APTe ou in-APT, face aux A.P.T. ? À vous de voir !

La mode des APT est bien implantée depuis maintenant quelques années et l’actualité sécu est rythmée par la publication des rapports de sociétés soucieuses de surfer sur le buzz des noms les plus improbables (vivement le rapport « tardigrade irradié » !).

Le nombre de ces rapports montre que, heureusement, les victimes commencent à découvrir ces attaques et parfois même à les rechercher. En France, la médiatisation de l’attaque de Bercy en mars 2011 a sûrement contribué à réveiller les esprits les plus endormis.

La réponse aux incidents est donc hype, utilisée commercialement pour se proclamer expert, capable de détecter, corriger et prévenir les attaques à grand renfort de « spectrométries sur équipements » ou autre « cyber intelligence » ! Mais au final, combien d’équipes sont déjà réellement intervenues sur des attaques de grande ampleur et donc aptes à fournir le service promis ? Car le forensics à l’ancienne a vécu et personne ne peut plus traiter l’incident seul à coups de dd et de grep. Aujourd’hui, l’APT ne peut être considérée que comme une crise où, nécessairement, la dimension humaine est cruciale. De plus, l’ensemble des domaines techniques de la SSI est concerné ; au-delà des OS traditionnels, tous les composants du SI : smartphones, IPBX, cœur de réseau, équipements industriels, etc. font partie du périmètre à analyser.

Bref, la situation est dramatique dans un monde qui se divise en deux catégories : ceux qui connaissent leur compromission et ceux qui doivent encore la découvrir. Or, celle-ci est encore vue comme l’étaient les poux : une maladie honteuse. Pourtant, seule la collaboration permettra de combattre l’épidémie et de réduire l’asymétrie entre attaquant et défenseur. Pour lutter efficacement, il est nécessaire de mettre en place un partage entre tous les acteurs sur les outils, les techniques d’attaques, les marqueurs, etc.  Reste à voir d’où viendra le salut. Peut-être l’ANSSI donnera-t-elle (enfin !) l’impulsion du partage généralisé ? Ou faudra-t-il attendre un acteur privé de référence en Europe continentale, à l’instar de FireEye/Mandiant ou BAE/Detica ?

En attendant cette révolution, il faut jouer les pompiers et j’espère que ce numéro vous donnera non seulement un aperçu des difficultés auxquelles il faut faire face, mais également quelques idées à mettre en œuvre.

Raphaël Rigo

Au sommaire de ce numéro :

Introduction

p. 04  Qu'est-ce qu'un incident de sécurité ?
p. 11  Aspects juridiques et légaux du traitement d'incident

Analyse

p. 18  Analyse de malware à la rescousse du CSIRT : de la rétro-conception aux IOC
p. 25  Méthodologie d'analyse de vulnérabilités et production de signatures de détection
p. 33  Recherche d'indices de compromission sur iOS
p. 45  Quelle méthodologie pour une réponse à incident sur Android ?

Traitement

p. 54  La citadelle est tombée ! Cybercrise, comment s'organiser ?
p. 61  Débusquer l'APT dans votre parc
p. 68  Introduction au traitement des logs et des flux réseau dans une réponse sur incident
p. 75  Contrôler la sécurité des objets de l’Active Directory avec BTA