[Entrée n°9] Faut reconnaître… C’est du brutal.

Par défaut

Furtive illustration de l’habile Duncan Irving illustrant l’incessante chasse aux signatures qui est le lot de toute bonne crémerie spécialisée dans la chasse aux attaquants.

Ce matin, je relisais la thèse d’un étudiant. Á un moment, je m’étranglais. Je m’étrangle parfois à la lecture de certaines productions du domaine, car, je dois le concéder, je suis de nature assez chétive.

Je relisais donc cette thèse et constatais qu’il existe une image d’Épinal qui résiste encore et toujours à l’usure du temps : « contrairement aux idées reçues, dans le cyberespace, l’avantage revient à l’attaquant ». Je crois savoir que certains enthousiastes martèleraient même qu’il s’agit d’une caractéristique inédite de cet espace d’affrontement qui, à ce titre, soutient l’idée d’un dispositif de cyberdéfense toujours à la masse, car intervenant à partir de soupçons de compromission, c’est à dire à rebours. En bref, lorsque l’attaque est consommée. La tristesse, quoi.

Je pense que cette idée est en partie fausse, ou tout du moins à nuancer, révèle une méconnaissance des tactiques, techniques et procédures (TTP) mises en œuvre par les attaquants dans cet espace, et pire nourrit le fantasme d’un attaquant tout puissant – ce qui, en tant que défenseur, me ronge l’ulcère, mais passons.

En premier lieu, il me faut remarquer que, même chez les attaquants les plus sophistiqués, les habitudes ont la vie dure. Je n’ai à titre personnel jamais rencontré d’attaquant capable, d’une campagne à l’autre, de modifier intégralement son mode opératoire. L’assertion est particulièrement vraie pour les modes opératoires de type « menace persistante avancée » (APT). Caillassez moi si je me trompe, mais je ne crois pas que la littérature spécialisée se fasse aussi l’écho de tels attaquants. Même la CIA recycle, c’est dire.

Les attaquants ont donc des habitudes bien ancrées, parce que modifier constamment son infrastructure, changer de TTP ou mettre en œuvre de nouveaux outils est couteux en ressources, particulièrement lorsque le mode opératoire fait déjà preuve d’un remarquable niveau de sophistication. Or, les plus avertis d’autre vous gageront que l’inaction est politiquement et / ou économiquement couteuse. D’ailleurs, le terme « persistant » caractérisant le concept d’APT n’est pas là par hasard.

Depuis 2011, toute une littérature, dont le modèle de la kill chain en est l’exemple le plus connu, démontre de manière assez convaincante qu’une seule intervention du défenseur peut être suffisante pour contrer le mode opératoire d’un attaquant. Autrement dit, si une seule technique connue par le défenseur est répétée par l’attaquant, ce dernier prend le risque d’être détecté et donc contrecarré avant de pouvoir accomplir son objectif.

A titre d’exemple, grâce au travaux de FireEye, on sait, avec un degré de confiance élevé, que le mode opératoire adverse (MOA) d’origine russe APT-29 met en œuvre une technique d’exfiltration de données innovante, baptisée Domain Fronting. Cette technique est difficile à détecter et à contrecarrer. Cependant, si l’attaquant lors de sa prochaine campagne d’attaques ne change pas le chemin d’accès de l’exécutable et le nom du service qui met en œuvre cette technique sur la machine compromise, l’attaquant sera systématiquement détecté lors de la phase d’exfiltration de données par toutes les bonnes crémeries de France et de Navarre. On comprend donc bien l’enjeu que recouvre la fonction de connaissance de la menace, cyber threat intelligence dans la langue de Shakespeare.

De même, il devient évident que si le défenseur élabore des contremesures plus vite que l’attaquant ne fait évoluer son mode opératoire, le premier contraint le second à déployer plus de ressources pour mener à bien son attaque. Pénible, mais c’est la vie.

Ainsi, contrairement aux idées reçues, l’attaquant n’a donc pas toujours l’avantage sur le défenseur. Tout du moins, l’attaquant dispose d’un avantage relatif qui tend à diminuer au fil des campagnes menées et à mesure qu’il suscite l’attention de la communauté de cyberdéfense. L’enjeu pour le défenseur est donc de prendre l’ascendant informationnel en anticipant la menace afin de réduire d’autant la probabilité de succès de chaque nouvelle attaque.

Certes, l’avantage obtenu est toujours relatif, mais la victoire réside dans la capacité du défenseur à maintenir cet ascendant dans le temps et donc à obliger l’adversaire à dépenser une quantité insupportable de ressources pour réussir son attaque. Ni plus, ni moins.

J’oubliais presque. L’étudiant en question s’appelait George Kaplan, manière de remarquer que certaines certitudes peuvent étrangement se transformer à mesure que le temps passe.