La nécessité de se placer du point de vue de l’attaquant

La nécessité de se placer du point de vue de l’attaquant

L’avant/après WannaCry 

Il y a sans doute eu un avant et un après WannaCry. C’est en tous cas ce que l’on peut aisément penser lorsqu’on analyse l’évolution de la cybersécurité après cette attaque.  

En mai 2017, WannaCry, un virus malveillant, s’est répandu sur des milliers d’ordinateurs pour chiffrer les données des utilisateurs et demander une rançon aux organisations ciblées. L’un des tout premiers rançongiciel ayant fait parler de lui de manière si spectaculaire est également celui qui a fait prendre conscience aux entreprises du risque que les cybermenaces représentent sur leurs périmètres. Plus de 150 pays touchés et des entreprises mises à l’arrêt pendant plusieurs mois parfois, WannaCry a infecté ses victimes au travers d’une faille de sécurité repérée et documentée par la NSA, mais n’ayant pas fait l’objet de mise à jour pour la corriger.  

Cette étape majeure dans l’histoire récente de la cybersécurité a sans doute fait partie des éléments déclencheurs de l’analyse des menaces telles qu’on la connait aujourd’hui. La nécessité de comprendre son adversaire et sa manière d’opérer est aujourd’hui évidente pour tous. 

Le discours a fini par évoluer transformant le « vais-je être attaqué ? » en « quand vais-je être attaqué ? ». Ainsi, le monde de la cybersécurité s’est organisé autour d’un objectif : anticiper les attaques pour diminuer leur occurrence et leur impact au maximum. 

La communauté de la sécurité s’est organisée ces dernières années autour de la connaissance de l’environnement des menaces et de leur analyse. Pour ce faire, de nombreuses entreprises et organisations non gouvernementales notamment menées par des chercheurs en sécurité informatique ont créé des grilles de lecture permettant de mieux comprendre notre environnement de menaces. 

C’est dans ce cadre que plusieurs matrices ont émergé, notamment la MITRE ATT&CK. Ayant pour vocation d’être un guide pour les experts dans l’analyse des cybermenaces, cette base de connaissances reposant sur « des observations réelles » met en avant les méthodologies spécifiques d’attaques et modèles de menaces utilisées par les cybercriminels pour cibler tant les institutions que les entreprises privées. 

Séparée en 14 catégories renvoyant chacune à une technique d’attaque utilisée par les criminels, cette matrice permet de mettre en lumière les différentes méthodes utilisées par les attaquants tout au long d’une attaque informatique. 

La nouvelle vision de la cybersécurité : se placer dans la posture d’un attaquant  

L’adoption de cette posture d’attaquant, externe aux organisations ciblées, renvoie à d’autres disciplines de la sécurité informatique et notamment aux tests d’intrusion. Cette méthode fait aujourd’hui partie intégrante des méthodes dont les organisations se dotent pour sécuriser leur environnement. Quoi de mieux que d’identifier ses failles d’un point de vue extérieur, dans des conditions reprenant une réelle tentative d’attaque ?  

Il en est de même avec la Cyber Threat Intelligence. En connaissant ses failles d’un point de vue externe et en identifiant celles pouvant être utilisées contre soi, il est plus simple d’y remédier et de maitriser son environnement.  

Un second axe de la Cyber Threat Intelligence fait également partie intégrante des stratégies de défense des organisations : l’association entre renseignement sur les groupes d’attaquants et victimologie. Les groupes d’attaquants et les conséquences de leurs actions font l’actualité depuis de nombreuses années et grâce à la structuration du domaine autour de ces enjeux, les professionnels de la cybersécurité disposent aujourd’hui de nombreux outils pour se prémunir de ces attaques. 

Cette approche orientée « attaquant », concrète et efficace est plus tangible pour les directions générales. Elle permet de mettre en place un plan d’action et d’y associer des budgets. Présenter qui pourrait attaquer, leurs motivations et les possibles moyens permettant de mobiliser les entreprises face au risque cyber. 

Les modèles, la boite à outils de la Cyber Threat Intelligence 

Matrice MITRE ATT&CK : comprendre comment une cible est concrètement attaquée  

Évoquée plus haut, la matrice MITRE ATT&CK ne permet pas seulement de comprendre comment les criminels choisissent et ciblent leurs victimes, mais également de comprendre comment est attaquée concrètement une cible, une fois choisie. Composée de 14 étapes reprenant les tactiques et techniques associées des groupes criminels, cette matrice permet de cartographier les modes opératoires des attaquants et de mettre en lumière la chronologie des attaques.  

Au travers de la récupération d’indicateurs de compromission présents dans les environnements informatiques des victimes, leur analyse permet aux nombreux chercheurs et professionnels en sécurité informatique de mettre en lumière des patterns et biais relatifs aux groupes criminels. Ces patterns et biais permettent, bien qu’il soit extrêmement délicat d’attribuer une attaque à un groupe spécifique (si celui-ci ne le revendique pas) de pointer le curseur vers un groupe plutôt qu’un autre. Le but étant de créer une fiche d’identité du groupe reprenant ses tactiques et techniques d’attaque associées, son origine, ses attaques précédentes connues, ses liens avec d’autres groupes ou pays étrangers, etc.  

Matrice Cyber Kill Chain : comprendre la chronologie des attaques informatiques 

Ainsi, tout comme le ferait un agent de police en traquant un criminel dont les méfaits seraient régulièrement répétés, il est possible de dégager de ces analyses des éléments différenciant les groupes de criminels. L’une des matrices les plus utilisées dans ce cadre est la Cyber Kill Chain. Reprenant une partie des catégories de la matrice MITRE ATT&CK, cette « chaîne cybercriminelle » est reprise du terme militaire « kill chain » désignant une « chaîne de frappe » utilisée pour cibler un ennemi.  

Complémentaire à la matrice MITRE ATT&CK, la Cyber Kill Chain permet à une organisation d’identifier à chaque stade d’une attaque ciblée, la manière dont elle pourrait réagir et détecter cette attaque. 

À mi-chemin entre la posture de l’attaquant et la capacité de réaction des victimes, cette matrice est un outil indispensable à la compréhension de la chronologie des attaques informatiques.  

Le modèle en diamant  pour mettre en relief le renseignement sur vos menaces et dresser votre profil de cible 

Cependant, la connaissance des groupes et l’identification de leurs vecteurs d’attaque ne constituent qu’une partie des informations nécessaires pour se prémunir des futures attaques. Le renseignement sur les victimes est la deuxième pierre angulaire de cette analyse. Utilisées par les criminels pour cibler les organisations, ces informations liées à la victimologie des cibles sont foncièrement liées à la connaissance des cibles dans leur ensemble. Son but est d’identifier des patterns de cibles, autrement dit, des types de cibles aux caractéristiques spécifiques et schémas d’attaque associés.  

Cette posture d’analyse du point de vue des victimes est encore assez peu développée et l’une des matrices d’analyse les plus connues est sans doute le modèle en diamant (ou « Diamond Model »). Représenté comme un diamant, son but est de mettre en relief tout le renseignement sur la menace : 

  • Le profil de l’attaquant 
  • Les méthodes utilisées par l’attaquant 
  • Les informations liées à l’infrastructure de la cible 
  • Les informations publiques liées à la cible 

Chacun de ces quatre éléments représente une partie de ce diamant dont les branches communiquent entre elles de la manière suivante :  

L’intérêt de cette matrice se trouve principalement dans le fait qu’elle se positionne du point de vue de l’attaquant tout en étant spécifique à l’organisation ciblée. Les autres matrices, notamment MITRE ATT&CK et la Cyber Kill Chain mettent en lumière les tactiques et techniques des attaquants en ne distinguant pas toujours les cibles les unes des autres. Le modèle en diamant en mettant en relief le renseignement sur les menaces (Attaquant et Techniques et tactiques) et sur les victimes (Victime et Infrastructure) permet de contextualiser les menaces en fonction d’une victime ou d’un groupe de victimes en particulier. 

Enfin, au-delà de la victimologie propre à l’organisation dans son ensemble, il est important d’identifier à un niveau plus bas, les personnes ou services les plus ciblés. C’est le principe du modèle VAP ( « Very Attacked Person » ) basé sur la surveillance et la sécurisation accrue des boites mail de personnes VIP ou de boites mail « alias » souvent ciblé par les criminels. Lorsque l’on sait que les attaques par Phishing et les fuites d’identifiants de connexion sont monnaie courante, l’identification des personnes à risque ainsi que de leurs informations exposées permet d’anticiper grandement les prochaines attaques.  

Ces deux modèles permettent donc d’établir un niveau de risque de l’entreprise d’un point de vue cyber, répondant notamment aux questions suivantes :  

  • Comment suis-je ou vais-je être attaqué ? 
  • Qui et quoi, au sein de mon organisation, est ou sera ciblé ? 
  • Comment prévenir ces attaques et diminuer leur risque d’occurrence et leur sévérité ? 

On peut donc identifier trois manières d’utiliser la CTI comme volet actionnable de sa stratégie cyber :  

  • La mise en lumière de ses failles et vulnérabilités en adoptant une posture d’attaquant 
  • La connaissance des groupes d’attaquants, de leurs principaux buts et la compréhension de leurs modes opératoires et techniques d’attaques 
  • L’analyse des cibles permettant de mettre en avant le profil type des victimes  

Ces trois aspects se complètent et permettent aux organisations de créer une fiche d’identité de votre menace permettant ensuite d’adapter votre stratégie de cyberdéfense. Une fois ces analyses effectuées et votre carte d’identité de victime créée, comment concrètement mettre en place votre stratégie cyber au travers de la CTI ? Quels sont les éléments à prendre en considération dans le choix de votre prestataire de services CTI et comment peut-il m’accompagner dans la définition de mes objectifs et la compréhension de mes risques ? 


Charles Dagouat

Responsable du CERT-XMCO