Aller au contenu principal

menu
Menu

Nos experts partagent leur connaissance de l’environnement et vous accompagnent dans la compréhension des sujets d’actualités.

Retrouvez l'ensemble des publications de Sham.

Sham

5 min | Published le 07/06/22

Les indicateurs de compromission (IoC)

Depuis février 2020, l'ANSSI rend publiques des données appelées "Indicateurs de Compromission" (IoC). A quels besoins ces éléments répondent-ils ? En quoi cela peut-il améliorer la sécurité du système d’information des établissements ?  

Enjeux

Définition : Les indicateurs de compromission [1] sont des marqueurs techniques destinés à identifier et reconnaître les modes opératoires caractéristiques associés aux groupes cybercriminels qui se manifestent sur notre territoire national.

 

Finalité

On comprend aisément l’apport de valeur que constituent les indicateurs de compromission pour les autorités en charge de protéger les intérêts de la nation :

  • sur le plan quantitatif :
    • ils permettent de mesurer l’ampleur de la menace en termes de volumétrie
    • ils montrent la répartition des secteurs géographiques les plus touchés
    • ils permettent d’identifier les pays d'origine en lien avec la menace
  • sur le plan qualitatif :
    • ils permettent de décrire finement les modes opératoires
    • ils permettent d’attribuer une identification des bandes organisées derrières les exactions

    
Pour renforcer l’efficacité des indicateurs de compromission, les autorités se sont appuyées sur un standard technique générique pour décrire ces informations, ce qui leur permet :

  • d’échanger ces informations au niveau d'instances internationales
  • de permettre l’intégration de cette matière dans des outils techniques


 

Création des IoC

L’ANSSI met à disposition un l'outillage spécialisé permettant « la recherche, l’extraction et la mise à disposition des données forensiques » appelé DFIR ORC [2]. Lorsqu’un incident de sécurité apparaît au niveau du système d’information, cet outillage permet d’analyser la manière dont les systèmes utilisant la technologie Microsoft Windows auront été potentiellement compromis. En effet, dans son mode opératoire le plus fréquent, la menace cherche prioritairement à obtenir une élévation de privilèges pour permettre, par la suite, des déplacements latéraux à travers le système d’information. La gestion des privilèges étant le plus souvent centralisée et très imbriquée avec le système d’exploitation Windows, l’ANSSI, en toute bonne logique, a centré son expertise et sa capacité d’analyse sur ces environnements. De ce fait, pour faciliter le déploiement de l’outillage le plus rapidement, il est rappelé que l’outillage « a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle ».
Dans la phase de préparation, une configuration spécifique de l’outil permet d’adapter les réglages par défaut au contexte local pour lequel une analyse est requise. 

Une fois terminé, l’outillage fabrique un ensemble de fichiers contenant les résultats de l’analyse au format CSV. 

Notons également que la collecte d’information par cet outillage est susceptible d’embarquer des données à caractère personnel. L’exploitation des résultats collectés doit bien prévoir de faire disparaître ces informations qui ne sont pas utiles dans le cadre d’opérations d’analyse forensique.

Le contenu des IoC

Une fois qualifiés et publiés sur le site de l’ANSSI [1], les indicateurs de compromission sont mis à disposition en conformité avec le format standard JSON MISP, ce qui permet d’assurer l’interopérabilité entre les différents environnements susceptibles d’intégrer les éléments d’information.

Typologie des données

Les données mises à disposition décrivent des éléments techniques permettant d’identifier d’éventuelles traces de compromissions (voir tableau ci-dessous).
 

Type d’indicateur

Description

comment                                   

Commentaire

Exemple : Infrastructure utilisée par le groupe cybercriminel Lockean.

domain

Nom de domaine impliqué par une compromission

Exemple : akamai-technologies.digital

email-src

Adresse email utilisée comme expéditrice de messages

Exemple : admin@belpay.by

filename

Nom de fichier impliqué par une compromission

Exemple : /bin/backup

ip-dst

Adresse IP publique destination en lien avec la menace

Exemple : 135.181.97.81

ip-src

Adresse IP publique source en lien avec la menace

Exemple : 104.168.174.32

md5

Empreinte MD5 appliquée à un fichier

Exemple : 84837778682450cdca43d1397afd2310

sha1

Empreinte SHA1 appliquée à un fichier

Exemple : 1348d76072280a489cc8d6a15aeb3617b59585ba

sha256

Empreinte SHA256 appliquée à un fichier

Exemple : 6362084f61fa6a41b8b01b7c62215ad41a2623b69572ce558c33bffaa21f0af9

size-in-bytes

Indication de taille de fichier

Exemple : 1032192

text

Indication de chaine de caractère à usage divers (ici, une expression régulière)

Exemple : //49.12.104.241/\\w+\\.dll

url

Adresse url en lien avec la menace

Exemple : http://everestedu.org/lndex.php

 

Apport de valeur pour les établissements

L’utilisation d’informations publiques massivement collectées et centralisées au niveau des autorités présente plusieurs avantages :

  • Les IoC donnent une vision à grande échelle plutôt qu'au niveau individuel
  • Cela permet d'anticiper sur une menace qui n'a pas encore approché l'établissement mais qui s’est déjà manifestée ailleurs
  • Cela permet de déterminer quels biens sont en cours de compromissions, afin notamment de rechercher les dispositifs médicaux et donc de prioriser la maîtrise du risque en lien avec les patients

De plus, la diversité des indicateurs de compromission permet de statuer sur le déroulement chronologique d’une attaque en cours de déploiement :

  • La présence d’adresses IP publiques source compromises indiquent une compromission au stade initial, non encore aboutie
  • La présence d’adresses IP publiques destination indique une compromission déployée, devenue capable de communiquer avec la menace. Si un tel trafic est détecté comme autorisé, cela signifie qu’une action de nettoyage des éléments compromis est requise d’urgence ; il est alors possible d’intervenir avant que l’attaque massive du système d’information soit lancée.
     

Conclusion 

Les IoC provenant de sources sûres telles que celles du CERT-FR sont disponibles gratuitement (en fait financé par les actions de Forensic souvent prises en charge par les assureurs) et donnent un bon niveau d'information qui serait inaccessible à un établissement par ses seuls moyens, la mutualisation des informations produisant un effet vertueux. De ce fait, l’intégration des indicateurs de compromission complète et renforce efficacement votre capacité à détecter les tentatives d’intrusion dans votre système d’information.