Rustic - stock.adobe.com

Formation : immersion dans les méthodes des cyber-attaquants avec BlueCyForce

Se former comme un attaquant. Cela peut paraître saugrenu de prime abord, voir même impertinent, sinon dangereux. Mais pour les professionnels chargés de la protection de leurs environnements, c’est finalement essentiel.

BlueCyForce n’est pas inconnu des participants du Forum International de la Cybersécurité. La société s’y était fait largement remarquer par ses démonstrations pour le moins frappantes. Mais l’entreprise, issue d’un partenariat entre CEIS – organisateur du FIC – et Diateam, est connue au-delà. Sa spécialité ? Former à la lutte contre les attaques informatiques, à tous les niveaux, depuis les dirigeants jusqu’aux ingénieurs en cybersécurité appelés à travailler à l’exploitation d’équipements de sécurité, dans les SOC, ou encore dans les équipes de réponse à incidents.

Début octobre, BlueCyForce organisait l’une de ces sessions de formation, pour une dizaine de personnes aux profils variés. On trouvait là des ingénieurs sécurité, des développeurs de logiciels de gestion de la sécurité, et plus encore. Pour beaucoup, cette session était une recommandation de leur hiérarchie. Avec des objectifs aussi divers que les profils : rafraîchir leurs compétences opérationnelles, découvrir des points d’amélioration de leurs outils et de leurs configurations, valider la session pour la suggérer ensuite à des clients Pour certains, la session, dite Opsec 1, est apparue très vite comme particulièrement motivante.

Le point de vue de l’attaquant, par la pratique

D’abord, il y a le style particulier de Guillaume Prigent, jamais avare d’une explication ou d’une illustration tirée de l’actualité. Il offre généreusement aux participants son expérience, ses compétences et ses connaissances. Et pas question de prendre qui que ce soit de haut : il n’est pas question de courir le risque de perdre qui que ce soit en route.

Certes, cette session n’est qu’un tronc commun préalable à la suite, Opsec 2. Une sorte de mise en condition des participants et de sensibilisation, tant aux outils fréquemment utilisés par les attaquants, que ceux des défenseurs. Mais elle n’en est pas moins riche en apprentissages, par la pratique. Pour certains participants, c’est d’ailleurs une spécificité plus que rafraîchissante, par rapport à d’autres formations, dont certaines certifiantes, en comparaison jugées « trop théoriques ».

Il faut dire que beaucoup de thèmes sont couverts : depuis la collecte de renseignements en sources ouvertes, à l’implantation de reverse-shell sur une machine cible compromise, en passant par l’exploitation de vulnérabilités sur un site Web, sous Wordpress, jusqu’à la détonation de maliciels dans le célèbre bac à sable Cuckoo. Et tout cela, toujours, par la pratique.

Et les bonnes raisons à une telle approche sont faciles à trouver. La mise en pratique de metasploit permet par exemple de mesurer à quel point les outils de piratage – efficaces – sont accessibles à tous, et de comprendre pourquoi ceux que l’on appelle les scripts kiddies sont appelés à se multiplier. Certes, lancer une attaque ciblée à grand renfort de vulnérabilités inédites, les fameux 0 days, n’est toujours pas à la portée de tout le monde. Mais détourner une instance Wordpress non tenue à jour par ses propriétaires s’avère d’une facilité déconcertante. Et cela peut s’avérer suffisant dans bien des cas. Sur Internet, cela ne fait aucun doute, il n’est pas si difficile de disposer d’un réel pouvoir de nuisance.

Comprendre la menace, pour mieux la contrer

Mais alors pourquoi se mettre à la place des cyber-délinquants et de leurs méthodes de collecte de l’information ?

Parce qu’à bien y réfléchir, ce pourrait bien être la première chose à faire pour défendre son infrastructure : assurer un suivi régulier de l’exposition de son entreprise – personnes et systèmes – sur Internet. De fait, gérer ses vulnérabilités, c’est d’abord les connaître. Equifax a, à ce titre, reçu un douloureux rappel à l’ordre

Mais ce n’est pas tout. Les équipements capables de bloquer les attaques DDoS existent. Ceux susceptibles d’identifier des tentatives d’injection SQL aussi. Mais encore faut-il les avoir déployés, qu’ils soient bien configurés, et leur accorder tout le suivi qu’ils méritent. Et là encore, la démonstration est édifiante. La compromission du serveur Web par le biais d’une injection SQL ? Le pare-feu de nouvelle génération déployé dans l’environnement d’entraînement l’a détectée. Même chose pour la recherche de vulnérabilités. De même que les sondes Suricata. Mais encore fallait-il suivre et prendre au sérieux leurs alertes…

Au sortir de cette journée d’entraînement, les participants sont assurément ressortis avec un regard aiguisé sur les cartes que les attaquants ont dans leurs manches… mais aussi sur celles qu’ils tiennent dans leurs mains. Un regard en forme d’éveil, peut-être même de prise de conscience, sur ce qu’il est possible, voire indispensable, d’améliorer, sinon tout simplement de mettre en place, pour mieux se protéger contre des attaques qui ne sont certainement pas appelées à disparaître.

Pour approfondir sur Cyberdéfense