Face à la croissance de la menace, le gouvernement veut développer sa capacité de détection. Voici comment fonctionnent les sondes créées et déployées par l’ANSSI, son bras armé pour contrer les attaques informatiques.
Les cyberattaques se multiplient et deviennent de plus en plus sophistiquées. L’alerte récente en provenance des Etats-Unis et du Royaume-Uni, à propos d’une campagne mondiale d’attaques sur les équipements réseaux menées par les Russes selon eux, montre que l’espace cyber est devenu un enjeu de sécurité nationale de premier plan.
Pour se protéger, l’un des axes que veut approfondir l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2018 est la détection des attaques basée sur des sondes réseaux. Ce type de dispositif est entièrement développé par l’agence et déployé depuis des années au sein des ministères et des administrations publiques. Il pourrait l’être à l’avenir chez les hébergeurs et les opérateurs, dans le cadre d’un projet de loi relatif à la cyberdéfense. « La détection, c’est absolument essentiel. C’est le seul moyen de reprendre la main et de prévenir les attaques, même s’il n’y aura jamais de prévention absolue », explique Guillaume Poupard, directeur de l’ANSSI, à l’occasion d’une conférence de presse.
Mais comment fonctionne cette détection ? Dans le cas d’une administration, le système de détection prend la forme d’une « demi-baie » d’une petite dizaine de serveurs qui, placée au sein de l’organisation, reçoit une copie de l’ensemble du trafic réseaux. Des algorithmes de traitement de données vont alors caractériser le flux (email, web, transfert de fichiers, etc.) et chercher les traces d’une éventuelle cyberattaque.
Pour cela, le dispositif s’appuie sur une liste de « marqueurs » ou indicateurs de compromission. Il s’agit d’indices techniques précis – une adresses IP, un nom de domaine, une chaîne de caractères, etc. – qui peuvent être reliés à des modes opératoires connus. Si rien n’est trouvé, le flux est traité par un algorithme de détection d’anomalies qui – s’il est performant – permet d’identifier des attaques non connues à ce jour.
En cas de détection, le système génère un fichier d’alerte et un fichier de métadonnées qui donne le contexte de l’attaque. Les deux sont envoyés au centre de détection d’attaques de l’ANSSI. Là-bas, une cinquantaine d’experts analysent cette remontée d’informations pour éliminer les fausses alertes. Le cas échéant, ils sonnent l’alarme auprès de l’organisation concernée. Si l’attaque détectée est inconnue, un nouveau marqueur est créé, puis diffusé auprès de toutes les plateformes de détection sous forme d’une mise à jour. Selon l’ANSSI, le contenu du flux analysé n’est jamais transmis au centre de détection. Sur les serveurs, ce contenu est systématiquement effacé après analyse.
Dans le cas des hébergeurs ou des opérateurs visés par le projet de loi sur la cyberdéfense, le dispositif déployé serait moins lourd. « La sonde sera plus petite qu’une demi-baie de serveurs », assure Guillaume Poupard. Par ailleurs, le système ne serait pas mis en place dans la durée comme avec les administrations, mais de manière ponctuelle pour analyser une attaque ou un groupe de pirates en particulier.