mercredi 9 mars 2011

Je ne parlerai pas du piratage du ministère des finances

Sun Tzu, dans l'art de la guerre disait:
Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats que par tes défaites.

Cette maxime est vraie en sécurité informatique, mais qui est l'ennemi et comment le connaître?
Il existe plusieurs études réalisées sur le sujet. J'en citerai deux, une américaine et une française, intéressante pour leur approche. Dans les deux cas, je ne parlerai que de la sécurité humaine. La sécurité informatique a une très forte composante "accidents naturels" (disque qui lache, haute disponibilité, résilience, onduleurs, etc..), mais je ne la considère pas dans ce post de blog. Seuls les facteurs "délibérés" seront exposés.

L'étude américaine recense 7 types d'attaquants.
  1. Cyber criminel: Il s'agit de personnes professionnalisées, groupées, qui souhaitent uniquement faire de l'argent. (Identité bancaire, etc..)
  2. Spammers et adware: Des personnes vendant du spam en gros.
  3. Advanced Persistent Threat (APT): Groupes très organisés dont le but est le vol de propriété intellectuelle. Éventuellement, pour la vendre, cher, mais idéalement pour connaitre les idées d'une organisation et travaillent sur le long terme.
  4. Espionnage: Le but est de voler une information particulière. Souvent de groupe réduit, et intéressés par des résultats rapides.
  5. Hacktivisme: Le but est de modifier l'image d'une organisation vers un jour défavorable. (defacement de site webs, leaks d'informations..)
  6. Cyber Guerrier: Exploitation informatique visant à détruire une capacité d'un pays adverse. (pensez à l'Estonie ou à Stuxnet). Lié à l'APT, ou à l'espionnage, mais la finalité fait penser à un but militaire.
  7. Le pirate: Un de ces millions d'informaticiens qui veut simplement tester des trucs, ou prouver au monde qu'il est le plus fort, ou simplement jouer avec des amis.
La défense à apporter à chacun de ces risques va bien évidemment varier. Contre le pirate, il faut être à jour des patchs, utiliser des antivirus et lire ses logs. Pour l'APT, cela devient beaucoup plus compliqué puisqu'il faut prendre en compte qu'il a en main l'intégralité du réseau et qu'il peut même lire les documents internes expliquant la stratégie mise en oeuvre pour s'en protéger! Concernant la cyber guerre, dès que l'objectif visé est connu, la défense devient efficace (pour Stuxnet, patchez vos 4 trous de sécurité et interdisez les ports USB, et l'attaque est anéantie).

Les français ont publié un document (2006, un peu ancien) qui décrit les éléments menaçants; tout d'abord les types, et ensuite les raisons poussant un individu ou une organisation à attaquer.
Types:
  1. Agresseurs: Hacker, qui est passionné et ne veut pas détruire (noté comme de moins en moins expérimenté) et Cracker, qui lui cherche à nuire.
  2. Fraudeurs (trait de caractère français? ;)) le but est de gagner de l'argent d'une victime ou de réduire ses frais (falsification de facture Edf par exemple).
  3. Employé malveillant: fraudeur interne, dont la motivation est soit vengeresse (absence de primes, non reconnaissance interne) soit pour des besoins matériels (détournements de fonds, de biens, chantage etc..)
  4. Militants. Idéologues qui souhaitent faire passer un message par n'importe quel moyen
  5. Espions. Guerre économique, patients, motivés, discrets, travaille à l'échelle étatique ou un concurrent
  6. Terroristes. Les réseaux sont devenus des systèmes vitaux à l'échelle d'un état et les terroristes veulent une action spectaculaire, influente, destructrice, meurtrière.
Les motivations, sont elles, au nombre de 7:
  1. Caractère stratégique: cette menace s'adresse au secret (d'état, de propriété intellectuelle, ou commercial) et aux capacités normales de fonctionnement (résilience). A l'échelle d'état, ou du concurrent.
  2. Caractère idéologique: combat pour les idées. Curieusement, le rapport indique que les pirates ont un courant de pensée souhaitant qu'aucune information ne soit la propriété d'une personne d'un groupe ou d'un état.
  3. Caractère politique: Le WhistleBlower américain. Le but est d'alerter les médias pour faire réagir sur un évènement.
  4. Caractère terroriste: cherche à déstabiliser un ordre établi. Par action violente (destruction) ou détournée (modification de documents). En général le but est spectaculaire. Souvent doté de moyens financiers importants.
  5. Caractère cupide: délinquance en col blanc :) qui se traduit de deux manières. Premièrement le gain (d'argent ou savoir-faire, brevet, etc..) pour l'attaquant. Deuxièmement, une perte pour la victime (crédibilité, fichier client, part de marchés, etc..).
  6. Caractère ludique: la démocratisation de l'informatique a permis à certain d'en décoder le fonctionnement précis. Plus intéressé par le jeu et l'exploit, ils cherchent à montrer les failles du système plutôt que de les exploiter. Les victimes seront des organismes réputés pour leur inviolabilité ou leur haut niveau technique...
  7. Caractère vengeur: souvent du fait d'un employé s'étant senti incompris. Ses actes ne sont pas corrélé avec les causes dans le temps.


On retrouve dans ces deux analyses des traits communs. L'étude française semble plus s'intéresser aux motivations et à l'humain, l'étude américaine aux risques. Dans les deux cas, il manque le cas ou c'est l'administrateur qui se retrouve malveillant (peut-être un sous-ensemble d'employé malveillant, ou l'employé est soit utilisateur, soit admin). Il manque aussi une définition des moyens et de l'expertise des attaquants, mais elle se lit assez bien en filigrane. Les moyens et expertise d'un hacktiviste voulant sauver les baleines à bosses (noble combat, ceci dit) ne seront bien évidemment pas ceux d'un groupe "Advanced Persistent Threat".


Maintenant que l'attaquant n'est plus ignoré, il reste à se connaître pour gagner 100 victoires.

7 commentaires:

  1. Mais alors, qui a attaqué le ministère des finances?

    RépondreSupprimer
  2. Je pense que le titre du message est clair :)

    RépondreSupprimer
  3. Ce raisonnement souffre d'un gros problème. À l'inverse du champ de bataille "conventionnel" au sein duquel on arrive encore à identifier les protagonistes, le champ de bataille numérique ne permet pas cette distinction.

    Sachant que le traçage de la fameuse origine de l'attaque relève la plupart du temps de la fumisterie, le seul élément pertinent est la matérialisation de l'attaque, i.e. son modus operandi et ses effets. Or on constate clairement une convergence de moyens de pas mal de catégories d'attaquants cités ci-dessus, comme les cyber-criminels et les cyber-guerriers par exemple.

    Du coup, si les effets sont les mêmes, comment faire la distinction ? D'autant que la question des moyens, quand on voit combien coûte la location d'un botnet ou l'achat d'un malware, n'est pas forcément super pertinente... Enfin, le coup de l'APT... Humm... Comment dire...

    Bref, s'il est effectivement intéressant de connaître les catégories de gens susceptibles de nous en vouloir, cette connaissance ne nous apporte quelque chose que si on est capable de la discriminer. Sinon, on ne sait pas vraiment plus de son attaquant, et on en est rendu au point de départ.

    Moi je dirais que ce qui est intéressant à savoir, c'est ce qu'on ne sait pas, qu'on a très peu de chance de savoir, et de faire avec. Plutôt que de croire qu'on sait...
    Les classiques histoires de "known unknown" et compagnie...

    RépondreSupprimer
  4. Je pense qu'il s'agit justement du fameux "known unknown"[1]. On ignore souvent après coup les causes et les raisons des attaques mais on sait qu'elles existent. Une classification la plus complète possible de ces raisons semble pertinente (pas de "unknown unknown"). Il manque à mon avis le skill des attaquants comme autre axe d'analyse (peut-être un autre post de blog).

    Une fois ces raisons posées, on peut mettre en place un crible et voir les recoupement. En effet, un cyber guerrier et un cyber terroriste rentrent bien dans la même catégorie de risques. Causes différentes, résultats identiques, skills vraisemblablement de même niveau (et de haut niveau), donc la réponse à apporter sera sensiblement la même.

    Ensuite, il devient possible de placer des moyens face à ces risques, selon sa propre situation. Le risque lié au SPAM n'a rien à voir dans les cas suivants:
    -je suis fournisseur de service réseaux
    -je suis admin réseau d'une structure
    -je suis vendeur de services d'emails
    et cette menace n'a rien à voir non plus avec les risques liés à l'hacktivisme pour lequel un site lambda est moins visé qu'un site gouvernemental ou une multinationale accusée de pollution..

    [1]Et je rappelle qu'il ne s'agit que de la sécurité face aux actes délibérés. La sécurité face aux accidents pourrait remplir un second blog entier entre la haute dispo, la redondance, les calculs de MTBF, les PCA/PRA, la résilience, etc etc..

    RépondreSupprimer
  5. Je persiste à penser que cette classification est inadaptée parce qu'arbitraire. D'abord à l'étude du phénomène et ensuite, par effet domino, à la définition de la réponse à apporter.
    Ça me fait penser à l'époque où le monde de la sécurité se gargarisait sur le niveau supposé faible des attaquants, sans s'apercevoir qu'il s'agissait en fait d'une stratégie du moindre effort.

    Et parce que comme tu le dis, in fine, la réponse à apporter n'est pertinente que par rapport au risque subi, chaque fois que ce dernier se matérialise de la même manière, alors la réponse à apporter est la même. De fait, il vaudrait amha mieux s'intéresser à classifier les attaques et leurs conséquences en elles-même, plutôt que de se pignoler en hypothèses sur les gens qui sont derrière.

    Ça évite de perdre son temps en conjecture sur les chinois... Par exemple :)

    RépondreSupprimer
  6. Je pense que cela permet de nommer le phénomène. Il est sans doute plus simple de demander des crédits pour éviter une "attaque terroriste" que pour éviter la menace "mmap_min_addr" :-)

    RépondreSupprimer
  7. Certes, certes. Mais là, on entre sur le terrain du pipo, et nul besoin d'une taxonomie argumentée des motivations pour ça. Un article à deux balles dans une revue grand public fera largement l'affaire :)

    RépondreSupprimer