25 octobre 2019
Talonner les cyber-attaquants pour, non pas les attraper, mais toujours mieux les imiter. Cette approche presque paradoxale, est celle des hackers éthiques. Une proximité qui offre des éléments d’informations sur les méthodes utilisées par les pirates ainsi que leurs objectifs, d’aujourd’hui et de demain.
Fabien Spagnolo : Nous pouvons résumer les principales catégories de cyber-attaquants en distinguant trois types d’acteurs : les cybercriminels isolés ayant un mode de fonctionnement souvent opportuniste, les cybercriminels comme maillons d’une filière organisée, généralement à rapprocher d’une organisation de type mafieuse et les Etats eux-mêmes, via leurs services de renseignement, ou des groupes qui leur sont plus ou moins officiellement affiliés. Ces derniers peuvent être à l’initiative d’attaques à des fins d’espionnage économique, politique, géostratégique, etc.
Fabien Spagnolo : Une chose reste sûre : les spécialisations se développent et les attaques, de plus en plus sophistiquées, sont le plus souvent menées en équipe, chaque cybercriminel ayant son domaine d’expertise. Certains pirates sont ainsi en charge de rechercher des vulnérabilités dans des logiciels ou produits quand d’autres développent des exploits pour s’en servir. Certains acteurs sont devenus de véritables brokers et achètent des vulnérabilités ou des exploits pour les revendre à d’autres acteurs en charge, eux, de les mettre en œuvre, soit directement soit via des outils comme des frameworks dédiés à des activités de surveillance. D’autres cybercriminels créent des outils spécifiques destinés à rendre leurs intrusions plus optimales : les moins chronophages et les plus furtives possibles. Ainsi, c’est toute une chaîne qui se met en œuvre pour proposer un service.
Fabien Spagnolo : C’est fort probable. Face à la démocratisation des savoirs et des outils ainsi que le développement de plateformes de type rootme qui permettent à tout un chacun d’expérimenter certaines techniques, nous pouvons estimer que le nombre de « hackers » est en augmentation constante.
Cette expertise peut alimenter les effectifs des white hats, notamment des hackers éthiques qui pourront par exemple rejoindre des sociétés spécialisées comme la nôtre, ou, hélas, contribuer à augmenter les opportunités pour des groupes de cybercriminels de trouver et d’exploiter des failles de sécurité.
Fabien Spagnolo : Nous savons qu’il est souvent plus difficile de défendre que d’attaquer. Un cybercriminel pourra peut-être se contenter de ne détecter qu’une seule faille pour prendre le contrôle d’un élément important d’une infrastructure, et, in fine, atteindre sa cible.
Côté défenseur, nous devons protéger un périmètre souvent dense et parfois mal défini, en incorporant le risque humain toujours complexe à appréhender. C’est un exercice particulièrement coûteux, en énergie comme en ressources. Il y est question de cartographier le « territoire » à sécuriser, d’en analyser les faiblesses, de déployer des solutions correctives et préventives, d’assurer une supervision et d’opérer une veille permanente sur les menaces réelles ou supposées… D’où la nécessité de se concentrer sur les services ou les ressources les plus sensibles. De fait, le principe de « zéro intrusion » n’existe pas ou alors dans des contextes très particuliers et extrêmement contraignants, assez éloignés de la vie quotidienne des entreprises.
Concernant l’activité ethical hacking que je dirige, nous ne cherchons pas nécessairement à avoir une longueur d’avance sur les cybercriminels. Nous sommes chargés de déployer des scénarios d’attaques réalistes, comme les cybercriminels le font pour atteindre leurs cibles. Nous tentons de comprendre leurs manières de penser, d’agir, afin d’aider nos clients à avoir une visibilité aussi précise que réaliste des menaces auxquelles ils sont confrontés.
Fabien Spagnolo : Notre rôle, en tant qu’hackers éthiques, n’est pas forcément d’inventer de nouvelles attaques. Notre valeur ajoutée trouve plutôt sa source dans notre expertise, dans le retour d’expérience de nos audits et de la grande variété d’environnements et de technologies que nous sommes amenés à tester dans le cadre de nos activités.
Citons par exemple les automates utilisés par les acteurs du monde industriel, qui nous l’avons vu ces dernières années, sont de plus en plus pris pour cible. Innover, c’est aussi mettre nos compétences au service de nos propres outils : comment tester l’efficacité d’un SOC et s’assurer qu’il est correctement paramétré ? Dans la même idée, les objets connectés, l’Internet of Things (IoT) et le cloud représentent de vrais enjeux de recherche et développement pour nous.
Fabien Spagnolo : Je suis probablement un peu à contre-courant des messages actuels : nous n’en avons pas besoin pour réaliser nos audits. L’IA est généralement utilisée lorsqu’il s’agit de corréler entre eux de nombreux paramètres, ce qui peut être utile dans le cadre de la supervision sécurité d’un parc informatique par exemple. Son usage est moins pertinent pour un cybercriminel qui aura davantage tendance à se concentrer sur quelques points de faiblesse préalablement identifiés.
Néanmoins, un usage relativement récent de l’IA nous interpelle : celui du deep fake, ces voix et enregistrements vidéos artificiels, qui sont de plus en plus réalistes et peuvent devenir les outils permettant des attaques d’ingénierie sociale particulièrement redoutables dans les années à venir. Nous surveillons donc cela de près.