lundi 30 juillet 2012

Attaquer l'attaquant...ou appeler son avocat ?

Après une absence qui devient assez longue imputable à une activité professionnelle prenante, j'ai eu la surprise de constater une adhésion "en masse" (selon mes critères) sur Twitter. Que ces nouveaux suiveurs soient remerciés pour m'avoir quelque peu remotivé !

La Black Hat, conférence de sécurité bien connue, est un évènement où l'en penserait rencontrer plus de conférences techniques que..légales. Et ce ne serait pourtant que partiellement vrai. Une conférence, rapportée dans la presse (et citée dans les sources) est à l'origine de ce billet.

Le conférencier est un représentant de l'US Army Cyber Command et a pour tâche, visiblement, de conseiller les décideurs de son organisation sur les difficultés légales des opérations qui y sont menées. Ce qui, au passage, laisse penser qu'il n'y pas qu'une fonction "SSI" au sein de ces entités.

Son premier conseil, s'adressant à des entités privées faisant face à une attaque, est tout d'abord de s'assurer de la présence d'un juriste compétent susceptible de conseiller utilement les décideurs. Ce faisant, c'est également un conseil pour une meilleure préparation à ce type d'évènements qui est donné ici.

Bien évidemment, une conférence de ce type n'est pas donnée sans qu'un contexte y soit propice. L'actualité est en effet riche d'attaques, en particulier ces fameuses "APT" dont la particularité est de s'introduire dans un système d'informations par le biais d'échanges avec des éléments externes (messagerie, navigation, médias amovibles) et de s'y propager.

A ces attaques, de plus en plus d'entreprises possédant tout à la fois des compétences accrues en matière technique et une certaine assise financière (que l'on associe facilement une capacité de lobbying) répondent par des attaques informatiques visant les infrastructures utilisées par les pirates et que l'entreprise est capable d'identifier dans les sources des attaques menées contre elle. Nous en parlions quelques mois auparavant.

Plusieurs problèmes peuvent se poser. Le premier, en lien avec ce billet, est d'ordre légal : l'état est dépositaire d'un monopole de violence légitime pour paraphraser une célèbre citation. Autrement dit, les aspects offensifs sont du ressorts d'une autorité publique. Ne l'étant pas, on tombe alors sous le coup des lois réprimant les comportements informatiques "agressifs" : la loi Godfrain en France par exemple (parmi d'autres).

Un autre problème est le suivant : un expert en informatique, même confirmé, n'est pas un enquêteur. Autrement dit, son analyse ne suit pas forcément une méthode rigoureuse ou ne bénéficie pas toujours d'une expérience nourrie. Enfin, l'usage des infrastructures dans les attaques répond également à une logique de protection et donc à un "brouillage" des pistes.

Dans ces conditions, il est donc probable que des erreurs soient commises entraînant l'entreprise attaquée à répondre en mettant hors un service un serveur de Command & Control par exemple. Triple erreur !

Non content d'être en délicatesse avec la loi, c'est également un excellent moyen d'avertir l'attaquant et de le faire fuir ou encore de le rendre plus discret et donc moins détectable si par hasard vous n'aviez pas tout découvert de sa méthodologie d'intrusion. Enfin, c'est également avoir un impact possible sur une machine ou  un service légitime avec toutes les problématiques afférentes...

De plus, qui vous dit qu'on ne vous y a pas poussé ?

Une grande prudence s'impose donc dans ces pratiques : le plus sûr étant d'en appeler aux services concernés et spécialisés tout en se protégeant de la manière la plus efficiente. A cela, une solution : la préparation !

Source :


Aucun commentaire:

Enregistrer un commentaire