La tromperie pour redonner l’avantage aux défenseurs
![Image [Piratage d’Intersport :] Hunters International en héritier de Hive](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-attack-danger-2024-885x690.jpg)
Aujourd’hui, force est de constater que la cybersécurité est un combat et que sa gestion peut facilement être assimilée à une guerre. Le vocabulaire utilisé est en effet bien militaire : attaquants, campagnes, crise, stratégie, opérations… etc. Une part non négligeable des cyberattaques est ainsi liée à des activités d’espionnage ou de guerre économique. Parmi ces nombreux points communs, il y a néanmoins un domaine du monde militaire qui demeure peu exploité en cybersécurité : celui des leurres ou plus généralement des opérations de déception. Ces technologies dites déceptives sont pourtant d’un grand intérêt en matière de cyberdéfense et surtout, sont pour une fois pro-actives et non plus réactives. Elles redonnent l’avantage aux défenseurs.
Assimilées à la ruse et aux stratagèmes, les opérations de déception sont une pratique de guerre ancienne méconnue du grand public. Elles consistent à masquer la nature et le déroulement des opérations à venir. L’objectif en est de tromper l’ennemi, lui faire croire à une illusion qui doit causer sa perte.
Si cette approche est largement utilisée dans le monde militaire, avec une efficacité démontrée à de nombreuses reprises, elle reste toutefois peu reprise en cybersécurité.
Et pourtant, beaucoup diraient que c’est la seule technologie qui redonne l’avantage au défenseur. Celui-ci n’est plus en position de réaction face à une agression mais il anticipe l’action de l’agresseur, constate les moyens utilisés, les vulnérabilités exploitées, les chemins empruntés et peut agir (et non plus réagir) en conséquence. Dans ce combat incessant contre les cybermenaces, les spécialistes doivent surveiller et analyser l’évolution des cyberarmes et des stratégies d’attaque. L’objectif étant d’adapter en continue les mesures de protection de l’entreprise.
Contrairement à de nombreux clichés, une approche déceptive n’est pas un pot de miel. Et même si ce dernier en fait partie, simplifier l’approche à cela serait trop réducteur.
Concrètement, cela implique de créer un système d’information similaire à celui que l’on veut protéger en termes de composants et d’architecture que les cybercriminels vont attaquer. L’attaque ne mènera à rien mais va permettre de récolter une masse d’informations précieuses. Cette méthode est parfois appelée défense active car elle crée une fausse perception de la surface d’attaque. L’objectif est double, d’abord la supercherie monopolise les ressources de l’attaquant et nuit à son activité qui n’aboutira pas, ensuite elle permet de récolter des informations précieuses qui vont améliorer la sécurité de l’organisation. Habituellement, l’avantage est du côté de l’attaquant qui n’a besoin de réussir qu’une fois pour rentabiliser son action, alors que la défense doit arrêter toutes les tentatives.
L’approche déceptive est donc très intéressante car elle rétablit l’équilibre des pouvoirs et donne un avantage à la défense qui avance masquée. Cette tromperie à l’initiative du défenseur lui donne un avantage rare contre les attaquants en lui fournissant une détection précoce et précise des attaques et de la manière dont elles sont menées. Les leurres sont conçus pour détecter les activités criminelles alors que l’attaquant cherche à comprendre le système d’information, et à organiser son action. Qu’il s’agisse d’une simple analyse ou d’une tentative de téléchargement de malware, une fois qu’un attaquant frappe un leurre, ses agissements sont observés dans un environnement confiné. Lors d’une attaque réelle, la priorité est de l’arrêter immédiatement. Mais dans le leurre, il est possible d’observer les actions et méthodes mises en œuvre. Cela va permettre de mieux comprendre la manière dont les attaquants ont l’intention de se propager au sein du système d’information. Ces informations seront cruciales pour appliquer les contre-mesures au système d’information réel et ainsi le protéger.
Contrairement aux pots de miel qui sont en général des ressources externes attirant des individus mal intentionnés afin de les identifier, les solutions déceptives adoptent une nouvelle approche en déplaçant les leurres à l’intérieur du système d’information. Ces solutions mettent en œuvre des leurres actifs dans des environnements confinés, fournissent de fausses informations d’identification et des données non accessibles légitimement. Si quelqu’un accède à ces actifs, il s’agit d’une intrusion ou d’une violation de politique de sécurité et le risque est avéré. Ce mécanisme de détection est particulièrement utile pour réduire le temps de séjour, c’est-à-dire la durée pendant laquelle un attaquant n’est pas découvert à l’intérieur du réseau. La moyenne actuelle de plusieurs dizaines de jours laisse à un attaquant le temps nécessaire pour mener à bien une attaque.
La technologie déceptive est donc perçue telle une alarme silencieuse qui avertit dès qu’une intrusion est en cours et qui permet d’observer les méthodes d’attaque. Le tout afin d’adapter en temps réel et en continue la protection du système d’information, sans prendre de risque ; l’attaque portant sur un leurre.
Avec les méthodes traditionnelles de détection, il peut y avoir une énorme quantité d’informations, nécessitant une forte charge d’analyse et de corrélation. L’approche déceptive simplifie et automatise ces processus afin de s’assurer que l’attaque est arrêtée, purgée et ne pourra pas revenir.
Une question récurrente est le risque que l’attaquant sorte du leurre. Dans l’absolu, toute technologie peut être compromise et ce d’autant plus que les intentions sont mauvaises et la motivation forte. Mais dans le contexte du leurre, l’avantage est que le cybercriminel compromet avant tout des données fictives, le tout en étant observé. Les experts cybersécurité savent exactement où il se trouve, quel chemin il peut emprunter ou non, et donc, mieux le contrer, et ce en temps réel.