« Le renseignement cyber - No Log » : différence entre les versions
Aucun résumé des modifications |
|||
Ligne 23 : | Ligne 23 : | ||
==Transcription== | ==Transcription== | ||
<b>Véronique Loquet : </b>Vous écoutez l’épisode 6 du podcast NO LOG et je m’appelle Véronique Loquet.<br/> | |||
Aujourd’hui nous allons parler de Threat Intelligence. Vous l’avez compris, depuis le début de cette saison, on explore les différents aspects de la menace cyber. Elle va de l’escroquerie à l’usurpation d’identité, de la demande de rançon à l’espionnage industriel ou encore à la déstabilisation économique ou étatique. Les entreprises sont devenues le champ de bataille des cyberguerres. Elles apprennent à se barricader pour se protéger le plus possible. <em>Si vis pacem, para bellum </em>, « si tu veux la paix, prépare la guerre ».<br/> | |||
Saviez-vous qu’il existe des espions un peu particuliers qui enquêtent sur le crime cyber. C’est le rôle de la Threat Intelligence. Anticiper les attaques grâce à une fine connaissance du profil des assaillants et de leur mode opératoire.<br/> | |||
Pour en parler, j’ai invité Barbara Louis-Sidney. On pourrait dire que c’est une espionne mais c’est surtout une experte du cybercrime qui se bat du bon côté de la force.<br/> | |||
Pour commencer, j’ai demandé à Barbara de m’expliquer son objectif en tant que professionnelle de la Threat Intelligence. | |||
<b>Barbara Louis-Sidney : </b>J’expliquerai de façon simple en commençant par les menaces. Les entreprises, en particulier les institutions, font face à des menaces au quotidien, sont victimes de cyberattaques et, pour se protéger de ces cyberattaques, on peut faire le choix d’essayer de comprendre comment les personnes qui lancent ces attaques-là fonctionnement, donc quelles sont leurs méthodes, leurs objectifs.<br/> | |||
La Threat Intelligence intelligence c’est ça, c’est essayer de comprendre comment fonctionne l’attaquant pour mieux anticiper et s’en protéger. | |||
<b>Véronique Loquet : </b>En fait, cette activité de renseignement adapté au monde cyber n’est pas nouvelle. Elle existe depuis une vingtaine d’années. Elle s’est développée plus largement dans la tourmente des APT [Advanced Persistent Threat], ce qu’on appelle en français MPA pour menaces persistantes avancées. Est-ce que tu peux nous expliquer en quoi consiste ces menaces APT ? | |||
<b>Barbara Louis-Sidney : </b>Menaces persistantes et avancées. Déjà ce sont des attaques sophistiquées qui sont soit sophistiquées d’un point de vue technique parce que l’attaquant peut très bien développer ses propres logiciels malveillants, la complexité peut être technique, mais aussi en termes d’ingénierie sociale où on a des attaquants qui peuvent aller très loin dans l’usurpation de marques ou d’identités pour tromper la cible et parfois n’ont pas besoin d’être avancés techniquement mais plutôt d’être avancés dans leurs capacités à tromper la victime. | |||
<b>Véronique Loquet : </b>Les victimes. | |||
<b>Barbara Louis-Sidney : </b>Tout à fait. | |||
<b>Véronique Loquet : </b>Dans le domaine des APT, la liste est longue. Prenons quelques exemples : les actions malveillantes du groupe de cybercriminels russes Turla qui vise des intérêts politiques. Très actif depuis 2008 Turla s’est illustré pendant le sommet du G20 à Hambourg en octobre 2017. C’est cet évènement que nous raconte Barbara. | |||
<b>Barbara Louis-Sidney : </b>Le groupe Turla est un groupe lié à la Russie. | |||
<b>Véronique Loquet : </b>Un groupe de criminels. | |||
<b>Barbara Louis-Sidney : </b>Un groupe de cybercriminels qui est lié à la Russie, donc c’est un groupe étatique qui, en 2017, a tenté de cibler le G20 en réutilisant un ancien logiciel malveillant qu’ils avaient développé avant. Je trouve ça intéressant parce que dans un premier temps on a ce logiciel malveillant qui s’appelle Kopiluwak qui est outil de reconnaissance, qui va permettre à l’attaquant, une fois qu’il a déployé le logiciel sur le système d’information, de collecter les informations nécessaires à une attaque qui doit survenir plus tard.<br/> | |||
Deuxième point intéressant c’est que là on a à faire à des attaquants qui ont été complexes d’un point de vue ingénierie sociale et qui ont déployé des moyens assez conséquents pour tromper les victimes. Pourquoi parle-t-on du G20 qui a eu lieu en octobre 2017 ? Parce que des entreprises spécialisées en cybersécurité ont identifié des phishing, des mails de phishing vers mi-juillet qui reprenaient un document officiel et non public qui s’adressait initialement à des personnes qui sont invitées au G20. Ce procédé d’intrusion initiale est assez intéressant.<br/> | |||
Ce phishing avec ce document leurre permettait finalement de déployer leur logiciel malveillant à eux, fait sur mesure mais qui existait déjà avant. C’est intéressant déjà pour la notion de temporalité, parce que là on a une menace persistante, qui s’inscrit de mi-juillet à octobre, peut-être même avant et peut-être même après, donc on a déjà une idée du nombre de mois que ça peut prendre pour l’attaquant s’il souhaite agir en amont du G20. Et puis cette question du vecteur initial, la reconnaissance qui est intéressante et puis la dimension un peu avancée qui est assez particulière parce que le code qui permettait de déposer le logiciel malveillant de reconnaissance sur le système de la victime lui n’était pas du tout camouflé, il était totalement transparent, donc il n’y avait pas forcément de complexité outre mesure à l’analyse. La complexité vient dans les moyens que se sont donnés les attaquants pour rendre crédible leur attaque. | |||
<b>Véronique Loquet : </b>Quand on parle d’ingénierie sociale, on parle d’exploiter la faiblesse humaine ? | |||
<b>Barbara Louis-Sidney : </b>Tout à fait. Quand on est invité au G20 et qu’on a un document officiel, non public, qui nous parvient comme ça, on est tenté de cliquer, c’est tout à fait logique et n’importe qui serait tombé dans le panneau. Justement, on s’est posé la question, on ne sait pas ce qui s’est produit après donc ça caractérise pas mal de campagnes d’attaques où on manque de visibilité. On sait que c’est une APT potentielle parce que déjà le groupe est un groupe qui met en place des techniques très complexes depuis des années, qui est très sophistiqué, c’est l’un des groupes les plus sophistiqués – par exemple ils peuvent utiliser des connexions satellites pour communiquer avec leur malware à distance, c’est un exemple parmi tant d’autres – c’est un groupe très sophistiqué qui a lancé cette attaque-là et on ne dispose pas de visibilité supplémentaire sur la suite. | |||
<b>Véronique Loquet : </b>Il reste donc impossible d’évaluer les dommages commis par ce groupe criminel étatique. Lié au renseignement russe, Turla fait reparler de lui en 2018 lorsqu’il pirate les systèmes des ministères de la Défense et des Affaires étrangères en Allemagne. Cette fois, Turla est soupçonné de s’être introduit pendant un an dans les réseaux informatiques et de s’être procuré plusieurs documents.<br/> | |||
Ce type d’offensive, que la Russie appelle « conflit hybride », s’inscrit durablement dans le paysage géopolitique. | |||
<b>Barbara Louis-Sidney : </b>Un autre exemple, ce serait plutôt un groupe et pas une campagne d’attaques, j’avais pensé à APT41 qui est un groupe chinois ou potentiellement d’origine chinoise, parce qu’on a un groupe qui, ici, va réaliser des activités de cyberespionnage avec des objectifs qui correspondent à ceux des plans quinquennaux chinois, avec des horaires qui correspondent également et puis des individus qui ont été identifiés sur des forums, des individus d’origine chinoise qui ont été identifiés, qui se sont présentés. | |||
<b>Véronique Loquet : </b>Des APT, Barbara en voit beaucoup dans son métier. Elle mentionne le groupe d’origine chinoise APT41. Ce groupe est connu pour effectuer des intrusions et de l’espionnage ciblé sur des secteurs stratégiques de l’économie.<br/> | |||
APT41 est à l’origine d’opérations contre de nombreux pays dont la France. Il touche des secteurs d’activité comme la santé, le jeu vidéo, l’enseignement supérieur, l’industrie high-tech ou encore les médias. Ce type de piratage nécessite souvent des moyens importants et il peut rester totalement invisible pour les entreprises ou les institutions visées. L’attaquant s’introduit au cœur du système d’information de sa victime et conserve discrètement un accès pour récupérer de l’information stratégique sur le long terme. | |||
<b>Barbara Louis-Sidney : </b>J’ai choisi cet exemple-là du point de vue APT et groupe, pas ATP et campagne, mais là un groupe, parce que ce groupe-là est étatique. Il réalise à la fois des activités de cyberespionnage dans un objectif géopolitique clair, mais il va aussi réaliser sur son temps libre on va dire, avec les individus membres de ce groupe-là, des attaques à but lucratif, des attaques qui ont pour objectif un gain financier. Donc il va mélanger cybercriminalité classique, traditionnelle, et justement ces fameux APT qui ont pour objectif de collecter des informations stratégiques. | |||
<b>Véronique Loquet : </b>Barbara étudie les moyens, les motivations et les modes opératoires qui vont être caractéristiques d’une activité ou d’un groupe criminel en particulier. | |||
<b>Barbara Louis-Sidney : </b>On va essayer d’identifier des éléments sur toute la chaîne d’exécution de l’attaque, de l’intrusion initiale à la réalisation des objectifs finaux de l’attaque. On peut retrouver des mails, donc on va récupérer des adresses mails, le contenu de ces mails, des liens. Si dans ces mails on a un lien ou un document malveillant à télécharger, le document sera téléchargé sur le poste, donc ça aussi c’est quelque chose qui peut être détecté. Le lien va tenter de se connecter à un site internet qui peut être malveillant, donc là aussi c’est quelque chose qui peut être détecté dans les évènements de connexion.<br/> | |||
On peut aussi observer ce que le logiciel malveillant qui est installé va tenter de faire : est-ce qu’il va tenter de modifier des répertoires spécifiques, des dossiers ? Est-ce qu’il va tenter d’installer des choses supplémentaires ? Est-ce qu’il va tenter de se connecter à l’infrastructure de l’attaquant pour communiquer avec l’attaquant ? Tout ça laisse des traces qu’on peut identifier. | |||
<b>Véronique Loquet : </b>Là on vient d’aborder les APT, mais le crime cyber est rarement à court d’idées. Toute une chaîne d’outils et de compétences permet aujourd’hui de faire vivre le concept de <em>crime as a service</em>. Est-ce que tu peux nous expliquer cette notion de <em>crime as a service</em> parce qu’aujourd’hui j’ai l’impression que c’est quand même assez simple pour des gens qui n’ont pas forcément des techniques avancées, justement ce dont on parlait tout à l’heure, de pouvoir, en tout cas, être des cybercriminels dans être de très bons hackers ? | |||
<b>Barbara Louis-Sidney : </b>Finalement le <em>crime as a service</em> c’est une véritable économie. On a une sorte de division des tâches avec des personnes qui se spécialisent dans certaines parties de cette fameuse chaîne d’exécution. Certains vont vendre le malware déjà réalisé ; d’autres vont vendre des accès, donc ils vont réaliser l’intrusion initiale ; d’autres vont vendre cette partie qu’on appelle la reconnaissance, donc ils vont accéder à des systèmes d’information qu’ils ont compromis en masse et ils vont tenter de faire une première qualification de la victime, des cibles, pour savoir si ces cibles sont intéressantes.<br/> | |||
Il y a aussi la possibilité de revendre les résultats d’une première attaque, donc des mots de passe, des identifiants, etc.<br/> | |||
Il y a aussi la logique d’abonnement, un peu comme on peut s’abonner à de la VOD ou autre, on peut s’abonner à des outils qui sont totalement en ligne et qui permettent de faire des attaques en déni de service à la demande avec un paiement en fonction du nombre de cibles ou de l’ampleur de l’attaque.<br/> | |||
On a également du <em>ransomware as a service</em> auquel on s’abonne également. | |||
<b>Véronique Loquet : </b>Le ransomware ce sont les rançongiciels. On l’avait vu dans un épisode précédent. J’imagine qu’on ne trouve pas ça non plus en tapant sur Google, sur le vulgaire moteur de recherche auquel tout le monde a accès. | |||
<b>Barbara Louis-Sidney : </b>Ça dépend. Il y a pas de mythes sur le darknet, dark web, etc. Il y a des choses qu’on peut trouver en tapant dans des moteurs de recherche mais c’est vrai que, darknet ou pas, en fait ce sont souvent des sites internet d’initiés qu’il faut connaître pour avoir accès à ces informations-là et pouvoir les trouver. Donc ça prend un peu de temps pour se mettre dedans, mais une fois qu’on a accès à un premier site, on peut aller en cascade et en trouver d’autres. | |||
<b>Véronique Loquet : </b>Et ça fait partie aussi de ton travail ? | |||
<b>Barbara Louis-Sidney : </b>Oui. | |||
<b>Véronique Loquet : </b>Justement comment ça permet d’identifier les auteurs de crimes cyber et comment on enquête, en fait, sur les individus? | |||
<b>Barbara Louis-Sidney : </b>On va rarement tenter d’identifier qui, mais plutôt quoi, comment et pourquoi ? Effectivement, on peut tomber sur des informations qui nous permettent d’identifier qui. Par exemple, c’est ce qui a été fait pour APT41. On a retrouvé sur des forums publics des traces des attaquants d’APT41 avec leurs pseudonymes. Une fois qu’on a leurs pseudonymes on peut continuer et voir si ces personnes laissent des traces, en fait.<br/> | |||
Donc en retrouvant les mêmes logiciels malveillants, en retrouvant des noms de domaines qui se ressemblent, qui sont enregistrés à la chaîne avec une convention de nommage spécifique, en retrouvant des répertoires, etc., tout ça nous permet d’identifier des clusters d’activité et pas forcément la personne qu’il y a derrière, parce que, finalement, une infrastructure peut se passer d’équipe en équipe. Et si on pense que ces activités sont professionnalisées, on peut très bien avoir des personnes qui sont embauchées et qui changent d’équipe, etc. Finalement, savoir qui il y a derrière nous importe peu, mais savoir comment fonctionnent ces infrastructures et quelles traces laissent ces infrastructures nous intéresse un peu plus. | |||
<b>Véronique Loquet : </b>Parfois la menace est interne à l’organisation. Comment détecte-t-on des comportements anormaux ou des comportements suspects au sein d’une entreprise ? | |||
<b>Barbara Louis-Sidney : </b>C’est un cas particulier parce que la personne est déjà présente au sein du système d’information et dispose d’accès. Ce qui va nous intéresser, ce sont les mesures de durcissement qui ont été mises en place par les équipes de sécurité informatique internes en termes de gestion des droits, d’accès à certains répertoires, etc. Si on passe outre cette étape d’intrusion initiale, on va se retrouver avec un attaquant qui va vouloir accéder à certains documents, à certaines parties du système d’information ou gagner en privilèges. Imaginons que ça soit un utilisateur classique, il va vouloir gagner en privilèges et obtenir des accès, par exemple administrateur. Cette élévation de privilèges peut être détectée si, selon la politique de sécurité de l’entreprise, l’utilisateur n’a pas le droit de faire ça, donc c’est quelque chose qui sera enregistré, logué quelque part. | |||
<b>Véronique Loquet : </b>On voit son adresse IP ? Comment ça se passe ? Tu vois son log en fait. | |||
<b>Barbara Louis-Sidney : </b>Oui c’est ça. On va voir que tel individu a tenté de se créer un compte et que cet individu n’est pas autorisé. Ou, par exemple, tel individu a tenté de s’envoyer des données sur son adresse mail ou d’exfiltrer des données et ça on le voit si on a des mesures de Data Leak Prevention ou Data Leak Protection, donc du DLP, donc on verra justement ces tentatives-là. | |||
==15’ 35== | |||
<b>Véronique Loquet : </b>Imaginez |
Version du 6 avril 2021 à 15:07
Titre : Le renseignement cyber
Intervenant·e·s : Barbara - Véronique Loquet
Lieu : NO LOG, saison 1, ép. 6
Date : 11 janvier 2021
Durée : 30 min
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Véronique Loquet : Vous écoutez l’épisode 6 du podcast NO LOG et je m’appelle Véronique Loquet.
Aujourd’hui nous allons parler de Threat Intelligence. Vous l’avez compris, depuis le début de cette saison, on explore les différents aspects de la menace cyber. Elle va de l’escroquerie à l’usurpation d’identité, de la demande de rançon à l’espionnage industriel ou encore à la déstabilisation économique ou étatique. Les entreprises sont devenues le champ de bataille des cyberguerres. Elles apprennent à se barricader pour se protéger le plus possible. Si vis pacem, para bellum , « si tu veux la paix, prépare la guerre ».
Saviez-vous qu’il existe des espions un peu particuliers qui enquêtent sur le crime cyber. C’est le rôle de la Threat Intelligence. Anticiper les attaques grâce à une fine connaissance du profil des assaillants et de leur mode opératoire.
Pour en parler, j’ai invité Barbara Louis-Sidney. On pourrait dire que c’est une espionne mais c’est surtout une experte du cybercrime qui se bat du bon côté de la force.
Pour commencer, j’ai demandé à Barbara de m’expliquer son objectif en tant que professionnelle de la Threat Intelligence.
Barbara Louis-Sidney : J’expliquerai de façon simple en commençant par les menaces. Les entreprises, en particulier les institutions, font face à des menaces au quotidien, sont victimes de cyberattaques et, pour se protéger de ces cyberattaques, on peut faire le choix d’essayer de comprendre comment les personnes qui lancent ces attaques-là fonctionnement, donc quelles sont leurs méthodes, leurs objectifs.
La Threat Intelligence intelligence c’est ça, c’est essayer de comprendre comment fonctionne l’attaquant pour mieux anticiper et s’en protéger.
Véronique Loquet : En fait, cette activité de renseignement adapté au monde cyber n’est pas nouvelle. Elle existe depuis une vingtaine d’années. Elle s’est développée plus largement dans la tourmente des APT [Advanced Persistent Threat], ce qu’on appelle en français MPA pour menaces persistantes avancées. Est-ce que tu peux nous expliquer en quoi consiste ces menaces APT ?
Barbara Louis-Sidney : Menaces persistantes et avancées. Déjà ce sont des attaques sophistiquées qui sont soit sophistiquées d’un point de vue technique parce que l’attaquant peut très bien développer ses propres logiciels malveillants, la complexité peut être technique, mais aussi en termes d’ingénierie sociale où on a des attaquants qui peuvent aller très loin dans l’usurpation de marques ou d’identités pour tromper la cible et parfois n’ont pas besoin d’être avancés techniquement mais plutôt d’être avancés dans leurs capacités à tromper la victime.
Véronique Loquet : Les victimes.
Barbara Louis-Sidney : Tout à fait.
Véronique Loquet : Dans le domaine des APT, la liste est longue. Prenons quelques exemples : les actions malveillantes du groupe de cybercriminels russes Turla qui vise des intérêts politiques. Très actif depuis 2008 Turla s’est illustré pendant le sommet du G20 à Hambourg en octobre 2017. C’est cet évènement que nous raconte Barbara.
Barbara Louis-Sidney : Le groupe Turla est un groupe lié à la Russie.
Véronique Loquet : Un groupe de criminels.
Barbara Louis-Sidney : Un groupe de cybercriminels qui est lié à la Russie, donc c’est un groupe étatique qui, en 2017, a tenté de cibler le G20 en réutilisant un ancien logiciel malveillant qu’ils avaient développé avant. Je trouve ça intéressant parce que dans un premier temps on a ce logiciel malveillant qui s’appelle Kopiluwak qui est outil de reconnaissance, qui va permettre à l’attaquant, une fois qu’il a déployé le logiciel sur le système d’information, de collecter les informations nécessaires à une attaque qui doit survenir plus tard.
Deuxième point intéressant c’est que là on a à faire à des attaquants qui ont été complexes d’un point de vue ingénierie sociale et qui ont déployé des moyens assez conséquents pour tromper les victimes. Pourquoi parle-t-on du G20 qui a eu lieu en octobre 2017 ? Parce que des entreprises spécialisées en cybersécurité ont identifié des phishing, des mails de phishing vers mi-juillet qui reprenaient un document officiel et non public qui s’adressait initialement à des personnes qui sont invitées au G20. Ce procédé d’intrusion initiale est assez intéressant.
Ce phishing avec ce document leurre permettait finalement de déployer leur logiciel malveillant à eux, fait sur mesure mais qui existait déjà avant. C’est intéressant déjà pour la notion de temporalité, parce que là on a une menace persistante, qui s’inscrit de mi-juillet à octobre, peut-être même avant et peut-être même après, donc on a déjà une idée du nombre de mois que ça peut prendre pour l’attaquant s’il souhaite agir en amont du G20. Et puis cette question du vecteur initial, la reconnaissance qui est intéressante et puis la dimension un peu avancée qui est assez particulière parce que le code qui permettait de déposer le logiciel malveillant de reconnaissance sur le système de la victime lui n’était pas du tout camouflé, il était totalement transparent, donc il n’y avait pas forcément de complexité outre mesure à l’analyse. La complexité vient dans les moyens que se sont donnés les attaquants pour rendre crédible leur attaque.
Véronique Loquet : Quand on parle d’ingénierie sociale, on parle d’exploiter la faiblesse humaine ?
Barbara Louis-Sidney : Tout à fait. Quand on est invité au G20 et qu’on a un document officiel, non public, qui nous parvient comme ça, on est tenté de cliquer, c’est tout à fait logique et n’importe qui serait tombé dans le panneau. Justement, on s’est posé la question, on ne sait pas ce qui s’est produit après donc ça caractérise pas mal de campagnes d’attaques où on manque de visibilité. On sait que c’est une APT potentielle parce que déjà le groupe est un groupe qui met en place des techniques très complexes depuis des années, qui est très sophistiqué, c’est l’un des groupes les plus sophistiqués – par exemple ils peuvent utiliser des connexions satellites pour communiquer avec leur malware à distance, c’est un exemple parmi tant d’autres – c’est un groupe très sophistiqué qui a lancé cette attaque-là et on ne dispose pas de visibilité supplémentaire sur la suite.
Véronique Loquet : Il reste donc impossible d’évaluer les dommages commis par ce groupe criminel étatique. Lié au renseignement russe, Turla fait reparler de lui en 2018 lorsqu’il pirate les systèmes des ministères de la Défense et des Affaires étrangères en Allemagne. Cette fois, Turla est soupçonné de s’être introduit pendant un an dans les réseaux informatiques et de s’être procuré plusieurs documents.
Ce type d’offensive, que la Russie appelle « conflit hybride », s’inscrit durablement dans le paysage géopolitique.
Barbara Louis-Sidney : Un autre exemple, ce serait plutôt un groupe et pas une campagne d’attaques, j’avais pensé à APT41 qui est un groupe chinois ou potentiellement d’origine chinoise, parce qu’on a un groupe qui, ici, va réaliser des activités de cyberespionnage avec des objectifs qui correspondent à ceux des plans quinquennaux chinois, avec des horaires qui correspondent également et puis des individus qui ont été identifiés sur des forums, des individus d’origine chinoise qui ont été identifiés, qui se sont présentés.
Véronique Loquet : Des APT, Barbara en voit beaucoup dans son métier. Elle mentionne le groupe d’origine chinoise APT41. Ce groupe est connu pour effectuer des intrusions et de l’espionnage ciblé sur des secteurs stratégiques de l’économie.
APT41 est à l’origine d’opérations contre de nombreux pays dont la France. Il touche des secteurs d’activité comme la santé, le jeu vidéo, l’enseignement supérieur, l’industrie high-tech ou encore les médias. Ce type de piratage nécessite souvent des moyens importants et il peut rester totalement invisible pour les entreprises ou les institutions visées. L’attaquant s’introduit au cœur du système d’information de sa victime et conserve discrètement un accès pour récupérer de l’information stratégique sur le long terme.
Barbara Louis-Sidney : J’ai choisi cet exemple-là du point de vue APT et groupe, pas ATP et campagne, mais là un groupe, parce que ce groupe-là est étatique. Il réalise à la fois des activités de cyberespionnage dans un objectif géopolitique clair, mais il va aussi réaliser sur son temps libre on va dire, avec les individus membres de ce groupe-là, des attaques à but lucratif, des attaques qui ont pour objectif un gain financier. Donc il va mélanger cybercriminalité classique, traditionnelle, et justement ces fameux APT qui ont pour objectif de collecter des informations stratégiques.
Véronique Loquet : Barbara étudie les moyens, les motivations et les modes opératoires qui vont être caractéristiques d’une activité ou d’un groupe criminel en particulier.
Barbara Louis-Sidney : On va essayer d’identifier des éléments sur toute la chaîne d’exécution de l’attaque, de l’intrusion initiale à la réalisation des objectifs finaux de l’attaque. On peut retrouver des mails, donc on va récupérer des adresses mails, le contenu de ces mails, des liens. Si dans ces mails on a un lien ou un document malveillant à télécharger, le document sera téléchargé sur le poste, donc ça aussi c’est quelque chose qui peut être détecté. Le lien va tenter de se connecter à un site internet qui peut être malveillant, donc là aussi c’est quelque chose qui peut être détecté dans les évènements de connexion.
On peut aussi observer ce que le logiciel malveillant qui est installé va tenter de faire : est-ce qu’il va tenter de modifier des répertoires spécifiques, des dossiers ? Est-ce qu’il va tenter d’installer des choses supplémentaires ? Est-ce qu’il va tenter de se connecter à l’infrastructure de l’attaquant pour communiquer avec l’attaquant ? Tout ça laisse des traces qu’on peut identifier.
Véronique Loquet : Là on vient d’aborder les APT, mais le crime cyber est rarement à court d’idées. Toute une chaîne d’outils et de compétences permet aujourd’hui de faire vivre le concept de crime as a service. Est-ce que tu peux nous expliquer cette notion de crime as a service parce qu’aujourd’hui j’ai l’impression que c’est quand même assez simple pour des gens qui n’ont pas forcément des techniques avancées, justement ce dont on parlait tout à l’heure, de pouvoir, en tout cas, être des cybercriminels dans être de très bons hackers ?
Barbara Louis-Sidney : Finalement le crime as a service c’est une véritable économie. On a une sorte de division des tâches avec des personnes qui se spécialisent dans certaines parties de cette fameuse chaîne d’exécution. Certains vont vendre le malware déjà réalisé ; d’autres vont vendre des accès, donc ils vont réaliser l’intrusion initiale ; d’autres vont vendre cette partie qu’on appelle la reconnaissance, donc ils vont accéder à des systèmes d’information qu’ils ont compromis en masse et ils vont tenter de faire une première qualification de la victime, des cibles, pour savoir si ces cibles sont intéressantes.
Il y a aussi la possibilité de revendre les résultats d’une première attaque, donc des mots de passe, des identifiants, etc.
Il y a aussi la logique d’abonnement, un peu comme on peut s’abonner à de la VOD ou autre, on peut s’abonner à des outils qui sont totalement en ligne et qui permettent de faire des attaques en déni de service à la demande avec un paiement en fonction du nombre de cibles ou de l’ampleur de l’attaque.
On a également du ransomware as a service auquel on s’abonne également.
Véronique Loquet : Le ransomware ce sont les rançongiciels. On l’avait vu dans un épisode précédent. J’imagine qu’on ne trouve pas ça non plus en tapant sur Google, sur le vulgaire moteur de recherche auquel tout le monde a accès.
Barbara Louis-Sidney : Ça dépend. Il y a pas de mythes sur le darknet, dark web, etc. Il y a des choses qu’on peut trouver en tapant dans des moteurs de recherche mais c’est vrai que, darknet ou pas, en fait ce sont souvent des sites internet d’initiés qu’il faut connaître pour avoir accès à ces informations-là et pouvoir les trouver. Donc ça prend un peu de temps pour se mettre dedans, mais une fois qu’on a accès à un premier site, on peut aller en cascade et en trouver d’autres.
Véronique Loquet : Et ça fait partie aussi de ton travail ?
Barbara Louis-Sidney : Oui.
Véronique Loquet : Justement comment ça permet d’identifier les auteurs de crimes cyber et comment on enquête, en fait, sur les individus?
Barbara Louis-Sidney : On va rarement tenter d’identifier qui, mais plutôt quoi, comment et pourquoi ? Effectivement, on peut tomber sur des informations qui nous permettent d’identifier qui. Par exemple, c’est ce qui a été fait pour APT41. On a retrouvé sur des forums publics des traces des attaquants d’APT41 avec leurs pseudonymes. Une fois qu’on a leurs pseudonymes on peut continuer et voir si ces personnes laissent des traces, en fait.
Donc en retrouvant les mêmes logiciels malveillants, en retrouvant des noms de domaines qui se ressemblent, qui sont enregistrés à la chaîne avec une convention de nommage spécifique, en retrouvant des répertoires, etc., tout ça nous permet d’identifier des clusters d’activité et pas forcément la personne qu’il y a derrière, parce que, finalement, une infrastructure peut se passer d’équipe en équipe. Et si on pense que ces activités sont professionnalisées, on peut très bien avoir des personnes qui sont embauchées et qui changent d’équipe, etc. Finalement, savoir qui il y a derrière nous importe peu, mais savoir comment fonctionnent ces infrastructures et quelles traces laissent ces infrastructures nous intéresse un peu plus.
Véronique Loquet : Parfois la menace est interne à l’organisation. Comment détecte-t-on des comportements anormaux ou des comportements suspects au sein d’une entreprise ?
Barbara Louis-Sidney : C’est un cas particulier parce que la personne est déjà présente au sein du système d’information et dispose d’accès. Ce qui va nous intéresser, ce sont les mesures de durcissement qui ont été mises en place par les équipes de sécurité informatique internes en termes de gestion des droits, d’accès à certains répertoires, etc. Si on passe outre cette étape d’intrusion initiale, on va se retrouver avec un attaquant qui va vouloir accéder à certains documents, à certaines parties du système d’information ou gagner en privilèges. Imaginons que ça soit un utilisateur classique, il va vouloir gagner en privilèges et obtenir des accès, par exemple administrateur. Cette élévation de privilèges peut être détectée si, selon la politique de sécurité de l’entreprise, l’utilisateur n’a pas le droit de faire ça, donc c’est quelque chose qui sera enregistré, logué quelque part.
Véronique Loquet : On voit son adresse IP ? Comment ça se passe ? Tu vois son log en fait.
Barbara Louis-Sidney : Oui c’est ça. On va voir que tel individu a tenté de se créer un compte et que cet individu n’est pas autorisé. Ou, par exemple, tel individu a tenté de s’envoyer des données sur son adresse mail ou d’exfiltrer des données et ça on le voit si on a des mesures de Data Leak Prevention ou Data Leak Protection, donc du DLP, donc on verra justement ces tentatives-là.
15’ 35
Véronique Loquet : Imaginez