beebright - stock.adobe.com

Renseignement sur les menaces : us et abus de la classification des marqueurs techniques

Le service public de santé irlandais a été frappé par le ransomware Conti au mois de mai. Très vite, l’homologue local de l’Anssi a publié ouvertement les marqueurs techniques de l’attaque. Une transparence qui tranche avec certaines approches.

Le 14 mai, le service public de santé irlandais, le Health Service Executive (HSE), a été victime d’une cyberattaque ayant débouché sur la détonation du ransomware Conti. La surprise est venue du National Cyber Security Center (NCSC), l’homologue local de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : seulement deux jours plus tard, le 16 mai, le NCSC rendait public un rapport sur l’incident.

Ce rapport était étonnamment complet, décrivant les techniques, tactiques et procédures (TTPs) des attaquants, avec en prime les marqueurs techniques de l’incident, jusqu’au condensat du rançongiciel lui-même. Et le tout était classé TLP:WHITE.

Le TLP – ou Traffic Light Protocol – a été créé, comme l’explique le FIRST, pour « faciliter un partage plus large de l’information ». En particulier, il constitue « un ensemble de désignations utilisées pour assurer que les informations sensibles sont partagées avec l’audience appropriée », et pas au-delà.

Concrètement, il existe quatre niveaux de classification TLP : RED, pour les informations dont la diffusion doit être limitée aux parties immédiatement impliquées dans la gestion de l’incident ; AMBER, pour celles qui ne doivent pas sortir des murs de l’organisation affectée ; GREEN, pour la communauté concernée ; et WHITE, pour les informations pouvant être partagées sans restriction.

Quand classer une information TLP:GREEN ? Lorsqu’elle peut s’avérer « utile pour la prise de conscience de toutes les organisations participantes ainsi que leurs pairs au sein de la communauté élargie ou du secteur [d’activité]. » Mais pas, a priori, via des canaux de communication publics.

Et pour le niveau AMBER ? Même chose… mais là, l’information est susceptible de présenter un risque pour « la confidentialité, la réputation ou l’activité » de l’organisation affectée. Dès lors, pas question de la laisser sortir, ou alors uniquement à destination de clients ou partenaires qui ont besoin de savoir pour se protéger. À condition qu’ils s’engagent à respecter de le garder pour eux. On retrouve pour le niveau RED la prise en compte des mêmes intérêts de confidentialité, réputation et fonctionnement de l’organisation affectée.

Dans la pratique, le niveau de TLP retenu par le NCSC interroge sur ceux que choisissent d’autres organisations confrontées à une cyberattaque de rançongiciel.

Comment a procédé l’Anssi lors de l’attaque du ransomware Cl0p contre le CHU de Rouen à l’automne 2019 ? Une semaine après la détonation de la charge de chiffrement, elle a rendu public en TLP:WHITE un rapport comportant très peu de marqueurs techniques. Ceux-ci étaient, selon nos sources d’alors, réservés à la version TLP:AMBER du rapport, destinée au monde de la santé. Mais cela même alors qu’il constituait largement une synthèse d’éléments déjà publics de longue date. Et que la menace n’avait pas grand-chose de sectoriel.

L’exemple de Sopra Steria, attaqué à l’automne dernier avec le rançongiciel Ryuk, interroge sur la motivation d’application du TLP:RED. C’est ainsi qu’étaient classés, selon nos informations, les marqueurs techniques associés à l’incident, dont des condensats de maliciels. Mais les échantillons correspondants éclairaient sur la chronologie de l’attaque.

Les équipes de Sopra Steria elles-mêmes indiquaient à ses partenaires que les premières activités malicieuses étaient apparues « quelques jours » avant la détonation, survenue le 20 octobre au soir. La phase finale, donc, de l’attaque, alors que l’ESN assurait le lendemain avoir « détecté » la cyberattaque. Selon nos informations, le premier contact avec un composant de l’arsenal du cheval de Troie Trickbot était en fait survenu le 15 octobre.

Ce n’est pas tout. Le 26 octobre, Sopra Steria affirmait avoir été confrontée à « une nouvelle version du ransomware Ryuk jusque-là inconnue des éditeurs d’antivirus et des agences de sécurité ». Las, les échantillons contredisent ces affirmations, faisant ressortir un rançongiciel fraîchement empaqueté pour échapper à la détection, mais dont la charge utile apparaît avoir été créée début octobre et avait tout pour être bien détectée. Certains outils ne se laissaient d’ailleurs pas piéger.

Face à un tel exemple, le volet réputation du TLP:RED donne à penser que son objectif se limite peut-être à garder à l’écart du public des informations susceptibles d’empêcher l’entreprise de broder une histoire un peu plus jolie que ne l’est véritablement celle de la cyberattaque qui l’a frappée. C’est compréhensible, mais peut-être néanmoins regrettable. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)