Les cyberattaques contre les entités gouvernementales, les entreprises ou encore les particuliers n’ont jamais été aussi nombreuses. La crise sanitaire a été un catalyseur, générateur d’opportunités pour les groupes cybercriminels. Le bilan de l’ANSSI pour l’année 2021 confirme ces faits avec une augmentation de 37% des intrusions. A cela s’ajoute le contexte géopolitique pour lequel le CERT-FR dans un rapport publié (Tensions internationales – Menaces Cyber ) et actualisé en mars 2022 met en garde les acteurs européens contre des cyber attaques pouvant être liées au contexte international actuel.
Dans une démarche de « cyber-solidarité » et d’intelligence collective, Whaller, plateforme française sociale et collaborative sécurisée, a décidé de partager à ses partenaires et clients une plateforme d’échange d’IOC dans laquelle ils pourront récupérer des éléments identifiés par Whaller mais également partager s’ils le souhaitent leurs propres IOC.
« A l’heure où les cyber attaques sont légion, il nous a paru important de démontrer que chaque entreprise pouvait faire preuve d’une cyber-solidarité en partageant ses connaissances techniques dans un périmètre maîtrisé. Les attaquants partagent de l’information, il est essentiel d’en faire de même au niveau de la défense afin de nous rendre plus résilients. » Cyril Bras, Directeur Cybersécurité Whaller
Le partage d’IOC, en quoi est-ce important ?
L’acronyme IOC nécessite une désignation claire car il existe de nombreux homonymes. Nous ne parlerons pas ici de l’International Olympic Comittee ou encore d’Inversion Of Control mais d’Indicator Of Compromise ; les indices de compromission. A l’instar d’une scène de crime où il est nécessaire de rechercher des indices pour comprendre ce qu’il s’est passé mais aussi retrouver le coupable, les IOC vont être des artefacts techniques associés à une intrusion informatique. Ils peuvent être des adresses IP, des noms de domaines, adresses mails, hash…
A quoi ça sert ?
Comme évoqué supra, les IOC sont des indices associés à une attaque ou à une tentative d’attaque. Par exemple une adresse IP peut avoir été observée dans de multiples attaques à travers le monde. Rechercher sa présence dans les journaux d’activité des serveurs ou des équipements réseaux va permettre d’identifier une potentielle intrusion. Il est également possible de les utiliser pour bloquer les accès aux ressources numériques à partir de pare-feu.
Comment trouver des IOC ?
Lorsqu’un incident de Cybersécurité survient, il est essentiel de collecter des preuves qui seront nécessaires au dépôt de plainte par exemple[1]. Il convient également de capitaliser sur l’incident pour d’une part empêcher que cet incident puisse se reproduire mais aussi améliorer la capacité à le détecter. C’est donc un incident qui sera la première source d’IOC, ce qui est insuffisant puisque cela implique d’une part de subir une attaque et d’autre part de la détecter. Il faut donc trouver d’autres sources de données. Les entités officielles telles le CERT-FR[2] par exemple, publie des indicateurs de compromission associés à des campagnes malveillantes qui peuvent être utilisés.
À propos de Whaller :
Whaller est une plateforme sociale et collaborative sécurisée pouvant accueillir plusieurs milliers de personnes. Whaller est le seul outil simple et complet pouvant répondre à un spectre aussi large d’usages. Whaller permet de construire des réseaux collaboratifs de toutes tailles et de toutes natures et ce, pour tous types de structures : entreprises, administrations, associations, écoles et universités, institutions, ministères, familles… L’incessibilité et la non-exploitation des données personnelles constituent deux principes fondamentaux de la plateforme. En se basant sur des communautés appelées des « sphères », indépendantes les unes des autres, Whaller permet à ses utilisateurs de maîtriser leurs communautés, leurs communications et leurs audiences. Whaller a été créé en 2013 par Thomas Fauré, la plateforme regroupe aujourd’hui plus de 800 000 utilisateurs pour 30 000 réseaux créés.
