Pourquoi déterminer la nature d’une cyberattaque bloquée à temps est si difficile

L’Agence européenne du médicament vient de déclarer avoir fait l’objet d’une cyberattaque, sans en préciser la nature. Un peu plus tôt, Air France-KLM faisait état d’un risque « élevé » de cyberattaque et laissait une opération de renouvellement massif de mots de passe. En fait, cette démarche pourrait avoir été révélatrice d’une attaque avérée, mais stoppée à temps. Et cela vaut peut-être aussi pour l’Agence européenne du médicament.

Mais lorsqu’une attaque est découverte assez tôt et interrompue avant que les assaillants ne mettent la main sur un contrôleur de domaine, ou ne déploient un rançongiciel, par exemple, est-il possible de déterminer la nature et les objectifs réels de la cyberattaque ? C’est de moins en moins trivial.

Ivan Kwiatkowski, chercheur en sécurité au sein du GReAT (Global Research & Analysis Team) de Kaspersky, nous l’expliquait en début d’année, à l’occasion d’un entretien réalisé au Forum International de la Cybersécurité : la cybercriminalité financière emprunte désormais largement aux APT, ces acteurs avancés liés à des États-nations.

Alors nous lui avons demandé : lorsque l’on découvre une attaque en cours, par exemple en observant des traces de Cobalt Strike, comment faire pour déterminer la nature de l’attaque ? Et malheureusement, il avait répondu qu’« il n’est pas évident de répondre à cette question. La frontière entre cybercriminalité et APT s’est fortement floutée, à tel point qu’au final, on ne peut faire la distinction qu’en observant les actions effectuées par l’attaquant sur le réseau de la victime ».

De toute évidence, « s’il y a déploiement de ransomwares, la question ne se pose pas ». Et cela vaut aussi « si l’attaquant vole des données confidentielles puis disparaît ». Mais « entre les deux, c’est plus compliqué ». Ce qui ne veut pas dire que cela soit, a priori, complètement impossible.

Problème : « Cobalt Strike va être l’entre-deux bien délicat où on ne peut pas vraiment dire à l’avance ». Mais ce cas mis de côté, « si l’attaquant a été expulsé du réseau, on peut essayer de voir l’infrastructure qu’il a utilisée, au cas où elle serait déjà connue et rattachée à des groupes existants », explique Ivan Kwiatkowski.

« Aucun de ces deux éléments [imphash et certificats] ne va vraiment renseigner sur le type d’attaquant auquel on a affaire. Aujourd’hui, ils ne sont plus différenciés que par leurs intentions. »

Alors quid d’indicateurs comme le imphash ou les certificats utilisés pour signer les composants malicieux ? « Le premier est utile pour rattacher un malware à sa famille (ou à d’autres échantillons). Mais si l’on sait déjà que l’on est confronté à Cobalt Strike, il n’y a pas besoin de plus d’informations ». Pour le second, ce n’est guère mieux : « cela peut dépendre. Un groupe qui a réussi à voler (ou acheter) des certificats de signature de code valides va être considéré comme plus sophistiqué ». Mais surtout, « s’il s’agit d’un certificat qui a été utilisé dans d’autres attaques, cela peut permettre de faire de la corrélation ».

Pour autant, « aucun de ces deux éléments ne va vraiment renseigner sur le type d’attaquant auquel on a affaire. Aujourd’hui, ils ne sont plus différenciés que par leurs intentions ».

Alors pour Ivan Kwiatkowski, le réflexe consistant à débrancher autant que possible en cas d’attaque détectée ou, à tout le moins, soupçonnée, n’est pas forcément la meilleure des choses : « en situation de crise, c’est un discours qui n’est pas forcément audible », mais pour autant « il est intéressant d’observer l’attaquant en direct pour comprendre ses objectifs ».