la personne qu’il y a derrière, parce que, finalement, une infrastructure peut se passer d’équipe en équipe. Et si on pense que ces activités sont professionnalisées, on peut très bien avoir des personnes qui sont embauchées et qui changent d’équipe, etc. Finalement, savoir qui il y a derrière nous importe peu, mais savoir comment fonctionnent ces infrastructures et quelles traces laissent ces infrastructures nous intéresse un peu plus.
Véronique Loquet : Parfois la menace est interne à l’organisation. Comment détecte-t-on des comportements anormaux ou des comportements suspects au sein d’une entreprise ?
Barbara Louis-Sidney : C’est un cas particulier parce que la personne est déjà présente au sein du système d’information et dispose d’accès. Ce qui va nous intéresser, ce sont les mesures de durcissement qui ont été mises en place par les équipes de sécurité informatique internes en termes de gestion des droits, d’accès à certains répertoires, etc. Si on passe outre cette étape d’intrusion initiale, on va se retrouver avec un attaquant qui va vouloir accéder à certains documents, à certaines parties du système d’information, ou gagner en privilèges. Imaginons que ça soit un utilisateur classique, il va vouloir gagner en privilèges et obtenir, par exemple, des accès administrateur. Cette élévation de privilèges peut être détectée si, selon la politique de sécurité de l’entreprise, l’utilisateur n’a pas le droit de faire ça, donc c’est quelque chose qui sera enregistré, logué quelque part.
Véronique Loquet : On voit son adresse IP ? Comment ça se passe ? Tu vois son log en fait.
Barbara Louis-Sidney : Oui, c’est ça. On va voir que tel individu a tenté de se créer un compte et que cet individu n’est pas autorisé. Ou, par exemple, tel individu a tenté de s’envoyer des données sur son adresse mail ou d’exfiltrer des données. On le voit si on a des mesures de Data Leak Prevention ou Data Leak Protection, donc du DLP ; on verra justement ces tentatives-là.
15’ 35
Véronique Loquet : Imaginez, l’un de vos salariés ou le stagiaire vous espionne en même temps qu’il travaille pour vous ! L’angoisse ! Mais bien sûr, tout n’est pas permis pour observer le comportement de ses salariés.
Barbara Louis-Sidney : Par exemple le contenu des mails souvent n’est pas logué. On va récupérer le destinataire, l’émetteur, l’objet du mail, le nom de la pièce jointe, date, heure, etc., mais on n’aura pas forcément le contenu. Après, ce contenu peut être scanné automatiquement, mais pas à la vue des personnes qui vont traiter manuellement, afin de détecter des liens, des liens qui peuvent être malveillants. Et puis, dans certains cas, on va regarder les contenus.
Véronique Loquet : Ah oui ! Donc « si » ! Sous condition tout est permis.
Barbara Louis-Sidney : Donc il faut, il me semble, mentionner dans une charte ce qui est logué, ce qui est enregistré, et faire signer cette charte aux salariés pour qu’ils soient conscients de ce qui est enregistré et de la marge qu’ils ont dans leurs activités du quotidien. Et puis, si des choses sont identifiées par rapport à un salarié, il va falloir investiguer sur sa machine, donc là on contacte le salarié et également sa hiérarchie.
Véronique Loquet : Le travail de Barbara a aussi un impact sur la sensibilisation des collaborateurs au sein de l’entreprise. Car bien informer sur les risques, un salarié maillon faible peut se transformer en maillon fort.
Barbara Louis-Sidney : Par exemple on peut avoir des RSSI [responsables de la sécurité des systèmes d'information] qui vont sensibiliser les équipes RH parce que, en ce moment, il peut y avoir une campagne qui cible les ressources humaines avec de faux CV, de faux candidats qui vont envoyer des CV sur lesquels on va double-cliquer, forcément, parce que c’est son travail, quand on est RH, de recevoir des mails de l’extérieur avec des pièces jointes type DOC ou PDF. Si on est au courant qu’il y a une campagne comme ça qui est menée ça va intéresser le RSSI et il va pouvoir illustrer sa sensibilisation avec des données concrètes et actuelles. Ça, ça parle tout de suite aux personnes.
Véronique Loquet : Comment est-ce qu’on met en place un programme de Threat Intelligence ?
Barbara Louis-Sidney : On définit en général la Threat Intelligence avec ce qu’on appelle le cycle de la Threat Intelligence, de la définition des objectifs de la Threat Intelligence en passant par la collecte, la production, pour arriver à tout ce qui est dissémination et retour sur expérience, donc retex. Ça implique de se doter des bonnes ressources et d’une gouvernance d’appui de la part de la hiérarchie.
Si on commence par la première étape, très rapidement, la définition des objectifs c’est se dire quel est mon modèle de menace, quels sont mes actifs à protéger et, en face, quels sont les groupes qui sont susceptibles de cibler ça ? Ensuite, quels sont mes destinataires de la Threat Intelligence, pour qui je vais produire de la Threat Intelligence et comment je dois m’adapter à ces destinataires-là ?
Une fois qu’on a ça, on va passer à l’étape de collecte. Comment collecter le renseignement ? Là, il va falloir réfléchir à quels outils acquérir pour collecter le renseignement. Comment traiter ce renseignement ; où est-ce qu’on va mettre ce renseignement, où est-ce qu’on va le capitaliser. Comment analyser les données. Je parle de renseignement, mais ce n’est pas encore forcément du renseignement, c’est de l’information qu’il faut transformer en renseignement, donc il va falloir passer par de l’analyse et quelles sont les capacités d’analyse dont j’ai besoin : est-ce que j’ai besoin d’analyse géopolitique ou d’analyse plus technique, etc.
Ensuite on passe à la dissémination. Si je veux produire du renseignement, sous quelle forme je vais le présenter pour qu’il soit actionnable et utilisable immédiatement par différentes personnes, par mes destinataires que j’ai identifiés en étape 1.
On continue la boucle comme ça. Aborder ça par étapes du cycle du renseignement permet de se poser les bonnes questions sachant qu’on peut aussi tout externaliser, donc s’assurer qu’un prestataire externe réalise une ou toutes les étapes de ce cycle du renseignement.
Véronique Loquet : Tu parlais des moyens de collecte. Est-ce qu’on peut en citer quelques-uns ?
Barbara Louis-Sidney : Finalement on fonctionne beaucoup en OSINT, en renseignement d'origine sources ouvertes. Pour collecter des informations il y a plusieurs possibilités. Ce qui est directement accessible c’est la veille dans les médias, les blogs spécialisés, les publications des entreprises connues de cybersécurité, les grands éditeurs de cybersécurité. On va utiliser, tout simplement, par exemple des lecteurs flux RSS ou autres pour identifier toutes les informations facilement accessibles.
Véronique Loquet : L’OSINT c’est l’Open Source Intelligence, le renseignement obtenu par des sources d’information publiques. Cette méthode, utilisée par les agents fédéraux américains pendant la Seconde guerre mondiale, a explosé avec Internet. L’OSINT est employé par des enquêteurs mais aussi par certains journalistes. En maîtrisant l’utilisation d’un moteur de recherche, n’importe qui peut dénicher des mines d’informations sur vos usages numériques, les miens, mais aussi ceux des pirates. Ça c’est pour l’OSINT, mais il y a plein d’autres façons de récolter des infos.
Barbara Louis-Sidney : Le mieux c’est d’avoir accès à des bases de données spécialisées, bases de données qui vont parfois scanner Internet, type Shodan, ???, etc., VirusTotal, DomainTools pour les noms de domaines. L’accès à ces bases de données est souvent payant. L’objectif c’est de pouvoir collecter tout ce qui est disponible en ligne sur les menaces.
On peut aussi développer ses propres trackers. C’est quelque chose que je ne faisais pas du tout au début, mais, au contact de mes collègues, j’ai appris à le faire. Il y a des personnes qui sont spécialisées dans le développement de trackers. C’est-à-dire que ces personnes vont identifier des spécificités techniques par exemple dans les noms de domaines enregistrés par tel groupe qui a tel range, enfin telle liste d’adresses IP, avec tel fournisseur d’accès, etc. Tout ça sera une liste de critères qui vont permettre d’aller identifier les infrastructures techniques des attaquants.
Il y a ça. On peut aussi aller chercher en interne dans les logs de l’entreprise. On peut aussi avoir ce qu’on appelle des honeypots, des pots de miel, qui vont collecter du renseignement finalement sur les attaques qui sont lancées avec des critères type vulnérabilité et scan.
Véronique Loquet : La technique du honeypot que mentionne Barbara, le pot de miel, est une manière de leurrer les attaquants. Il s’agit de les attirer dans des zones isolées d’un système informatique pour les éloigner des données sensibles du réseau. Isolé du vrai serveur, le pot de miel sera surveillé en permanence. Si une menace est détectée, on pourra alors analyser la manière dont le pirate a attaqué ce pot de miel et déployer une défense adéquate sur la partie réelle du serveur à protéger.
Une autre technique consiste à collecter du renseignement humain en infiltrant des réseaux fermés.
Barbara Louis-Sidney : Pour voir comment s’organisent les attaquants, il faut s’inscrire sur ces forums, gagner en crédibilité, se faire des contacts, discuter, se créer une personnalité crédible avec le langage spécifique, l’argot sur ces forums-là, tout en restant dans le cadre de la légalité. Ça peut intéresser les acteurs du secteur bancaire qui veulent anticiper, notamment au niveau des kits de phising qui sont vendus, par exemple, mais aussi qui veulent avoir une visibilité en aval sur des accès ou des numéros de cartes bancaires qui sont vendus, etc. ; ça, ça se fait beaucoup par des acteurs spécialités depuis des années. En tout, cas de mon côté, on a de plus en plus de clients qui peuvent demander ça.
Véronique Loquet : Une fois que les données sont collectées, comment sont-elles traitées pour devenir du renseignement utile ?
Barbara Louis-Sidney : C’est un vrai challenge parce que ça dépend vraiment de à qui on s’adresse. Ça implique de parler un langage commun. On peut très bien utiliser des frameworks, enfin des outils comme MITRE ATT&CK[6], qui vont nous permettre de classer les différentes techniques avec des numéros spécifiques pour avoir ce langage commun. Sinon, ce qu’on fait, on utilise notre base de Threat Intelligence où on a les différents niveaux d’information qui sont disponibles : le niveau stratégique où on va expliquer la menace, ses motivations, ses cibles et les principales techniques utilisées et puis on descend aussi jusqu’au niveau technique où on aura les noms de domaines et l’adresse IP, etc., qui pourront être utilisés directement dans des outils de cybersécurité par les profils techniques.
Véronique Loquet : J’imagine que quand tu as des entreprises clientes, il faut que tu rendes un rapport qui soit lisible par des gens qui ne sont pas forcément en lien avec la cybersécurité. Ces informations intéressent aussi les comex [comité de direction] exécutif], les patrons des entreprises.
Barbara Louis-Sidney : Tout à fait, c’est ça. Pour ces profils-là on fera plutôt des panoramas des menaces où on expliquera des tendances. Donc c’est donc la même information, mais avec différentes facettes ou différentes traductions. Pour les uns on va donner des informations contextuelles techniques, parfois géopolitiques, économiques, pour aider à la prise de décision. Pour d’autres, si on descend un peu plus, ça va aider aussi à la prise de décision en termes de choix d'outils de cybersécurité pour prioriser ; ça peut engager des budgets, ça peut décider l’achat de telle ou telle solution. Et pour d’autres, des informations techniques pour détecter immédiatement.
Véronique Loquet : Lorsque certaines attaques ciblées concernent un même secteur, on peut parler par exemple du secteur bancaire, est-ce que les renseignements sont partagés entre les banques, même si elles sont concurrentes, est-ce qu’elles font cause commune en matière de Threat Intelligence ?
Barbara Louis-Sidney : Complètement. Il y a des cercles de partage plus ou moins publics, l’InterCERT, le ???. Il y a des espaces de partage d’informations. Les différents cercles discutent entre eux et l’idée c’est vraiment de partager l’information sur ce qu’on a observé nous concernant. Par exemple, quand on est une banque, si on observe une tentative d’usurpation de notre marque ou de notre raison sociale, on peut très bien avertir les autres qu’il y a cette attaque en préparation ou alors quelqu’un, une entité, qui a essayé d’usurper notre nom. On leur dira « si vous voyez des mails avec cette adresse mail-là qui se fait passer pour notre entité à vous, ce n’est pas ça, ce n’est pas vrai ». C’est intéressant en termes d’anticipation. Et puis quand on observe des attaques, c’est toujours intéressant de partager aux entités qui ont les mêmes profils que nous parce que ce sont des attaques qui peuvent de répandre dans tout le secteur. Donc oui, par exemple dans le secteur bancaire ça partage énormément sur ce sujet.
Véronique Loquet : J’aimerais revenir, poser juste quelques questions sur ton parcours. Tu es spécialisée depuis quelques années. Quel est ton parcours ?
Barbara Louis-Sidney : Mon parcours. Je pars d’une formation de juriste pénaliste spécialisée dans la cybercriminalité. Dès le départ j’ai fait mon mémoire de fin d’année sur la cybercriminalité après un stage effectué à l’OCLCTIC, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
Véronique Loquet : Qu’est-ce qu’on a comme jargon dans ce secteur !
Barbara Louis-Sidney : Dès ce moment-là, j’avais envie de lier droit pénal, investigation et tout ce qui est menace informatique. Je me suis retrouvée dans le privé. J’ai fait du conseil stratégique pour le ministère de la Défense et aussi de l’investigation sur les marchés noirs cybercriminels bancaires. Ça fait trois ans que je suis chez Sekoia, que je me concentre plutôt sur les activités de type Purple Team et Threat Intelligence.
Véronique Loquet : Pour définir, Purple Team qu’est-ce que c’est exactement ?
Barbara Louis-Sidney : Purple Team est une activité qui vise, comme son nom l’indique, à mélanger du bleu et du rouge. La Blue Team c’est l’équipe qui répond aux incidents. La Red Team c’est l’équipe qui va simuler les comportements attaquants. L’objectif de la Threat Intelligence, pour moi ce n’est pas juste me renseigner sur les menaces, c’est me renseigner sur les menaces au service de la cybersécurité, pour améliorer les capacités de cybersécurité. L’exercice Purple Team va nous permettre de mettre autour d’une même table ceux qui vont simuler des attaques et ceux qui vont répondre à ces attaques. La Red Team va simuler des comportements observés par l’équipe de Threat Intelligence. L’objectif sera de voir si la Blue Team est en capacité de détecter les activités de la Red Team qui va mimer les comportements observés, par exemple des attaques par ransomware, des attaques de cyberespionnage, de vol de données, etc. On va essayer de reproduire tout ça pour voir si la Blue Team détecte. Si elle ne détecte pas ou si elle détecte mais de façon partielle, l’objectif ensuite sera de mettre en place des recommandations, sur un calendrier, pour améliorer tout ça.
Donc la Purple Team c’est vraiment la Threat Intelligence au service de la détection et pas simplement la Threat Intelligence pour informer, contextualiser et renseigner. C’est vraiment une application concrète.
Véronique Loquet : C'est vraiment opérationnel.
Barbara Louis-Sidney : Voilà c’est ça.
Véronique Loquet : Quand je lui demande quelles qualités font un bon chercheur en Threat Intelligence, Barbara me répond :
Barbara Louis-Sidney : La ténacité, la curiosité, un peu d’esprit de compétition parce que, finalement, l’objectif c’est d’essayer d’avoir une longueur d'avance par rapport à l’attaquant. [On entend un petit déclic, NdT]. Désolé, on va le couper.
Véronique Loquet : Super.
Barbara Louis-Sidney : C’est Siri qui se réveille. Ça arrive souvent dans les interviews.
Véronique Loquet : Merci beaucoup Barbara.
Barbara Louis-Sidney : Merci à toi.
Véronique Loquet : Le renseignement sur la menace cyber est donc un atout stratégique. Il est l’une des armes les plus puissantes pour se défendre d’adversaires hautement astucieux.
Vous venez d’écouter une interview de Barbara Louis-Sidney sur la Threat Intelligence dans ce dernier épisode de la saison 1 du podcast NO LOG. J’espère que cette première saison vous a plu. J’ai hâte de vous présenter les prochains épisodes. En attendant, nous pouvons rester en lien sur Twitter. Je m’appelle Véronique Loquet, je suis productrice de ce podcast. Laurent Guillet a composé la musique et Éric Grivet a réalisé l’illustration. Suivez NO LOG sur Twitter @nologpodcast tout attaché. Vous pouvez laisser des étoiles et des commentaires si cet épisode vous a plu. C’est comme ça que ça marche.