Comme promis, ce second billet consacré à la Threat Intelligence est une longue interview de Félix Aimé (@felixaime), un ami que je connais depuis presque 8 ans et avec qui j’ai eu l’honneur de travailler à ses débuts 🙂
Il est devenu au fil du temps une référence française en matière de Threat Intel. Il va nous éclairer sur sa vision de cette discipline et comment il la pratique quotidiennement depuis plusieurs années déjà. Félix reviendra également pour nous sur l’évolution des modes opératoires des attaquants et des défis qui nous attendent pour les traquer et anticiper leurs actions.
Partie 1/2
Bonjour Félix, merci de te prêter au jeu de cet entretien. Pourrais-tu présenter ton parcours ? Pourquoi t’être orienté vers la cybersécurité ?
Bonjour Nicolas. Tout d’abord je tenais à te remercier pour m’avoir invité. Concernant mon parcours, il se résume à une passion pour la sécurité informatique et les relations internationales que j’ai depuis plus de 10 ans.
J’ai commencé assez tôt ma vie professionnelle dans le domaine de la sécurité, à 21 ans. D’ailleurs, tu as été le premier à me faire confiance pour un stage en « sécurité », malgré un DUT en communication orienté web et un CV vide d’expérience professionnelle. Si je travaille en sécurité informatique aujourd’hui, c’est en grande partie grâce à toi. Ça, c’est pour la séquence émotion de l’interview.
En 2011, je suis passé chez BT (Ex. British Telecom) en tant que qu’auditeur en tests d’intrusion. L’équipe était très sympathique et les aspects découverte de technologies et exploitation de vulnérabilités étaient intéressants, mais l’aspect rébarbatif des missions m’a vite fait comprendre que je n’étais pas fait pour ce métier.
En 2013, j’ai eu l’opportunité de rejoindre l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’agence m’a aussi fait confiance en me recrutant sans BAC+5 ou diplôme d’ingénieur et avec le peu d’expérience professionnelle que j’avais en sécurité. Lors de mon passage, j’ai pu insuffler le développement des capacités d’étude des modes opératoires adverses au COSSI. Ce développement s’est fait grâce à une équipe passionnée et soudée, constituée d’analystes techniques et géopolitiques. L’aspect multidisciplinaire de l’équipe a été un véritable atout pour mettre en œuvre une capacité de Threat Intelligence « technique » (appelée étude de « Modes Opératoires Adverses ») mais également stratégique / géopolitique.
Enfin, mi 2017 et après des dizaines d’affaires et investigations passionnantes, j’ai eu la chance de pouvoir intégrer la Global Research and Analysis Team (GreAT) de Kaspersky. Cette équipe, forte de 40 chercheurs dans le monde m’a accepté parmi ses membres en empruntant le circuit RH classique – envoi de CV et trois entretiens. A ce jour nos sommes trois français dans l’équipe.
Comment évolues-tu dans cette fameuse équipe GReAT chez Kaspersky Lab ? Quel est le quotidien d’un chercheur en sécurité informatique ou « hunter » comme tu te présentes sur Twitter ?
Cela fait un an que je suis dans cette équipe. Mon quotidien est composé de recherches en Threat Intelligence (nouvelles méthodes de corrélation, découverte de nouveaux acteurs, suivi automatique d’acteurs connus) pour environ 40% du temps, le développement d’outils avec de belles interfaces ergonomiques pour suivre des modes opératoires et découvrir des anomalies pour 30% ainsi qu’un aspect « représentation publique » – conférences, tables rondes, formations, auditions et interviews sur les 30% restants.
Ces quelques chiffres sont très personnels et peuvent varier d’un membre à l’autre de l’équipe suivant ses compétences, ses recherches et ses envies. Nous sommes libres de faire des recherches sur les acteurs que l’on souhaite même si une priorité est donnée aux acteurs œuvrant dans le domaine du cyber espionnage, du sabotage ainsi que du vol de fonds monétaires. Les fameuses et mal nommées « Advanced Persistent Threats » (APT).
Tu fais partie des rares spécialistes français de la Cyber Threat Intelligence. Quelle est ta définition de cette discipline, en vogue depuis quelques années mais qui reste méconnue du grand public et abusée par certains services marketing ? A quoi ça sert concrètement pour une organisation ?
Le Threat Intelligence c’est – accrochez-vous – du renseignement sur la menace. Plusieurs formes de Threat Intelligence existent suivant le type de menaces que l’on cherche à étudier. Certains y ajoutent le terme de « Cyber », de mon côté je ne fais aucune différence car le « cyber » ne doit pas être dissocié du contexte géopolitique et économique dans lequel les attaques sont réalisées.
Chacun a sa petite définition du domaine, faite d’un prisme lié à son expérience professionnelle. Dans le cadre de mon travail quotidien, il s’agit de renseigner nos clients sur les modes opératoires mis en œuvre par un ou plusieurs acteurs. Ces « modes opératoires » regroupent entre autres les codes malveillants, l’infrastructure C2 et de reconnaissance, les vecteurs d’intrusion, les tactiques de latéralisation et d’exfiltration, la victimologie, le rythme opérationnel associés aux campagnes d’attaques et le contexte dans lequel s’ancre ces attaques. A terme, ceci permet de pouvoir rechercher via des SIEM ou EDR d’éventuelles compromissions antérieures, mais également d’anticiper ses prochaines campagnes d’attaques en termes techniques et contextuels.
Je reprends souvent l’image d’un enquêteur sur une scène de crime. De part certaines spécificités rencontrées sur un homicide, il va pouvoir dresser le portrait du tireur, de la victime et peut être du commanditaire. Avec l’ensemble de ces informations, il va pouvoir peut-être lier ce meurtre à d’autres homicides similaires. Si plusieurs liens logiques sont trouvés entre tous ces homicides et un contexte, il est peut-être possible d’en anticiper de nouveaux.
Dans une organisation, le Threat Intelligence doit intervenir après bien d’autres composantes essentielles en sécurité (Toujours utile d’en rappeler certaines : Connaissance de son périmètre, architecture sécurisée et défense en profondeur, sécurité physique des locaux, mise en place d’outils de détection et de recherche passifs et actifs, mise en place d’une PSSI et d’une équipe de sécurité formée et dédiée etc.). Il est inutile de s’intéresser à ce domaine si les prérequis pour l’exploitation des renseignements tels que la surveillance du réseau ou possibilité de recherche (rétro)active n’existent pas.
Si tous ces prérequis sont déjà acquis et maîtrisés, le Threat Intelligence permet à une organisation de connaître les modes opératoires qui sont susceptibles de porter atteinte à la confidentialité et l’intégrité de son système d’information, de posséder des indicateurs de compromission et de pouvoir adapter sa sécurité en conséquence. Elle pourra dès lors prioriser certaines postures plus que d’autres, traiter au mieux certains incidents et éviter faire de recherches de compromission inutiles.
Évidemment, nous alimentons également les moteurs de signatures de notre antivirus dès que nous découvrons des nouveaux éléments techniques. Nous échangeons aussi avec les équipes en charge du développement produit sur des nouvelles méthodes de détection. Dès lors, tous nos clients consomment quotidiennement du Threat Intelligence sans même s’en rendre compte car c’est utilisé par nos produits, donc transparent pour l’utilisateur final.
La Threat Intelligence c’est beaucoup d’investigations numériques. Quels outils et sources d’informations t’aident le plus dans ton travail ?
Nous avons la chance chez Kaspersky Lab. d’avoir une télémétrie conséquente nous permettant de chercher de nouveaux acteurs et compromissions. Nous développons également au sein du GReAT plusieurs d’outils ergonomiques afin de corréler et de détecter des anomalies pouvant être le signal faible d’une attaque informatique en cours, tant à partir de notre télémétrie (le fameux « Kaspersky Security Network ») mais aussi sur Internet (DNS Hijacking, détection de points d’eau et bien d’autres).
D’autres sources peuvent être envisagées telles que des connaissances qui font également du Threat Intelligence ou sinon nos propres équipes de remédiation d’incident qui remontent des éléments techniques suite à une attaque.
Concernant les outils, si je dois en choisir trois, ce serait Maltego pour son interface ergonomique et unifiée, un désassembleur et débuggeur multi architecture de type IDA, et enfin Python, pour développer facilement mes idées en applications. Si on me laisse le choix, je prendrai aussi quelques machines virtuelles pour détonner des codes afin de faire de la levée de doutes et les analyser en environnement confiné.
Retrouvez la suite de cette interview ici.
