Cyber investigation : enquête, technique et intuition

À quelques jours de la finale de la Coupe du Monde, cet évènement mondial – et l’engouement qu’il suscite – peut-il permettre à un acteur malveillant de s’introduire dans votre réseau ?

La réponse est oui ! Plusieurs méthodes pourraient être utilisées, mais nous allons nous pencher sur celle qui est à la source de 71% (source : 2018 Internet Security Threat Report – Symantec) des attaques ciblées : le phishing, et plus particulièrement le spear-phishing.

Phishing : ça n’arrive pas qu’aux autres

Beaucoup trop d’entreprises disent encore :

« Une cyber-attaque ? Ça n’arrive qu’aux autres ! »

« Vous nous parlez de ce que peuvent faire des pirates Russes (remplacer par n’importe quel pays), mais on ne vend pas ce produit en Russie ! »

Et pourtant, le phishing cible les petites entreprises comme les grandes.

La preuve : en 2017, suite au chiffrement de ses données par un ransomware (issu d’un phishing), une PME a dû déposer le bilan, faute de base client, de base de stock et de données comptables.

Victime d'un partage informatique.

Autre exemple : Facebook et Google ont été victimes d’une arnaque au président, d’un montant total de 100 millions de dollars. Ces fonds ont pu être récupérés, suite à une enquête du Département de la Justice américaine.

facebook et Google victimes d'attaques au président.
À la différence du phishing, le spear-phishing a pour objectif de cibler une personne ou une entité bien spécifique.
La différence entre le phishing et le spear-phising.

La cible étant réduite, on pourrait penser qu’il est complexe de mettre en œuvre du spear-phishing ?
Spoiler alert : Non !

C’est très simple à faire…

Créer une campagne de spear-phishing n’est pas réservé à un petit nombre de « hackers », il est très simple, pour un attaquant ayant des compétences basiques en informatique, de réaliser cette attaque.

Pour démontrer cela, et faire prendre conscience de la menace, nous étudierons dans un prochain article de blog (Episode 2) un cas concret : créer un e-mail de spear-phishing contextualisé à la Coupe du Monde de Football 2018.

Objectif : Récupérer les identifiants et mots de passe des collaborateurs de l’entreprise XYZ.

Démarche : Pour cela nous allons utiliser une démarche assez classique, en trois étapes :

Prendre connaissance de la menace du phishing avec Orange Cyberdefense.

Nous reviendrons en détails sur ces trois étapes dans l’épisode 2.

… et ça fonctionne bien !

Nous le constatons lorsque nous effectuons de fausses campagnes de phishing pour le compte de clients, à l’aide de l’outil développé par Orange Cyberdefense, Phishing Point.

En moyenne, lors de premières campagnes de phishing et sur des scénarios très basiques (phishing et non spear-phishing) :

50% à 70% des utilisateurs cliquent sur le lien ;
20% à 30% des utilisateurs entrent leur identifiant + mot de passe.

Ces chiffres sont d’autant plus élevés lors d’une campagne spear-phishing.

Mais comment se construit une telle campagne ? Comment s’en protéger ? Nous le verrons dans des prochains articles de blog (épisodes 2 et 3) en prenant un cas concret : la Coupe du monde 2018.

Robinson Delaugerre, expert en investigation numérique (digital forensics) nous présente son quotidien :

Au CSIRT d’Orange Cyberdefense, Robinson Delaugerre, expert en investigation numérique, manage une équipe de dix personnes formées pour répondre aux incidents de sécurité et protéger le patrimoine numérique de leurs clients. Si ce métier d’enquête nécessite de la technique, l’intuition est primordiale pour comprendre l’attaquant et remédier aux attaques.

L’intrusion numérique, une trace laissée qui raconte le mode opératoire de l’attaquant

Protéger ses clients, défendre les utilisateurs d’Internet, c’est le quotidien de Robinson et la source de satisfaction de ce passionné d’investigation numérique.

Robinson Delaugerre est Investigations Manager au sein du CSIRT d’Orange Cyberdefense, l’unité de défense qui organise la réponse à incidents. C’est un métier d’enquête et un défi intellectuel :

« Quand un attaquant entre en interaction avec votre système d’information, cette intrusion laisse une trace que nous devons trouver, recueillir, interpréter, et décortiquer pour lui donner du sens. Cette trace, elle peut se manifester tout simplement par des mails qui disparaissent, une fenêtre qui s’ouvre et vous propose un téléchargement. »

A Robinson Delaugerre et son équipe de définir qui est l’intrus, comment il opère et comment l’arrêter.

Le temps : notre ennemi, notre allié

Cette semaine, un client a appelé en urgence. Plusieurs comptes mails avaient été « compromis » et cette intrusion se répandait sur d’autres comptes mails.

« Il faut aller vite, c’est un rush d’adrénaline car les enjeux pour le client sont éminemment stratégiques et sont sous notre responsabilité. On peut intervenir sur n’importe quel périmètre et nous montons en compétence en même temps que les attaques se complexifient. Nous pouvons comprendre n’importe quelle technologie. »

Interpréter la trace, réparer l’incident et accompagner la résilience

Une fois l’attaque comprise et contenue, le client est accompagné dans sa résilience numérique :
« Nous lui construisons un plan de remédiation. C’est une recommandation technique, organisationnelle et budgétaire pour reconstruire son écosystème après une attaque. Notre mission est de lui apporter des solutions pour protéger son patrimoine numérique. »

La sécurité c’est aussi une démarche qualité. Après plusieurs années d’expérience, Robinson constate que dans la majorité des cas d’incidents qu’il gère, les clients réagissent après leur toute première attaque et prennent alors conscience qu’ils auraient dû anticiper. « On a toujours tendance à sous-estimer le risque quand il semble loin de nous ». Le premier incident est alors souvent vécu comme un traumatisme et le rôle des équipes du CSIRT est aussi d’aider l’entreprise victime à reprendre confiance. « Il y a pour ça des mesures techniques bien sûr mais nous faisons aussi beaucoup de pédagogie pour qu’ils comprennent ce qui s’est passé, et pour qu’eux-mêmes prennent la main sur la réparation de l’incident. »

Rejoindre les équipes du CSIRT : compétences techniques, compétences comportementales.

Le recrutement porte à la fois sur le parcours et les soft skills. Si l’équipe est majoritairement composée de profils ingénieurs et de techniciens, elle compte aussi par exemple un docteur en biologie. Car ce qui prime, c’est avant tout le sens de l’investigation, l’intuition et l’expérience :
« C’est plus simple de former un policier qui a dix ans de terrain et la culture de l’investigation et de le faire monter en compétence sur la technique que de former quelqu’un qui a dix ans de technique mais aucun sens de l’investigation.» explique Robinson. De la détermination, de la méthodologie, de l’agilité pour s’adapter quotidiennement aux différentes morphologies d’incidents, des qualités de communicant et de l’empathie, c’est ce qui caractérise cette communauté d’enquêteurs et d’analystes qui n’ont qu’une mission en tête : protéger votre propriété intellectuelle, vos données, votre image.

Réponse à incident

Vous faites face à une cyber attaque ?

24/7/365 nos experts vous accompagnent réponse à incident.

CSIRT

Préparer votre mise en conformité à la Directive NIS 2

Construisez votre stratégie de sécurité du Cloud

Comprendre le programme CaRE

Micro-SOC : une gamme complète pour protéger votre PME de la menace globale

Micro-SOC Shield : sécurité périmétrique renforcée sur vos infrastructures réseau

Micro-SOC Mobiles : une protection optimale contre les nouvelles menaces mobiles

Ethical Hacking. Et les meilleurs hackers sont à vos côtés

Security Game : sensibiliser par le jeu

SASE 2.0 : Les clés pour une adoption réussie