Nmedia - Fotolia
Hackback : un débat enflammé et biaisé ?
Le sujet de la contre-attaque est récemment revenu dans les débats outre-Atlantique, et au-delà, dans le monde de la cybersécurité. Mais est-il posé correctement ?
Le sujet est au menu des parlementaires américains depuis plusieurs mois, sous le terme feutré de « cyber défense active » : exempter de poursuites les organisations qui chercheraient à répliquer à des attaques informatiques. En l’état, la législation américaine interdit le recours, sans autorisation, à des approches offensives. Mais la modification proposée autoriserait des mesures telles que l’accès à l’ordinateur de l’attaquant pour établir l’attribution des activités malicieuses, mais aussi les perturber, ou encore « surveiller le comportement » du cyber-délinquant. Pas question, en revanche, de laisser l’attaqué « détruire ou rendre inopérantes des informations qui n’appartiennent pas à la victime et qui sont stockées sur les ordinateurs d’un autre », ni encore de causer des dégâts « physiques ou financiers », ou encore de créer « une menace à la sécurité ou à la santé publique », voire d’aller au-delà « du niveau d’activité requis pour effectuer la reconnaissance sur un ordinateur intermédiaire pour permettre l’attribution de l’origine d’une intrusion cyber persistante ».
Début octobre, lors des Assises de la Sécurité, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), n’a pas caché ses réserves, se disant « effrayé » parce qu’il qualifie d’abomination, tout particulièrement parce que l’attribution est un art difficile. Il n’est pas le seul dans cet état d’esprit.
It fits with the repub mindset of self defense. Like guns, but for the internet. And we know how the gun thing turned out
— pup (@JlVlNlM) October 13, 2017
Pour certains, ce projet de réforme législative est bien en ligne avec « l’esprit républicain sur l’auto-défense. Comme avec les armes à feu, mais pour Internet ». Avec les risques que l’on peut imaginer. Et si beaucoup peuvent imaginer que « des acteurs APT vont être attaqués en retour », certains experts estiment que la réalité sera bien différente.
Jake Williams, de Rendition Infosec, est plus tempéré. Il souligne ainsi que la proposition de loi se contente d’autoriser la mise en place de marqueurs « sur des documents et des programmes déjà présents sur votre réseau », et en aucun cas de faire des dégâts. Mais aussi qu’il est nécessaire d’informer les autorités avant toute chose et d’en obtenir l’aval.
Appréhendée sous cette angle, l’approche n’est pas sans rappeler celle des systèmes de leurre conçus pour suivre à la trace les attaquants. Et il n’est donc pas surprenant de voir Gadi Evron prendre part un débat qu’il estime mal engagé : « le terme hackback bloque toute conversation ». En fait, pour lui, le sujet est celui de la réponse aux incidents « à différents degrés d’agressivité, suivant un spectre où, à certain point, vous vous déplacez sur les actifs côté attaquant ». Pour mémoire, Gadi Evron est le Pdg et fondateur de Cymmetria, un spécialiste des systèmes de leurre.
Pour l’éditeur, le hackback est en fait « une forme extrême de réponse à incident », qui dépasse « remédiation, et collecte d’indices dans l’intention d’attribuer ». Il refuse toute idée de riposte ou de substitution aux forces de l’ordre. Mais selon lui, son offre, via le produit MazeHunter, flirte déjà avec certaines limites : MazeRunner vise à détecter et suivre un attaquant ; MazeHunter va plus loin en permettant d’exécuter « n’importe quelle charge pour engager l’attaquant confirmé actif », mais exclusivement au sein du système d’information de l’entreprise. Une importante part du débat se déporte alors sur la question de la charge utile utilisée.