[Entrée n°7] Ils durent manger un ménestrel, mais l’allégresse ne les quitta point.

Par défaut

Habile métaphore de l’investigation à partir de la série d’illustrations éponymes « Stay in the dark » du prometteur Dani Diez

Les fêtes de fin d’années sont un moment propice à l’introspection ; pas seulement à cause l’incontournable bûche de noël de grand-mère, dont on n’hésiterait pas tant à la caractériser « d’étouffe-chrétien », si l’on était pas allé un peu plus tôt présenter ses respects au prélat du quartier, mais surtout parce qu’elles offrent consécutivement de somptueux moments d’inactivités. Ces redoutables instants d’ennuis que le champagne n’arrive que trop rarement à combler sont aussi l’occasion d’un savant retour en arrière sur les événements qui se sont produits cette année – qu’ils aient été ou non traduits sous forme de chronique en ces murs.

Un première remarque me vient immédiatement à l’esprit : les dernières campagnes de cyberespionnage étatiques – et il y en a pléthores – rappellent cruellement à quel point il est primordiale de caractériser, dès les premiers doutes, la profondeur d’une éventuelle compromission, quand bien même l’on serait contraint par le temps – c’est souvent le cas, quand bien même l’on aurait que des informations parcellaires – c’est toujours le cas. Aujourd’hui, le coût politique d’une mauvaise gestion de ce que l’on appelle pudiquement un « incident critique » est simplement trop coûteux pour être ignoré, et en même temps, l’attaque, en présumant qu’elle est avérée – ce qu’il faut toujours faire – est trop importante pour ne pas être gérée au bon niveau, c’est à dire au niveau le plus haut.

Par conséquent, les premiers éléments collectées pendant la période de levée de doute, ce moment un peu flou où l’on est pas vraiment sûr de saisir ce que l’on constate, sont une première étape pour qualifier un incident, sans être toutefois suffisant pour permettre une remédiation exhaustive. Cette dernière partie est la raison même de cet article. Je vais donc, à l’aide d’un habile copier-coller, en extraire la substantifique moelle et en traduire rapidement l’esprit : les signaux à l’origine d’une alerte associés à un attaquant sophistiqué sont insuffisants pour permettre une remédiation exhaustive. Voilà, c’est dit.

Même si la fonction de réponse à incident et plus généralement la manœuvre dans le cyberespace est contrainte par le temps – j’ai dû le concéder à demi-mot plus haut – car à la fois dictée par le tempo de l’adversaire et par des impératifs propres à la structure touchée par l’attaque, il faut prendre le temps 1) de circonscrire le périmètre, 2) d’évaluer l’impact de l’attaque et 3) de comprendre le mode opératoire de l’attaquant associé à l’incident ou à d’autres éventuels incidents détectés auparavant. Cette première analyse et la batterie de tâches qui lui sont associées forment une seconde étape qui se répète itérativement à partir des investigations menées et à mesure que la connaissance de l’attaque progresse.

Avant toute remédiation, il est donc essentiel d’avoir une vision consolidée du niveau de compromission du réseau, du comportement de l’attaquant, des différentes lignes d’action à sa disposition, de l’environnement dans lequel ce dernier agit et des options de remédiation à la portée de la défense. Cette analyse peut être menée rapidement, sur un tableau blanc s’il le faut ; qu’importe. Néanmoins, elle doit rester au centre des attentions de l’équipe en charge pendant toute la durée de l’incident.

Cela étant dit, rien n’empêche d’élaborer des hypothèses dès le début de l’investigation et d’y associer au plus tôt des mesures conservatoires ainsi qu’un plan de remédiation. Néanmoins, la formulation de ces hypothèses ainsi que la mise en œuvre et l’exécution des mesures associées ne doivent pas mettre en péril la bonne compréhension de la situation. Par la suite, à mesure que l’analyse progresse, on pourra toujours progressivement mettre en œuvre les mesures complémentaires qui pouvaient perturber l’investigation. In fine, comme l’on aime à dire par chez moi, c’est le terrain qui dicte la manœuvre. Toutefois, si l’analyse est primordiale, c’est bien qu’elle participe à une remédiation efficace et, par conséquent, permet de limiter les dégâts causés par l’attaquant.

Par ailleurs, nulle besoin de revenir sur l’importance de privilégier une posture furtive, tant de dernières affaires ont encore rappelé, si l’était besoin, cette nécessite impérieuse. Une nécessité si évidente, qu’elle est bien souvent mise de coté sacrifiée sur l’autel de la panique généralisée.

Mais que veut dire le père George en ce jour de fête ? En substance, dès qu’il y a soupçon de compromission généralisée, il est urgent de ne pas attendre et de réagir rapidement au risque de voir l’attaquant imprimer durablement son tempo sur la défense. Vrai. Rien à dire la dessus. Cependant, il existe une tripotée d’exemples de réponses à incident malheureuses qui parce qu’elles n’ont pas été élaborées à partir d’une analyse suffisamment exhaustive ont abouti à des catastrophes : remédiation partielle, réaction brutale de l’adversaire qui se traduit par la destruction de machines ou à l’altération de données sensibles etc.

La réponse à incident est un métier. Et comme tout métier, elle est un ensemble de tâches normées qui répondent à une série d’impératifs identifiées à partir des nombreuses expériences qui ont façonnées le métier. Elle n’est pas l’aboutissement fortuit de gesticulations plus ou moins heureuses, mais bien la somme de procédures éprouvées, dont un certain nombre ont déjà été théorisées par d’autres, ici ou là.

Et si vous n’en êtes pas convaincu, je vous invite à vous replonger dans l’actualité de ces deux dernières années. La période est particulièrement favorable à la méditation, dit-on.

[Entrée n°3] Les cons, ça ose tout. C’est même à ça qu’on les reconnaît.

Par défaut
From Jeff Östberg to a Wired text called "warfare has changed forever now that there are no secrets".

Jeff Örtberg – Warfare has changed forever now that there are no secrets (Wired)

Je ne suis pas de nature sensible, mais la persistante routine qui consiste à infecter l’ordinateur de son voisin par message piégé a encore suscité dernièrement chez moi une ébauche de bourdonnement intellectuel, qui me semble pas inutile de partager avec vous.

Je le concède, la pèche aux cétacés n’est pas une pratique nouvelle. Cependant, deux récents événements (ici et ) ont, une fois de plus, attiré mon attention sur cette intrigante pratique, qui semble, à première vue, régner sans partage au royaume de l’infection informatique.

Parlons donc harponnage (aʀpɔn) un instant. D’abord parce que la pratique éclaire quelques principes de lutte informatique pas forcément inintéressants, parce que c’est d’actualité, et enfin parce que la technique de harponnage peut potentiellement placer chacun de nous au centre du grand échiquier cybernétique. Dès lors que l’on occupera une place clé dans la société bien entendu. Encore que. Bref. Tout un programme donc.

Ce courriel d'apparence innofensif va exposer votre modeste bécane à la curiosité moscovite (Trend Micro)

Ce courriel d’apparence inoffensif va pourtant exposer votre modeste bécane à la curiosité moscovite. (Trend Micro)

Une première remarque en préambule. Une rapide étude des dernières grandes opérations d’espionnage informatique – non, je ne dirais pas cyber, c’est un gros mot – ne laisse que peu de place au doute. A première vue, et même dans le cadre d’opérations sophistiquées impliquant l’exploitation de plusieurs vulnérabilités 0-day, ainsi que la conception de logiciels malveillants modulaires, l’utilisation de messages piégés reste la norme.

Une fois passée la stupeur causée par cette évidente révélation, le lecteur sera tenté de chercher les causes de cette domination du courriel suspect, que l’on dit pourtant contesté par plusieurs autres vecteurs, tels que le point d’eau, la clé USB ou la complicité interne – pour n’en citer que quelques uns. Que ce dernier se rassure, les explications ne manquent pas et reposent sur autant de principes, qui me semblent fondateurs en matière de lutte informatique offensive. LIO en français, les gars, LIO.

En premier lieu, tordons le cou une nouvelle fois à deux idées reçues : une attaque informatique est peu coûteuse – ça dépend, les hackers sont des complexes d’œdipe en cagoules noires et lunettes grossissantes – c’est vrai pour les lunettes, c’est faux pour la cagoule. Partons donc du principe qu’une opération d’origine étatique répond à un objectif et engage des moyens, dont le commanditaire d’origine politique, attendra un retour sur investissement. Une mission, des hommes, des moyens, un tempo.

Ce principe oblige l’attaquant à structurer son attaque et à élaborer une ligne d’action qui lui permettra d’obtenir l’effet recherché en engageant un minimum de moyens parmi ceux à sa disposition. La lutte informatique repose sur un vivier de moyens humains à la fois rares et très spécialisés. Je vous mets au défi de trouver dans votre entourage un spécialiste rétro-ingénierie qui programme en Delphi. Autrement dit, on tachera donc à ne pas gaspiller ses précieuses forces et à concentrer ses efforts sur l’effet majeur d’une attaque informatique : l’élévation de privilège à fin de prise de contrôle à distance.

Revenons donc à notre harponnage, voulez-vous. En la matière, on gagera que la technique de harponnage jouit d’un rapport coût/effet pour le moins redoutable. Plusieurs observateurs évoquent même un taux d’infection de plus de 70% pour certains groupes étatiques. Ce dernier point, associé à une remarquable flexibilité d’emploi, explique en grande partie la popularité des techniques de hameçonnage et de harponnage.

Ainsi, en fonction de ses besoins ou de ses moyens, l’attaquant aura tout loisir de privilégier une attaque en profondeur en envoyant un message ciblé, en général d’apparence légitime, à un acteur clé de l’architecture réseau visé, imaginons le DSI, ou simplement de s’orienter vers une campagne de hameçonnage sensiblement moins sophistiquée, mais qui pourra toutefois ouvrir de multiples portes, générer un bruit conséquent et perturber les mécanismes de défense de la cible. D’aucuns me feront remarquer qu’il est possible de combiner les deux. Effectivement. On aurait d’ailleurs tort de s’en priver.

Cette efficacité, que les plus modestes qualifieront de bon aloi, tient à trois principaux facteurs :

  • La domination des réseaux sociaux ou, mieux dit, l’empreinte grossissantes de nos empreintes numériques. En la matière, parait-il que Linked’In serait du bain béni pour l’apprenti attaquant. Plus généralement, l’internet est un vivier d’informations de source ouverte très facile d’accès, dont on aurait tort de sous-estimer l’apport. Duchemin évoque sa participation à un salon de Défense. Bien, construisons lui un mail d’apparence légitime au sujet de son inscription. Comment ça, déjà vu ?
  • Le mauvais (ou l’absence de) paramétrage(s) de certains serveurs de courriels, qui sont parfois, il faut le concéder, de vraies passoires.
  • La crédulité de l’utilisateur. Vous, moi. A peu près tout le monde après 18H et avant le café de 9h.
Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux non ?

Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux, non ? (Cymmetria)

Dans le milieu, il est communément admis, à raison, que le principal maillon faible de la défense est le vecteur humain, pour tout un tas de raisons qui seront, pourquoi pas, un jour l’objet d’un article. Or, ce vecteur est souvent sous-estimé, quand il n’est tout simplement pas négligé. Quand elle est menée – dans le meilleur des cas – la sensibilisation du personnel repose sur des mécanismes de culpabilisation, qui ne poussent pas le personnel, particulièrement les VIP, à réagir efficacement (et rapidement) en cas de doute.

Malheureusement, de nombreux précédents l’indiquent. Bien souvent, c’est bien la vigilance et la réactivité de l’utilisateur qui permet de lever le doute rapidement. A titre, d’exemple, certains attaquants, parmi les plus érudits, préfèrent agir en début/fin de journée. L’idée est d’attaquer quand le dispositif de sécurité est le plus fragile. Par exemple, quand le personnel dédié à la SSI est absent ou occupé ailleurs, afin de gagner de précieuses heures sur la défense. Or ces précieuses heures peuvent être suffisantes pour permettre à l’adversaire de se déplacer dans le réseau et commencer un éventuel sabotage ou une exfiltration de données. Les cinéphiles se rappelleront sans doute du passage de data-center dans la série M.Robot.

Le lecteur intrigué pourra sans doute trouver sur l’internet quelques astuces ici et là pour élever son niveau de vigilance. Pour ma part, je me contenterai de rappeler qu’il n’est jamais malvenu de faire part de ses doutes à son RSSI de quartier. D’autre part, un coup d’œil rapide sur le lien, l’origine de l’expéditeur ou l’extension en pièce jointe, associé à une petite mise en perspective du message par rapport à la politique organisationnelle de son organisme, permet d’éviter de transformer une regrettable boulette en catastrophe nationale.

En cas de doute, on ne le répétera jamais assez, il n’est jamais trop tard pour aller à confesse et ainsi donner de précieux renseignements à la défense, qui, à ne pas douter, est déjà entrain de seller ses chevaux pour partir en guerre contre l’ennemi. Vae victis, les gars, Vae victis.