Depuis le début de l’année 2020, l’ANSSI propose des « marqueurs » de compromission pour détecter, et donc traiter au plus vite, une menace sur le réseau d’une entreprise. Ces indicateurs, « qualifiés ou non par l'ANSSI, sont partagés à des fins de prévention ». Les premiers ont été mis en ligne en février 2020 suite à l’attaque de Bouygues Construction par le groupe de pirates TA2101 avec le rançongiciel Maze.
Comme nous l’expliquions récemment, l’ANSSI ne publie quasiment plus aucun indicateur de compromission depuis maintenant deux ans. L'année dernière, une seule exception avec FIN 12 en septembre 2023. Il faut remonter à décembre 2021 pour retrouver un indicateur. En 2021, six indicateurs ont été mis en ligne, contre cinq en 2020, la première année des indicateurs.
Lors de la conférence de presse sur le panorama des cybermenaces, et alors que la pression des attaquants se fait de plus en plus forte (notamment par des Russes), nous avons demandé à Vincent Strubel (directeur général de l’ANSSI) et Mathieu Feuillet (sous-directeur opérations) pourquoi les indicateurs étaient aux abonnés absents.
Ne pas dévoiler trop vite son jeu
« Quand on a des indicateurs de compromission, on a plusieurs façons de les partager. Soit on les publie, soit on les partage dans un certain nombre de cercles de diffusion, en France ou à l'international. On fait souvent le choix de ne pas les publier. À partir du moment où on les publie, on informe également l'attaquant des moyens de détection qu'on a face à lui ». Les responsables de l’ANSSI affirment au passage diffuser « énormément de choses » dans ces cercles, aussi bien en France qu’à l’international.
Pour l’ANSSI, il est donc plus efficace de diffuser les marqueurs de manière confidentielle, en passant par des éditeurs de cybersécurité ou d’antivirus par exemple. Cela permet ainsi de retarder « le moment où l'attaquant voit de quelle manière on arrive à le détecter ». Une fois informé, il peut en effet adapter son attaque pour passer sous les radars. Une version cyber du jeu du chat et de la souris.
Visibilité contre efficacité
Mais il y a « toujours un équilibre à trouver », ajoute Mathieu Feuillet. D’ailleurs, « on va sans doute dans l'avenir republier des éléments parce qu'on pense que ce sera pertinent. Cela permet à l'inverse d'aller beaucoup plus vite dans la diffusion des marqueurs », ajoute-t-il.
C’est donc une question de curseur entre rapidité et efficacité. Les cercles de diffusion « confidentiels » sont moins visibles, mais ils ont « une efficacité qui, dans certains cas, est meilleure que la publication sur le site Internet » de l’ANSSI. Il ne semble pas y avoir de règles, plutôt du cas par cas.
L’ANSSI « mise beaucoup sur les réseaux de CSIRT »
« On ne s’interdit pas pour autant d’en publier dans certains cas. On l’a fait sur APT28, sur FIN 12, sur LockBit en partenariat. Dans certains cas, on le fait. Dans d’autres, on diffuse plutôt via les CSIRT [Computer Security Incident Response Team, ndlr]. On mise beaucoup sur les réseaux de CSIRT au niveau national et au niveau européen comme un bon outil pour coordonner de la réponse avec des protocoles bien établis pour diffuser l'information de manière efficace », ajoute Vincent Strubel.
Les CSIRT peuvent être « privés, commerciaux, ou à compétence gouvernementale ou nationale comme le CERT-FR », rappelle l’ANSSI. Ainsi, ils « sont amenés à échanger continuellement des informations et des retours d’expérience entre partenaires de confiance ».
Le CERT-FR – qui vient de fêter ses 25 ans – « est le représentant de la France au CSIRTs Network, le réseau des CSIRT à périmètre national de l’Union européenne ». Toujours dans l’Hexagone, il existe aussi de nombreux CERT régionaux. « Ils traitent les demandes d’assistance des acteurs de taille intermédiaire (ex : PME, ETI, collectivités territoriales et associations) et les mettent en relation avec des partenaires de proximité », précise l’ANSSI.
Commentaires (11)
#1
#1.1
Sinon, il y a une page Wikipedia qui en dit un peu plus.
#1.2
Un attaque, ça laisse des traces. En comparant ces traces aux précédentes, on peut essayer de déterminer le ou les moyens utilisés et parfois remonter jusqu'à l'attaquant.
C'est la carte d'identité de l'attaque, le modus operandi, la trace ADN etc. On retrouve un peu cette notion dans d'autres domaines, un exemple qui me vient en tête est Jack l'éventreur. Ce surnom n'est pas sans raison.
Plus d'explications sur ce site par exemple.
#1.3
Pour l'anecdote, il y a un moment une astuce pour garder toutes les logs sans risque d'effacement pour cacher des traces avait été de rediriger le flux vers ... une imprimante matricielle (qui a la délicate attention de travailler non pas en spool mais en stream, donc écrire les lignes à la suite)
Évidemment aujourd'hui il y a d'autres dispositifs efficaces et moins coûteux en papier et en temps d'analyse :) (genre un corrélateur de log derrière une diode par exemple) mais pas toujours accessible à toutes les cibles potentielles.
#1.4
#2
tel pourcentage d'hameçonnage par e-mail, tel pourcentage de site web saturés par attaque DDOS, ....
#2.1
En fait, la question du premier commentateur était pertinente comme indicateur peut aussi avoir le sens auquel tu pensais.
J'ai donc mis le lien vers la page Wikipédia qui est plutôt courte mais qui donne une première définition.
Le mot "marqueurs" utilisé en début d'article est plus explicite mais on a repris le même terme qu'en anglais.
#2.2
#3
#4
#4.1