[Entrée n°7] Ils durent manger un ménestrel, mais l’allégresse ne les quitta point.

Par défaut

Habile métaphore de l’investigation à partir de la série d’illustrations éponymes « Stay in the dark » du prometteur Dani Diez

Les fêtes de fin d’années sont un moment propice à l’introspection ; pas seulement à cause l’incontournable bûche de noël de grand-mère, dont on n’hésiterait pas tant à la caractériser « d’étouffe-chrétien », si l’on était pas allé un peu plus tôt présenter ses respects au prélat du quartier, mais surtout parce qu’elles offrent consécutivement de somptueux moments d’inactivités. Ces redoutables instants d’ennuis que le champagne n’arrive que trop rarement à combler sont aussi l’occasion d’un savant retour en arrière sur les événements qui se sont produits cette année – qu’ils aient été ou non traduits sous forme de chronique en ces murs.

Un première remarque me vient immédiatement à l’esprit : les dernières campagnes de cyberespionnage étatiques – et il y en a pléthores – rappellent cruellement à quel point il est primordiale de caractériser, dès les premiers doutes, la profondeur d’une éventuelle compromission, quand bien même l’on serait contraint par le temps – c’est souvent le cas, quand bien même l’on aurait que des informations parcellaires – c’est toujours le cas. Aujourd’hui, le coût politique d’une mauvaise gestion de ce que l’on appelle pudiquement un « incident critique » est simplement trop coûteux pour être ignoré, et en même temps, l’attaque, en présumant qu’elle est avérée – ce qu’il faut toujours faire – est trop importante pour ne pas être gérée au bon niveau, c’est à dire au niveau le plus haut.

Par conséquent, les premiers éléments collectées pendant la période de levée de doute, ce moment un peu flou où l’on est pas vraiment sûr de saisir ce que l’on constate, sont une première étape pour qualifier un incident, sans être toutefois suffisant pour permettre une remédiation exhaustive. Cette dernière partie est la raison même de cet article. Je vais donc, à l’aide d’un habile copier-coller, en extraire la substantifique moelle et en traduire rapidement l’esprit : les signaux à l’origine d’une alerte associés à un attaquant sophistiqué sont insuffisants pour permettre une remédiation exhaustive. Voilà, c’est dit.

Même si la fonction de réponse à incident et plus généralement la manœuvre dans le cyberespace est contrainte par le temps – j’ai dû le concéder à demi-mot plus haut – car à la fois dictée par le tempo de l’adversaire et par des impératifs propres à la structure touchée par l’attaque, il faut prendre le temps 1) de circonscrire le périmètre, 2) d’évaluer l’impact de l’attaque et 3) de comprendre le mode opératoire de l’attaquant associé à l’incident ou à d’autres éventuels incidents détectés auparavant. Cette première analyse et la batterie de tâches qui lui sont associées forment une seconde étape qui se répète itérativement à partir des investigations menées et à mesure que la connaissance de l’attaque progresse.

Avant toute remédiation, il est donc essentiel d’avoir une vision consolidée du niveau de compromission du réseau, du comportement de l’attaquant, des différentes lignes d’action à sa disposition, de l’environnement dans lequel ce dernier agit et des options de remédiation à la portée de la défense. Cette analyse peut être menée rapidement, sur un tableau blanc s’il le faut ; qu’importe. Néanmoins, elle doit rester au centre des attentions de l’équipe en charge pendant toute la durée de l’incident.

Cela étant dit, rien n’empêche d’élaborer des hypothèses dès le début de l’investigation et d’y associer au plus tôt des mesures conservatoires ainsi qu’un plan de remédiation. Néanmoins, la formulation de ces hypothèses ainsi que la mise en œuvre et l’exécution des mesures associées ne doivent pas mettre en péril la bonne compréhension de la situation. Par la suite, à mesure que l’analyse progresse, on pourra toujours progressivement mettre en œuvre les mesures complémentaires qui pouvaient perturber l’investigation. In fine, comme l’on aime à dire par chez moi, c’est le terrain qui dicte la manœuvre. Toutefois, si l’analyse est primordiale, c’est bien qu’elle participe à une remédiation efficace et, par conséquent, permet de limiter les dégâts causés par l’attaquant.

Par ailleurs, nulle besoin de revenir sur l’importance de privilégier une posture furtive, tant de dernières affaires ont encore rappelé, si l’était besoin, cette nécessite impérieuse. Une nécessité si évidente, qu’elle est bien souvent mise de coté sacrifiée sur l’autel de la panique généralisée.

Mais que veut dire le père George en ce jour de fête ? En substance, dès qu’il y a soupçon de compromission généralisée, il est urgent de ne pas attendre et de réagir rapidement au risque de voir l’attaquant imprimer durablement son tempo sur la défense. Vrai. Rien à dire la dessus. Cependant, il existe une tripotée d’exemples de réponses à incident malheureuses qui parce qu’elles n’ont pas été élaborées à partir d’une analyse suffisamment exhaustive ont abouti à des catastrophes : remédiation partielle, réaction brutale de l’adversaire qui se traduit par la destruction de machines ou à l’altération de données sensibles etc.

La réponse à incident est un métier. Et comme tout métier, elle est un ensemble de tâches normées qui répondent à une série d’impératifs identifiées à partir des nombreuses expériences qui ont façonnées le métier. Elle n’est pas l’aboutissement fortuit de gesticulations plus ou moins heureuses, mais bien la somme de procédures éprouvées, dont un certain nombre ont déjà été théorisées par d’autres, ici ou là.

Et si vous n’en êtes pas convaincu, je vous invite à vous replonger dans l’actualité de ces deux dernières années. La période est particulièrement favorable à la méditation, dit-on.

[Entrée n°1] Un éléphant, ça trompe énormément.

Par défaut

Les plus observateurs d’entre vous auront sans doute suivi d’un œil circonspect le feuilleton qui secoue depuis début juin le parti Démocrate américain. Pour les autres, nul besoin de se flageller, l’affaire peut être résumée en quelques lignes.

Le 15 juin dernier, CrowdStrike publiait, dans un modeste article, plusieurs commentaires sur une surprenante double compromission du Democratic National Committee [DNC]. L’entreprise de sécurité américaine révèle alors la présence sur le réseau du parti Démocrate de deux acteurs incontournables du cyberespionnage étatique connus comme le loup blanc par chez nous : APT-28/SOFACY/FANCYBEAR et APT-29/COZYBEAR/COZYDUKE. Une accusation par la suite confirmée s’il était besoin par Mandiant et Fidelis, deux pointures dans le domaine, bien que toutefois américaines jusqu’au cou. Personne n’étant parfait, ma foi.

Quelques jours plus tard, l’affaire prend un nouveau tournant, lorsque @Guccifer_2, un hacktiviste roumain versé dans l’ingénierie sociale, affirme être à l’origine de la compromission du parti Démocrate et publie dans la foulée plusieurs documents, d’apparence légitime quoiqu’à priori dérobés des réseaux du DNC. Mais laissons un instant cette intrigante partie de l’affaire. Nous aurons l’occasion de revenir plus bas sur ce dossier.

Les moins profanes d’entre nous auront probablement lu par ci par là que les deux groupes ont été attribués à de nombreuses occasions ces dernières années aux services de renseignement russes. Il n’est pas question ici de revenir sur la fiabilité de ces hypothèses, que je juge personnellement pour le moins crédibles et que d’autres ont d’ailleurs mieux étayé, ici par exemple.

Admettons donc un instant que l’ours russe se cache derrière l’opération – ce qui parait, légitime. En préambule, quelques observations. Permettons-nous de remarquer un instant qu’il ne semblerait pas, après un mois de révélations publiques, que le parti républicain n’ait été infecté tant par APT-28 qu’APT-29, d’où plusieurs hypothèses  :

  • Trump peut compter sur une équipe de cyberwarriors de haut niveau, qui lui ont permis de maintenir à distance le monstre sibérien. Que les esprits les plus républicains me pardonnent, l’hypothèse me parait peu probable.
  • Le positionnement du candidat Trump en matière de politique étrangère, notamment vis-à-vis de Poutine et si clair que les services de l’État n’ont en aucun cas besoin d’information pour permettre à Moscou d’adopter une posture efficace pour protéger ses intérêts. Meh…
  • Certains observateurs ont parfois relevé ça et là, des connivences entre Trump et le régime de Moscou. Connivences, qu’il faut bien admettre, ne semblent pas être partagées par le camp démocrate et – contexte d’élection oblige – a de quoi inquiéter Moscou. Cette troisième hypothèse parait séduisante, car donne une piste d’explication non-exhaustive concernant l’affaire du DNC. Cela dit, rien ne coûte de préciser que rien ne prouve que le parti Républicain n’ait pas été ciblé ou n’allait pas être ciblé par ces attaquants. En géopolitique après tout, l’amitié n’exclut pas le contrôle. Il est possible que les réseaux démocrates correspondaient simplement plus à la priorité du moment pour Moscou, que le parti Républicain.

Les troublantes révélations de notre Guccifer 2.0 ont au moins le mérite de susciter quelques questions. D’autant plus lorsque l’on sait que la version 1.0 est actuellement en détention aux Etats-Unis, accusée de s’être laissée tenter à farfouiller dans la boite mail privée de Mme Clinton. CrowdStrike, dans un nouvel article, faisait d’ailleurs remarquer que la version 2.0 de l’attaquant roumain témoignait d’un opportunisme (et d’un manque de conviction), qui tranche tout de même avec son parcours d’hacktiviste patenté. En même temps, on comprend le type. Un séjour dans une prison en Virginie, ça doit émousser la combativité. Pour consulter les faits d’armes de ce gentleman et se faire une première idée sur le personnage, on pourra commencer par consulter sa fiche Wikipédia.

Nous pourrions continuer à discourir sur les nombreuses questions, doutes et angoisses qui se font pressantes autour de authenticité du compte @Gucciffer2.0. Cependant, imaginons, sans trop nous forcer, qu’il s’agisse là d’une nouvelle opération d’intoxication d’un des deux groupes de cyberespionnage russe. Admettons, là aussi, sans trop de peine étant donné les faits d’arme du groupe, qu’il s’agisse d’APT-28. Que nous enseigne donc cette nouvelle opération de déception au profit du Kremlin ?

  • Bien que l’opération semble avoir été élaborée en urgence, suite à l’attention médiatique générée par CrowdStrike, et bien que l’activité du compte @Guccifer_2 ne laisse peu de doutes sur l’origine de son opérateur , il faut bien le concéder, qu’à force, sans avoir l’air de, l’opération semble prendre chez les esprits les plus crédules. D’autre part, Iil faut bien remarquer que les récentes déclarations de Wikileaks et les gesticulations du parti Démocrate n’ont pas dû aider. Reste à évaluer l’impact opérationnel in fine sur les élections américaines, ce qui ne va pas être de la tarte.
  • Bien que raillée à tort par certains, cette nouvelle expérience nous rappelle cruellement un principe pourtant bien connu du stratège militaire. Une opération réussie combine économie des moyens et concentration des effets. Très clairement, au regard de la ligne d’action constatée depuis juin 2016, il semblerait bien que l’opération Guccifer2.0 soit un bel exemple en la matière dans le domaine cyber. De quoi donner des idées. Je dis ça, je dis rien.
  • On pourra arguer tant qu’on le veut que ce type d’opération est une habitude du camp russe héritée de sa doctrine en matière de guerre de l’information. Je ne peux pas m’empêcher de penser que cette nouvelle opération de déception s’inscrit dans une manœuvre préparée/organisée/décidée/validée et n’est pas le fruit d’une expérience vaguement cocasse d’un groupe d’analystes russes en mal de sensations fortes.

Je le concède, à ce stade, beaucoup de spéculations et peu d’informations vérifiables dans cette affaire – une situation qui place l’observateur dans une position inconfortable, mais qui est, je le crains, le pain quotidien de l’adepte d’actualités cybernétiques.

Cela dit, si l’hypothèse russe se confirme, cette affaire marquera un dangereux précédent. Prouvant, s’il était besoin, qu’il est tout à fait viable et bienvenu de combiner une campagne de déstabilisation à une opération de cyberespionnage politique, en inscrivant le tout dans une logique d’économie de moyens et concentration sur les effets.

Une affaire qui appelle, à mon sens, l’intérêt, sinon la curiosité, des plus observateurs d’entre nous. Un dossier à suivre, messieurs.