[Entrée n°9] Faut reconnaître… C’est du brutal.

Par défaut

Furtive illustration de l’habile Duncan Irving illustrant l’incessante chasse aux signatures qui est le lot de toute bonne crémerie spécialisée dans la chasse aux attaquants.

Ce matin, je relisais la thèse d’un étudiant. Á un moment, je m’étranglais. Je m’étrangle parfois à la lecture de certaines productions du domaine, car, je dois le concéder, je suis de nature assez chétive.

Je relisais donc cette thèse et constatais qu’il existe une image d’Épinal qui résiste encore et toujours à l’usure du temps : « contrairement aux idées reçues, dans le cyberespace, l’avantage revient à l’attaquant ». Je crois savoir que certains enthousiastes martèleraient même qu’il s’agit d’une caractéristique inédite de cet espace d’affrontement qui, à ce titre, soutient l’idée d’un dispositif de cyberdéfense toujours à la masse, car intervenant à partir de soupçons de compromission, c’est à dire à rebours. En bref, lorsque l’attaque est consommée. La tristesse, quoi.

Je pense que cette idée est en partie fausse, ou tout du moins à nuancer, révèle une méconnaissance des tactiques, techniques et procédures (TTP) mises en œuvre par les attaquants dans cet espace, et pire nourrit le fantasme d’un attaquant tout puissant – ce qui, en tant que défenseur, me ronge l’ulcère, mais passons.

En premier lieu, il me faut remarquer que, même chez les attaquants les plus sophistiqués, les habitudes ont la vie dure. Je n’ai à titre personnel jamais rencontré d’attaquant capable, d’une campagne à l’autre, de modifier intégralement son mode opératoire. L’assertion est particulièrement vraie pour les modes opératoires de type « menace persistante avancée » (APT). Caillassez moi si je me trompe, mais je ne crois pas que la littérature spécialisée se fasse aussi l’écho de tels attaquants. Même la CIA recycle, c’est dire.

Les attaquants ont donc des habitudes bien ancrées, parce que modifier constamment son infrastructure, changer de TTP ou mettre en œuvre de nouveaux outils est couteux en ressources, particulièrement lorsque le mode opératoire fait déjà preuve d’un remarquable niveau de sophistication. Or, les plus avertis d’autre vous gageront que l’inaction est politiquement et / ou économiquement couteuse. D’ailleurs, le terme « persistant » caractérisant le concept d’APT n’est pas là par hasard.

Depuis 2011, toute une littérature, dont le modèle de la kill chain en est l’exemple le plus connu, démontre de manière assez convaincante qu’une seule intervention du défenseur peut être suffisante pour contrer le mode opératoire d’un attaquant. Autrement dit, si une seule technique connue par le défenseur est répétée par l’attaquant, ce dernier prend le risque d’être détecté et donc contrecarré avant de pouvoir accomplir son objectif.

A titre d’exemple, grâce au travaux de FireEye, on sait, avec un degré de confiance élevé, que le mode opératoire adverse (MOA) d’origine russe APT-29 met en œuvre une technique d’exfiltration de données innovante, baptisée Domain Fronting. Cette technique est difficile à détecter et à contrecarrer. Cependant, si l’attaquant lors de sa prochaine campagne d’attaques ne change pas le chemin d’accès de l’exécutable et le nom du service qui met en œuvre cette technique sur la machine compromise, l’attaquant sera systématiquement détecté lors de la phase d’exfiltration de données par toutes les bonnes crémeries de France et de Navarre. On comprend donc bien l’enjeu que recouvre la fonction de connaissance de la menace, cyber threat intelligence dans la langue de Shakespeare.

De même, il devient évident que si le défenseur élabore des contremesures plus vite que l’attaquant ne fait évoluer son mode opératoire, le premier contraint le second à déployer plus de ressources pour mener à bien son attaque. Pénible, mais c’est la vie.

Ainsi, contrairement aux idées reçues, l’attaquant n’a donc pas toujours l’avantage sur le défenseur. Tout du moins, l’attaquant dispose d’un avantage relatif qui tend à diminuer au fil des campagnes menées et à mesure qu’il suscite l’attention de la communauté de cyberdéfense. L’enjeu pour le défenseur est donc de prendre l’ascendant informationnel en anticipant la menace afin de réduire d’autant la probabilité de succès de chaque nouvelle attaque.

Certes, l’avantage obtenu est toujours relatif, mais la victoire réside dans la capacité du défenseur à maintenir cet ascendant dans le temps et donc à obliger l’adversaire à dépenser une quantité insupportable de ressources pour réussir son attaque. Ni plus, ni moins.

J’oubliais presque. L’étudiant en question s’appelait George Kaplan, manière de remarquer que certaines certitudes peuvent étrangement se transformer à mesure que le temps passe.

[Entrée n°5] En tout cas, on peut dire que le soviet éponge.

Par défaut
Pat Kinsella - illustration intitulée "Cold War Propaganda"

Pat Kinsella – illustration intitulée « Cold War Propaganda »

La perspective d’un dimanche ensoleillé suscite toujours chez moi un fort émoi intellectuel qu’il ne me parait pas inutile de partager une fois de plus avec vous. De but en blanc, et quitte à susciter quelques irritations dominicales, rappelons que le principe d’attribution d’une attaque informatique est 1) un processus éminemment politique, 2) qui n’est pas une science exacte 3) qui répond à un but politique. Je m’égare à préciser que si ce dernier est clairement défini, c’est quand même mieux.

Le scepticisme faisant donc loi en la matière, je serais tenté de vous conseiller de moins vous attacher à croire la « voix de son maître » qu’à chercher, pour chaque déclaration officielle, les raisons, bonnes ou mauvaises, objectives ou intéressées, qui poussent un État à attribuer à tel attaquant la paternité de telle ou telle récente, mais néanmoins sympathique, quoi que parfois irritante, joyeuseté informatique.

Alors oui, je vous venir – c’est qu’on ne vous la fait pas. Le principe d’attribution répond tout de même à un processus analytique que l’on peut imaginer, au moins à l’échelle des états, suffisamment consolidé pour ne pas uniquement reposer sur le sentiment d’une poignée d’analystes aux doigts étrangement mouillés.

Manière de laisser glisser par ailleurs que l’attribution est un processus qui anime l’ensemble des différents échelons tactiques, opératifs et stratégiques, ainsi que tout un ensemble de sources, dont les différents éclairages participent à alimenter la réflexion des échelons supérieurs. On raconte d’ailleurs dans les couloirs feutrés de certains services qu’il existerait en source ouverte des grilles de lecture adéquats. Une hypothèse qui heureusement n’a jamais été étayée de faits vérifiables, au soulagement de certains traitants peu scrupuleux, mais je digresse.

Alors pourquoi évoquer le riant sujet de l’attribution en ce beau dimanche ensoleillé. Sujet que l’on sait par ailleurs générateur de frictions, en témoigne les chaleureuses passes d’armes que certains d’entre vous ont probablement constaté sur plusieurs réseaux sociaux. Une fois n’est pas coutume le facepalm, qu’il soit baroque ou indulgent, reste la norme.

Plus récemment, plusieurs articles publiés par la presse allemande ont suscité chez moi une curiosité renouvelée. De mémoire, ces extraits, accompagnés parfois d’indicateurs relativement précis sur le mode opératoire de l’attaquant : sujet de courriel malveillant, expéditeur suspect, font preuve d’un niveau de détail assez inédit. Tous ont pour dénominateur commun un document du l’Office fédéral de sécurité informatique (BSI). D’aucun serait tenté de comparer le BSI à notre ANSSI nationale, mais tout de même, messieurs, un peu de retenu

Un rapide passage par les archives de l’internet nous rappelle que d’autres services gouvernementaux allemands ont régulièrement au cours de l’année abreuvé la presse allemande d’éléments relatifs au groupe APT-28, que l’on ne présente d’ailleurs plus ici. Éléments par ailleurs souvent accompagnés d’accusations en direction de Moscou.

On raconte sur certains canapés soyeux que le BSI pourrait par ailleurs faire preuve d’une forte activité en direction des autres CERT européens, abreuvant qui le souhaite d’indicateurs de compromission (IOC). Hypothèse donc. Force est de constater, qu’étant donné le contexte actuel, personne ne s’en plaindra et c’est heureux. (Preuve au passage que le principe d’attribution n’est pas neutre)

Ces différents éléments indiquent, ou plutôt suggèrent l’hypothèse que le gouvernement allemand pourrait avoir élaborer une stratégie de communication agressive destinée  déstabiliser le groupe APT-28. Je me sens soudainement enveloppé d’un scepticisme pesant. Je vais donc m’expliquer.

En communiquant tout azimut en direction des autres organismes de sécurité occidentaux, Berlin pourrait bien obliger le groupe APT-28, par ailleurs impliqué dans d’autres opérations, à adapter son architecture d’attaque en conséquence. Une action, qui si elle est répétée en plusieurs occasions, forcera l’attaquant à consommer profusion de moyens pour maintenir son niveau d’activité. La nature étant ce qu’elle est et les Russes n’échappant pas à ce principe élémentaire, si cette stratégie fonctionne, l’activité du groupe pourrait momentanément ralentir en plusieurs endroits.

D’autre part, si l’affaire fonctionne, le principe de défense collective dans le cyberespace régulièrement mise en échec par certains de ses détracteurs les plus virulents pourrait d’une manière un peu détournée, je le concède, retrouver là une seconde jeunesse ; renforçant par la même occasion, le caractère éminemment politique du principe d’attribution. Je conclurai provisoirement sur le sujet en rappelant que le principe de défense collectif n’est pas strictement borné à la lutte informatique offensive (LIO) et qu’il y a heureusement fort à faire en matière de coopération, au sein de l’OTAN et ailleurs. En voici une nouvelle preuve.

Dans le cyber, la coopération fait la force. Je dis ça, je dis rien.

 

[Entrée n°3] Les cons, ça ose tout. C’est même à ça qu’on les reconnaît.

Par défaut
From Jeff Östberg to a Wired text called "warfare has changed forever now that there are no secrets".

Jeff Örtberg – Warfare has changed forever now that there are no secrets (Wired)

Je ne suis pas de nature sensible, mais la persistante routine qui consiste à infecter l’ordinateur de son voisin par message piégé a encore suscité dernièrement chez moi une ébauche de bourdonnement intellectuel, qui me semble pas inutile de partager avec vous.

Je le concède, la pèche aux cétacés n’est pas une pratique nouvelle. Cependant, deux récents événements (ici et ) ont, une fois de plus, attiré mon attention sur cette intrigante pratique, qui semble, à première vue, régner sans partage au royaume de l’infection informatique.

Parlons donc harponnage (aʀpɔn) un instant. D’abord parce que la pratique éclaire quelques principes de lutte informatique pas forcément inintéressants, parce que c’est d’actualité, et enfin parce que la technique de harponnage peut potentiellement placer chacun de nous au centre du grand échiquier cybernétique. Dès lors que l’on occupera une place clé dans la société bien entendu. Encore que. Bref. Tout un programme donc.

Ce courriel d'apparence innofensif va exposer votre modeste bécane à la curiosité moscovite (Trend Micro)

Ce courriel d’apparence inoffensif va pourtant exposer votre modeste bécane à la curiosité moscovite. (Trend Micro)

Une première remarque en préambule. Une rapide étude des dernières grandes opérations d’espionnage informatique – non, je ne dirais pas cyber, c’est un gros mot – ne laisse que peu de place au doute. A première vue, et même dans le cadre d’opérations sophistiquées impliquant l’exploitation de plusieurs vulnérabilités 0-day, ainsi que la conception de logiciels malveillants modulaires, l’utilisation de messages piégés reste la norme.

Une fois passée la stupeur causée par cette évidente révélation, le lecteur sera tenté de chercher les causes de cette domination du courriel suspect, que l’on dit pourtant contesté par plusieurs autres vecteurs, tels que le point d’eau, la clé USB ou la complicité interne – pour n’en citer que quelques uns. Que ce dernier se rassure, les explications ne manquent pas et reposent sur autant de principes, qui me semblent fondateurs en matière de lutte informatique offensive. LIO en français, les gars, LIO.

En premier lieu, tordons le cou une nouvelle fois à deux idées reçues : une attaque informatique est peu coûteuse – ça dépend, les hackers sont des complexes d’œdipe en cagoules noires et lunettes grossissantes – c’est vrai pour les lunettes, c’est faux pour la cagoule. Partons donc du principe qu’une opération d’origine étatique répond à un objectif et engage des moyens, dont le commanditaire d’origine politique, attendra un retour sur investissement. Une mission, des hommes, des moyens, un tempo.

Ce principe oblige l’attaquant à structurer son attaque et à élaborer une ligne d’action qui lui permettra d’obtenir l’effet recherché en engageant un minimum de moyens parmi ceux à sa disposition. La lutte informatique repose sur un vivier de moyens humains à la fois rares et très spécialisés. Je vous mets au défi de trouver dans votre entourage un spécialiste rétro-ingénierie qui programme en Delphi. Autrement dit, on tachera donc à ne pas gaspiller ses précieuses forces et à concentrer ses efforts sur l’effet majeur d’une attaque informatique : l’élévation de privilège à fin de prise de contrôle à distance.

Revenons donc à notre harponnage, voulez-vous. En la matière, on gagera que la technique de harponnage jouit d’un rapport coût/effet pour le moins redoutable. Plusieurs observateurs évoquent même un taux d’infection de plus de 70% pour certains groupes étatiques. Ce dernier point, associé à une remarquable flexibilité d’emploi, explique en grande partie la popularité des techniques de hameçonnage et de harponnage.

Ainsi, en fonction de ses besoins ou de ses moyens, l’attaquant aura tout loisir de privilégier une attaque en profondeur en envoyant un message ciblé, en général d’apparence légitime, à un acteur clé de l’architecture réseau visé, imaginons le DSI, ou simplement de s’orienter vers une campagne de hameçonnage sensiblement moins sophistiquée, mais qui pourra toutefois ouvrir de multiples portes, générer un bruit conséquent et perturber les mécanismes de défense de la cible. D’aucuns me feront remarquer qu’il est possible de combiner les deux. Effectivement. On aurait d’ailleurs tort de s’en priver.

Cette efficacité, que les plus modestes qualifieront de bon aloi, tient à trois principaux facteurs :

  • La domination des réseaux sociaux ou, mieux dit, l’empreinte grossissantes de nos empreintes numériques. En la matière, parait-il que Linked’In serait du bain béni pour l’apprenti attaquant. Plus généralement, l’internet est un vivier d’informations de source ouverte très facile d’accès, dont on aurait tort de sous-estimer l’apport. Duchemin évoque sa participation à un salon de Défense. Bien, construisons lui un mail d’apparence légitime au sujet de son inscription. Comment ça, déjà vu ?
  • Le mauvais (ou l’absence de) paramétrage(s) de certains serveurs de courriels, qui sont parfois, il faut le concéder, de vraies passoires.
  • La crédulité de l’utilisateur. Vous, moi. A peu près tout le monde après 18H et avant le café de 9h.
Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux non ?

Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux, non ? (Cymmetria)

Dans le milieu, il est communément admis, à raison, que le principal maillon faible de la défense est le vecteur humain, pour tout un tas de raisons qui seront, pourquoi pas, un jour l’objet d’un article. Or, ce vecteur est souvent sous-estimé, quand il n’est tout simplement pas négligé. Quand elle est menée – dans le meilleur des cas – la sensibilisation du personnel repose sur des mécanismes de culpabilisation, qui ne poussent pas le personnel, particulièrement les VIP, à réagir efficacement (et rapidement) en cas de doute.

Malheureusement, de nombreux précédents l’indiquent. Bien souvent, c’est bien la vigilance et la réactivité de l’utilisateur qui permet de lever le doute rapidement. A titre, d’exemple, certains attaquants, parmi les plus érudits, préfèrent agir en début/fin de journée. L’idée est d’attaquer quand le dispositif de sécurité est le plus fragile. Par exemple, quand le personnel dédié à la SSI est absent ou occupé ailleurs, afin de gagner de précieuses heures sur la défense. Or ces précieuses heures peuvent être suffisantes pour permettre à l’adversaire de se déplacer dans le réseau et commencer un éventuel sabotage ou une exfiltration de données. Les cinéphiles se rappelleront sans doute du passage de data-center dans la série M.Robot.

Le lecteur intrigué pourra sans doute trouver sur l’internet quelques astuces ici et là pour élever son niveau de vigilance. Pour ma part, je me contenterai de rappeler qu’il n’est jamais malvenu de faire part de ses doutes à son RSSI de quartier. D’autre part, un coup d’œil rapide sur le lien, l’origine de l’expéditeur ou l’extension en pièce jointe, associé à une petite mise en perspective du message par rapport à la politique organisationnelle de son organisme, permet d’éviter de transformer une regrettable boulette en catastrophe nationale.

En cas de doute, on ne le répétera jamais assez, il n’est jamais trop tard pour aller à confesse et ainsi donner de précieux renseignements à la défense, qui, à ne pas douter, est déjà entrain de seller ses chevaux pour partir en guerre contre l’ennemi. Vae victis, les gars, Vae victis.

[Entrée n°2] Faut pas prendre les enfants du bon Dieu pour des canards sauvages

Par défaut

On dira ce qu’on voudra, mais on ne pourra pas nier que la semaine a été sensiblement marquée par plusieurs rebondissements relatifs à l’affaire du DNC. Une forte activité informationnelle, qui me parait assez logique étant donné le contexte politique. On concédera assez aisément que la nomination de deux candidats aux élections présidentielles reste une événement relativement important pour une démocratie.

Les plus observateurs diront que je radote, mais je ne peux m’empêcher de penser que l’affaire est entrain de créer un dangereux précédent, que nous risquons bien de regretter amèrement dans quelques années. Mais point trop d’alarmisme n’en faut.

Dans cette affaire, deux événements ont particulièrement attiré mon attention. En premier lieu, remarquons une Maison-Blanche, qui surprend par son silence. On parle tout de même d’une opération qui perturbe le processus d’élection d’un pays démocratique et dont l’attribution semble de moins en moins faire de doute. Un gouvernement qui a d’ailleurs semblé faire preuve d’un peu plus d’assurance pendant l’affaire Sony, je dis ça… Certes, vous pourriez me faire remarquer, qu’il est compliqué de se positionner en période d’élection sur une affaire qui concerne directement son parti, et vous auriez raison.

Par ailleurs, la posture du candidat Trump mérite bien quelques lignes. En plus d’être franchement gonflée – remarque, je dis ça mais je ne suis même plus surpris – sa dernière saillie publique, que je vous invite à déguster plus bas, me parait extrêmement dangereuse, car laisse penser que l’ingérence d’un pays tiers dans le processus politique d’une démocratie est un événement normal, qui s’inscrit légitimement dans le paysage politique. D’ailleurs, on me glisse à l’oreillette, que Moscou ne s’est caché cette semaine de faire remarquer qu’un acteur étatique « non identifié » aurait essayé de se glisser dans ses réseaux. Avouez tout de même que le timing est amusant.

Mais point trop de digressions. La responsabilité du Kremlin dans cette opération se faisant de plus en plus évidente, quoiqu’il est encore permis d’en douter, je permets de revenir modestement, et en quelques lignes, sur la stratégie russe en matière de guerre de l’information. En quelques lignes, les gars, en quelques lignes. Pas de panique.

En préambule, difficile de ne pas remarquer, lorsque l’on observe l’activité des groupes étatiques russes (aka APT-28 et consorts), l’association régulière d’opérations d’influence à des campagnes de cyberespionnage ou de sabotage. Cette caractéristique, très révélatrice du mode opératoire russe, est un marquant inédit, qu’il ne parait pas inintéressant de mettre en perspective avec les principes de doctrines à l’origine de l’actuel appareil politico-militaire russe.

Pour Moscou, influence  – les plus vénères écriront carrément PSYOPS – et opérations offensives dans le cyberespace sont intimement mêlées. D’abord parce que, pour les théoriciens moscovites, il n’existe pas de cyberespace, du moins tel que nous l’entendons, ici, en Occident, mais un milieu informationnel constitué de l’ensemble des domaines stratégiques (terre, milieu marin etc). Pour mieux comprendre, revenons en 1999.

L’arrivée de Poutine au gouvernement a marqué un tournant dans la doctrine russe, alors caractérisée par une déliquescence que les plus pudiques d’entre nous qualifieront de flagrante. Les premières expériences en Tchétchénie, puis la Géorgie, ont servi de laboratoire à un nouveau dispositif théorique, baptisé doctrine Gerasimov ou New Generation Warfare (NGW). A ce sujet, je vous invite à lire l’excellent papier publié par l’IFRI en novembre 2015. La lecture vaut le détour.

En quelques mots et sans trop s’éloigner du sujet, la doctrine Gerasimov se caractérise par une combinaison de stratégie directe et indirecte, qui embrasse l’ensemble des principaux champs de pouvoir, tels que la diplomatie, l’économie, l’information, l’armée et j’en n’oublie sûrement d’autres. Pour Gerasimov, le domaine cognitif, autrement dit le champ des perceptions, est un centre de gravité. L’objectif de cette doctrine est donc d’obtenir la victoire en contraignant l’adversaire accepter la supériorité, notamment informationnelle, de Moscou. Et c’est là que nos APT russes reviennent au galop.

Les opérations russes dans le cyberespace ont une triple vocation : produire du renseignement actionnable au profit du Kremlin (cyberespionnage), réduire le potentiel de l’adversaire (sabotage), modifier la perception du champ de bataille de l’adversaire (influence). L’ensemble a pour objectif de dégrader les capacités décisionnelles de l’adversaire, afin, à terme, de prendre l’avantage décisionnel. Si certains ont un doute, qu’ils se rassurent. Il me semble possible de mener les trois de front, dès lors que la compromission dans un (ou des) système(s) critique(s) est consommée. En premier lieu, parce que les trois s’inscrivent dans une temporalité complémentaire : T1 puis T2 puis T3. Ensuite, parce que, jusqu’à ce jour, les opérations à priori commanditées par Moscou se sont déroulées sur un temps long, qui a donné aux opérateurs russes une confortable marge de manœuvre. Mais que ces derniers se rassurent, cela pourrait changer dans les années à venir.

Je sens qu’au fond de la salle, on s’impatiente. Quel est le rapport avec l’affaire du DNC, me direz-vous ? Les événements des dernières semaines me laissent penser que les révélations de ThreatCrowd pourraient, d’une certaine manière, servir, opportunément bien entendu, les intérêts de Moscou. Je m’explique. Révéler une compromission de cette gravité, dès lors qu’elle touche aux intérêts d’une nation, n’est pas un acte anodin. Particulièrement, lorsque l’on semble être confronté à un attaquant d’origine étatique, particulièrement s’il est russe. Nous avons vu, plus haut, pourquoi.

Plus généralement, une révélation publique de cet ordre, que ce soit par le biais d’un vecteur officiel ou par un tiers, est un acte éminemment politique, qui doit s’inscrire dans une manœuvre de contre-influence consolidée. On veillera donc, en avance de phase de préférence, à définir l’objectif, l’état final recherché et une ligne d’action pertinente. Je préfère préciser, vu que c’est pas toujours évident pour tous, même au plus haut de l’appareil de l’État. Par conséquent, on pensera, dans un second temps, à construire des éléments de langage spécifiques et une stratégie de communication cohérente, qui s’inscrit dans la trajectoire choisie – une trajectoire qui a pour objet de contrecarrer celle de l’adversaire évidemment. D’ailleurs à ce sujet, je ne peux que vous conseiller la lecture d’un excellent article du remarquable Thomas Rid, chercheur britannique de son état, que l’on ne présente plus, à l’origine, notamment, mais pas que, du modèle Q et d’un excellent article, publié en 2011, baptisé « La cyberguerre n’aura pas lieu« . Un titre qui ne s’invente pas.

Quoiqu’il en soit, l’affaire du DNC rappelle, si l’était besoin, et Dieu sait qu’on a besoin de l’entendre, que la cyberdéfense n’est pas qu’une affaire de techniciens – garçons que j’adore soit dit en passant. Les opérations russes dans le cyberespace nous rappelle cruellement, qu’in fine, il s’agit (aussi/surtout) de maîtriser le champ informationnel de l’adversaire, afin de préserver ses propres capacités de décision et prendre l’avantage. A ce titre, il faut arrêter de faire preuve de candeur et prendre en compte le champ informationnel, d’abord afin de préserver ses capacités décisionnelles, et enfin parce qu’une stratégie de contre-influence bien ficelée peut prendre à défaut le discours de l’adversaire et transformer une faiblesse en un atout au profit de sa propre manœuvre.

Non, ne dites rien. Laissez moi rêver un instant.