Publié le 6 octobre 2019

l’attribution des cyber-attaques [PODCAST No Limit Secu 6 octobre 2019]

Écrit par
Marc-Antoine LEDIEU - Avocat associé - Constellation

cyber-attaque ? attribution ? de quoi parle-t-on ?

[mis à jour le 6 janvier 2020] Voici l’URL de la page web du site No Limit Secu pour accéder à cet épisode de podcast sur l’attribution (possible ou non) des cyber attaques :
https://www.nolimitsecu.fr/attribution/
Que l’on soit un Etat, ou une entreprise, si l’on est attaqué, il peut être utile (voire nécessaire) de savoir « qui » se cache derrière !
Pour un Etat, l’attribution permettra de prendre (ou pas) d’éventuelles mesures de rétorsion.
Pour une entreprise « privée », l’attribution devrait permettre (on peut rêver) de lancer des poursuites judiciaires contre l’attaquant.
Je vous rappelle sur ce point que les personnes privées ne sont pas en France autorisées à « riposter » à une cyber attaque par une cyber attaque.
Le « hack-back » semble clairement hors-la-loi en France. C’est en tout cas la position officielle de l’ANSSI (allez écouter l’épisode de No Limit Secu sur ce sujet précis).
attribution des cyber-attaques - Podcast cyber-sécurité No Limit Secu [6 octobre 2019]


l’attribution des cyber-attaques

Le problème de l’attribution des cyber-attaques est à la fois technique et politique.
Il semble (selon ce qu’en disent l’invité et les contributeurs No Limit Secu) qu’il soit IMPOSSIBLE de déterminer de manière objective à qui attribuer une cyber-attaque.
Hélas, il ne suffit pas d’évoquer le problème du « spoofing » (usurpation de l’adresse IP source) pour comprendre que les attaquants cuvent facilement « tromper » ceux qui investiguent sur l’origine géographique d’une cyber attaque.
Hé oui : un serveur peut avoir fait l’objet d’une compromission préalable et se trouver – malgré lui – au centre des accusations.
Pourtant, ce n’est pas forcément ce serveur (ni son « opérateur ») qui peuvent être tenus pour véritablement auteur (ou responsable) de l’attaque identifiée.
C’est en cela que la technique dite du « rebond » (de serveur en serveur) pose un problème d’attribution sur l’origine réelle de l’attaque…
Et quand bien même « on » serait en mesure d’identifier l’adresse IP source de l’attaque, qui se cache derrière :

  • un Etat (comme la Corée du Nord, apparemment très en pointe pour l’utilisation de ransomware…) ?
  • un particulier pirate (aux motivations variées) ?
  • une personne privée agissant (spontanément ?) pour compte d’un Etat, comme cela semble souvent le cas pour des attaques provenant de Russie ?
  • une mafia organisée dans le seul but de rançonner des victimes ?

attribution des cyber-attaques - Podcast cyber-sécurité No Limit Secu [6 octobre 2019] 002

 


l’attribution des cyber-attaques : quelques slides rapides pour creuser le problème

Hors épisode No Limit Secu, et parce qu’on me demande pas mal d’intervenir sur ce sujet depuis quelques temps, vous trouverez dans le slider ci-dessous quelques éléments de réflexion.
Mais, pas de secret, si vous voulez savoir, il faut aller écouter le podcast, ne serait-ce que pour entendre l’avis de Ronan Mouchoux, chercheur en threat intelligence,  invité de l’épisode.

Contactez-nous

Nous écrire un mail