[Entrée n°9] Faut reconnaître… C’est du brutal.

Par défaut

Furtive illustration de l’habile Duncan Irving illustrant l’incessante chasse aux signatures qui est le lot de toute bonne crémerie spécialisée dans la chasse aux attaquants.

Ce matin, je relisais la thèse d’un étudiant. Á un moment, je m’étranglais. Je m’étrangle parfois à la lecture de certaines productions du domaine, car, je dois le concéder, je suis de nature assez chétive.

Je relisais donc cette thèse et constatais qu’il existe une image d’Épinal qui résiste encore et toujours à l’usure du temps : « contrairement aux idées reçues, dans le cyberespace, l’avantage revient à l’attaquant ». Je crois savoir que certains enthousiastes martèleraient même qu’il s’agit d’une caractéristique inédite de cet espace d’affrontement qui, à ce titre, soutient l’idée d’un dispositif de cyberdéfense toujours à la masse, car intervenant à partir de soupçons de compromission, c’est à dire à rebours. En bref, lorsque l’attaque est consommée. La tristesse, quoi.

Je pense que cette idée est en partie fausse, ou tout du moins à nuancer, révèle une méconnaissance des tactiques, techniques et procédures (TTP) mises en œuvre par les attaquants dans cet espace, et pire nourrit le fantasme d’un attaquant tout puissant – ce qui, en tant que défenseur, me ronge l’ulcère, mais passons.

En premier lieu, il me faut remarquer que, même chez les attaquants les plus sophistiqués, les habitudes ont la vie dure. Je n’ai à titre personnel jamais rencontré d’attaquant capable, d’une campagne à l’autre, de modifier intégralement son mode opératoire. L’assertion est particulièrement vraie pour les modes opératoires de type « menace persistante avancée » (APT). Caillassez moi si je me trompe, mais je ne crois pas que la littérature spécialisée se fasse aussi l’écho de tels attaquants. Même la CIA recycle, c’est dire.

Les attaquants ont donc des habitudes bien ancrées, parce que modifier constamment son infrastructure, changer de TTP ou mettre en œuvre de nouveaux outils est couteux en ressources, particulièrement lorsque le mode opératoire fait déjà preuve d’un remarquable niveau de sophistication. Or, les plus avertis d’autre vous gageront que l’inaction est politiquement et / ou économiquement couteuse. D’ailleurs, le terme « persistant » caractérisant le concept d’APT n’est pas là par hasard.

Depuis 2011, toute une littérature, dont le modèle de la kill chain en est l’exemple le plus connu, démontre de manière assez convaincante qu’une seule intervention du défenseur peut être suffisante pour contrer le mode opératoire d’un attaquant. Autrement dit, si une seule technique connue par le défenseur est répétée par l’attaquant, ce dernier prend le risque d’être détecté et donc contrecarré avant de pouvoir accomplir son objectif.

A titre d’exemple, grâce au travaux de FireEye, on sait, avec un degré de confiance élevé, que le mode opératoire adverse (MOA) d’origine russe APT-29 met en œuvre une technique d’exfiltration de données innovante, baptisée Domain Fronting. Cette technique est difficile à détecter et à contrecarrer. Cependant, si l’attaquant lors de sa prochaine campagne d’attaques ne change pas le chemin d’accès de l’exécutable et le nom du service qui met en œuvre cette technique sur la machine compromise, l’attaquant sera systématiquement détecté lors de la phase d’exfiltration de données par toutes les bonnes crémeries de France et de Navarre. On comprend donc bien l’enjeu que recouvre la fonction de connaissance de la menace, cyber threat intelligence dans la langue de Shakespeare.

De même, il devient évident que si le défenseur élabore des contremesures plus vite que l’attaquant ne fait évoluer son mode opératoire, le premier contraint le second à déployer plus de ressources pour mener à bien son attaque. Pénible, mais c’est la vie.

Ainsi, contrairement aux idées reçues, l’attaquant n’a donc pas toujours l’avantage sur le défenseur. Tout du moins, l’attaquant dispose d’un avantage relatif qui tend à diminuer au fil des campagnes menées et à mesure qu’il suscite l’attention de la communauté de cyberdéfense. L’enjeu pour le défenseur est donc de prendre l’ascendant informationnel en anticipant la menace afin de réduire d’autant la probabilité de succès de chaque nouvelle attaque.

Certes, l’avantage obtenu est toujours relatif, mais la victoire réside dans la capacité du défenseur à maintenir cet ascendant dans le temps et donc à obliger l’adversaire à dépenser une quantité insupportable de ressources pour réussir son attaque. Ni plus, ni moins.

J’oubliais presque. L’étudiant en question s’appelait George Kaplan, manière de remarquer que certaines certitudes peuvent étrangement se transformer à mesure que le temps passe.

[Entrée n°7] Ils durent manger un ménestrel, mais l’allégresse ne les quitta point.

Par défaut

Habile métaphore de l’investigation à partir de la série d’illustrations éponymes « Stay in the dark » du prometteur Dani Diez

Les fêtes de fin d’années sont un moment propice à l’introspection ; pas seulement à cause l’incontournable bûche de noël de grand-mère, dont on n’hésiterait pas tant à la caractériser « d’étouffe-chrétien », si l’on était pas allé un peu plus tôt présenter ses respects au prélat du quartier, mais surtout parce qu’elles offrent consécutivement de somptueux moments d’inactivités. Ces redoutables instants d’ennuis que le champagne n’arrive que trop rarement à combler sont aussi l’occasion d’un savant retour en arrière sur les événements qui se sont produits cette année – qu’ils aient été ou non traduits sous forme de chronique en ces murs.

Un première remarque me vient immédiatement à l’esprit : les dernières campagnes de cyberespionnage étatiques – et il y en a pléthores – rappellent cruellement à quel point il est primordiale de caractériser, dès les premiers doutes, la profondeur d’une éventuelle compromission, quand bien même l’on serait contraint par le temps – c’est souvent le cas, quand bien même l’on aurait que des informations parcellaires – c’est toujours le cas. Aujourd’hui, le coût politique d’une mauvaise gestion de ce que l’on appelle pudiquement un « incident critique » est simplement trop coûteux pour être ignoré, et en même temps, l’attaque, en présumant qu’elle est avérée – ce qu’il faut toujours faire – est trop importante pour ne pas être gérée au bon niveau, c’est à dire au niveau le plus haut.

Par conséquent, les premiers éléments collectées pendant la période de levée de doute, ce moment un peu flou où l’on est pas vraiment sûr de saisir ce que l’on constate, sont une première étape pour qualifier un incident, sans être toutefois suffisant pour permettre une remédiation exhaustive. Cette dernière partie est la raison même de cet article. Je vais donc, à l’aide d’un habile copier-coller, en extraire la substantifique moelle et en traduire rapidement l’esprit : les signaux à l’origine d’une alerte associés à un attaquant sophistiqué sont insuffisants pour permettre une remédiation exhaustive. Voilà, c’est dit.

Même si la fonction de réponse à incident et plus généralement la manœuvre dans le cyberespace est contrainte par le temps – j’ai dû le concéder à demi-mot plus haut – car à la fois dictée par le tempo de l’adversaire et par des impératifs propres à la structure touchée par l’attaque, il faut prendre le temps 1) de circonscrire le périmètre, 2) d’évaluer l’impact de l’attaque et 3) de comprendre le mode opératoire de l’attaquant associé à l’incident ou à d’autres éventuels incidents détectés auparavant. Cette première analyse et la batterie de tâches qui lui sont associées forment une seconde étape qui se répète itérativement à partir des investigations menées et à mesure que la connaissance de l’attaque progresse.

Avant toute remédiation, il est donc essentiel d’avoir une vision consolidée du niveau de compromission du réseau, du comportement de l’attaquant, des différentes lignes d’action à sa disposition, de l’environnement dans lequel ce dernier agit et des options de remédiation à la portée de la défense. Cette analyse peut être menée rapidement, sur un tableau blanc s’il le faut ; qu’importe. Néanmoins, elle doit rester au centre des attentions de l’équipe en charge pendant toute la durée de l’incident.

Cela étant dit, rien n’empêche d’élaborer des hypothèses dès le début de l’investigation et d’y associer au plus tôt des mesures conservatoires ainsi qu’un plan de remédiation. Néanmoins, la formulation de ces hypothèses ainsi que la mise en œuvre et l’exécution des mesures associées ne doivent pas mettre en péril la bonne compréhension de la situation. Par la suite, à mesure que l’analyse progresse, on pourra toujours progressivement mettre en œuvre les mesures complémentaires qui pouvaient perturber l’investigation. In fine, comme l’on aime à dire par chez moi, c’est le terrain qui dicte la manœuvre. Toutefois, si l’analyse est primordiale, c’est bien qu’elle participe à une remédiation efficace et, par conséquent, permet de limiter les dégâts causés par l’attaquant.

Par ailleurs, nulle besoin de revenir sur l’importance de privilégier une posture furtive, tant de dernières affaires ont encore rappelé, si l’était besoin, cette nécessite impérieuse. Une nécessité si évidente, qu’elle est bien souvent mise de coté sacrifiée sur l’autel de la panique généralisée.

Mais que veut dire le père George en ce jour de fête ? En substance, dès qu’il y a soupçon de compromission généralisée, il est urgent de ne pas attendre et de réagir rapidement au risque de voir l’attaquant imprimer durablement son tempo sur la défense. Vrai. Rien à dire la dessus. Cependant, il existe une tripotée d’exemples de réponses à incident malheureuses qui parce qu’elles n’ont pas été élaborées à partir d’une analyse suffisamment exhaustive ont abouti à des catastrophes : remédiation partielle, réaction brutale de l’adversaire qui se traduit par la destruction de machines ou à l’altération de données sensibles etc.

La réponse à incident est un métier. Et comme tout métier, elle est un ensemble de tâches normées qui répondent à une série d’impératifs identifiées à partir des nombreuses expériences qui ont façonnées le métier. Elle n’est pas l’aboutissement fortuit de gesticulations plus ou moins heureuses, mais bien la somme de procédures éprouvées, dont un certain nombre ont déjà été théorisées par d’autres, ici ou là.

Et si vous n’en êtes pas convaincu, je vous invite à vous replonger dans l’actualité de ces deux dernières années. La période est particulièrement favorable à la méditation, dit-on.