« Qui connaît l’autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril. » Cette règle, énoncée dans L’art de la guerre de Sun Tzu, remonte au 6e siècle avant J.-C. Elle s’applique encore aujourd’hui dans le contexte des cyberattaques contre les entreprises et les organisations. La fréquence des cyberattaques augmente considérablement chaque année, et les experts s’attendent une poursuite de cette tendance dans les années à venir. Par ailleurs, comme la complexité des attaques augmente, les experts doivent rechercher des traces de plus en plus minutieusement.

La criminalistique permet d’établir une ligne de défense contre les cyberattaques

Les informations qui mènent à l’origine d’une attaque, et donc à un attaquant, sont importantes pour protéger les systèmes contre de futures attaques. Les informations du passé permettent d’identifier les failles du réseau interne et d’atténuer, voire de prévenir, les attaques futures. Les investigations sur les cyberattaques sont également une source importante d’informations pour les entreprises, qui peuvent ainsi identifier qui attaque l’entreprise et pour quelles raisons. Cela leur permet de prendre des mesures de protection pour mieux se préparer aux attaques futures.

Enquêter sur une attaque et attribuer des informations est le seul moyen pour les entreprises de conceptualiser correctement leur infrastructure de sécurité. Les questions les plus importantes sont « qui », « comment », « où » et « quoi ». Elles permettent de créer des modèles de comportement des attaquants, d’englober les vecteurs d’attaque et d’identifier les cibles des attaques. À ce stade, il est également important de savoir si l’attaque était aléatoire ou ciblée.

Une approche structurée aide à identifier les attaquants des systèmes informatiques

L’augmentation du volume de données stockées dans les systèmes informatiques entraîne une augmentation correspondante des données sensibles que les entreprises doivent protéger des attaques. Dans le cas des cyberattaques, cela n’est pas toujours facile et nécessite une approche structurée. Si vous connaissez votre ennemi, vous pouvez le nommer et être mieux préparé à des attaques similaires. D’autres entreprises et organisations peuvent également mieux se préparer à des attaques et à des attaquants connus si leur identité et leur modus operandi sont publiés et peuvent être utilisés pour leurs propres enquêtes.

Les états et les grandes entreprises sont de plus en plus actifs dans la chasse aux attaquants. À cette fin, ils examinent également de plus près les logiciels malveillants afin de découvrir des caractéristiques spécifiques qui peuvent être utilisées pour tirer des conclusions sur les attaquants. Par conséquent, la défense contre une attaque passe d’abord par la découverte de l’attaque. Vient ensuite la criminalistique numérique, qui doit révéler où, comment et quand l’attaquant a utilisé une vulnérabilité pour transmettre son logiciel malveillant ou lancer son attaque. La cible est également importante à ce stade. Elle fournit des informations qui peuvent être fusionnées avec d’autres données pour identifier l’attaquant.

Les métadonnées et les caractéristiques des attaques constituent une importante base d’informations

Les données clés d’une attaque comprennent divers objets, tels que les horodatages, les chemins de fichiers utilisés, les authentifications et de nombreux autres paramètres et propriétés. Elles peuvent permettre de tirer des conclusions sur des attaques similaires. Cela inclut également le pays à partir duquel l’attaque a été lancée. La langue utilisée est également une information que les experts en criminalistique doivent connaître. Il s’agit notamment d’identifier les informations qu’un attaquant a voulu cacher sans y parvenir. Les chaînes de caractères et le niveau technique de l’attaque constituent également une base importante pour l’attribution d’une attaque.

De nombreux attaquants utilisent des approches similaires. D’autres criminels copient souvent ces modèles d’attaque. Cela permet d’identifier si un nouveau logiciel malveillant peut être très similaire à un logiciel déjà connu. Il s’agit d’une information importante pour identifier son origine. Elle permet de regrouper les logiciels malveillants et les attaquants, mais aussi de faire correspondre des attaquants et des logiciels malveillants jusqu’ici inconnus.

Les attaquants veulent protéger leurs logiciels malveillants. Les criminels veulent également cacher d’autres informations. L’identification de ces données (par exemple, les clés de chiffrement spécifiques, les mots de passe similaires, les certificats et les procédures utilisées dans l’attaque) peut être extrêmement utile. Les clés de chiffrement sont un moyen fiable de détecter les logiciels malveillants similaires. Grâce à ces informations, les nouveaux logiciels malveillants peuvent être rapidement associés à des attaquants connus. Avec une préparation adéquate et en se basant sur ces connaissances, les entreprises peuvent mieux se protéger contre ce type d’attaque.

Les cyberattaquants utilisent également les infrastructures

La plupart des attaques contre les infrastructures informatiques sont contrôlées par des personnes. Les attaquants s’appuient sur leur propre infrastructure. Les indices concernant ces composants informatiques peuvent être extrêmement utiles pour identifier les attaquants. Les schémas d’attaque des criminels sont souvent similaires ; dans le cas de nouveaux logiciels malveillants, ils permettent de tirer des conclusions sur les développeurs. Les indicateurs de compromission (IOC) sont des informations importantes à ce stade. Ils comprennent les hachages des fichiers de logiciels malveillants et les signatures de virus. Ces IOC peuvent être comparés aux similitudes de code et aux outils ou infrastructures connus des acteurs de la menace détectés.

Les informations telles que les adresses IP, les domaines utilisés, les noms de serveurs, les fournisseurs de services cloud, les informations VPN et les données DNS jouent également un rôle important ici. Ensemble, elles peuvent constituer une importante base d’informations. Cela vaut également pour les serveurs proxy et les services d’anonymisation. Ces données permettent de tirer des conclusions sur la localisation réelle de l’attaquant. Si l’on arrive à identifier l’appareil spécifique d’où est partie l’attaque, il peut également être possible de connaître l’identité de l’attaquant.

Les faux drapeaux constituent un défi

Bien sûr, les attaquants essaient souvent de cacher leur identité et leur origine. Ils utilisent parfois des faux drapeaux pour tromper les chercheurs en sécurité. Si les attaquants connaissent les procédures des experts en criminalistique, les actions utilisant des faux drapeaux peuvent être étendues et méticuleuses. Les attaquants inexpérimentés sont souvent beaucoup plus négligents à cet égard et peuvent être rapidement détectés par des experts en criminalistique expérimentés.

Les artefacts inexpliqués jouent également un rôle important dans les enquêtes sur les cyberattaques. Si l’enquête sur une attaque révèle que de nombreuses informations ne peuvent être expliquées logiquement ou sont illogiques, cela peut indiquer que d’autres informations sont également incorrectes. C’est là que la technique de « collecte par une quatrième partie » peut jouer un rôle clé. Dans cette technique, les attaquants utilisent les données d’autres attaquants en utilisant des logiciels malveillants pour attaquer les criminels.

Conclusion

Il est difficile de déterminer l’identité des attaquants. Souvent, les attaquants sont découverts en établissant un lien entre les attaques en cours et celles déjà connues. Plus on dispose d’informations, plus la probabilité est grande d’identifier l’origine des attaquants tout en découvrant les vulnérabilités du réseau interne. Les analystes doivent travailler avec soin à ce stade et détecter de manière fiable les fausses informations (faux drapeaux).

Cela signifie également que les analystes doivent constamment se former sur ce sujet. Les entreprises attaquées devraient faire appel à des spécialistes dans ce domaine, capables de reconnaître et de classer correctement les données et les artefacts issus de cyberattaques. Idéalement, cela permettra d’identifier rapidement les criminels. Et dans tous les cas, cela permettra de prévenir de manière fiable les futures attaques du même type. Savoir pourquoi vous avez été attaqué, ce qui a été attaqué et comment on a tenté de compromettre vos défenses est inestimable pour être préparé aux batailles de demain.

Une connaissance approfondie de l’adversaire permet aux organisations de planifier la protection de leurs informations et de leurs systèmes pour l’avenir. Car comme le disait encore Sun Tzu : « Qui ne connaît ni l’autre ni lui-même, perdra inéluctablement toutes les batailles. »

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.