La cyber-sécurité frôle parfois la ligne rouge. Honeypot, hack back, investigations dans le darknet… certaines voies de riposte aux attaques informatiques sont souvent tentantes, parfois utiles, mais aussi à double tranchant. Tout l’art est d’en maîtriser l’usage.
La cybercriminalité peut avoir des impacts au plus haut niveau des entreprises, avec des répercussions économiques considérables. En 2014, pour la première fois, une attaque informatique a eu raison d’un patron. Gregg Steinhafel, PDG du groupe de distribution américain Target, a ainsi démissionné à la suite du vol de 110 millions de numéros de cartes de crédit de consommateurs. Le premier d’une longue liste…
La tentation de la riposte
Face à ces attaques de plus en plus déstabilisantes, la tentation est grande dans les entreprises de recourir à la légitime défense, en utilisant les mêmes « armes » que les attaquants. On ne parle pas ici de chatbot justicier, mais bien de hack back ou cyber-riposte, une stratégie consistant à déployer des mesures de représailles face à des attaques informatiques.
Aux États-Unis, un texte de loi octroyant aux sociétés privées un droit à l'autodéfense cyber est en préparation depuis l'automne 2017. L’idée est de permettre aux entreprises d’investir d’autres réseaux que les leurs pour identifier ou perturber les attaques. Autant dire que, si le texte est adopté, les États-Unis vont radicalement changer la donne au niveau international.
Une solution à hauts risques
Légaliser le hack back, c’est ouvrir la boîte de Pandore, préviennent de nombreux experts. En permettant à n'importe qui d'accéder aux systèmes informatiques des autres en toute impunité, c’est la légitimation d’un far west numérique. D’autant que l’origine d’une attaque n’est jamais très claire comme le souligne Paul Fariello, membre de l’équipe de Security Intelligence chez Stormshield : « c’est une pratique à haut risque puisqu’on ne sait jamais vraiment quelle machine a été réellement utilisée pour lancer une attaque ». Pour Pierre-Yves Hentzen, CEO de Stormshield, « le problème de la légitime défense numérique est que, contrairement au monde physique, elle n’en respecte pas les règles. À savoir, la simultanéité (sur le web, on ne peut pas riposter instantanément), la proportionnalité (on ne connaît pas l’impact réel de l’attaque) et la riposte à l’attaquant (difficilement identifiable sur le web). »
Le problème de la légitime défense numérique est que, contrairement au monde physique, elle n’en respecte pas les règles. À savoir, la simultanéité, la proportionnalité et la riposte à l’attaquant.
Pierre-Yves Hentzen, Président de Stormshield
Le problème est bien là : avec les techniques de masquage ou de falsification, voire la création de faux indices numériques, toute riposte agressive induit de sérieux risques d’erreurs de cibles. « Se lancer dans une action de hack back, c’est risquer de toucher une tierce partie innocente si, par exemple, le pirate a utilisé un autre PC comme zone de rebond. On peut imaginer les conséquences dramatiques si ce dernier est passé par l’ordinateur d’un hôpital par exemple », explique Paul Fariello. Et c’est également ouvrir la voie à des effets d’aubaine : pourquoi ne pas riposter contre un concurrent en prétextant une attaque ? De quoi tomber dans une spirale infernale de représailles à tour de rôle… Ou de légitimer des cyberfrappes préventives.
De la défense passive à la défense active
Les entreprises ne sont toutefois pas totalement démunies face aux cyberattaques. Dans le registre d’une défense passive, les honeypots (pot de miel ou piège à pirates) ont leur utilité. Ces systèmes informatiques publics volontairement vulnérables visent à attirer les pirates. « Les honeypots permettent de se rendre compte des actes malveillants qui menacent une entreprise et des outils qui peuvent être utilisés », note Paul Fariello.
Mais pour empêcher l’utilisation d’un honeypot comme point de départ d’attaques de hackers sur d’autres systèmes, il est indispensable de réduire au minimum les connexions sortantes. Reste enfin la question de la légalité de ce type d’action. En effet, les entreprises y ayant recours ne sont pas à l’abri de risques connexes. À commencer par le recours juridique de tierces personnes, si l’attaquant a réussi à « s’échapper » de l'honeypot et à l’utiliser comme rebond pour conduire de nouvelles attaques contre d’autres systèmes. Il existe également un risque assurantiel : la mise en place d’un honeypot, si elle introduit des risques pour le système d’exploitation assuré, pourrait conduire à exclure les garanties de la police d’assurance en matière de risques informatiques.
Dans un registre plus offensif, comment ne pas citer la conférence INFILTRATE ? Cette conférence ultra-technique aux États-Unis se concentre exclusivement sur des solutions offensives aux problèmes de sécurité, et « évite les questions politiques et les présentations de haut niveau pour se concentrer sur de la viande technique hard-core qui fait réfléchir ». Tout un programme…
"Attacking a co-hosted VM" 👉🏻 Discover in video the presentation by .@paulfariello and @abu_y0ussef, @Stormshield_ security engineer and researcher at @InfiltrateCon! https://t.co/naAe7PkQ4o w./ @ThisIsSecurity_
— Stormshield (@Stormshield_) 18 mai 2018
Plongée dans le darknet
Pour les plus aguerris, existe également l’aventure du darknet. « Il fait partie de l’environnement du web, ce serait une erreur pour une entreprise de ne pas l’utiliser à des fins de veille et de protection », assure Damien Bancal, journaliste spécialisé dans la cybercriminalité. Or le deep web, cette partie d’internet qui n’est pas répertoriée par les moteurs de recherche, et le dark web, composé de nombreux réseaux privés garantissant l’anonymat des données de leurs utilisateurs, sont par définition le terrain de jeu de prédilection des cybercriminels. « Même si cela nécessite un certain niveau d’expertise, cette partie d’internet est tout à fait accessible et utile. Elle permet de collecter des informations en mode veille afin de détecter des bad buzz potentiels, d’identifier des casses de données en préparation ou ayant été réalisés », estime Matthieu Bonenfant, directeur Marketing de Stormshield. La surveillance du darknet permet en effet de repérer les menaces avant qu’elles ne se concrétisent. En matière de vols de données, de divulgations d’informations confidentielles voire de délits d’initié, mais aussi en termes d’image et de réputation.
Une démarche et des outils adaptés
Investir le darknet nécessite cependant un minimum de précaution. « Les limites sont claires : il est hors de question de passer la ligne rouge en entrant dans l’illégalité. Seules quelques rares autorisations de l’État peuvent exister pour son propre usage exclusif – dans le cadre notamment de la loi de programmation militaire (LPM) – afin de lui permettre de neutraliser un système attaquant », prévient Pierre-Yves Hentzen.
Côté outils, il existe toutes sortes de techniques telles que les hidden web crawlers, ces robots spécialisés dans l’analyse du contenu d’importantes quantités de pages du web souterrain. « Mais le meilleur outil pour scruter le darknet reste l’humain », note le journaliste Damien Bancal, « avec tous les log in, mots de passe et systèmes d’authentification mis en place sur cette partie du web, à ce jour aucun logiciel ne peut remplacer l’infiltration humaine. D’autant que, sur le darknet, on trouve généralement ce qu’on ne cherche pas. C’est un peu comme au marché aux puces… ».
L’horizon improbable d’une « cyberpaix »
L’éradication de la cybercriminalité serait-elle une chimère ? Certains ne veulent pas s’y résoudre et se prennent à rêver d’une « cyberpaix », d’un droit international qui encadrerait le comportement des acteurs étatiques et privés. La clé : une définition et identification claire des parties prenantes. Mais c’est ici que réside toute la difficulté.
« Un tel pacte de non-agression numérique à l’échelle internationale est évidemment souhaitable, mais il sera certainement difficilement applicable », remarque Pierre-Yves Hentzen. Dans le cyberespace, difficile d’être sûr que les membres dudit pacte n’aient pas généré d’attaques envers leurs « alliés » d’aujourd’hui. Ni qu’ils le seront encore demain. La route semble encore longue vers une première « convention de Genève numérique » …
En plus de la dimension politique, « le développement du numérique est plus fort que tout, comme en témoigne l’augmentation du nombre de comptes Facebook malgré le scandale Cambridge Analytica qui a concerné des millions de données personnelles ». L’heure est donc plus que jamais à la vigilance et à la nécessité de protéger au mieux les personnes et les entreprises. Et si la meilleure attaque, c’était la défense ?
