Interview : Thomas Chopitea, CERT Société Générale.

Bonjour Thomas

Pourrais-tu te présenter pour que les lecteurs te connaissent un peu mieux ?

Je suis Incident Handler (lire : pompier) au CERT Société Générale depuis 2012. Je chasse des hackers la journée et la nuit je développe des outils que je partage (c’est nul si je suis le seul à m’en servir !) comme Malcom (https://github.com/tomchop/malcom). J’essaye d’apporter un peu ma brique à la communauté forensics qui est parfois un peu en mal d’outils :)

Est-ce que la Sécurité a toujours été ton sujet de prédilection ou as-tu été attiré par d’autres pans de l’informatique (dev, adminsys etc) ?

Je me suis intéressé à la sécurité informatique bien avant d’arriver au CERT, mais j’ai vraiment découvert la gestion d’incident, l’investigation numérique et l’analyse de malware en prenant ces nouvelles fonctions. Ces disciplines sont très vite devenues des passions pour moi. J’ai touché à l’adminsys de très loin (tous les geeks ont monté un serveur LAMP une fois dans leur vie, non ?), j’ai accumulé des heures de développement pendant mes études et certains stages. J’étais le "geek réseau" parmi mes potes à l’école. J’ai eu ma période entreprenariat, mais la sécurité me manquait. Qui sait, peut-être qu’un jour j’arriverai à combiner les deux... ;-)

A quoi ressemble une journée type d’un analyste de CERT ou de CSIRT ?

A rien, et c’est justement pour ça que c’est passionnant ! On peut être tiré d’une session d’analyse de logs sur équipement réseau obscur pour creuser un disque dur qui vient d’être livré, dans lequel on trouve un malware qu’on devra reverser pour établir des contre-mesures appropriées. C’est un environnement extrêmement dynamique, on ne fait jamais la même chose d’une semaine à l’autre. Il faut réussir à s’adapter rapidement, c’est un vrai défi d’ordonnancement ! On touche vraiment à tout et on a jamais le temps de s’ennuyer... On fait aussi face à des adversaires humains qui réfléchissent et parfois se trompent, qui peuvent être paresseux ou nous surprendre par leur innovation... et ça c’est passionnant !

Selon toi, quels sont les profils qui doivent être présents dans un CERT pour en assurer l’efficacité ?

Il faut être polyvalent, tout en ayant la capacité a creuser un sujet particulier à fond. Il faut savoir coder un peu, s’y connaître en réseaux, systèmes de fichiers, méthodes d’attaque, écosystème cyber-criminel, tactiques d’attaquants avancés, systèmes d’exploitation, avoir un esprit analytique, être pragmatique... l’éventail est très large. Evidemment, chaque membre de l’équipe finit par se spécialiser de facto dans certaines disciplines. Du coup, la capacité à échanger et travailler en équipe devient primordiale. On aura toujours un membre de l’équipe qui connaitra mieux l’underground cybercriminel, un pentesteur repenti, un super dev, un autre qui sera meilleur en reverse... et quelqu’un capable de gérer tous ces fous. On s’appuie beaucoup les uns sur les autres pour mener à bien nos activités. En plus de ça, il faut avoir une vue la plus complète possible du SI dans lequel on évolue ; bien évidemment, cette dernière compétence s’acquiert au fil du temps sur le tas. Et finalement, vu les cas auxquels on est parfois confrontés, il vaut mieux aussi avoir un sens de l’humour en béton ;-)

As-tu, de par ton expérience au sein du CERT SocGen, une vision sur l’évolution des menaces qui pèsent réellement sur les organisations mais aussi les individus : les APT, mythe ou réalité ? On arrive à mettre en échec des attaques ciblées mais arrive-t-on (même si cela n’est pas rendu public) à savoir qui se cache derrière ces attaques (criminalité, concurrents, agences étatiques...) ?

Une partie structurante de notre travail est d’être au courant des tendances en matière de menaces et techniques d’attaques. Si les points de vue peuvent diverger sur la définition d’une APT, je pense que globalement tout le monde est d’accord pour dire que c’est loin d’être un mythe. Quant à l’"attribution" des attaques... vaste troll^Wdébat. S’il est possible de remonter à l’infrastructure d’un groupe d’attaquants, et donc de se faire une bonne idée de qui ils sont et d’où ils viennent, nous ne sommes jamais à l’abri de "false flags" - des opérations montées de telle façon qu’elles donnent l’impression d’avoir été organisées par quelqu’un d’autre que le vrai commanditaire. Dès lors qu’on se pose la question "à qui profite le crime ?", on glisse petit à petit dans un terrain de moins en moins "cyber" et qui relève plus du renseignement classique ou du "good old police work".

Et à l’autre bout de la chaine, selon toi, l’internaute est-il condamné à voir ses terminaux hackés sur le net ou une bonne hygiène en termes de sécurité permet de sauvegarder son terminal ?

Il est plus facile et moins risqué de voler un portefeuille en pickpocket que de braquer une banque. Il en va de même pour l’informatique : les postes des clients sont beaucoup moins sécurisés que ce que pourrait l’être le SI d’une banque. C’est donc tout naturellement que les clients finaux, les internautes donc, sont la première cible des cybercriminels ; d’autant plus que grâce à internet, ces derniers peuvent ratisser très large et empocher de gros profits sans trop se mouiller.

Bien sûr, une bonne hygiène de sécurité permet de minimiser l’exposition à ce genre de menaces. Malheureusement, la quantité de personnes ayant les bons réflexes en matière de sécurité n’est pas suffisante pour démotiver les attaquants...

Revenons un peu sur ta conférence aux RMLL : qu’est ce qui a poussé le CERT SocGen à créer FIR ? Quel est le besoin principal couvert par FIR ?

Nous voulions tout simplement un outil qui nous permette de renseigner et suivre l’évolution des incidents que nous traitons au quotidien. Après avoir exploré un peu le marché ainsi que les solutions libres déjà existantes et s’être renseigné auprès de nos homologues pour savoir ce qu’eux utilisaient, développer notre propre outil spécifiquement adapté à nos besoins paraissait une évidence.

FIR nous permet de gérer et suivre nos incidents avec le moins de "friction" possible. Comme son nom l’indique, le but de FIR est d’être "fast" et de nous laisser nous concentrer sur notre vrai métier plutôt que de passer un temps infini à maîtriser un outil qui bugue, avec une interface peu claire et qui répond à moitié à nos besoins. Je n’en dis pas plus, je ne voudrais pas spoiler la présentation ;-)

Publier FIR sous licence libre a-t-il été un choix évident au sein du CERT SocGen ? Dans quel but cette diffusion sous licence libre a-t-elle été faite ?

FIR a été calqué sur notre manière de travailler et c’est surtout à cause de ça qu’on s’est posés la question de l’ouvrir ou non : quel intérêt de publier quelque chose dont personne ne pourra se servir ? Finalement, on a passé un peu de temps pour le rendre le plus "agnostique" possible avant de le publier. On a surtout décidé de publier FIR pour aider les équipes de réponse à incident qui étaient dans la même position que nous il y a deux ans, quand les premières lignes de FIR ont commencé à être écrites. Au pire, ça leur permet de disposer au moins d’un squelette d’application pour gérer tous leurs incidents, et au mieux d’un outil puissant avec des plugins façonnés selon leurs besoins à eux.

Dernière question personnelle : utilises-tu au quotidien un environnement majoritairement constitué de Logiciels Libres ou à l’inverse propriétaire ? Pendant tes études qui ne sont pas très lointaines, quelle part de l’environnement logiciel était sous Licence Libre ?

Je fonctionne principalement sur Mac OS X, et je le vis très bien ! :-) Cela dit, les outils dont je me sers au quotidien sont dans leur très grande majorité des Logiciels Libres. Si je me lance dans la création d’un script ou d’un développement particulier, je vais toujours privilégier des environnements / frameworks / langages libres. Malheureusement, je n’ai pas le souvenir d’avoir utilisé beaucoup de technos libres pendant mes études, hormis un TP de deux heures sur Linux et quelques cours de PHP...

Merci pour tes réponses et rendez vous à tous pour assister à ta présentation sur FIR aux RMLL, mardi 7 Juillet 2015 à Beauvais !