Dan Woods, responsable mondial du renseignement chez F5, a passé plus de 20 ans au sein d'organisations locales, étatiques et fédérales chargées de l'application de la loi et du renseignement, notamment au FBI en tant qu'agent spécial où il a enquêté sur le cyberterrorisme ; et à la CIA en tant qu'officier des opérations techniques où il s'est spécialisé dans les cyberopérations. Nous l'avons rencontré pour en savoir plus sur sa carrière jusqu'à présent, son travail chez F5 et les tendances en matière de cybersécurité à surveiller.
Comment c'était de travailler pour le FBI ?
Au FBI, j’ai enquêté sur toutes sortes de crimes ayant une composante cybernétique. Il ne s’agissait pas nécessairement de cybercrimes, mais de tout crime impliquant d’une manière ou d’une autre les ordinateurs ou Internet. Par exemple, j’ai travaillé avec le National Center for Missing and Exploited Children (NCMEC) pour enquêter sur la pornographie infantile ; j’ai aidé à analyser les preuves numériques associées aux attaques à l’anthrax de 2001 aux États-Unis (nom de code Amerithrax) ; j’ai enquêté sur des cas de fraude en ligne, qui étaient généralement renvoyés par l’Internet Crime Complaint Center (IC3) ; j’ai enquêté sur des sites Web d’endoctrinement terroriste et de collecte de fonds ; et j’ai enquêté sur la compromission des ordinateurs du gouvernement américain. Mon quotidien était déterminé par tout ce qu’il fallait pour faire avancer mes enquêtes en cours ou celles d’un autre agent que je soutenais. Certains jours, je restais tout le temps sur mon espace de travail à examiner des relevés bancaires, des journaux/images informatiques ou des relevés téléphoniques. Ou bien je serais sur le terrain pour exécuter un mandat de perquisition, mener des entretiens ou une surveillance ; ou bien je serais en formation, j’assisterais à une conférence ou je rencontrerais le procureur. La chose que j’ai vraiment appréciée en tant qu’agent du FBI, c’est que chaque jour était différent et apportait de nouveaux défis.
Vous étiez également officier des opérations techniques à la CIA. En quoi consistait votre travail là-bas ?
J'ai commencé au Bureau du Service Technique (OTS). Cela m’a obligé à voyager partout dans le monde pour enseigner à nos sources de renseignement humain (HUMINT) comment utiliser les systèmes de communication. J’ai aimé ce poste, mais il n’était pas strictement cybernétique, j’ai donc cherché d’autres opportunités à la CIA.
Mon rôle suivant était l’emploi de mes rêves : j’ai été affecté à la division d’exploitation et d’attaque des réseaux informatiques (CNEAD) du Clandestine Information Technology Office (CITO), qui est ensuite devenue une partie du Information Operations Center (IOC), qui fait partie aujourd’hui de la Direction de l’information numérique (DDI). Dans ce rôle, j'ai voyagé partout dans le monde pour aider les agents chargés des dossiers (ceux qui recrutaient et traitaient les sources HUMINT). Cela impliquait notamment d’exploiter les sources HUMINT pour accéder aux ordinateurs et autres systèmes d’information auxquels ils avaient un certain niveau d’accès. Par exemple, si un agent de liaison recrutait un concierge chez le fournisseur de services Internet d’une cible de grande valeur, l’agent de liaison et moi-même le rencontrerions et lui poserions des questions sur l’environnement du FAI. Cela pourrait nécessiter de nombreuses réunions sur plusieurs mois, au cours desquelles nous fournirions au concierge des outils spéciaux et une formation pour chaque étape de l’opération, offrant finalement à la CIA un accès à distance aux systèmes du FAI. Ce poste m’a également permis de compléter la formation requise pour devenir CO. Cela m’a permis de soutenir les CO plus efficacement.
Quelle est la leçon la plus importante que vous avez apprise en travaillant dans ces organisations ?
La plupart des gens sont attirés par mon expérience à la CIA et au FBI, et ils posent beaucoup de questions sur ces organisations. Cependant, le poste le plus intéressant et le plus marquant que j’ai jamais occupé a été celui de policier de quartier au début des années 90. J'ai conduit une voiture de patrouille marquée dans la région métropolitaine de Phoenix, en Arizona, et j'ai répondu à des appels liés à la violence domestique, au cambriolage, à la contrefaçon, au vol d'identité, aux coups de feu, aux homicides, à la violence des gangs, aux dommages criminels, aux drogues illégales, aux enfants disparus ou aux adultes vulnérables, aux véhicules volés, aux accidents de la circulation, etc. Au fil des années, cela m’a amené à interviewer (ou interroger) des milliers de personnes de tous horizons. Ces interactions m’ont appris la compassion, l’empathie, la valeur de l’éducation et, surtout, l’importance primordiale d’une communication efficace.
Comment le cyberterrorisme a-t-il évolué ces dernières années ? Quels outils sont les plus utilisés pour le combattre ?
Comme on pouvait s’y attendre, les cybercriminels sont devenus plus sophistiqués au fil des ans, mais seulement dans la mesure nécessaire pour surmonter de nouvelles contre-mesures. Par exemple, lorsque les organisations ont commencé à utiliser l'empreinte digitale du navigateur pour empêcher les connexions non autorisées, les acteurs malveillants ont développé des plateformes comme Genesis Marketplace , qui vend non seulement des noms d'utilisateur et des mots de passe, mais également de nombreux attributs de la machine de la victime qui sont utilisés pour générer les empreintes digitales du navigateur. Lorsque les organisations ont commencé à utiliser la 2FA par SMS, les attaquants ont commencé à utiliser des robots OTP. Les attaquants n’évoluent pas tant qu’ils n’y sont pas obligés. Et les outils utilisés pour lutter contre le cyberterrorisme sont les mêmes que pour les autres types de cybercriminalité. Nous devons empêcher les mauvais acteurs d’accéder sans autorisation aux systèmes, quel que soit leur objectif.
Pensez-vous que les États et les organisations sont prêts à lutter contre le cyberterrorisme ou ont-ils encore du chemin à parcourir ?
Les États et les organisations ne sont pas aussi préparés qu’ils devraient l’être. Les raisons varient selon l'État et l'organisation, mais certaines raisons courantes incluent : 1) un manque de coopération, voire parfois une relation conflictuelle, entre les personnes qui doivent, directement ou indirectement, travailler ensemble pour aider une organisation à détecter et à prévenir les attaques ; 2) des fusions, des acquisitions ou d’autres événements qui obligent les organisations à modifier ou à intégrer rapidement des systèmes entièrement différents ; 3) une rotation du personnel qui entraîne la perte de connaissances institutionnelles ; 4) des initiés malveillants ; 5) un manque d’équipes de sécurité correctement formées et adéquatement financées. Trop souvent, les États et les organisations tentent de résoudre tous les défis eux-mêmes en interne alors que la meilleure option est d’externaliser certaines fonctions à des tiers. Par exemple, la gestion de l’identité et de l’accès des clients, la surveillance et la gestion des dispositifs et systèmes de sécurité, la collecte et l’analyse de données biométriques comportementales, ainsi que l’identification et la prévention des robots malveillants. Ce sont tous des domaines qui peuvent et doivent être externalisés.
Quelle est la principale erreur commise dans la lutte contre le cyberterrorisme ?
Cela varie encore une fois en fonction de ceux qui sont engagés dans la lutte, mais si je devais identifier une erreur principale, je dirais que c’est le manque de coopération, ou parfois même une relation conflictuelle, entre les personnes qui sont tenues, directement ou indirectement, de travailler ensemble pour aider une organisation à détecter et à prévenir les attaques. Il peut s’agir de frictions entre l’équipe de sécurité et l’équipe d’exploitation du réseau, d’un manque d’alignement entre l’équipe de sécurité et une unité commerciale, voire d’un conflit d’objectifs entre l’organisation et l’État ou les États dans lesquels l’organisation opère. L’erreur principale n’est pas d’ordre technique, mais humaine : développer ou protéger un fief au détriment des autres, thésauriser les budgets, communiquer de manière inefficace, adopter des politiques et des procédures obsolètes et manquer globalement de leadership.
Récemment, le Fonds européen de défense (FED) a débloqué 67 millions d’euros pour améliorer ses capacités de cybersécurité et développer des outils de lutte contre la cyberguerre et la guerre de l’information. Est-ce suffisant ou des investissements supplémentaires sont-ils nécessaires ?
Ce n'est même pas suffisant. Ce problème ne sera jamais résolu, mais si l’on s’en approche de manière asymptotique, le prix à payer se chiffrerait en milliards. Et les problèmes humains que j’ai décrits ci-dessus devraient également être résolus.
Décrivez votre rôle en tant que responsable du renseignement mondial chez F5.
Je travaille avec des scientifiques de données, des ingénieurs et des analystes qui examinent des milliards de transactions qui circulent chaque jour sur le réseau de F5. Ces transactions sont associées à ce que les gens du monde entier font en ligne chaque jour. En analysant les signaux côté client associés à ces transactions, nous trouvons des preuves d’attaques malveillantes, l’infrastructure d’attaque qu’ils utilisent, de nouveaux outils d’attaque et de nouveaux schémas de monétisation, que nous partageons avec nos clients par le biais de briefings réguliers sur les menaces. Nous utilisons également ces résultats comme une boucle de rétroaction pour améliorer continuellement l’efficacité de la gamme de produits de sécurité de F5.
Quelles seront, selon vous, les tendances en matière de cybersécurité dans les années à venir ?
Les organisations doivent anticiper et planifier la prochaine menace. Cependant, trop souvent, les organisations consacrent plus de temps et d’efforts à spéculer sur ce qui pourrait arriver ensuite qu’à résoudre les problèmes réels auxquels elles sont confrontées aujourd’hui. Par exemple, le bourrage d’informations d’identification fonctionne toujours. Il s’agit d’un cas où un acteur malveillant achète ou obtient des millions, voire des milliards, de paires nom d’utilisateur/mot de passe valides dans une ou plusieurs organisations, puis les teste par programmation sur l’application de connexion d’autres organisations. Et en raison des habitudes des consommateurs de réutiliser les noms d’utilisateur et les mots de passe, ces attaques finissent par compromettre 0,1 % à 3,0 % des comptes tentés. Tant que ces attaques continueront de fonctionner, les attaquants n’auront aucune raison d’évoluer.
De plus, à mesure que les organisations commenceront à utiliser la 2FA de manière plus large, les attaquants continueront de trouver des moyens de la vaincre, par exemple, les compromissions SS7, les initiés des opérateurs de télécommunications, les logiciels malveillants sur les appareils mobiles, l'ingénierie sociale, les robots OTP, les port-outs et les échanges de cartes SIM. À l’avenir, plutôt que de déployer des contre-mesures de sécurité qui augmentent les frictions entre les utilisateurs, les organisations devraient plutôt s’appuyer davantage sur les signaux côté client pour aider à authentifier les utilisateurs. Il s’agit notamment de la biométrie comportementale, ainsi que des signaux provenant de l’appareil, de l’agent utilisateur et du réseau. Pris ensemble, ces signaux peuvent améliorer la sécurité sans augmenter les frictions pour les utilisateurs.
_______
Découvrez-en davantage sur Dan Woods dans ses récents articles de blog .