L’attribution d’attaques, trop complexe pour y croire ?

Fin décembre, le ministère américain de l’Intérieur et le FBI ont présenté un rapport d’analyse conjoint sur « les activités cyber malicieuses russes » durant la récente campagne présidentielle aux Etats-Unis. Evoquant une opération baptisée Grizzly Steppe, ce rapport apparaît s’appuyer largement sur les travaux d’entreprises privées spécialistes de la sécurité informatique. D’aucuns déplorant d’ailleurs qu’aucun élément ne soit fourni pour distinguer les données issues de ces sources de celles propres à l’administration américaine. 

Un mois plus tard, le général d’armée (2S) Marc Watin-Augouard, fondateur du FIC il y a dix ans, ne cachait pas ses réserves : « Souvenez-vous de l’Estonie. Tout le monde a dit “ce sont les russes”. Mais qui a été capable d’en apporter la preuve ? […] Je pense qu’aujourd’hui, il faut être extrêmement prudent dans l’attribution. Parce que cela fait aussi partie d’un jeu potentiellement dangereux consistant à se faire peur pour pouvoir renforcer ses propres moyens ». La base d’une course au cyber-armement, en somme. 

James Scott, membre de l’ICIT, abonde plus que largement, dénonçant même sans ambages « faux experts » et « tentatives mal-informées de gagner en crédibilité en attribuant rapidement chaque cyber-attaque à quelque groupe chinois ou russe, spécialiste des attaques avancées persistantes (APT), qui monopolise l’attention à ce moment-là ». L’ICIT est un groupe de réflexion dédié à la sécurité des infrastructures critiques. Parmi ses membres, on compte notamment l’ISC2, Anomali, Cylance, Exabeam, Securonix, mais encore HPE ou KPMG. 

James Scott relève en fait que « la plupart des organisations compromises ne détectent pas les brèches avant parfois huit mois ». Dès lors, « l’attribution se base généralement sur des bribes d’indices laissés intentionnellement (pour faire diversion ou la démonstration de ses compétences) ou par mégarde ». Las, les kits d’attaque sophistiqués « sont de plus en plus accessibles », y compris aux attaquants moins avancés, et il « devient de plus en plus difficile de distinguer rétroactivement un attaquant d’un autre ». Dès lors, l’attribution apparaît comme un exercice non seulement délicat, mais complexe, dépendant « d’une analyse fiable des indicateurs de compromission; des outils, techniques et procédures utilisés; et d’un profil complet de l’attaquant généré par l’agrégation systématique de son comportement passé, des typologies de ses cibles, et des procédures opérationnelles qui lui sont spécifiques, parmi de très nombreuses autres caractéristiques ».

Pour James Scott, l’attribution de certains hauts faits aux services russes est basée « sur du bouche-à-oreille et sur des analyses criminalistiques fragiles » exploités pour service un discours politique. Selon lui, « lorsqu’un officiel de gouvernement affirme que “ce sont les russes” », la réaction immédiate devrait être de multiplier les questions : « quel groupe APT ? Comment savez-vous ? Quels imitateurs ont été étudiés […] ? Quels outils ont été utilisés [par les attaquants] ? Et depuis combien de temps sont-ils disponibles sur le marché noir ? »

De leur côté, les services du renseignement finnois viennent de rendre public leur rapport annuel. Ils font état d’un accroissement des découvertes de tentatives de cyber-espionnage visant le pays et assurent que la majorité des observations pointe vers le groupe APT28, mais sans fournir plus de détails. Au passage, ils estiment très probable qu’un grand nombre d’opérations soient restées non détectées.