Vous avez dû vérifier la véracité d’informations préalables à certaines attaques. Quel est l’objectif pour l’attaquant de pratiquer la désinformation?
Bertrand Lathoud. – «Si les systèmes tombent, le pays devient désorganisé. C’est un élément qui peut être ensuite exploité pour faire pression sur le gouvernement en utilisant plusieurs messages auprès de la population. L’objectif est de provoquer une déstabilisation de la population.
Vous parlez de guerre de l’information. L’exercice Locked Shields s’apparente-t-il à une forme de conflit hybride?
«Il est clair qu’on mélange à la fois l’immatériel et des actions très concrètes comme des sabotages. J’imagine que ça représente ce qui est communément appelé un conflit hybride. Dans tous les cas, ça y ressemble fortement. On voit d’ailleurs qu’il est particulièrement difficile de coordonner la défense à tous les niveaux. C’est très consommateur en ressources.
Lire aussi
Il faut parvenir à vérifier ce qui est annoncé sur les réseaux sociaux et vérifier s’il s’agit d’actions réelles ou pas. Cela nécessite d’investiguer quand il s’agit d’infrastructures qui sont présentées comme étant en panne alors qu’elles ne le sont pas. Il faut donc comprendre s’il s’agit de bluff destiné par exemple à faire peur à la population en lui faisant croire qu’elle n’a plus accès à l’eau potable ou si les systèmes de distribution de l’eau ne sont effectivement plus disponibles.
Il faut parvenir à vérifier ce qui est annoncé sur les réseaux sociaux et vérifier s’il s’agit d’actions réelles ou pas. Cela nécessite d’investiguer quand il s’agit d’infrastructures qui sont présentées comme étant en panne alors qu’elles ne le sont pas.
La lutte contre la désinformation rentre donc dans le champ de la cybersécurité?
«En partie, oui. On ne peut pas l’ignorer parce que ça a un impact sur la tranquillité publique du pays. Il faut alors être capable de rapidement identifier s’il s’agit de quelque chose de fondé ou pas, notamment lorsqu’on parle d’infrastructures critiques. Il faut être en mesure d’enquêter physiquement dans les systèmes. Il faut en avoir les compétences. L’idée de l’agresseur est de créer de la panique. Un autre aspect est de discréditer la parole publique. À force d’entraîner le doute, on finit par ne plus rien croire, y compris ses propres autorités. L’objectif étant de paralyser les populations. On voit dans certaines situations internationales en cours qu’une population hostile à l’agresseur peut avoir un effet sur le champ de bataille. Si l’adversaire peut la paniquer ou la paralyser, cela lui sera bénéfique.
N’y a-t-il pas aussi un but de mobiliser des ressources et de l’attention à un endroit plutôt qu’à un autre?
«La diversion est en effet un aspect important des opérations. Il est clair que, si nous devons investiguer un incident, nous ne sommes pas en train de faire autre chose à ce moment-là. Nous avons à cet égard un système d’échange d’information entre les équipes. L’infrastructure qui est utilisée est la plateforme MISP, développée ici à Luxembourg. C’est une plateforme de partage d’informations liées aux menaces cyber, utilisée très largement dans la plupart des Cert européens pour échanger de l’information opérationnelle sur les menaces. C’est un projet qui est parti de la Belgique et de l’Otan qui a été repris par le Luxembourg. On se rend compte aujourd’hui que ça a été une très bonne idée, car c’est en train de devenir l’un des standards internationaux en matière de ‘threat intelligence’. Ainsi, pour répondre à la question des ressources mobilisées, quand une équipe identifie des indices techniques, elle peut immédiatement les partager avec les autres équipes. On économise ainsi du temps et des ressources.
Un autre aspect est de discréditer la parole publique. À force d’entraîner le doute, on finit par ne plus rien croire, y compris ses propres autorités. L’objectif étant de paralyser les populations.
On a parlé de certains mécanismes d’attaque, mais quelles sont les méthodes de défense les plus courantes?
«On essaie le plus possible d’empêcher l’adversaire de prendre le contrôle, en l’occurrence détecter toutes les tentatives et de comprendre les modes opératoires. On a aussi les outils classiques, tels les ‘firewalls’ ou les contrôles d’accès, qu’on essaie de durcir, puisque l’équipe d’attaque va essayer de trouver les failles logicielles qui permettent d’exploiter les outils malgré la sécurité en place. Le but numéro un est d’empêcher que toute attaque ne commence. Ensuite, si on voit que certaines machines sont compromises, il faut les ramener à un état le plus propre possible. Et si ce n’est pas possible, on va les isoler complètement, voire les débrancher. On essaie de mettre en place des outils de monitoring qui se croisent, de telle sorte que, si une attaque est invisible pour l’un, elle peut être détectée par l’autre. Pour les machines très exposées, une autre technique est de les reconfigurer, de remettre régulièrement l’image initiale, afin de s’assurer une configuration propre.
Pouvez-vous aussi manipuler l’attaquant aussitôt que vous identifiez sa présence dans un système?
«Rien n’empêche de faire perdre du temps à l’attaquant, et ainsi faire augmenter ses coûts opérationnels. Vous pouvez faire en sorte que le système qu’il est en train d’attaquer mette du temps à répondre, mais réponde quand même. S’il poursuit l’attaque, ça va être un temps important qui va être perdu. Vous pouvez mettre aussi en place des systèmes leurres, qui ont l’air d’être critiques, mais qui ne servent à rien, de manière à ce qu’il s’acharne sur quelque chose qui n’est pas utile à l’ensemble du système d’information.
Si on voit que certaines machines sont compromises, il faut les ramener à un état le plus propre possible. Et si ce n’est pas possible, on va les isoler complètement.
C’est un peu la technique des «honeypots»?
«C’était exactement l’esprit du concept de ‘honeypots’, avec un double intérêt: à la fois leurrer les agresseurs vers des systèmes inutiles, mais également les observer pour comprendre leurs modes opératoires et mettre en place les défenses correspondantes.
Vous venez de mentionner le rôle critique de la «threat intelligence». Quels sont les défis?
«Une difficulté dans le domaine cyber est l’attribution d’une attaque. On ne sait pas qui attaque. S’agit-il d’un individu ‘chauffé à blanc’ ou d’un groupe travaillant pour le compte d’une administration spécialisée telle qu’un service de renseignement? Il est souvent difficile de le savoir. D’où l’intérêt de la ‘threat intelligence’ qui va permettre de croiser des informations et des observations parcellaires pour construire une perception plus complète de la menace. Au Luxembourg, nous essayons de partager un maximum d’informations, au niveau opérationnel par le biais du Circl. À un niveau plus organisationnel, nous sommes occupés à mettre en place un observatoire des menaces pour avoir accès à des données les plus neutres et fiables possible sur les tendances du moment. Ce sont des choses très difficiles à percevoir. Les médias restent la principale source d’information pour les acteurs du marché, mais le problème avec les médias, ce sont des enquêtes ponctuelles. On est capable d’avoir une image cohérente et assez juste de la situation à un instant T, mais trois jours après, la situation a évolué, et un mois après, elle a encore changé. On se demande donc comment fournir de l’information basique permettant de se rendre compte des tendances. C’est quelque chose qui nous paraît nécessaire, mais qui n’est pas trivial, car il y a énormément de bruit, et les informations sont très hétérogènes. Il est donc difficile de faire des statistiques avec des éléments qui sont apparemment incompatibles.
Rien n’empêche de faire perdre du temps à l’attaquant et ainsi faire augmenter ses coûts opérationnels. Vous pouvez faire en sorte que le système qu’il est en train d’attaquer mette du temps à répondre, mais réponde quand même. S’il poursuit l’attaque, ça va être un temps important qui va être perdu.
La «threat intelligence» n’aide-t-elle pas aussi à faciliter votre travail de prévention des risques auprès des décideurs économiques?
«Quand on parle à des décideurs qui ne sont pas des spécialistes, mais qui doivent allouer des budgets, ils se trouvent dans une situation un peu difficile, car ils ne savent pas exactement évaluer ce qui leur est demandé. Tandis que si on peut avoir des tendances et des cas-types illustrés par des cas réels, cela devient beaucoup plus clair. Il y a un travail de conscientisation. Il y a une inquiétude qui devient de plus en plus significative pour les organisations, car elles se digitalisent. On aimerait donc bien avoir des données statistiques qui montrent la tendance en matière de menace cyber, accompagnées de cas illustrés. Si vous avez deux ou trois histoires réelles qui se sont passées dans tel ou tel secteur proche, ça devient d’un seul coup tangible. C’est d’autant plus important que les PME représentent l’essentiel du tissu économique en Europe et au Luxembourg. Pour de nombreux dirigeants de PME, le cyber reste abstrait. Ils ont l’impression de ne pas être concernés car ‘trop petits’, mais ne perçoivent pas que, pour un cybercriminel, ça peut valoir le coût d’attaquer de façon automatisée 1.000 petites cibles peu défendues.»
La première partie de cet entretien a été publiée le 4 mai sur paperjam.lu et .