Vous êtes
Sélectionnez votre pays
Les indicateurs de compromission (IoC)
Depuis février 2020, l’ANSSI rend publiques des données appelées « Indicateurs de Compromission » (IoC). A quels besoins ces éléments répondent-ils ? En quoi cela peut-il améliorer la sécurité du système d’information des établissements ?
Enjeux
Définition : Les indicateurs de compromission [1] sont des marqueurs techniques destinés à identifier et reconnaître les modes opératoires caractéristiques associés aux groupes cybercriminels qui se manifestent sur notre territoire national.
Finalité
On comprend aisément l’apport de valeur que constituent les indicateurs de compromission pour les autorités en charge de protéger les intérêts de la nation :
- sur le plan quantitatif :
- ils permettent de mesurer l’ampleur de la menace en termes de volumétrie
- ils montrent la répartition des secteurs géographiques les plus touchés
- ils permettent d’identifier les pays d’origine en lien avec la menace
- sur le plan qualitatif :
- ils permettent de décrire finement les modes opératoires
- ils permettent d’attribuer une identification des bandes organisées derrières les exactions
Pour renforcer l’efficacité des indicateurs de compromission, les autorités se sont appuyées sur un standard technique générique pour décrire ces informations, ce qui leur permet :
- d’échanger ces informations au niveau d’instances internationales
- de permettre l’intégration de cette matière dans des outils techniques
Création des IoC
L’ANSSI met à disposition un l’outillage spécialisé permettant « la recherche, l’extraction et la mise à disposition des données forensiques » appelé DFIR ORC [2]. Lorsqu’un incident de sécurité apparaît au niveau du système d’information, cet outillage permet d’analyser la manière dont les systèmes utilisant la technologie Microsoft Windows auront été potentiellement compromis. En effet, dans son mode opératoire le plus fréquent, la menace cherche prioritairement à obtenir une élévation de privilèges pour permettre, par la suite, des déplacements latéraux à travers le système d’information. La gestion des privilèges étant le plus souvent centralisée et très imbriquée avec le système d’exploitation Windows, l’ANSSI, en toute bonne logique, a centré son expertise et sa capacité d’analyse sur ces environnements. De ce fait, pour faciliter le déploiement de l’outillage le plus rapidement, il est rappelé que l’outillage « a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle ».
Dans la phase de préparation, une configuration spécifique de l’outil permet d’adapter les réglages par défaut au contexte local pour lequel une analyse est requise.
Une fois terminé, l’outillage fabrique un ensemble de fichiers contenant les résultats de l’analyse au format CSV.
Notons également que la collecte d’information par cet outillage est susceptible d’embarquer des données à caractère personnel. L’exploitation des résultats collectés doit bien prévoir de faire disparaître ces informations qui ne sont pas utiles dans le cadre d’opérations d’analyse forensique.
Le contenu des IoC
Une fois qualifiés et publiés sur le site de l’ANSSI [1], les indicateurs de compromission sont mis à disposition en conformité avec le format standard JSON MISP, ce qui permet d’assurer l’interopérabilité entre les différents environnements susceptibles d’intégrer les éléments d’information.
Typologie des données
Les données mises à disposition décrivent des éléments techniques permettant d’identifier d’éventuelles traces de compromissions (voir tableau ci-dessous).
| Type d’indicateur | Description |
| comment | Commentaire
Exemple : Infrastructure utilisée par le groupe cybercriminel Lockean. |
| domain | Nom de domaine impliqué par une compromission
Exemple : akamai-technologies.digital |
| email-src | Adresse email utilisée comme expéditrice de messages
Exemple : admin@belpay.by |
| filename | Nom de fichier impliqué par une compromission
Exemple : /bin/backup |
| ip-dst | Adresse IP publique destination en lien avec la menace
Exemple : 135.181.97.81 |
| ip-src | Adresse IP publique source en lien avec la menace
Exemple : 104.168.174.32 |
| md5 | Empreinte MD5 appliquée à un fichier
Exemple : 84837778682450cdca43d1397afd2310 |
| sha1 | Empreinte SHA1 appliquée à un fichier
Exemple : 1348d76072280a489cc8d6a15aeb3617b59585ba |
| sha256 | Empreinte SHA256 appliquée à un fichier
Exemple : 6362084f61fa6a41b8b01b7c62215ad41a2623b69572ce558c33bffaa21f0af9 |
| size-in-bytes | Indication de taille de fichier
Exemple : 1032192 |
| text | Indication de chaine de caractère à usage divers (ici, une expression régulière)
Exemple : //49.12.104.241/\\w+\\.dll |
| url | Adresse url en lien avec la menace
Exemple : http://everestedu.org/lndex.php |
Apport de valeur pour les établissements
L’utilisation d’informations publiques massivement collectées et centralisées au niveau des autorités présente plusieurs avantages :
- Les IoC donnent une vision à grande échelle plutôt qu’au niveau individuel
- Cela permet d’anticiper sur une menace qui n’a pas encore approché l’établissement mais qui s’est déjà manifestée ailleurs
- Cela permet de déterminer quels biens sont en cours de compromissions, afin notamment de rechercher les dispositifs médicaux et donc de prioriser la maîtrise du risque en lien avec les patients
De plus, la diversité des indicateurs de compromission permet de statuer sur le déroulement chronologique d’une attaque en cours de déploiement :
- La présence d’adresses IP publiques source compromises indiquent une compromission au stade initial, non encore aboutie
- La présence d’adresses IP publiques destination indique une compromission déployée, devenue capable de communiquer avec la menace. Si un tel trafic est détecté comme autorisé, cela signifie qu’une action de nettoyage des éléments compromis est requise d’urgence ; il est alors possible d’intervenir avant que l’attaque massive du système d’information soit lancée.
Conclusion
Les IoC provenant de sources sûres telles que celles du CERT-FR sont disponibles gratuitement (en fait financé par les actions de Forensic souvent prises en charge par les assureurs) et donnent un bon niveau d’information qui serait inaccessible à un établissement par ses seuls moyens, la mutualisation des informations produisant un effet vertueux. De ce fait, l’intégration des indicateurs de compromission complète et renforce efficacement votre capacité à détecter les tentatives d’intrusion dans votre système d’information.
Références :
[1] Publication des IoC par l’ANSSI
https://www.cert.ssi.gouv.fr/ioc/
[2] L’outillage DFIR ORC
https://www.ssi.gouv.fr/actualite/decouvrez-dfir-orc-un-outil-de-collecte-libre-pour-lanalyse-forensique/
Sur le même sujet
Toutes les publications
Comment la cyberattaque par rançongiciel impacte-t-elle les établissements de santé ?
Comment estimer le coût d’une cyberattaque par rançongiciel dans un établissement de santé ?
