Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Identifier les assaillants : avant, pendant et après l’attaque…

octobre 2015 par Emmanuelle Lamandé

Lorsque l’entreprise est sous le feu des pirates, elle cherche avant tout à limiter les dégâts, à protéger ses actifs et à faire cesser l’attaque afin de reprendre son activité au plus vite. Mais savoir précisément d’où vient l’attaque et qui en est l’auteur peut lui donner un avantage précieux. Qu’elle le fasse pendant l’attaque, après ou voire même avant (threat intelligence), l’entreprise ne peut plus faire l’autruche : elle doit connaître son ennemi, ses objectifs, ses moyens et ses méthodes. Jérôme Saiz, Expert en protection des entreprises - OPFOR Intelligence, ouvre le débat à l’occasion de la 15ème édition des Assises de la Sécurité.

L’identification des assaillants peut se faire soit avant, pendant ou après l’attaque, explique Jérome Saiz. Mais quelle sont les différentes techniques et méthodes permettant véritablement d’y parvenir ? Quelles en sont aussi les limites, notamment juridiques ?

Avant l’attaque ?

La collecte préventive d’informations sur les assaillants est-elle vraiment autorisée ? La création d’un fichier préventif, issu d’informations recueillies sur des forums ou ailleurs, est soumise à réglementation, explique Me Diane Mullenex - Avocat à la Cour, Partner, Global telecoms practice head - Cabinet Pinsent Masons. En effet, elle pose le problème du traitement des données à caractère personnel. On ne peut pas collecter de fichiers sans consentement préalable des personnes. Même s’il s’agit de recueillir des informations sur des personnes criminelles, cela s’inscrit directement dans les problématiques de légitimité de la collecte et de présomption d’innocence.

Quid des offres de Threat Intelligence ? Où en sont les limites ? La Threat Intelligence c’est avant tout du renseignement sur la menace, sur des groupes d’attaquants, qui existent de fait. Nous sommes à la limite de l’intelligence économique. Nicolas T., Société STM, estime qu’il est encore difficile aujourd’hui de trouver de bons outils de Threat Intelligence sur le marché, de par la variété de la menace notamment. Pourtant, il est important pour une organisation de savoir si une menace est directement rattachée à son entreprise, à son secteur d’activité ou concerne au contraire tout le monde. « Savoir rattacher un groupe de menaces et un groupe d’attaquants a une vraie valeur ajoutée pour une entreprise », explique-t-il, « mais les bons outils permettant d’y parvenir se font encore rares aujourd’hui ».

Cependant, il est tout à fait légal aujourd’hui d’aller sur un forum et de discuter avec des pirates au nom de la liberté d’expression, reprend Diane Mullenex. Il faut toutefois être vigilant quant à l’identité ou au pseudonyme utilisé, et se méfier du risque d’usurpation d’identité. Interagir avec les pirates est autorisé. Mais il faut faire attention aux limites et à la notion de provocation à l’infraction. En effet, provoquer l’infraction est illégal. Chaque individu, comme chaque entreprise, doit respecter le principe de loyauté et de proportionnalité. Il y a un pas et une juste mesure à trouver en matière de veille et de Threat Intelligence.

Pour Thomas Gayet, Directeur du CERT-UBIK – Digital Security, c’est d’ailleurs un problème sur ce type de forums, si l’on souhaite faire de l’ « infiltration », on se heurte fréquemment à certaines limites, car assez rapidement il faut montrer sa « patte blanche cybercriminelle ».

Peut-on également pré-positionner des équipements au sein de son réseau qui permettent de loguer tout ce qui s’y passe, de manière à déterminer rapidement tout problème et avoir un temps d’avance en cas de d’attaque ? Dans notre société, nous ne sommes pas dans cette optique de collecter des logs en mode préventif, explique Nicolas T. Toutefois, avec les logs standards, nous détectons déjà des patterns intéressants. Les logs sont effectivement intéressants et utiles, surtout en cas d’attaque interne, constate Thomas Gayet. On peut également obtenir des traces en contactant directement les hébergeurs des serveurs de rebond.

Légalement, jusqu’où peut-on aller dans l’analyse préventive des logs ? Il faut que celle-ci soit proportionnelle et que les salariés soient avertis au préalable, explique Diane Mullenex. Depuis la Loi Hadopi, les adresses IP sont considérées comme des données personnelles. Elles doivent, de ce fait, être collectées de manière loyale et transparente. L’entreprise doit également disposer de chartes qui soient valables, et soumises aux instances de représentation du personnel. On peut donc analyser les logs, mais seulement si l’on respecte ce principe de transparence.

Pendant l’attaque ?

En cas d’attaque et de diffusion d’un contenu en ligne, il reste difficile aujourd’hui de collaborer avec les providers, observe Diane Mullenex. A l’heure actuelle, bloquer ou empêcher la diffusion d’un contenu est très compliqué. Elle n’a d’ailleurs jamais obtenu la moindre collaboration des providers sans requête ou Lettre « LCEN ». Remonter les points d’étape de l’attaquant s’apparente donc encore à un parcours du combattant.

« Peut-on interagir avec l’attaquant ? », demande Jérôme Saiz. En cas d’attaque, envoyer des emails piégés peut effectivement permettre d’obtenir l’adresse IP et de remonter vers l’attaquant, explique Thomas Gayet, mais l’attribution des attaques externes reste encore aujourd’hui très compliquée. L’entreprise attaquée peut mettre en œuvre tous les moyens, car elle a la défense légitime, complète Diane Mullenex, mais s’introduire dans le système d’un tiers est un délit pénal. Envoyer un email est autorisé, mais on ne peut pas rentrer dans le système d’une personne, attaquant ou non, même si on ne touche à rien. La politique de « retour à l’envoyeur » n’est pas tolérée en France.

Nicolas T. souligne, à ce sujet, un problème récurrent de compréhension entre les équipes IT et les entités juridiques. D’ailleurs, pour ces raisons, il recommande aux équipes IT, en cas d’attaque, de ne jamais rien faire seules dans leur coin, mais de toujours voir avec le légal ce qu’il est raisonnable de faire ou non. Pourtant, entretenir la conversation avec l’attaquant peut s’avérer intéressante pour une entreprise, afin d’obtenir le maximum d’informations quant à ses motivations.

La solution, selon Diane Mullenex, s’articule autour de la notion de coopération et de gouvernance, afin d’améliorer cette compréhension entre l’IT et le légal. En cas d’attaque, une coopération entre ces deux entités est essentielle, et avec les forces de police aussi. La protection de la « scène de crime » est également fondamentale. A partir du moment où vous faites les choses dans le bon ordre, vous aurez un dossier qui tient la route.

Il n’existe pas aujourd’hui de véritable solution technologique pour lutter contre les systèmes de rebond utilisés par les attaquants, constate Nicolas T. La solution n’est d’ailleurs pas technologique, selon lui, mais repose plutôt aussi sur la coopération entre les différentes entités, autorités, CERTs… L’objectif est, en effet, de nourrir des relations sur le long terme, en amont, de manière à pouvoir intervenir rapidement en cas de problème ou de suspicion, au travers de cet écosystème de confiance.

Après l’attaque ?

Au moment de déposer plainte, on ne sait généralement pas qui est l’auteur de l’attaque, explique Diane Mullenex, on doit donc déposer plainte contre X. Il faut, néanmoins, être relativement précis dans la déclaration et savoir où les faits ont été commis, afin de déposer plainte au bon endroit. Certaines informations simples, mais essentielles, comme les personnes à contacter par exemple, doivent de plus être consignées dans un endroit (hors intrusion, sur papier). L’entreprise doit disposer de ce « kit de survie », prêt à l’emploi, pour pouvoir déposer plainte de manière efficace, ainsi que de solutions de secours en cas d’attaque. Évidemment, toute la partie forensic est également fondamentale dans ce domaine, complète Jérôme Saiz.

En interne, on arrive en général aujourd’hui à remonter l’origine de l’attaque, ce qui n’est souvent pas le cas lorsque celle-ci provient de l’extérieur, conclut Nicolas T. Toutefois, beaucoup d’attaques externes sont revendiquées sur les réseaux sociaux ou autres forums, il est donc important d’établir une veille pertinente, complète Thomas Gayet, celle-ci permettant parfois d’en identifier l’origine. Quoi qu’il en soit, il est essentiel de prendre aussi de la hauteur, et de faire appel à des professionnels ou aux autorités compétentes en cas de besoin, souligne Diane Mullenex. Même si vous ne déposez pas plainte, contactez tout de même les autorités compétentes, telles que la BEFTI, car il se peut que des cas similaires soient arrivés à d’autres, ce qui aidera forcément les enquêteurs à remonter in fine aux origines de l’attaque.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants