Ces difficultés à déterminer le T0 d’une cyberattaque
Dans leur communication, les victimes de cyberattaque indiquent très majoritairement que celle-ci est survenue au moment où ses premiers effets ont été observés. Un biais compréhensible lorsque sont faites les premières déclarations.
« L’attaque est survenue dans la nuit du samedi au dimanche ». Ou bien « mardi matin ». Techniquement, ces déclarations de victimes de cyberattaque avec ransomware sont erronées : le début de l’attaque est antérieur au déclenchement du chiffrement et à l’observation de ses premiers effets sur le système d’information ou la disponibilité des services IT affectés.
La détonation du ransomware n’est que la phase finale d’une offensive déclenchée parfois bien avant. La compromission initiale ayant débouché sur cette issue peut être même bien plus ancienne que le début de l’enchaînement ayant conduit au chiffrement : des accès initiaux peuvent rester inexploités pendant des mois, avant que la cyberattaque ne soit engagée.
Dans un échange public sur Twitter, Christophe Renard (expert en cybersécurité et réponse à incident), aussi connu sous le pseudonyme FuraxFox, relève ainsi que « même le début de chiffrement n’est pas toujours si simple à déterminer ». Et cela même alors qu’il est déclenché, dans la plupart des cas, « par PSExec, GPO, WMI ». De quoi rappeler que même s’ils existent, comme certaines versions de Ryuk, les ransomwares aux capacités d’autopropagation, de type ver, sont très rares.
En fait, souligne Christophe Renard, « à T0, la seule date connue », c’est le moment où « quelqu’un a remarqué le problème ». Vingt-quatre heures plus tard, « les enquêteurs savent quand et comment le chiffrement a commencé (mais pas toujours) et quand et comment l’attaquant s’est connecté pour la dernière fois ».
Remonter plus loin dans la cinétique d’attaque est plus laborieux : « il faut généralement des jours d’investigation pour arriver à une date de “première connexion adverse probable”, et souvent sans certitude que ce soit la compromission initiale ».
Pour autant, cette date déterminée par l’enquête sera généralement « considérée comme “début de la compromission” ». Mais avec, souvent, un degré de confiance assez bas. Et à plus forte raison que… « les poly-compromissions ne sont pas rares ». Alors, « dans ce cas-là, bonne chance pour démêler les fils ».
Reste que ces efforts de reconstitution ne peuvent pas s’éterniser : « à un moment, reconstruire est plus important qu’enquêter, et les efforts s’arrêtent. Ne serait-ce que par recyclage des machines ».
Un système d’information virtualisé est susceptible d’offrir une fenêtre plus large pour l’enquête. Pour autant, « dans la réalité, la place même pour restaurer les sauvegardes manque sur des filers saturés ; les copies d’images disque prennent des demi-journées chacune ». Et les « capacités de prélèvement centralisé ont été flinguées par le ransomware ». Au final, quel que soit le contexte technique, l’indisponibilité « et le besoin de ressources de stockage et réseau sont de vraies contraintes ».
Certes, l’investigation permet d’obtenir d’importants marqueurs techniques de l’attaque, que ce soit à des fins de renseignement sur les menaces ou d’enquête judiciaire. Pour autant, estime Christophe Renard, « on peut s’interroger sur l’intérêt de chercher l’historique complet d’une compromission ». Car les SI concernés « sont souvent très vulnérables » et « les entrées possibles y abondent ». Et si elles sont nombreuses, elles ne sont finalement pas si variées que ça : le champ des possibles n’est pas illimité et déjà bien cartographié.