iStock

Renseignement sur les cyber-menaces : ce que change le RGPD (ou pas)

Du fait de l’application du règlement européen sur la protection des données personnelles, certaines informations autrefois accessibles publiquement ne le sont plus. Et cela ne va pas sans affecter le travail des analystes spécialistes du renseignement.

Il n’a pas fallu attendre l’entrée en vigueur, fin mai, du règlement européen sur la protection des données personnelles (RGPD, ou GDPR pour les anglophones) pour que de nombreux débats commencent à agiter le monde du renseignement sur les menaces informatiques.

Tempête sur les Whois

C’est tout d’abord sur le terrain des enregistrements Whois que se sont portées les conversations. Car ceux-ci recèlent des informations régulièrement utilisées par les spécialistes du renseignement en sources ouvertes : les noms et coordonnées des personnes ou organisations titulaires d’un nom de domaine. Si ces informations s’avèrent fréquemment falsifiées ou cachées derrière des services spécialisés dans la protection des identités, elle n’en comportent pas moins souvent des indices sur celle des acteurs malicieux. En la matière, les exemples ne manquent pas, comme l’enquête de Trend Micro sur les activités du groupe Pawn Storm, ou encore celle sur l’arnaque dont avait été victime le groupe Vinci à l’automne 2016.

L’inquiétude des spécialistes du renseignement sur les menaces peut être résumée à un point : avec le RGPD, les informations relatives aux titulaires de nombreux noms de domaine seront masquées par défaut par les organismes chargés de leur administration, les registrars. Et cela ne sera pas sans conséquences.

Un renseignement hautement privatisé

Allison Nixon, directeur de recherche chez Flashpoint, l’un des spécialistes du renseignement sur les menaces, souligne ainsi que cette activité « tourne autour de l’analyse de données publiques », réalisée par « des citoyens privés qui ne peuvent pas obtenir d’injonction pour accéder aux données Whois ». Et d’illustrer : « parfois, ces personnes travaillent avec des données clients, comme les équipes de lutte contre la fraude dans les banques, et ne peuvent pas transférer cette charge aux forces de l’ordre ». Celles-ci s’appuient d’ailleurs « très lourdement sur le travail des professionnels de la sécurité pour rendre possibles les poursuites contre les cyber-délinquants ». Dans le monde cyber, le renseignement a effectivement été largement privatisé. Alors pour Allison Nixon, « la lutte contre la cybercriminalité sera fortement pénalisée si le secteur privé ne peut plus y apporter son soutien ».

Au sein de la division X-Force d’IBM, les analystes s’attendent à ce qu’il faille désormais compter plus de 30 jours pour identifier des domaines malicieux en passant par d’autres méthodes.

Des enquêtes plus laborieuses

Caitlin Huey, analyste chez EclecticIQ, reconnaît que beaucoup d’entités cachent déjà leurs véritables informations derrière des services spécialisés, ou simplement mentent. Pour autant, elle relève que, « occasionnellement, les pirates font des erreurs en déposant un nom de domaine. Parfois, ils sont paresseux et réutilisent les mêmes données falsifiées […] chercher de nouveaux domaines enregistrés avec des identités connues comme "mauvaises" peut aider à prévenir des attaques futures ».

Et c’est sans compter les incohérences dans les données fournies à l’enregistrement d’un nom de domaine, qui peuvent également aider les analystes : « par exemple, un domaine enregistré avec une adresse en France, un numéro de téléphone chinois et une adresse e-mail en mail.ru a de bonnes chances de ne pas être légitime ». Alors ne pas pouvoir accéder à ces données risque de compliquer la tâche des spécialistes du renseignement.

Jouer au chat et à la souris

Mais certains pirates ne seront-ils pas tentés de laisser volontairement des traces ? En fait, le phénomène existe déjà : « dans l’industrie de la cybersécurité, on parle de chasse aux œufs de Pâque, lorsqu’un adversaire expose volontairement quelque chose pour être découvert », indique Caitlin Huey. Pour elle, le RGPD ne va rien changer à la pratique.

Elle relève que « plus les pirates jouent ainsi au chat et à la souris, plus nous collectons, analysons et structurons de données. C’est ce qui nous permet d’attraper les pirates. Il y a de nombreux pirates aujourd’hui en prison parce qu’ils ont commis une seule erreur, d’apparence mineure, cinq ans avant d’être attrapés ». D’ailleurs, « les analystes d’EclecticIQ adorent jouer au chat et à la souris, car les chances sont en notre faveur ».

Mais Caitlin Huey anticipe un autre phénomène : que les attaquants exposent un jour volontairement des données personnelles obsolètes les concernant, « pour mieux comprendre une entreprise ou une organisation » cherchant à les pister.

Pour approfondir sur Réglementations et Souveraineté