sam. Oct 19th, 2019
kaspersky - tanguy de coatpont

Tanguy de Coatpont, GM France at Kaspersky Lab

L’attribution des cyberattaques, un puzzle à pièces manquantes

Par Tanguy de Coatpont, Directeur Général, Kaspersky France

Le métier de chercheur en cybersécurité est passionnant car il fait appel à des compétences multiples : programmeur, mathématicien, détective, historien, archéologue, voire psychologue. La tâche à la fois la plus gratifiante et la plus difficile consiste à enquêter sur les attaques APT (les attaques persistantes avancées), qui sont les plus complexes, les plus soutenues… Et les plus sournoises.

Face à une attaque de cette nature, nous nous posons principalement trois questions : d’abord « que s’est-il passé ? », puis « pouvons-nous y remédier ? » et enfin « qui en est responsable ? ». La réponse à cette dernière question constitue ce que nous appelons l’attribution. Ce travail d’attribution revient, quelquefois, à chercher une aiguille dans une meule de foin, tout en déjouant les pièges mis en place par les instigateurs des attaques afin de mettre les chercheurs sur une fausse piste.

Mais commençons par le début. Lorsqu’un chercheur en cybersécurité tente de remonter la source d’une APT, il s’appuie sur des indices. Ces indices sont des erreurs commises par les acteurs malveillants lors de la mise en œuvre de leur plan.

Comme le veut l’adage, le crime parfait n’existe pas et cela vaut aussi en matière de cybercriminalité.

Quels que soient les efforts déployés par les auteurs des attaques pour ne laisser aucune trace derrière eux, certains impairs sont tout simplement inévitables : oubli de mots-clés, copier-coller de code d’autres projets, voire utilisation d’un même compte personnel pour les attaques. Pour nous compliquer la tâche, certains indices ne sont pas réels mais des leurres, aussi appelés « faux drapeaux », destinés à mettre les enquêteurs sur une fausse piste : des mots dans une langue qui n’est pas celle de l’assaillant ou l’emploi de code provenant d’autres campagnes malveillantes, afin de désigner d’autres groupes APT. Cependant, l’utilisation d’un idiome qui n’est pas votre langue maternelle peut parfois aboutir à des erreurs : une faute d’orthographe peut ainsi fournir un indice révélateur au lieu de la fausse piste voulue au départ.

Malgré tous leurs efforts, les auteurs de cyberattaques sont des êtres humains et ne peuvent pas tout travestir. En général, les diagrammes représentant leur emploi du temps – à quelle heure ils se mettent au travail, à quel moment ils font une pause, combien d’heures par jour ils travaillent – livrent de précieuses indications. En analysant soigneusement les indices à notre disposition, à commencer par la langue et le fuseau horaire, nous sommes en mesure d’avancer que certains groupes APT sont de langue chinoise, russe, coréenne ou encore anglaise, par exemple.

Le travail des entreprises de cybersécurité consiste essentiellement à répondre aux deux premières questions ; elles laissent le soin aux autorités de procéder à une attribution complète. Cependant, la coopération entre les autorités et les acteurs du secteur de la cybersécurité est indispensable pour rendre le monde plus sûr et permettre de traduire en justice un plus grand nombre d’auteurs de menaces. L’Appel de Paris pour la confiance et la sécurité dans le cyberespace représente un grand pas dans cette direction.

La coopération revêt une importance particulière de nos jours, alors que l’espace virtuel n’a jamais été aussi dangereux et que la cyberguerre ne connaît ni règles ni frontières. Les cyberarmements sont appelés à jouer un rôle croissant dans l’arsenal militaire des nations et les futures attaques cibleront des infrastructures critiques, comme les exemples celles qui ont déjà pu être observées en Ukraine, en Arabie saoudite ou au Venezuela.

Plus globalement, au vu de la complexité des cyberattaques et de leur augmentation constante, il est facile de comprendre pourquoi leurs auteurs demeurent inconnus dans la majorité des cas et seul un nombre restreint d’entre elles fait l’objet d’une investigation et d’une attribution poussées. Si l’enquête sur des cyberattaques était un puzzle, alors la détermination de ce qui s’est passé correspondrait au premier niveau de sa résolution, et le remède – au moyen d’une clé de décryptage, par exemple – au deuxième niveau. Enfin, l’établissement d’un lien entre l’attaque et un acteur malveillant aboutirait pratiquement à l‘assemblage final du puzzle, avec l’ajout de noms de groupes APT tels Equation, Desert Falcons ou Lazarus. Le cas rare où le puzzle est complet se produit lorsque les cyberenquêteurs et les autorités travaillent de concert et réussissent à arrêter les auteurs des attaques, comme dans l’affaire CoinVault.

Une chose est sûre : les acteurs privés peuvent rassembler le maximum de pièces du puzzle mais seule une coopération entre les acteurs de la cybersécurité et les autorités permettra de compléter celui-ci, dans la mesure du possible.

%d blogueurs aiment cette page :