Aujourd’hui je vous propose une interview de Thomas Chopitea (@tomchop_), Incident Handler au sein du CERT Société Générale (@CertSG). Thomas anime également un blog sécu http://www.tomchop.me/.
On va notamment parler des missions des CERT et de la réponse à incidents.
Merci encore à lui et au CERT Société Générale pour s’être prêté au jeu !
Bonjour, pour ceux qui ne te connaissent pas, peux-tu nous présenter ton parcours et ton poste actuel ?
Bonjour Nicolas et merci de me consacrer cette interview dans ton blog. Cela fait assez longtemps que je m’intéresse de près à la sécurité informatique. Après avoir passé 4 ans dans une école d’Ingénieurs dans le sud de Paris, j’ai passé deux ans à me spécialiser en Sécurité et Sureté des systèmes informatiques en Suède. J’ai effectué mon stage de fin d’études à CEIS, ce qui m’a donné l’occasion de m’intéresser de plus près aux acteurs qui se servent des failles de sécurité plus qu’aux failles elles-mêmes. Cybercriminalité et hacktivisme étaient les mots d’ordre et les sujets de ma thèse de Master en Suède. Suite à cette expérience, et cherchant à retrouver un rôle plus opérationnel et technique, je me suis tourné vers le CERT Société Générale qui semblait offrir exactement ce que je cherchais.
Quelles sont les missions principales d’un CSIRT comme le CERT Société Générale ?
Un CERT (Computer Emergency Response Team) est une cellule au sein d’une organisation ou d’un gouvernement en charge de la gestion des incidents de sécurité informatique – j’aime comparer ça aux « pompiers » de la sécurité informatique. Les CERT / CSIRT ont les mêmes fonctions : détecter, enquêter, et répondre aux incidents. Le terme anglosaxon « DFIR » désigne assez bien notre activité : « Digital Forensics and Incident Response ».D’un point de vue externe, les CERT sont aussi le point de contact principal pour toute personne qui souhaiterait remonter un incident. Etre en contact avec le monde extérieur est important pour pouvoir réagir rapidement – d’autant plus que la veille effectuée par un CERT peut souvent mettre en garde contre des attaques en préparation.
Comment prend la forme la coopération dans ce monde des CERT / CSIRT ?
Il peut arriver que lors de notre veille nous relevions des informations qui peuvent être d’intérêt pour la communauté, et inversement. Le partage de l’information entre CERT est capital pour avoir une meilleure visibilité sur ce vaste océan qu’est Internet – les informations venant des autres CERT peuvent souvent apporter la pièce manquante au puzzle.
Le quotidien d’un Incident Handler ça ressemble à quoi ? Contrer des APT toute la journée ?
Pour poursuivre avec l’image du pompier, on passe la plupart de notre temps à éteindre des incendies et à faire en sorte que le feu ne reprenne pas (une étape cruciale du cycle de réponse à incident). De ce point de vue, contrer des APT toute la journée et les laisser revenir serait quand même symptomatique d’un SI en petite forme. Quand on ne répond pas aux incidents (j’inclus les investigations forensics dans cette catégorie), il y a surtout beaucoup de veille et de R&D.Mais il nous arrive aussi de devoir aller chercher des chats perdus dans des arbres.
En tant que CERT, vous êtes en première ligne face aux cyber menaces. Pour une banque, est-ce toujours le phishing qui représente la majorité des « attaques » contre ses clients (et la banque elle-même) ?
La cybercriminalité « classique » occupe une partie importante de nos journées. La société a toujours eu des parasites qui s’intéressent plus à la facilité d’obtenir des gains financiers qu’à leur légalité. Une partie de la criminalité « classique » se voit donc aujourd’hui transposée sur Internet – cette nébuleuse, ce « Cloud », ce Google, que M. et Mme. Michu ne comprennent pas très bien mais qui est là à chaque fois qu’ils cliquent sur le « e » bleu. Internet a rapproché les petits criminels des victimes. Le phishing, les malwares bancaires, les diverses formes d’arnaques dites « à la Nigériane », et l’usurpation d’identité restent des menaces importantes, qui se voient toutes facilitées par notre rapprochement quotidien à l’informatique.
Quelles sont les qualités et les compétences requises pour un être un bon « Incident Handler » ?
Un Incident Handler doit être avant tout polyvalent. Il faut savoir identifier rapidement la racine du problème remonté (ce qui nécessite de bonnes bases techniques), et avoir une excellente vision de l’impact de l’attaque sur la victime. Un CERT se doit donc d’être proche des entités qu’il protège, afin de mieux capter les impacts potentiels d’une attaque. Si on veut pouvoir réagir rapidement, il est impératif d’arrive à comprendre tout le monde rapidement ! Et si on peut anticiper les questions ou problèmes de notre interlocuteur, c’est encore mieux…
Travailler dans la réponse aux incidents et dans le forensics nécessite également de disposer et de maîtriser des outils pour aider à l’analyse ou simplement automatiser certaines tâches. Mais il faut aussi souvent en développer. Tu as toi même développé et partagé avec la communauté sécurité un outil appelé MALCOM. Peux-tu nous en dire plus à ce sujet ?
Les outils avec lesquels nous travaillons sont là pour nous faire gagner du temps sur certaines tâches. Une partie de notre R&D est justement dédiée à soit créer des outils qui répondent justement à ces besoins, soit à améliorer ou adapter des outils qui existent déjà.L’idée derrière Malcom est née justement d’un outil de « threat intelligence » qui existait déjà mais qui ne répondait pas précisément à mes besoins. Au fil du temps, et à force d’y passer mes soirées, j’ai fait évoluer le projet en le centrant sur l’analyse de malware. Malcom permet ainsi de croiser les artifacts réseaux rencontrés avec plusieurs sources d’éléments connus pour être malveillants et de retrouver automatiquement les informations intéressantes. Le tout, de manière graphique.Heureusement, les nouveaux paradigmes de développement veulent qu’on n’attende plus qu’un projet soit mature pour le pousser sur GitHub (troll inside) ! Aujourd’hui, c’est devenu un de nos principaux outils pour identifier les souches de malware que nous rencontrons et engager des contre-mesures s’il le faut.
Tu interviendras également le 6 décembre prochain de la première édition de la BotConf, une conférence internationale consacrée à la lutte contre les botnets. Peux-tu nous donner un petit teasing ? Que vas-tu y présenter ?
Tout d’abord, nous sommes fiers d’investir dans l’effort que représente cette conférence dans la lute contre la cybercriminalité en apportant notre sponsoring à l’événement. Nous sommes persuadés que ce genre de conférence est d’une importance capitale pour améliorer la capacité de la communauté « DFIR » à lutter contre ces menaces chaque fois plus présentes.De plus, la BotConf va être pour moi l’occasion de présenter Malcom à toute une partie de la communauté infosec, et d’avoir un retour sur les améliorations que je pourrais y apporter de la part de professionnels issus des quatre coins du monde. Ma présentation sera axée sur les différents moyens de communication des botnets, et sur comment identifier les points faibles de leur infrastructure rapidement grâce à Malcom. Pour un Incident Handler, savoir rapidement où taper et comment taper pour faire tomber un botnet ciblant son organisation est un avantage énorme ! Mais évidemment, ce teasing ne se compare pas à ce que cette conférence pourra vous apporter si vous faites le déplacement 🙂
Merci Thomas pour cet échange passionnant !
Interview réalisée par Nicolas Caproni par e-mail en novembre 2013
1 Comments
Laissez une réponseOne Ping
Pingback:Publications, études, rapports 2013 S47-48 | La Mare du Gof