Comment construire un modèle de gouvernement pour « pirater pour de bon »
8 min readEn avril 2021, alors que des organisations du monde entier étaient sous le choc d’une série de cyberattaques menées via des serveurs Microsoft Exchange compromis sur site, le département américain de la Justice (DoJ) a révélé qu’il avait obtenu une ordonnance du tribunal. permettant au FBI d’accéder aux systèmes vulnérables et supprimez tous les shells Web malveillants qu’il a trouvés qui y ont été placés.
Pour commencer, les attaques de Microsoft Exchange ont très probablement été orchestrées par Hafnium, un acteur soutenu par l’État chinois – similaire à l’incident de SolarWinds Orion, qui a probablement pour origine un groupe russe. Cependant, après leur divulgation en mars, d’autres acteurs malveillants se sont rapidement entassés, avec des rapports de attaques de ransomware suivre rapidement.
Comme vous l’espériez, Microsoft s’est précipité un patch hors bande pour s’attaquer aux zero-days, mais avec Hafnium en ayant profité pendant un certain temps avant la divulgation publique, beaucoup de dégâts avaient déjà été causés.
Pour chasseresse fondateur Kyle Hanslovan, la décision prise en avril par les autorités américaines a représenté une intervention concertée, proactive et, surtout, bienvenue de la part de l’administration Biden avertie en matière de cybersécurité, aidant à aider les organisations qui, selon ses propres termes, « se situent en dessous du seuil de pauvreté en matière de sécurité des entreprises ».
Pourquoi devrait-il s’en soucier ? Hanslovan a commencé sa carrière dans le renseignement à la National Security Agency (NSA) des États-Unis au début des années 2000, et a passé une longue période au Royaume-Uni aux côtés du GCHQ, où il a soutenu des cyberopérations défensives et offensives pour le compte des alliés occidentaux.
Il s’est depuis tourné vers la sécurité civile, fondant le cabinet de conseil en défense StrategicIO avant Huntress et jouant un rôle actif dans la communauté du piratage éthique en tant que Chapeau noir formateur de conférence, mentor STEM (science, technologie, ingénierie et mathématiques), et DefCon capture le drapeau champion.
En fait, Huntress est né du désir de redonner quelque chose à ces organisations qui, sans que ce soit de leur faute, ne peuvent pas nécessairement s’aider elles-mêmes. Pendant son séjour à la NSA, Hanslovan était devenu un grand défenseur de la vie privée – ce qu’il concède est assez drôle si vous pensez trop à la NSA – et à l’époque des révélations d’Edward Snowden, il a commencé à penser qu’avoir passé la meilleure partie de 15 ans à pirater et casser des choses, il était temps de les réparer à la place.
Le seuil de pauvreté en cybersécurité
“C’était une bonne base et une belle histoire pour démarrer une entreprise puisque nous laissions nos chapeaux offensifs derrière nous, mais en utilisant cette mentalité offensive pour sécuriser les entreprises qui tombent en dessous du seuil de pauvreté des entreprises”, dit-il. “Huntress se concentre uniquement sur les entreprises de 1 000 employés et moins, plutôt que sur la plupart des autres qui font partie des Fortune 100, 500 ou 1 000.”
Ce sont ces petites entreprises – dommages collatéraux à bien des égards – que l’action américaine visait à aider et, selon Hanslovan, ces organisations avaient un besoin urgent d’aide.
“Nous avons eu six semaines très difficiles entre le 27 février et probablement la deuxième semaine d’avril”, dit-il, décrivant comment Huntress a pendant un certain temps retiré ses vendeurs de leur horaire d’appel régulier et les a redéployés pour informer les clients qu’ils étaient compromis.
“Mais deux semaines plus tard, nous validions et les coquilles Web étaient toujours là, il était donc clair qu’ils n’étaient pas en mesure de faire quoi que ce soit à ce sujet. Et ce n’est pas de la négligence – parfois, ils n’ont littéralement pas le serveur parce qu’ils l’ont sous-traité à quelqu’un, ou ils ont peut-être migré vers [Microsoft] Office 365 et oublié qu’ils avaient cet ancien serveur dans leur réseau – un ancien serveur de messagerie qui a été mis hors service mais jamais complètement éteint », dit-il.
“J’étais donc très heureux quand j’ai vu le gouvernement fédéral prendre des mesures pour sécuriser ces personnes qui sont souvent niées. »
Preuve de concept réussie
Dans le même temps, dit Hanslovan, il était conscient des craintes légitimes que cette action puisse être considérée comme un dépassement excessif du gouvernement américain en explorant des réseaux privés sans consentement.
Pour cette raison, il pense qu’il est très intéressant de noter que l’action a été effectuée par le DoJ et le FBI, et fait valoir que même si le DoJ n’est peut-être pas la plus excitante des agences fédérales, il montre son engagement à utiliser les autorités juridiques et les forces de l’ordre appropriées, plutôt que de se tourner vers la communauté du renseignement.
“Je pense qu’il est très important de garder les agences de renseignement américaines comme la NSA concentrées sur leurs cibles étrangères et loin d’enfreindre les libertés civiles”, a déclaré Hanslovan.
« Le recours aux tribunaux pour autoriser l’effort de perturbation du FBI est un cadre initial solide pour garantir que ces actions restent axées sur l’augmentation de la sécurité et sont limitées au ciblage indirect du renseignement. »
“Il est très important de garder les agences de renseignement américaines comme la NSA concentrées sur leurs cibles étrangères et loin d’enfreindre les libertés civiles”
Kyle Hanslovan, chasseresse
Hanslovan fait valoir qu’étant donné le succès apparent de l’opération initiale, celle-ci devrait être considérée comme une preuve de concept passionnante et utilisée pour établir des règles d’engagement pour les futures cyberopérations correctives de nature similaire.
« Je pense que cela doit être tempéré – ce ne sera probablement pas toujours la réponse la plus rapide si c’est le gouvernement, car il doit être très sûr d’avoir testé tout ce qu’il a l’intention de faire », dit-il. « Mais je pense que cela nous aidera tous à améliorer la sécurité de l’entreprise.
“Je préférerais une approche conservatrice au lieu d’aller trop loin, ce qui signifie peut-être les définitions initiales – je pense que c’est là où nous en sommes, il est temps de commencer à définir certaines choses en fonction de ce que nous avons appris.”
Certaines de ces définitions qui devront être élaborées incluent la question de savoir ce qui justifie une réponse au niveau du gouvernement ? Les attaques soutenues par un État national, telles que Microsoft Exchange ou l’incident de SolarWinds, sont une question, mais où se passe quelque chose comme le récent retrait d’Emotet par les instances européennes s’asseoir sur ce cadre ?
Hanslovan suggère d’utiliser une sorte de menu pour « diagnostiquer » un incident pouvant donner lieu à une action, peut-être que si un événement de sécurité répond à sept des 10 critères énumérés, cela pourrait justifier une intervention du gouvernement.
Ensuite, si les autorités continuent à emprunter cette voie plus proactive, il faudra un modèle de transparence et de divulgation après une opération réussie, un modèle de ce qui se passe quand quelque chose ne va pas et qu’une organisation commerciale est perturbée par une intervention gouvernementale amicale , et un modèle pour la protection de toutes les données propriétaires ou confidentielles qui pourraient être vues au cours d’une intervention judiciaire. Par exemple, ces données deviennent-elles alors soumises à la législation sur la liberté d’information ?
« Je ne sais pas si quelqu’un y pense en ce moment », déclare Hanslovan. Mais il espère que, sur la preuve de la nomination par Biden de plusieurs anciens membres de la NSA avec une expérience abondante de la vie privée et des problèmes juridiques – comme la cyber-chef Anne Neuberger – avec l’expérience de la vie privée et des questions juridiques, qu’il existe des personnes au bon endroit pour faire pression pour établir des règles de base sur la façon dont les données peuvent et ne peuvent pas être utilisées.
« Parfois, il est trop facile de dire ce que vous pouvez faire, mais personne ne pense à ce que vous ne devriez jamais faire avec ces données », dit-il. “Mais j’espère que ce sont des conversations publiques et des dialogues publics.”
Un propriétaire d’entreprise peut également avoir des inquiétudes légitimes à l’idée d’être transporté sur les charbons pour une infraction aux réglementations en matière de protection des données – telles que la loi californienne sur la protection de la vie privée ou le règlement général européen sur la protection des données – lors d’une intervention soutenue par le gouvernement.
Hanslovan convient que cela peut devenir un problème et suggère qu’il devra y avoir une sorte de protection de type double péril. Il fait une analogie avec la police, notant comment certaines agences ne pousseront pas à poursuivre pour possession d’attirail de drogue trouvé sur quelqu’un victime d’une overdose.
“Souvent, quand quelqu’un fait une overdose aux États-Unis, même s’il a un attirail de drogue sur lui à ce moment-là et que la police réagit, il existe un cadre pour dire que vous êtes là pour protéger et servir, ce qui signifie que vous êtes là pour obtenir ce membre de la communauté sur leurs pieds, et obtenez-leur des soins médicaux », dit-il.
Le revers de cet argument est que même si un service de police n’engagerait peut-être pas de poursuites pour possession de drogue, s’il voyait que l’utilisateur était impliqué dans des crimes graves tels que le trafic d’êtres humains ou l’abus sexuel d’enfants, une personne raisonnable serait très contrariée si la police le faisait. ne pas engager de poursuites pour ces motifs. C’est une autre raison pour laquelle il est important que la politique sur les cyberinterventions soit élaborée de manière transparente et dans le domaine public.
Itérer et réitérer
Les gouvernements étant des gouvernements, Hanslovan a tendance à penser qu’il est inévitable que quelque chose tourne mal si des actions coercitives de cette nature deviennent effectivement routinières, mais il est également enclin à considérer ces actions comme des itérations tendant vers un « produit » final.
“Personnellement, je pense que nous allons nous tromper – comme un produit, parfois vous expédiez un produit et ça craint, c’est tellement nul que c’est embarrassant, mais vous répétez le produit au point que c’est génial”, dit-il. “J’espère que ce sera la même chose – sortir quelque chose pour un meilleur effort, puis itérer dessus.”