Quelles sont les limites d’une stratégie de sécurité offensive?

Quelles sont les limites d’une stratégie de sécurité offensive?

Rarement évoquée, la sécurité offensive constitue une tendance nouvellement observée dans un contexte de menaces multiples. Ces stratégies de cyber-ripostes se déploient discrètement et en toute illégalité à ce jour.

Qui connaît l’autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril. » Cet extrait de L’Art de la guerre, rédigé par Sun Tzu, célèbre général, stratège et philosophe chinois il y a 2500 ans est toujours d’actualité. La question, en 2016, est de savoir quels moyens peuvent être mis en œuvre pour acquérir ces connaissances. Si les moyens techniques existent, ils ne sont pour autant pas légaux.

In fine, s’agit-il d’attaquer, d’opérer une riposte « préventive », d’investiguer ? Le principe de la cyber-riposte, connue aussi sous les noms de sécurité offensive ou de lutte informatique offensive (LIO), n’est plus un tabou dans l’univers militaire. Il le demeure toutefois dans la société civile.

Certains experts, souvent des chercheurs reconnus, soutiennent que « les forces de l’ordre ne feront jamais rien contre ces groupes d’attaquants. Or, pour les connaître, il faut avoir une vision interne de leur structure ». Ils incitent alors à la reconnaissance du droit à la sécurité offensive. D’autres aimeraient aller plus loin et jouer les « cyber-justiciers » en cherchant la compromission des serveurs d’attaquants dans le but d’étudier leurs méthodes et de tenter de les identifier, eux comme leurs futures victimes. Plus qu’un problème technique, la sécurité offensive représente un problème éthique. « Attaquer l’attaquant peut se faire, mais pas lorsqu’on est une victime. Une entreprise attaquée doit prévenir les autorités compétentes », affirme ce policier désireux de rester anonyme, comme bon nombre des personnes sollicitées.

Difficile, effectivement, d’aborder officiellement le sujet de la sécurité offensive. Même si celle-ci existe et est même devenue un business, notamment aux États-Unis, avec les reventes de failles de type zero day (0 day), par exemple, pour exploiter des vulnérabilités « en avant première ». Pour certains, il serait urgent de la rendre légitime, pour éviter de futures attaques telles que celle subie par TV5 en avril dernier.

Pour l’heure, les choses se font très discrètement. Mais « les techniques offensives vont devenir primordiales, analyse ce chercheur chez Symantec aux États- Unis. Notamment dans le cadre de développement de services de Threat Intelligence. J’espère donc que les lois vont évoluer dans ce sens ».

DES TECHNIQUES TOUT À FAIT ILLÉGALES

Encore beaucoup de chercheurs et de représentants d’autorités offiielles s’opposent à l’usage de la sécurité offensive par les entreprises. Ils préconisent la prudence.

Cédric Pernet est un ancien officier de Police judiciaire à l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication). Il a été membre du CERT (Computer emergency response team) chez Lexsi et consultant CERT de la Société Générale, avant d’intégrer Cassidian (groupe EADS), puis de rejoindre l’éditeur Trend Micro en tant que chercheur en février 2015. Il est l’auteur de l’ouvrage « Sécurité et espionnage informatique – connaissance de la menace APT », publié chez Eyrolles. Lorsqu’on le questionne sur les limites d’une réponse à une cyber-attaque, il répond : « Cyber-riposter, c’est accepter de se mettre au niveau des cyber-délinquants, en ignorant morale et législation. Cela revient à se positionner soi-même en tant que cybercriminel. C’est d’autant plus dangereux qu’il peut y avoir une investigation judiciaire en cours, n’importe où dans le monde, sur tel ou tel groupe d’attaquants, et il n’est pas forcément facile d’être au courant de cette investigation. En revanche, il est possible de collaborer avec d’autres chercheurs et des structures de type CSIRT/CERT, services judiciaires et autres partenaires du secteur privé. Il est ainsi possible d’obtenir des données sans passer par l’offensif et souvent de mettre à mal des structures d’attaquants. Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et réalisés dans le respect de la loi. Je pense en particulier aux nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT ».

Guillaume Poupard, directeur de l’ANSSI, demeure très ferme sur ce point : « Je mets vivement en garde les opérateurs d’importance vitale (OIV), qui sont des cibles souvent privilégiées, et généralement tout autre acteur, contre la tentation d’utiliser eux-mêmes des moyens offensifs, même pour se défendre. Les règles sont très claires et l’intrusion dans les systèmes d’information formellement interdites par la loi française. La seule exception, introduite récemment dans la loi, est l’article 21 de la loi de programmation militaire (LPM) qui prévoit la possibilité, sous conditions et uniquement pour certains services de l’État, de « procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque ». Il ne s’agit en aucun cas de « contre-attaque » et il convient de garder à l’esprit que de nombreuses options, qu’elles soient diplomatiques, juridiques ou techniques, sont disponibles afin de répondre de manière efficace et proportionnée aux agressions informatiques ».

DU RISQUE DE L’AUTO-DÉFENSE PAR L’ATTAQUE

Cyber-riposter c’est aussi prendre le risque de détruire des preuves sur un serveur d’attaquants, et aussi éventuellement de les informer qu’ils sont surveillés. Sans compter qu’il n’existe aucune garantie sur la qualité des armes « disponibles » sur le marché.

On le sait : certaines organisations vendent effectivement des outils de type RAT (Remote Access Trojan)/backdoor, ou des exploits « 0 day », qui peuvent servir à explorer des systèmes. « Pour ce qui est des attaquants APT, ils utilisent des malwares tiers modifiés pour ne pas être détectés facilement par les antivirus. L’achat de malwares/RAT à des tiers est risqué, car ils peuvent eux-mêmes contenir des backdoors, qui ne sont généralement détectables qu’en procédant par rétro-ingénierie. Ce qui prend du temps, rappelle Cedric Pernet. En pratique, c’est assez facile de pénétrer la plupart des entreprises. Les décideurs sont parfois influencés par des discours marketing de fournisseurs qui font croire que leurs produits sont « magiques » et vont tout faire tous seuls. En pratique, il convient, derrière ces équipements de sécurité, de placer des gens compétents qui vont analyser finement les messages et informations délivrés par l’outil. Hiérarchiser les informations reçues est capital. Un SOC (Security Operation Center, NDLR) qui se contente de lever des alertes sans les faire qualifier finement par un analyste en Threat Intelligence ne sert à rien. »

UN DOMAINE RÉSERVÉ AUX AUTORITÉS COMPÉTENTES

En France, au niveau de l’État, une approche LIO (Lutte informatique offensive) propre aux acteurs de la Défense nationale est désormais offialisée depuis septembre 2015, et placée sous le commandement de l’amiral Arnaud Coustillière. À cette date, à Paris, Jean-Yves Le Drian, ministre des Armées, a ouvert le premier colloque international en Europe sur la cyber-défense. « Nous sommes victimes de cyber-attaques que nous contenons au mieux. Mais elles croissent en ampleur et en sophistication, et nos armées elles mêmes le vivent sur les théâtres d’opération », a souligné Jean-Yves Le Drian, en précisant que des échanges avec les drones du contingent français en Afghanistan avaient été temporairement perturbés par une cyber-attaque. « Puisque nos ennemis sont aujourd’hui équipés de moyens informatiques, de communication, de surveillance, de détection et de ciblage sophistiqués, il y a là pour nous une nécessité de collecter du renseignement, de cibler, pour parfois frapper », a justifié le ministre.

Dans le domaine civil, la cyber-attaque subie par TV5 Monde en avril a marqué les esprits. « Nous observons qu’à côté d’une grande majorité d’attaques peu élaborées, quelques-unes sont nettement plus évoluées. Celle qui a ciblé la chaîne TV5 Monde en constitue une illustration saisissante », a rappelé Jean- Yves Le Drian. À cette occasion, l’ANSSI a dépêché de toute urgence une quinzaine d’ingénieurs sur site.

Les autorités étatiques pourraient-elles se retrouver à l’initiative d’une « offre de services » pour les entreprises ? Lors d’un colloque sur la cyber-défense, un signe discret en direction des « meilleurs hackers » a été remarqué. Suivant une pratique établie depuis des années dans certains pays comme les États-Unis ou la Chine, l’administration française tente désormais de séduire ces experts pour qu’ils utilisent librement leurs talents dans un cadre légal. Un service possible pour les entreprises serait le recours aux prestataires certifiés ANSSI, qui seraient amenés à jouer par exemple le rôle de « man in the middle » pour détourner le trafic attaquant et l’analyser.

Parallèlement, se posera toujours la question du rôle des éditeurs de logiciels de sécurité, situés à la frontière des deux mondes, et de leurs liens avec les cyber-policiers et les agences de renseignement. Début novembre 2015, CheckPoint a expliqué officiellement dans un livre blanc comment ses équipes ont compromis un serveur du groupe d’attaquants Rocket Kitten. Chez Trend Micro, qui travaille depuis longtemps en partenariat avec Interpol, « on partage de l’information défensive, mais pas offensive ». Avant de songer à une quelconque attaque, il convient d’abord de tout mettre en œuvre pour se défendre. •

Maître de la pensée évolutive intelligente

0 Avis

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.