De la nécessité de la sécurité offensive et de la légitime défense numérique
Réflexion

De la nécessité de la sécurité offensive et de la légitime défense numérique

🛡☨ Alexandre Lienard 🛡☨ Alexandre Lienard

🛡☨ Alexandre Lienard

Publié le 24 févr. 2021
+ Suivre

Sun Tzu dit : 

« Celui qui ne saisit pas les aspects néfastes du recours à la force armée, est incapable d’en comprendre les aspects positifs.»

L’Art de la Guerre est un ouvrage guerrier, écrit par un guerrier, fait pour des guerriers. Au temps où Sun Tzu est supposé avoir écrit son texte, régnaient en Chine ce que l’on appelle les Royaumes combattants. Comme l’indique cet adjectif, la guerre était prégnante dans ces royaumes, et la remporter signifiait survivre. En effet, là où de nos jours les guerres de conquête géographiques n’ont plus lieu d’être, à l’époque, il s’agissait là de l’unique moyen de prospérer.  

Aujourd’hui, les États prospèrent en combattant sur d’autres champs de bataille : économiques ou informationnels. Ainsi, le recours aux armes traditionnelles, les importantes mobilisations de troupes et autres aspects conventionnels de la guerre ne sont plus les premiers réflexes.

Dans notre société moderne, où l’information est partout et tout le temps, une autre forme de guerre sévit, tout aussi vitale. L’information stratégique est une denrée prisée par les États. Les compétiteurs économiques ou encore les criminels s’adaptent à ce nouveau terrain à un rythme effréné, et ils ne sont pas en reste.  C’est parfois à se demander qui de l’État ou de l’entreprise se repaît le plus dans ses combats informationnels livrés jusqu’à la mort, la fusion ou l’acquisition.    

Ne nous trompons pas et ne faisons pas preuve d’angélisme : si les métiers de défense des systèmes d’informations (CISO, RSSI…) sont des métiers défensifs, il n’en reste pas moins, tout en respectant la législation en vigueur, que ces activités revêtent parfois un caractère offensif nécessaire dans la grande chienlit des nouvelles guerres économiques.  

Selon nous, deux grandes tendances se complètent lorsque l’on évoque la sécurité offensive. L’on peut parler d’abord des opérations qui consistent à répondre aux attaques lorsqu’elles surviennent. Ensuite, l’on peut évoquer les moyens permettant de collecter offensivement et légalement de l’information et du renseignement à l’intérieur et à l’extérieur de nos frontières.  

Répondre à l’agresseur ou pas ?

Lorsqu’un système d’information est sous le feu ennemi, il est logique et humain de se poser la question de la riposte. Si pour un État, elle se pose facilement et trouve des réponses dans une légitimité intrinsèque[1], pour une entreprise ou une organisation privée, la question est plus délicate.  

Oublions ici la proportionnalité et la justification de la réponse d’État puisque cela dépasse le périmètre qui nous occupe.  

Si la réponse à une agression numérique est naturellement de faire valoir son statut de victime par le biais d’un dépôt de plainte voire via une demande d’assistance auprès des autorités, il ne faut pas oublier que la riposte numérique est une option importante, à ne pas négliger. D’abord parce qu’elle permet de fatiguer, d’intimider voire de neutraliser l’adversaire. Ensuite parce qu’il existe alors des opportunités de mieux connaître son adversaire en brisant ses systèmes de défense ou en l’obligeant à sortir du bois.

Sun Tzu dit :

« (au sujet de l’ennemi) Ne laissez échapper aucune occasion de l’incommoder, faites-le périr en détail, trouvez les moyens de l’irriter pour le faire tomber dans quelque piège ; diminuez ses forces le plus que vous pourrez, en lui faisant faire des diversions, en lui tuant de temps en temps quelque parti, en lui enlevant de ses convois, de ses équipages, et d’autres choses qui pourront vous être de quelque utilité. »

Brisons ici un tabou. Oui, répondre à un piratage informatique par un autre piratage informatique est un acte illégal. Rien ne peut (malheureusement) justifier d’actes semblables même à l’encontre d’un tiers criminel. La loi de la réciprocité n’existe pas pour les crimes numériques. La légitime défense numérique n’a pas encore été inscrite dans la loi ! Et pourtant, cela aurait de l’intérêt.  Nous vous laissons réfléchir à toutes les implications, au champ des possibles.  

Si la riposte était autorisée, quel assaillant numérique porterait plainte pour s’être fait dérober des accès ? Lequel d’entre eux irait faire valoir ses droits devant son infrastructure en lambeaux ? À titre personnel, nous croyons que le seul risque de riposte réside dans une forme d’escalade. Mais après tout, ce n’est pas vous qui avez démarré les hostilités. N’est-ce pas ?

Adversaire ou ennemi, quelle différence ?

Ici nous tenons à faire une incise importante. Dans notre ouvrage à paraître un point est spécialement dédié à cette question. En voici un extrait :

« (…) selon le CNTRL[2], Adversaire, ennemi désignent des personnes de partis différents et d’intérêts opposés entrées en compétition ou en conflit ; les ennemis sont opposés sur le plan des personnes et cherchent à se faire du tort, les adversaires, opposés sur le plan des intérêts et des actions, ne visent qu’à remporter l’avantage. »  

Peut-on alors dire qu’il existe une différence entre ces deux termes dans le monde de la guerre numérique ? Sans doute. Après quelques recherches, nous avons pris le parti de parler d’adversaires lorsque le combat est de bonne guerre, même si le combat est illégal, illégitime, sans éthique ou logique. Le terme ennemi est selon nous d’actualité lorsque l’attaque revêt un caractère plus nocif, lorsque l’attaque est orchestrée dans le but de faire du tort voire de causer des dommages irréparables aux personnes. 

Ainsi, un CISO peut parfois se trouver soit face à un adversaire soit face à un ennemi, même si nous sommes tous bien d’accord pour dire que la plupart du temps, le CISO se retrouvera face à un adversaire déguisé en ennemi.  

Peut-être y a-t-il lieu de se poser les questions suivantes. 

·      Êtes-vous face à un adversaire ou un ennemi ? 

·      Doit-on se comporter différemment avec un ennemi d’avec un adversaire ? 

·      Sommes-nous pour notre assaillant un adversaire ou un ennemi ?

La magie de l’OSINT – du renseignement offensif à l’état pur ?

Idéalement, avant tout raid numérique, il existe une phase de renseignement et notamment la recherche d’informations numériques[3]. L’OSINT (open source intelligence) ou ROSO (renseignement d’origines sources ouvertes) est une méthode tout indiquée, utilisée par les pirates informatiques et autres forbans numériques.  

Inutile ici de faire preuve d’angélisme, nous le savons tous, le Net et ses méandres regorgent d’informations sensibles : présentations stratégiques, success-stories de fournisseurs trop verbeux, schémas d’architecture, messages techniques sur les forums, présence sur les réseaux sociaux ou encore listes de mot de passe dans des fichiers pastebin, et encore tellement et tellement d’informations.    

Dans un contexte défensif, le CISO averti réalise ou fait réaliser régulièrement ces opérations de recherche sur son propre périmètre. Sous attaque ou aux prémisses d’un assaut numérique, rien n’empêche le CISO de réaliser les mêmes opérations à l’encontre de l’assaillant[4].

Sun Tzu dit :

« Connaissez l’ennemi et connaissez-vous vous-même ; en cent batailles vous ne courrez jamais aucun danger. »

Dans une démarche de riposte, utiliser les techniques et les outils d’OSINT peut s’avérer être d’un grand secours. Après obtention des informations et analyse de celle-ci, pourquoi ne pas passer à une phase de contact : regarder ce qui se cache derrière une IP ou un pseudo ?  

Et pourquoi ne pas passer à la phase contact en bombardant votre assaillant ? Ne fut-ce que pour le neutraliser ou faire cesser ses connexions intempestives ? On peut ainsi renverser la tendance et rendre la pareille en suivant les mêmes phases que l’assaillant : renseignement – contact – exploitation et démontage.   

Vers une légitime défense numérique ?

On en est encore loin !  Déjà dans la société civile, ce concept est très encadré.  Trop peut-être lorsqu’il s’agit des forces de l’ordre.  Cela dit, la différence entre légitime défense humaine et légitime défense numérique est de taille.  En effet, pour le moment, le système informatique n’a pas d’existence réelle ou légale.  Il en sera peut-être un jour autrement.

Mais éloignons-nous des débats philosophiques pour nous concentrer sur la possibilité de réponse.  En effet, pourquoi un système attaqué ne pourrait-il pas être utilisé pour riposter voire être vengé ? 

De notre point de vue, il serait juste d’offrir cette possibilité.  Même s’il est vrai qu’une escalade de violence est toujours possible.  

Cela dit, nous y voyons plusieurs avantages : 

·      Un découragement potentiel des assaillants

·      Un affinage de la nature de la menace et de ses possibilités techniques

·      Une analyse « à chaud » de la situation 

·      Un support pour le dépôt de plainte

·      Une meilleure collaboration avec les autorités (comme le préconisent de nombreuses normes)

·      Une amélioration du niveau technique des troupes 

·      Une amélioration de la connaissance des techniques d’attaques et des vecteurs.

Cela étant, ne rêvons pas.  Il y a encore tellement de chemin à parcourir en Europe, tellement d’évangélisation à faire, tellement de travail sur les consciences quant au numérique et à la sécurisation digitale.  

Quoi qu’il en soit, plus nous distillerons de la sécurité offensive dans notre approche, plus la sécurité préventive gagnera sur la sécurité curative.  N’est-ce d’ailleurs pas là le véritable challenge de nos métiers ? 

Envie d’en discuter ou d’en savoir plus ? 

Merci d’avoir pris le temps de lire cet article. Nous vous invitons à nous contacter pour plus d’information ou pour débattre sur le sujet.

Cet article est le premier d’une série de quatorze articles sur base hebdomadaire. Les sujets traités sont repris dans un ouvrage de référence qui paraîtra au second semestre 2021.

Éditeur Responsable : les Éditions de l’ASPIC – tous droits réservés. (info@aspicpublishing.com)

Rédacteur : Alexandre LIENARD, consultant et ancien CISO. (alex@skuld-intelligence.com) 

***


[1] Bien que peu d’états réputés démocratiques n’adoptent officiellement cette position.   Certains états, par le biais de leurs agences cyber, vont même jusqu’à déconseiller la chose.  C’est le cas de la Belgique : https://therecord.media/belgiums-top-cybersecurity-authority-on-how-to-make-the-internet-a-safer-place/ On se demande d’ailleurs quel est l’objetif d’une telle stratégie.  

[2] Centre National de Ressources Textuelles et Lexicales

[3] Dans la dernière version de la méthodologie EBIOS Risk manager, les découpages des scénarios de risques sont découpés de la manière suivante : Connaître – Rentrer – Trouver – Exploiter. 

La phase « connaître » que nous appelons généralement dans notre jargon « phase de reconnaissance » se découpe chez EBIOS en deux phases : la reconnaissance externe en  sources ouvertes et la reconnaissance externe avancée. 


[4] Notons au passage que ce point est crucial puisque souvent de la découverte de la nature de la menace et de l’identité de l’assaillant, l’on peut supposer de ses motivations et des moyens dont il dispose.

Identifiez-vous pour afficher ou ajouter un commentaire

Plus d’articles de 🛡☨ Alexandre Lienard

See all articles

Autres pages consultées

Explorer les sujets