Cédric Voisin (Doctolib) "Dans un cas de fraude au paiement, nous avons retrouvé le numéro et la photo WhatsApp de l'attaquant"
Cédric Voisin est chief information security officer chez Doctolib. Il revient sur l'évolution de la menace cyber et les nouvelles pratiques des attaquants. Cédric Voisin interviendra le 25 septembre à l'occasion de l'événement hubdate Free Pro en collaboration avec le JDN.
JDN. Quelle est votre analyse de l'évolution du paysage des cybermenaces au cours des derniers mois ? Avez-vous observé de nouvelles tendances dans les vecteurs d'attaque ?
Cédric Voisin. L'évolution du paysage des cybermenaces ne se situe pas tant dans la typologie des menaces elles-mêmes que dans l'utilisation des technologies. Prenons l'exemple de l'IA : elle facilite considérablement les attaques en réduisant le temps nécessaire pour les mener à bien, ce qui change la donne pour nous comme pour les attaquants.
Les menaces sur les systèmes d'information restent fondamentalement similaires. Cependant, l'IA permet aux attaquants de générer du code plus facilement, de mieux le dissimuler, et nous observons de plus en plus d'attaques de type "supply chain". Ces dernières sont particulièrement astucieuses : on injecte un morceau de code censé corriger un bug, comme l'ont révélé quelques failles récentes. Ces failles ont été détectées lors de la relecture des "pull requests", mais le code malveillant était déjà en place depuis un certain temps, attendant simplement d'être fusionné.
Ce qui est frappant, c'est la professionnalisation des attaquants. Ils recherchent un retour sur investissement. Les groupes ayant développé des outils de pénétration des systèmes informatiques ont tendance à les revendre ou à les louer. Sur le Darknet, il est désormais possible de louer des capacités d'attaque, comme un botnet, pour lancer une campagne DDoS sur une cible choisie. Ces services sont disponibles à l'heure, à la journée ou pour quelques semaines. On trouve également des services de ransomware à la demande.
Observez-vous justement une évolution significative dans le profil des acteurs de le menace ?
La classification a peu évolué. Nous retrouvons toujours les "script kiddies", ces individus qui récupèrent des morceaux de code existants pour les utiliser sans les avoir créés eux-mêmes. Ils manquent de technicité mais peuvent causer des dégâts aux systèmes mal protégés.
Ensuite, il y a une scène de hacking plus professionnelle, le pendant des "white hats" : les "black hats". Leur objectif principal, au-delà de nuire, est de générer de l'argent. On trouve également les activistes, des groupes qui ciblent des entités dont ils désapprouvent les politiques, comme par exemple la politique écologique d'un pays. Enfin, il existe des groupes de type étatique, tels que la Corée du Nord, la Russie, Israël ou les États-Unis. La France en fait peut-être partie, mais communique peu à ce sujet. Ces acteurs développent des armes cyber principalement à des fins d'espionnage.
D'après nos dernières discussions avec l'ANSSI, Doctolib ne semble pas être une cible privilégiée des hackers étatiques. Bien que nuire à Doctolib pourrait impacter la France, nous ne sommes pas considérés comme une infrastructure critique.
Quelles méthodes utilisez-vous pour identifier et classifier les groupes d'attaquants ?
De notre côté, nous pouvons déjà croiser certaines informations grâce à nos accès à des sources de "threat intelligence". Ces sources nous fournissent des indicateurs de compromission propres à certains groupes. Par exemple, si nous identifions une technique spécifique, nous pouvons dire "c'est probablement Anonymous Sudan qui a fait ça, car ils utilisent toujours la même technologie". Cependant, nous sommes seulement capables de nommer un groupe, pas d'identifier précisément les individus.
La plupart des attaquants sont rusés et utilisent des nœuds Tor pour masquer leur origine. Les États disposent parfois de nœuds Tor malveillants qui leur offrent des capacités d'espionnage sur le trafic, mais nous n'avons pas accès à ces ressources. Les autorités peuvent, sur réquisition judiciaire, obtenir les journaux d'accès des proxys des États collaborant avec la France. Cependant, ces enquêtes sont généralement longues et nécessitent une analyse approfondie des données. La tâche se complexifie encore avec les attaques de type DDoS, où le trafic provient de centaines de milliers d'adresses IP différentes. Pour une société privée comme la nôtre, nous n'avons pas d'autres moyens que ceux fournis par l'État pour tenter d'identifier l'origine des attaques.
Nous nous appuyons donc sur des organismes spécialisés comme le BEFTI, la brigade de lutte contre la cybercriminalité de la Gendarmerie Nationale, qui possède des capacités d'enquête avancées. Il y a aussi l'OCLCTIC, l'équivalent du BEFTI pour la Police Nationale, ainsi que l'ANSSI, qui peut nous aider à trouver des informations cruciales.
Quelle est votre position sur la pratique du "hack back" ? Pensez-vous que la légalisation de cette pratique serait pertinente dans le cadre juridique français ?
Le "hack back" est interdit en France et pourrait se retourner contre nous. L'idée est séduisante, il serait de bonne guerre de pouvoir nuire à quelqu'un qui a tenté de nous nuire. On peut cependant induire en erreur les attaquants sans faire de véritable hack back. Par exemple, on peut leur faire croire qu'ils ont pénétré les systèmes visés et les faire s'engager dans des actions inutiles, leur faisant ainsi perdre du temps. On pourrait aussi leur envoyer des milliers de réponses, mais cela pourrait être considéré comme du hack back, donc nous restons vigilants et nous abstenons.
Notre approche consiste plutôt à rendre l'intrusion tellement complexe que nous avons une grande probabilité de détecter l'attaquant avant qu'il ne réussisse. C'est comme si nous rendions une maison extrêmement difficile à cambrioler. Parfois, nous nous autorisons quelques actions plus audacieuses. Par exemple, dans un cas de fraude sur des paiements, nous avons retrouvé le numéro et la photo WhatsApp de l'auteur. Nous avons discuté avec lui, ce qui a mis fin à ses agissements, mais nous n'avons pas poussé la plaisanterie plus loin.