Depuis son avènement, l’internet attise la convoitise des cybercriminel-le-s, qui tentent d’en tirer profit illégalement. Grâce à une meilleure prise de conscience des risques, il faut désormais plus que de grossiers pourriels pour berner les victimes potentielles. Par ailleurs, les entreprises et les organisations investissent aujourd’hui davantage dans la défense contre les cyberattaques. Elles n’ont d’ailleurs pas vraiment le choix, car ces attaques sont de plus en plus complexes. On assiste ainsi à une course à l’armement, à un éternel jeu du chat et de la souris.

Les cyberattaques contre des ordinateurs ou des réseaux laissent des traces, notamment des indices sur les infrastructures utilisées par leurs auteur-e-s pour diffuser les programmes malveillants (malware). Il peut s’agir, par exemple, d’adresses IP ou de simples sommes de contrôle de fichiers. Les trouver est toutefois une tâche ardue. Il est dès lors d’autant plus passionnant de pouvoir les associer à des agresseurs déjà connus, ce qui est possible car la plupart des cybercriminel-le-s restent fidèles à leur méthode ou à une légère variante de celle-ci pendant un certain temps. C’est uniquement lorsque leur méthode ne donne plus les résultats escomptés qu’ils et elles investissent de l’argent dans le développement de nouveaux logiciels malveillants, difficiles à détecter. Et quand l’auteur d’une attaque peut être déterminé, il est possible, dans certains cas, de cerner la nature de la menace : vol de données ? Chiffrement de données suivi de chantage ? Utilisation abusive de l’ordinateur à des fins personnelles ? Pourriel inoffensif ? La réponse à ces questions permet de mieux évaluer les risques et de prendre des mesures défensives judicieuses et rentables.

Il est ainsi possible de mettre à jour de nombreuses menaces en surveillant minutieusement sa propre infrastructure informatique et en repérant les traces de programmes malveillants ou de profils déjà connus. Ces traces et profils, ainsi que leur utilisation à des fins de défense contre les cyberattaques, sont au cœur de la Cyber Threat Intelligence, ou CTI. Son objectif est de repêcher les données suspectes dans un océan numérique mondial en constante expansion. Et comme, muni d’une simple canne à pêche, on est sérieusement limité, il convient de constituer – et c’est la clé du succès – un réseau ayant le même objectif. On peut pour cela se tourner vers des organismes publics, des instituts de recherche ou des entreprises de cybersécurité. Toutes ont intérêt à ce qu’un maximum de données techniques sur les logiciels malveillants et les attaques de pirates soit collecté, analysé et échangé.

Pour que la CTI soit performante, il faut l’alimenter continuellement en informations fraiches portant sur les menaces déjà identifiées ailleurs dans le cyberespace. En outre, en tant qu’entreprise ou organisation, on doit être en mesure d’analyser ses propres données, en sélectionnant uniquement les informations pertinentes dans le respect de la protection des données. L’Institute for Cybersecurity and Engineering ICE de la BFH mène depuis de nombreuses années des recherches sur les méthodes et les technologies permettant d’aider les victimes potentielles de cyberattaques à relever ce défi et de rendre l’internet plus sûr.

Le grand défi de la CTI réside dans la montagne de données à traiter, un travail qui requiert des infrastructures, un savoir-faire et des moyens financiers appropriés. Une approche innovante consiste à analyser ces données à l’aide de méthodes reposant sur l’apprentissage automatique. Un programme d’analyse développé par threatray, une spin-off de la BFH, est ainsi en mesure d’établir des corrélations – des fragments de données révélant une similitude avec des traces numériques de logiciels malveillants déjà connus ou leur technique de diffusion – parmi d’importants volumes de données. Il se fonde sur des algorithmes qui n’ont besoin que de peu de temps pour détecter efficacement les analogies recherchées.

abuse.ch est, elle aussi, née d’un projet de recherche de la BFH. Seize ans après avoir été lancée sous forme d’initiative privée, cette plateforme offre aujourd’hui ses services d’intelligence dans la lutte contre les cybermenaces aux quatre coins du globe. Elle est spécialisée dans la collecte de données livrant des indices de cyberattaques. Celles-ci proviennent de divers pièges et leurres tels que « mousetraps », « spam traps » ou « honeypots » distillés sur la toile, et qui se font passer pour des cibles appétissantes. À cela s’ajoutent des données provenant de chercheurs et de chercheuses ainsi que d’entreprises. abuse.ch met à disposition différentes plateformes destinées au partage et à l’utilisation de ces données. Ces dernières années, elles ont permis d’identifier et de neutraliser plus de deux millions de sites internet qui propageaient des logiciels malveillants.

En Suisse, les filières d’études de la BFH dans le domaine de la cybersécurité font référence. Outre le Bachelor of Science en Informatique avec son orientation en sécurité informatique et différents cursus de formation continue en cours d’emploi (CAS), elle propose, depuis 2020, le Master Digital Forensic & Cyber Investigation. Forte de sa longue expérience et de son bon réseau de spécialistes actifs et actives dans le milieu, la BFH est une interlocutrice précieuse pour les entreprises ou les organisations qui souhaitent améliorer leur défense contre les attaques dans le cyberespace. L’expertise de la BFH est très demandée, qu’il s’agisse de transmettre des connaissances ou de conseiller des institutions et des organisations gouvernementales, notamment la Société pour l’attribution des noms de domaine et des numéros sur Internet (ICANN). L’ICANN est en quelque sorte l’organe suprême de l’internet. Elle est responsable de l’attribution des adresses IP et de la coordination des systèmes de noms de domaine dans le monde et, à ce titre, elle est tenue d’intensifier la lutter contre les abus du système de noms de domaine (DNS). La question de ces abus a également été thématisée sur le plan politique. Ainsi, la Commission européenne a récemment publié une étude détaillée sur l’ampleur de ce phénomène, travail qui repose entre autres sur des données en temps réel que la BFH a collectées dans le cadre du projet de recherche abuse.ch.

Coauteur : Roman Hüssy, ancien collaborateur scientifique à l’ICE, fondateur et CEO d’abuse.ch