La Threat Intelligence en action : enfin un exemple concret !

« Ok, mais concrètement, ça me servira à quoi, votre truc ? »

Pour le RSSI ou le DSI constamment bombardé de sollicitations commerciales, cette question est souvent la seule qui compte. Et lorsqu’elle concerne les solutions de Threat Intelligence, la réponse n’est pas toujours évidente à trouver sans entrer dans des détails qui fâchent.

Alors pour apporter ma modeste pierre à l’édifice, voici comment, dernièrement, l’application de techniques issues de l’analyse de la menace m’a permis d’alerter l’un de mes clients d’une forte augmentation de son risque de fraude au président dans les jours à venir.

Le client en question est soumis depuis plusieurs mois à des tentatives d’extorsion par email (du bluff, systématiquement) et, plus grave, a subi plusieurs tentatives de fraude aux faux ordres de virement (des plaintes ont été déposées).

Une partie de l’accompagnement sécurité que je lui prodigue consiste à tenter de comprendre les patterns éventuels entre ces différentes tentatives afin d’identifier des liens qui permettraient de lier certaines de ces attaques à un ou plusieurs acteurs communs.

Pour cela, évidemment, l’un des points d’entrée évident est l’adresse IP d’origine des courriers, lorsque celle-ci est disponible (loué soit l’en-tête X-Originating-IP !)

Ce matin, alors que je m’intéressais à l’une des adresses IP utilisée dans le cadre d’une récente tentative de fraude au président, je découvre que celle-ci est très discrète : elle ne « match » que chez peu de services de DNS passifs, et pour les meilleurs d’entre eux elle n’a été vue que deux fois : une première fois en 2016, ou elle a n’été été active qu’une journée. Elle pointait alors vers un reverse DNS qui se trouvait être un service de DNS dynamique gratuit. Puis après deux ans sans activité, elle apparaît une seconde fois en janvier 2018, le jour même où mon client a reçu le courrier frauduleux. Elle n’a plus été vue depuis.

Dans cette seconde incarnation l’adresse pointait vers un autre reverse DNS, lui aussi un service de DNS dynamique, mais différent du premier. Un mode opératoire commun qui peut déjà pointer vers un acteur unique.

Je m’intéresse alors fort naturellement à ce second reverse DNS, dans l’espoir de découvrir s’il a été associé à d’autres adresses IP depuis. Et je découvre avec stupeur qu’il pointe depuis le jour même sur une nouvelle adresse IP très proche de celle utilisée lors de l’escroquerie précédente (même bloc /24).

Et c’est là que la Threat Intelligence démontre toute son utilité : la dernière fois qu’une adresse de ce même bloc a été associée à ce reverse DNS particulier, elle est restée active une journée seulement et dans cet intervalle mon client a subi une tentative de fraude au président par email. Alors si ce même reverse DNS pointe depuis ce matin vers une nouvelle adresse similaire à la précédente (et hébergée sur la même infrastructure), il y a de grands risques pour qu’une nouvelle tentative ait lieu prochainement.

J’ai ainsi alerté mon client, qui a pu élever le niveau de vigilance des collaborateurs les plus exposés. Je n’ai pas de retour encore, et peut-être qu’il ne recevra rien. Peut-être qu’une autre entreprise, quelque part dans le monde, était la victime désignée cette fois-ci. Peut-être les informations des services de DNS passif sont-elles incomplètes. Ou peut-être me suis-je tout simplement trompé.

Mais cet épisode me semble illustrer à merveille le gain que l’on peut attendre de la Threat Intelligence comme outil destiné à anticiper la menace en gardant un oeil sur les mouvements de l’adversaire et en contextualisant le renseignement.

Il s’agit ici bien entendu d’un cas isolé, presque un coup de chance. Nous sommes bien loin des offres formelles de Threat Intelligence. Car pour être efficace une telle approche demande en effet à être industrialisée, et beaucoup de main d’oeuvre qualifiée (certains s’en chargent très bien !).

Mais cela illustre à mon sens parfaitement comment, à l’image de l’Intelligence Economique, les techniques de Threat Intelligence peuvent elles aussi faire partie de la boîte à outil d’un véritable accompagnement de sûreté et cybersécurité de proximité.

Après tout, monsieur Jourdain faisait bien de la prose…  

Lire les articles précédents :
Meltdown, Spectre : le point sur une catastrophe

En 7 questions, retour sur le feuilleton Spectre et Meltdown. De quoi s’agit-il exactement ? Est-ce vraiment aussi terrible qu’il...

Fermer