< Back
cyberthreat news

Tags:

Ercom
01 January 2023

L’ATTRIBUTION DES CYBERATTAQUES, LE JEU DU CHAT ET DE LA SOURIS

blog

A l’issue d’un webinaire consacré à l’Attribution des cyberattaques, nous avons interrogé l’intervenant Mohamed Ghozzi, Technology Analyst chez Ercom, afin qu’il nous dévoile les tenants et les aboutissants de l’exercice d’investigation mis en œuvre pour retrouver un cybercriminel.

 

Qu’est-ce qui se cache derrière le terme d’attribution de cyberattaque?

L’attribution d’une attaque informatique est le très complexe processus de recherche visant à déterminer ce qui se dissimule dernière cette attaque ainsi que les motivations du ou des auteurs.

 

Quels sont les enjeux sous-jacents aux attributions de cyberattaques?

Les enjeux de l’attribution de cyberattaques sont multiples.

Tout d’abord elle sert à dissuader les attaquants en démontrant à la face du monde que leurs méfaits ne resteront pas impunis. Ensuite, l’attribution permet de démanteler des réseaux criminels dont l’activité de piratage informatique n’est qu’une facette. Puis, elle permet de connaître les modes opératoires et les motivations des attaquants pour mieux protéger les systèmes informatiques. Enfin l’attribution permet de consolider une base de connaissances qui aidera à accélérer l’attribution des attaques à venir.

 

Qui est en charge de l’attribution de cyberattaques?

En fonction de la cible de l’attaque informatique, un ou plusieurs des acteurs suivants peuvent avoir autorité à l’attribution.

Les premiers organes sont les services gouvernementaux tels que la police judiciaire ou encore les services de renseignement qui interviennent lors d’une plainte ou lorsque la victime est un OIV (Opérateur d’Importance Vitale).

Ensuite viennent les firmes de sécurité informatique, essentiellement des éditeurs de logiciels antivirus, servant des clients ne voulant pas nécessairement passer par la case investigation policière.

Enfin les institutions de recherche en cybersécurité interviennent souvent dans le cas de problèmes d’attribution non résolus et nécessitant des recherches scientifiques approfondies afin de mieux croiser les données.

 

Quels sont les étapes à suivre pour attribuer une attaque ?

L’attribution d’une attaque est un problème impliquant une combinaison de plusieurs analyses ayant pour but d’endiguer cette violation.

Parmi une liste non exhaustive, attardons-nous sur les deux analyses qui me semblent être les plus stratégiques lors de cette résolution.

Premièrement il y a l’analyse forensics, ou technique, qui consiste à exploiter les traces qu’auraient laissé les attaquants sur leur passage en regardant le journal des évènements (events log), les malwares ou tout autre indice. A ce niveau de l’enquête, nous cherchons à savoir quel a été le modus operandi suivi par les pirates pour s’introduire dans le système ainsi que l’éventuelle similarité du malware utilisé par rapport à ceux connus à ce jour.

Le deuxième point à observer, et non des moindres, c’est le contexte géopolitique et économique de l’attaque. Cette vue d’ensemble permet de déterminer les motivations des attaquants. L’assaillant cherche-t-il à soutirer de l’argent ? Souhaite-il dérober une information industrielle ? Ou veut-il tout simplement nuire à sa victime ? Cette contextualisation nous en dira également plus sur la nature de ces acteurs malveillants : fait-on face à des criminels isolés ou des forces commanditées par des Etats ?

Pour mener à bien cette analyse il faut prendre en considération plusieurs choses parmi lesquels nous pouvons citer l’envergure de l’attaque (quels moyens, humains et matériels, a-t-il mis en œuvre pour mener l’attaque ?), la nature des données exfiltrées par les attaquants (quelle est leur valeur sur le marché ?), le secteur d’activité de l’organisation cible de l’attaque et le contexte géopolitique du pays où se trouve l’organisation cible de l’attaque.

 

Pourquoi est-il si difficile de localiser la source d’une attaque ?

La recherche de l’origine d’une attaque repose à la fois sur l’analyse des traces laissées par les pirates, de leur mode opératoire et de leurs motivations, l’étude du profil des victimes… toutes ces étapes sont délicates à appréhender et ce pour deux principales raisons.

Premièrement, la dimension technique freine énormément les investigations. En effet, les attaquants ont à leur disposition un arsenal d’outils très sophistiqués leur permettant de laisser le moins de traces informatiques possibles et le plus souvent, leur process consiste à « refaire à l’envers» le chemin pour effacer les traces restantes. Le temps est leur allié car, très souvent, l’intrusion est détectée bien longtemps après l’attaque. Dans ce cas, les traces informatiques pourraient être incomplètes, voire non sauvegardées (rotation des fichiers de traces)

Enfin, Les attaquants s’amusent à nous mener sur de fausse pistes en plantant par exemple des « false flags* » au niveau des traces informatiques laissées derrière eux pour faire diversion.

Le second frein est l’aspect juridique. En quoi est-ce un obstacle? Il faut savoir que les attaquants ne mènent pas leurs attaques directement depuis leurs postes informatiques. Ils passent plutôt par plusieurs serveurs intermédiaires avant d’atteindre le réseau de l’organisation cible. Le plus souvent, ces serveurs sont basés dans des pays étrangers qui possèdent des juridictions différentes de celle du pays victime de l’attaque. Pour les besoins de l’enquête il est parfois nécessaire d’accéder à l’historique des traces de ces serveurs. Cet accès nécessite de faire des demandes d’autorisations aux services judiciaires des pays concernés : ces autorisations peuvent être refusées ou au mieux octroyées moyennant de longs délais d’attente.

 

L’attribution en chiffres : quel est le pourcentage d’attribution de cyberattaque ?

Il n’y a pas beaucoup de chiffre officiel sur le sujet mais on remarque un intérêt grandissant pour l’attribution du fait de l’explosion ces derniers mois de cyberattaques de plus en plus virulentes et dommageables.

D’après certaines estimations, le coût des dommages imputable à la cybercriminalité s’élèverait à non loin de 6 billions de dollars en 2021 alors qu’il était de 3 billions de dollars en 2015.

Je vous remercie pour votre temps et vous dis à bientôt pour le prochain webinaire!

 

*false flag : De l’anglais faux drapeau, ce terme vient de l’univers de la navigation et désigne un drapeau utilisé comme ruse en mer lors de l’attaque d’un navire ennemi, pour éviter d’être attaqué avant d’être suffisamment proche de la cible.

 

Qu’est-ce qu’être Technology Analyst chez Ercom ?

Le quotidien du Technology Analyst chez Ercom tourne principalement autour de trois missions.

Tout d’abord l’analyste doit fournir le support aux Business Units dans la compréhension technique et scientifique des technologies qui les intéressent : il aidera ainsi à arbitrer de l’intérêt ou non de ces technologies pour leurs business.

Ensuite l’expert doit mener une veille technologique sur certains sujets techniques identifiés qui permettront d’alimenter ses futures analyses. Et enfin, il partage sa connaissance sous forme événementielle comme lors d’un webinar, ou en continue sur des forums ou sur l’intranet.