La lutte contre le cyber espionnage et la cybercriminalité en général continuera d’être un échec si nous continuons à lutter chacun dans notre coin.
J’essaye de ne pas céder à la tendance « française » du pessimisme et du fatalisme qui touche certains professionnels du secteur (chacun son avis). Le fameux « échec du cyber » (oui et puis personne n’aime le mot cyber). Comme ça a été répété lors des dernières Rencontres Parlementaires de la Cybersécurité, la cybersécurité avance. Peut-être qu’elle part de (très) loin pour beaucoup (et je le constate tous les jours) et qu’on n’avance pas assez rapidement mais on ne peut pas nier que, chaque jour qui passe, des initiatives publiques ou privées font progresser les débats mais également les actions sur le terrain (je reviendrais dans un prochain billet par cette insupportable pseudo opposition que certains tentent encore de maintenir entre décideurs et ingénieurs ou technique contre organisationnel).
Mais elles sont souvent individuelles, conduites dans leur coin et peu partagées avec l’ensemble de la communauté (ou en off ce qui amène à des quiproquo entre ceux qui « savent » mais ne « peuvent » pas dire ou ne « veulent » pas dire).
Deux actualités illustrent parfaitement, selon moi, des démarches positives qu’il faut continuer à encourager. Une fois de plus, elles ne sont pas parfaites mais elles ont le mérite d’exister.
L’ANSSI pour coordonner le partage d’information ?
L’ANSSI, par le voix de son directeur général Guillaume Poupard, a profité de sa tribune aux Assises de la Sécurité pour rappeler cette évidence : partager de l’information permet d’aider la communauté. Faire remonter ses incidents de sécurité (en gros, les APT) c’est surtout faire profiter à d’autres entreprises (concurrents, partenaires ou autres) françaises (donc l’économie française pour avoir une vision plus globale) d’indicateurs de compromission qui vont peut-être leur permettre d’éviter ce même désagrément. Cela me semble totalement légitime et logique pour renforcer notre posture de cyberdéfense.
Mais ce que je comprends également (de l’extérieur) des réticences affichées par beaucoup, c’est que les entreprises rechignent à communiquer ce type d’informations sensibles à l’Etat. Pourquoi ? Car ce n’est pas dans la culture « française » de faire confiance à l’Etat (surtout en ce moment) ? Car il faut faire évoluer ses process de remontée d’incidents et intégrer un acteur extérieur ? Car on a peur que les attaques s’ébruitent ? Difficile d’imaginer que les entreprises craignent que l’ANSSI communique à tout-va sur ces données (qui doivent être rapidement « classifiées » et surtout anonymisées). L’ANSSI étant surtout connue pour être très frileuse sur sa communication. Si certaines de ces missions justifient pleinement cette « prudence », j’entends également ici et là (lire l’excellent édito de Fred Raynal dans le dernier numéro de MISC) que les entreprises aimeraient plus de « retour » sur les informations déjà envoyées à l’Agence. Certains semblent craindre que le partage d’informations ne se fasse que dans un sens. De l’extérieur du monde très opérationnel de la cybersécurité, c’est ce qu’on entend murmurer depuis quelques années. La cybersécurité serait véritablement un échec si les entreprises françaises et l’Etat français n’arrivaient pas à se faire confiance mutuellement pour améliorer leur résilience commune face aux cyber menaces. Je n’ose y croire…
Opération SMN #Axiom #TangoDown
Un autre exemple pris dans l’actualité illustre bien l’intérêt d’une coopération entre des acteurs. Exceptionnellement, ce n’est pas une coopération public-privé mais une coopération privé-privé. Une coalition de plusieurs éditeurs de solutions de sécurité (iSIGHT, Cisco, FireEye, F-Secure, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Bit9, Volexity) et de chercheurs en sécurité ayant souhaité rester anonymes, a entrepris, sous l’impulsion et la coordination de la société Novetta Solutions et de Microsoft (via son programme CME – Coordinated Malware Eradication) non seulement de détecter et d’identifier (et donc, en général, de publier un beau rapport, comme outil marketing) des groupes d’attaquants pratiquant des campagnes de cyber espionnage à la fois massive et ciblée mais également d’agir pour perturber voire éradiquer cette menace.
L’annonce de cette coalition a eu lieu le 14 octobre et deux semaines plus tard, un rapport a été publié présentant en détails ce nouveau groupe d’attaquants (évidemment d’origine chinoise), sobrement baptisé « Axiom », et leurs techniques et outils d’attaques. La particularité de ce groupe ? Il semblerait, selon Novetta, qu’il serait beaucoup plus organisé (une infrastructure très complexe à gérer), rigoureux et discipliné (pas d’OPSEC failed à signaler) que les autres groupes déjà identifiés comme la désormais célèbre Unité 61398 de l’Armée Populaire de Chine révélée par Mandiant.
Ce qui m’a le plus intéressé n’est pas forcément le résultat final, même si Novetta annonce que près de 43 000 outils exploités par le groupe d’attaquants Axiom ont été supprimés sur les machines infectées de leurs victimes, mais bien la démarche qui a permis d’en arriver là. C’est la première fois (évidemment il existait déjà une coopération entre acteurs privés mais en off) qu’une large coalition d’acteurs privés (malheureusement essentiellement américains…), généralement concurrents, travaille de concert et (surtout) publiquement à la réalisation d’un objectif commun et ambitieux : détecter, analyser (pour relier différentes campagnes de cyber espionnage vers un même acteur) et supprimer une menace avancée en alliant leurs forces, compétences, outils, bases de signatures, base de renseignements, etc. iSight Partners le souligne bien dans son blog « the solid work of this coalition – which included unprecedented information sharing » le partage d’informations a été essentiel pour mener cette première opération, qui je l’espère, en appellera d’autres.
Il faut également saluer l’action de Microsoft qui est à l’initiative du très intéressant programme CME (Coordinated Malware Eradication). Plus de détails sont disponibles sur un de leurs nombreux blogs (ici et là).
Et en Europe, en France ?
Seul point négatif, on constate que la plupart des acteurs impliqués sont américains (sauf F-Secure) même si une partie des victimes est située en Europe. Ce qui me fait m’interroger sur la possibilité pour des acteurs français (surtout les futurs qualifiés de « confiance » par l’ANSSI) à participer à ce type de « coalition » ou aux acteurs européens de monter ce type de coopération. Mais encore faut-il qu’on dispose d’acteurs disposant de ces compétences particulières (éditeurs ou offreurs de services). Ils ne sont pas si nombreux que ça en France (suffit de compter le nombre de CERT / CSIRT).
La lutte sera encore longue.
J’aime ton indécrottable optimisme 🙂
Malheureusement les coopérations qui sont possibles aux USA ne le sont pas en France, pour plusieurs raisons:
(1) La France n’a pas d’éditeurs de logiciels (sécurité ou autre) et probablement pas de prestataires de services de taille raisonnable. Impossible de croiser les données d’un éditeur de système d’exploitation avec celles d’un antivirus et d’un pare-feu intelligent « souverains ». Si tu croises les données de CLIP avec celles de DAVFI tu ne dois voir que 0.001% d’Internet 🙂
(2) Autant je peux comprendre que l’Etat soit friand de Threat Intelligence, autant il n’existe aucune entreprise privée qui va investir un kopek là-dedans. Ca n’est pas comme si la Réserve Cyber cherchait de l’argent … simplement pour imprimer un jeu de cartes 🙂
(3) La communication d’entreprise est apparement une chose très compliquée en France. Mais quand tu dois mettre *plusieurs* entreprises ensemble avec l’ANSSI et le MinDef pour communiquer, alors là tu es mort d’avance.