Publicité en cours de chargement...

Publicité en cours de chargement...

Microsoft risque de faire grincer des dents quelques analystes SOC

20 fév. 2024 - 09:48,
Tribune - Charles Blanc-Rolin
Le travail d’analyste SOC consiste souvent à jongler entre alertes pertinentes, signaux faibles nécessitant de creuser et faux positifs. Si l’IA est au cœur de nombreuses discussions, plaquettes commerciales et articles en tout genre, cette tâche, parfois ingrate, d’analyse des alertes de sécurité reste toujours confiée à des êtres humains.

Pourquoi préférer un humain ? Pour son bon sens tout d’abord, si, si, je vous promet, il en reste encore, sa connaissance du contexte, bon l’IA pourrait peut-être tenter rivaliser ici, peut-être pas à 100 %, mais il y a aussi sa capacité à investiguer, communiquer (si si là aussi, je vous jure que c’est possible, pas chez tout le monde, mais c’est possible) et mettre face tous les éléments pour en tirer une conclusion : les alertes, le contexte, les résultats des investigations et les données collectées de par les échanges qu’ils ont pu avoir avec les équipes IT ou les utilisateurs, et là, l’IA n’a pas encore gagné le combat.

Ces alertes peuvent être de plusieurs formes et provenir de plusieurs sources. Analyse des fichiers (sur disque ou en mémoire), journaux d’évènements des postes, serveurs, équipements réseau, de sécurité… et analyses des flux réseau, qui, pour certains dispositifs, reste la seule source d’information pour détecter d’éventuelles menaces. Je pense notamment à tout les systèmes OT et biomédicaux sur lesquels il n’est pas possible d’installer un agent ou même venir collecter des logs.

L’analyse des flux réseaux est un domaine très, très, très vaste, et la capacité à créer des règles de détection est certainement plus grandes que celle à réaliser des attaques, à condition que ces attaques aient été analysées et que des règles de détection aient été écrites pour générer des alertes, nous sommes bien d’accord. Il faut garder en tête que tout évolue, les technologies, le contexte, les attaques etc, et les règles de détection nécessitent parfois d’être mise à jour elles aussi.

Parmi les règles les plus basiques que l’on peut observer dans le cadre de l’analyse des flux réseau, on retrouve notamment celles qui sont basées sur tout ce qui transite encore en clair via le protocole HTTP. Si vous pensiez que du fait que vous voyez un petit cadenas dans votre navigateur à chaque fois (ou presque) que vous consultez une page Web fait que tous les flux sont chiffrés aujourd’hui, vous vous trompez. On pourrait parler des requêtes OCSP qui permettent de voir passer le « user-agent HTTP » et par conséquent d’identifier plus ou moins précisément quel client établit la connexion.

Il y a également de nombreux logiciels et systèmes d’exploitation qui téléchargent toujours leurs mises à jour en HTTP, mais il a aussi de nombreux logiciels malveillants qui utilisent toujours ce protocole.
On pourrait citer l’exemple de Pikabot apparu il y a tout juste un an et qui, dans de nombreux cas observés se connecte dans la première phase de téléchargement via son loader, en HTTP à l’aide de l’utilitaire curl, directement à des adresses IP publiques, avec des chemins de téléchargement formatés de façon spécifique, pouvant être détectés via des expressions régulières.

Oui dans quelques cas il se connecte en HTTPS, mais on peut aussi le détecter à l’aide d’une empreinte JA3.
Revenons à HTTP. L’établissement d’une connexion HTTP à une machine présentée sur Internet via son adresse IP publique (sans utilisation d’un FQDN / nom de domaine pour faire court et approximatif) peut faire partie des signaux faibles intéressants à mettre de côté s’ils génèrent trop d’alertes sur un SI pour ne pas mériter une analyse directe.
Le téléchargement d’un exécutable en HTTP, en passant directement par une adresse IP publique pour atteindre le serveur, c’est aussi une règle susceptible d’intéresser les analystes. Vous vous demandiez sûrement à quel moment j’allais en venir à Microsoft, et bien c’est le moment (enfin !). Depuis le 13 février, date de publication du dernier patch tuesday de Microsoft, j’observe que Windows réalise le téléchargement de certaines mises à jour en utilisant directement l’adresse IP des serveurs pour s’y connecter. Pourquoi s’embêter avec des FQDN, c’est surfait… Il s’avère que ces adresses appartiennent à l’hébergeur StackPath, mais ce n’est pas une raison… On peut sous-traiter en créant des enregistrements DNS qui pointent chez son prestataire.
Pour tous ceux qui n’utilisent pas une solution de téléchargement des mises à jour centralisée telle que SCCM / WSUS ou qui ont des postes dont les mises à jour ne sont pas centralisées, la volumétrie d’alertes de ce type pourrait bien exploser...


Certains vont être ravis..


L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.