Depuis quelque temps, je songe à lancer une mini-série autour de cas concrets rencontrés au quotidien dans notre centre des opérations de sécurité (SOC). Voici donc le premier article – dont j’espère inaugurer une longue série – dans lequel je partagerai notre expérience en première ligne.
Chaque article s’appuiera sur des notes internes, des rapports d’équipe, des analyses de rétro-ingénierie et notre approche opérationnelle de la réponse aux cyberincidents.
Lors d’une rétrospective récente, nous avons évoqué un scénario classique : un attaquant envoie un e-mail de phishing contenant un lien vers une fausse page de connexion, conçue pour subtiliser les identifiants d’un utilisateur peu vigilant. À première vue, cela ressemblait à une tentative classique de spearphishing. Pourtant, lorsque nous avons tenté de catégoriser l’incident dans MITRE ATT&CK, un détail nous a interpellés.
Question:
Si l’intention de l’attaquant est de subtiliser des identifiants, l’incident relève-t-il toujours de l’hameçonnage (T1566) dans le cadre d’un accès initial (TA0001), ou doit-il être classé autrement ?
Spoiler : Il ne s’agit pas d’une tentative d’accès initial et cette nuance est essentielle.
Hameçonnage et accès initial
Le framework MITRE ATT&CK distingue les tactiques – les objectifs stratégiques des attaquants – des techniques, qui décrivent les méthodes concrètes employées pour atteindre ces objectifs. Cette distinction est cruciale pour bien comprendre le but de l’attaque et les étapes nécessaires à sa réalisation. Appliquons cette logique à notre scénario. L’e-mail de phishing montre comment l’attaque se déroule. Mais pourquoi a-t-elle lieu ?
Quel est l’objectif réel de l’attaquant ? Souhaite-t-il vraiment obtenir un accès initial au réseau cible ? Probablement pas. L’e-mail ne contenait aucune pièce jointe malveillante, et le lien ne conduisait pas à un téléchargement de malware dans le but d’infecter l’appareil de l’utilisateur.
Il s’agissait plutôt d’un leurre destiné à collecter des identifiants pour une utilisation ultérieure. Ainsi, la tactique "accès initial" (Initial Access – TA0001) ne décrit pas avec précision l’intention de l’attaquant.
📌 Mieux classifier les tactiques
Des tentatives visant à tromper les utilisateurs pour qu’ils révèlent leurs identifiants relèvent davantage de la reconnaissance (Reconnaissance – TA0043), une tactique qui consiste à récolter des informations exploitables pour des attaques ultérieures. En consultant les techniques associées, nous identifions la T1598 : Phishing for Information – bingo.
MITRE le précise clairement : lorsque l’objectif n’est pas l’exécution de code malveillant, mais la collecte de données, l’incident ne relève pas de la technique T1566 (Phishing), mais bien de T1598 (Phishing for Information).
“Adversaries may send phishing messages to elicit sensitive information that can be used during targeting. Phishing for information is an attempt to trick targets into divulging information, frequently credentials or other actionable information. Phishing for information is different from Phishing in that the objective is gathering data from the victim rather than executing malicious code [2]."
Pourquoi une classification précise est-elle importante ?
Lors de notre rétrospective, un analyste a soulevé une question pertinente : « Pourquoi perdre du temps à décortiquer plus de 400 techniques ATT&CK alors qu’on peut agir rapidement ? » C’est une remarque valide et c’est précisément pour cela qu’ATT&CK a été conçu.
Exemple de mapping ATT&CK pour notre cas :
- 1: Reconnaissance – T1598.003 : Spearphishing Link. L’attaquant envoie un e-mail pour collecter des identifiants.
- 2: Accès aux identifiants – T1056.003 : Web Portal Capture. L’utilisateur saisit ses identifiants sur une fausse page de connexion.
- 3: Accès initial – T1078 : Valid Accounts. L’attaquant se connecte ultérieurement avec les identifiants volés.
Ce type de cartographie précise révèle clairement l’intention, les étapes et les risques. Elle renforce également la cohérence de la terminologie utilisée dans les rapports, facilite la communication entre équipes et standardise le partage d’informations dans le contexte du Cyber Threat Intelligence (CTI). Par exemple, si un groupe tel qu’APT28 conduit des campagnes de phishing à des fins de reconnaissance (cf. T1598), nous pouvons établir des corrélations comportementales plus fines, au lieu de leur attribuer une simple étiquette générique de « phishing ».
Les cartographies MITRE ATT&CK sont également un excellent indicateur de maturité opérationnelle. Elles permettent de répondre à des questions clés comme :
Sommes-nous capables de distinguer un e-mail malveillant contenant une pièce jointe d’une tentative de vol d’identifiants via un faux portail ?
Conclusion
La précision est essentielle. Il ne s’agit pas seulement de savoir ce que l’attaquant a fait, mais pourquoi il l’a fait. Cette compréhension influence l’enquête, la réponse à l’incident et la qualité générale des rapports.
Les e-mails de phishing se déclinent sous diverses formes ; vos cartographies ATT&CK devraient en faire de même.
Notes de terrain – Partie 1 : Tous les e-mails de phishing ne se valent pas