{"id":23591,"date":"2026-02-11T15:38:17","date_gmt":"2026-02-11T13:38:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23591"},"modified":"2026-02-11T15:39:42","modified_gmt":"2026-02-11T13:39:42","slug":"practical-value-of-cyberthreat-attribution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/practical-value-of-cyberthreat-attribution\/23591\/","title":{"rendered":"L’int\u00e9r\u00eat pratique de l’attribution des cybermenaces"},"content":{"rendered":"

Il n\u2019est pas rare que des professionnels de la cybers\u00e9curit\u00e9 jugent inutile de chercher \u00e0 savoir exactement qui orchestre les attaques de programmes malveillants contre leur entreprise. L\u2019algorithme classique d\u2019enqu\u00eate sur les incidents fonctionne g\u00e9n\u00e9ralement comme suit\u00a0: l\u2019analyste trouve un fichier suspect \u2192 si l\u2019antivirus ne l\u2019a pas d\u00e9tect\u00e9, il le place dans une sandbox pour le tester \u2192 il confirme certaines activit\u00e9s malveillantes \u2192 il ajoute le hachage \u00e0 la liste de blocage \u2192 il fait une pause caf\u00e9. Ce sont les \u00e9tapes incontournables pour de nombreux professionnels de la cybers\u00e9curit\u00e9, en particulier lorsqu\u2019ils sont submerg\u00e9s d\u2019alertes ou qu\u2019ils ne disposent pas des comp\u00e9tences n\u00e9cessaires en mati\u00e8re d\u2019analyse pour d\u00e9chiffrer une attaque complexe pas \u00e0 pas. Cependant, en cas d\u2019attaque cibl\u00e9e, cette approche m\u00e8ne tout droit \u00e0 la catastrophe. Voici pourquoi.<\/p>\n

Si un pirate informatique joue pour gagner, il s\u2019en tient rarement \u00e0 un seul vecteur d\u2019attaque. Il y a de fortes chances que le fichier malveillant ait d\u00e9j\u00e0 jou\u00e9 son r\u00f4le dans une attaque \u00e0 plusieurs niveaux et que celui-ci ne soit d\u00e9sormais plus d\u2019aucune utilit\u00e9 pour le pirate. Entre-temps, l\u2019adversaire s\u2019est d\u00e9j\u00e0 profond\u00e9ment infiltr\u00e9 dans l\u2019infrastructure de l\u2019entreprise et se sert d\u2019un tout autre ensemble d\u2019outils. Pour \u00e9liminer d\u00e9finitivement la menace, l\u2019\u00e9quipe de s\u00e9curit\u00e9 doit identifier et neutraliser tous les maillons de la cha\u00eene d\u2019attaque.<\/p>\n

Mais comment y parvenir rapidement et efficacement avant que l\u2019attaque ne cause de r\u00e9els d\u00e9g\u00e2ts ? Une solution consiste \u00e0 analyser le contexte en profondeur. En analysant un seul fichier, un expert peut identifier pr\u00e9cis\u00e9ment qui attaque son entreprise, d\u00e9couvrir rapidement quels autres outils et tactiques ce groupe sp\u00e9cifique utilise, puis passer au crible l\u2019infrastructure \u00e0 la recherche de toute menace connexe. Il existe de nombreux outils de Threat Intelligence adapt\u00e9s \u00e0 cette t\u00e2che, mais nous allons d\u00e9couvrir comment proc\u00e9der \u00e0 l\u2019aide de notre portail Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n

Un exemple concret illustrant l\u2019importance de l\u2019attribution<\/h2>\n

Imaginons que nous transmettions un programme malveillant que nous avons d\u00e9couvert \u00e0 un portail de Threat Intelligence et que nous apprenions qu\u2019il est principalement utilis\u00e9 par le groupe de pirates informatiques MysterySnail<\/em>. Qu\u2019est-ce que cela nous apprend r\u00e9ellement\u00a0? Examinons les informations disponibles\u00a0:<\/p>\n

\"Informations<\/a><\/p>\n

Tout d\u2019abord, ces pirates informatiques ciblent les institutions gouvernementales en Russie et en Mongolie. Il s\u2019agit d\u2019un groupe sinophone qui se consacre g\u00e9n\u00e9ralement \u00e0 l\u2019espionnage. Selon leur profil, ces pirates s\u2019implantent dans les infrastructures et restent discrets jusqu\u2019\u00e0 ce qu\u2019ils trouvent un butin int\u00e9ressant. Nous savons \u00e9galement qu\u2019ils exploitent g\u00e9n\u00e9ralement la vuln\u00e9rabilit\u00e9 CVE-2021-40449<\/em>. De quel type de vuln\u00e9rabilit\u00e9 s\u2019agit-il\u00a0?<\/p>\n

\"D\u00e9tails<\/a><\/p>\n

Comme nous pouvons le constater, il s\u2019agit d\u2019une vuln\u00e9rabilit\u00e9 d\u2019\u00e9l\u00e9vation de privil\u00e8ges, ce qui signifie qu\u2019elle est utilis\u00e9e une fois que les pirates ont d\u00e9j\u00e0 infiltr\u00e9 l\u2019infrastructure. Cette vuln\u00e9rabilit\u00e9 est consid\u00e9r\u00e9e comme critique et est fr\u00e9quemment exploit\u00e9e. Quels sont donc les logiciels r\u00e9ellement vuln\u00e9rables\u00a0?<\/p>\n

\"Logiciels<\/a><\/p>\n

Nous avons trouv\u00e9\u00a0: Microsoft Windows. Il est temps de v\u00e9rifier si le correctif qui comble cette faille a bien \u00e9t\u00e9 install\u00e9. Bon, \u00e0 part cette vuln\u00e9rabilit\u00e9, que savons-nous d\u2019autre au sujet des pirates informatiques\u00a0? Il semblerait qu\u2019ils v\u00e9rifient les configurations r\u00e9seau d\u2019une fa\u00e7on bien particuli\u00e8re\u00a0: ils se connectent au site public 2ip.ru\u00a0:<\/p>\n

\"D\u00e9tails<\/a><\/p>\n

Il est donc logique d\u2019ajouter une r\u00e8gle de corr\u00e9lation au SIEM pour signaler ce type de comportement.<\/p>\n

Il est temps de nous renseigner plus en d\u00e9tail sur ce groupe et de rassembler des indicateurs de compromission (IoC) suppl\u00e9mentaires pour la surveillance SIEM, ainsi que des r\u00e8gles YARA pr\u00eates \u00e0 l\u2019emploi (descriptions textuelles structur\u00e9es utilis\u00e9es pour identifier les programmes malveillants). L\u2019objectif est de localiser chaque tentacule de ce kraken d\u00e9j\u00e0 infiltr\u00e9e dans l\u2019infrastructure de l\u2019entreprise, et de pouvoir agir vite en cas de nouvelle attaque.<\/p>\n

\"Rapports<\/a><\/p>\n

Le portail Kaspersky Threat Intelligence Portal fournit une multitude de rapports suppl\u00e9mentaires sur les attaques MysterySnail, chacun accompagn\u00e9 d\u2019une liste d\u2019indicateurs de compromission (IoC) et de r\u00e8gles YARA. Ces r\u00e8gles YARA peuvent \u00eatre utilis\u00e9es pour analyser tous les terminaux, et ces IoC peuvent \u00eatre ajout\u00e9s dans SIEM pour une surveillance constante. Tant que nous y sommes, consultons les rapports pour comprendre comment ces pirates informatiques s\u2019y prennent pour exfiltrer les donn\u00e9es et quel type de donn\u00e9es ils recherchent habituellement. D\u00e9sormais, nous pouvons r\u00e9ellement prendre des mesures pour contrer cette attaque.<\/p>\n

Et voil\u00e0, MysterySnail\u00a0: l\u2019infrastructure est maintenant configur\u00e9e pour t\u2019identifier et r\u00e9pondre. Fini l\u2019espionnage\u00a0!<\/p>\n

<\/a>M\u00e9thodes d\u2019attribution des programmes malveillants<\/h2>\n

Avant d\u2019aborder plus en d\u00e9tail les m\u00e9thodes utilis\u00e9es, il convient de pr\u00e9ciser un point\u00a0: pour que l\u2019attribution fonctionne r\u00e9ellement, la Threat Intelligence fournie doit s\u2019appuyer sur une base de connaissances tr\u00e8s compl\u00e8te concernant les tactiques, techniques et proc\u00e9dures (TTP) utilis\u00e9es par les acteurs malveillants. La port\u00e9e et la qualit\u00e9 de ces bases de donn\u00e9es peuvent varier consid\u00e9rablement d\u2019un fournisseur \u00e0 l\u2019autre. Dans notre cas, avant m\u00eame de cr\u00e9er notre outil, nous avons pass\u00e9 des ann\u00e9es \u00e0 surveiller des groupes connus dans le cadre de diverses campagnes et \u00e0 enregistrer leurs TTP, et nous continuons aujourd\u2019hui \u00e0 mettre r\u00e9guli\u00e8rement \u00e0 jour cette base de donn\u00e9es.<\/p>\n

Une fois la base de donn\u00e9es TTP mise en place, les m\u00e9thodes d\u2019attribution suivantes peuvent \u00eatre appliqu\u00e9es\u00a0:<\/p>\n

    \n
  1. Attribution dynamique\u00a0: identification des TTP gr\u00e2ce \u00e0 l\u2019analyse dynamique de fichiers sp\u00e9cifiques, puis recoupement de cet ensemble de TTP avec ceux de groupes de pirates informatiques connus<\/li>\n
  2. Attribution technique\u00a0: recherche de recoupements entre des fichiers sp\u00e9cifiques et des fragments de code connus pour \u00eatre utilis\u00e9s par des groupes de pirates informatiques bien pr\u00e9cis dans leurs programmes malveillants<\/li>\n<\/ol>\n

    Attribution dynamique<\/h2>\n

    L\u2019identification des TTP au cours d\u2019une analyse dynamique est relativement simple \u00e0 mettre en \u0153uvre. En fait, cette fonctionnalit\u00e9 est depuis longtemps un incontournable de toute sandbox moderne. Bien entendu, toutes nos sandboxes identifient \u00e9galement les TTP lors de l\u2019analyse dynamique d\u2019un \u00e9chantillon de programme malveillant\u00a0:<\/p>\n

    \"TTP<\/a><\/p>\n

    Le principe fondamental de cette m\u00e9thode consiste \u00e0 classer les activit\u00e9s de programmes malveillants \u00e0 l\u2019aide du cadre MITRE ATT&CK. Un rapport de la sandbox contient g\u00e9n\u00e9ralement une liste des TTP d\u00e9tect\u00e9es. Bien que ces donn\u00e9es soient tr\u00e8s utiles, elles ne suffisent pas pour attribuer pleinement la responsabilit\u00e9 \u00e0 un groupe en particulier. Essayer d\u2019identifier les auteurs d\u2019une attaque en utilisant uniquement cette m\u00e9thode revient \u00e0 appliquer la c\u00e9l\u00e8bre parabole indienne des aveugles et de l\u2019\u00e9l\u00e9phant<\/a>\u00a0: plusieurs personnes aux yeux band\u00e9s touchent diff\u00e9rentes parties d\u2019un \u00e9l\u00e9phant et tentent de deviner ce qui se trouve devant elles \u00e0 partir de leurs seules perceptions tactiles. La personne qui touche la trompe pense qu\u2019il s\u2019agit d\u2019un python, et celle qui touche le ventre affirme qu\u2019il s\u2019agit d\u2019un mur, et ainsi de suite.<\/p>\n

    \"Les<\/a><\/p>\n

    Attribution technique<\/h2>\n

    La deuxi\u00e8me m\u00e9thode d\u2019attribution est g\u00e9r\u00e9e par l\u2019analyse statique du code (mais sachez que ce type d\u2019attribution est toujours probl\u00e9matique). L\u2019id\u00e9e centrale ici est de regrouper les fichiers malveillants qui se chevauchent m\u00eame l\u00e9g\u00e8rement en fonction de caract\u00e9ristiques uniques sp\u00e9cifiques. Avant toute analyse, l\u2019\u00e9chantillon du programme malveillant doit \u00eatre d\u00e9sassembl\u00e9. Le probl\u00e8me vient du fait que, malgr\u00e9 les informations utiles et pertinentes qu\u2019il contient, le code r\u00e9cup\u00e9r\u00e9 contient beaucoup de bruit. Si l\u2019algorithme d\u2019attribution prend en compte ces informations inutiles, n\u2019importe quel \u00e9chantillon de programme malveillant finira par ressembler \u00e0 un grand nombre de fichiers l\u00e9gitimes, rendant impossible toute attribution fiable. D\u2019un autre c\u00f4t\u00e9, essayer d\u2019attribuer les programmes malveillants uniquement \u00e0 partir des fragments utiles, mais en utilisant une m\u00e9thode math\u00e9matique primitive, ne fera qu\u2019augmenter consid\u00e9rablement le taux de faux positifs. De plus, tout r\u00e9sultat d\u2019attribution doit faire l\u2019objet d\u2019une v\u00e9rification crois\u00e9e afin de d\u00e9tecter toute similitude avec des fichiers l\u00e9gitimes. La qualit\u00e9 de cette v\u00e9rification d\u00e9pend g\u00e9n\u00e9ralement fortement des capacit\u00e9s techniques du fournisseur.<\/p>\n

    <\/a>L\u2019approche de Kaspersky en mati\u00e8re d\u2019attribution<\/h2>\n

    Nos produits reposent sur une base de donn\u00e9es unique regroupant les programmes malveillants associ\u00e9s \u00e0 des groupes de pirates informatiques pr\u00e9cis, constitu\u00e9e depuis plus de 25\u00a0ans. Qui plus est, nous utilisons un algorithme d\u2019attribution brevet\u00e9<\/a> qui repose sur l\u2019analyse statique du code d\u00e9sassembl\u00e9. Nous pouvons ainsi d\u00e9terminer avec une grande pr\u00e9cision, et m\u00eame avec un taux de probabilit\u00e9 pr\u00e9cis, dans quelle mesure un fichier analys\u00e9 ressemble \u00e0 des \u00e9chantillons connus provenant d\u2019un groupe en particulier. De cette mani\u00e8re, nous pouvons \u00e9tablir un verdict bien fond\u00e9 et attribuer le programme malveillant \u00e0 un acteur malveillant sp\u00e9cifique. Les r\u00e9sultats sont ensuite recoup\u00e9s avec une base de donn\u00e9es contenant des milliards de fichiers authentiques afin de filtrer les faux positifs. Si une correspondance est trouv\u00e9e avec l\u2019un d\u2019entre eux, le verdict d\u2019attribution est ajust\u00e9 en cons\u00e9quence. Cette approche est le pilier du moteur d\u2019attribution des menaces de Kaspersky, qui est \u00e0 la base du service d\u2019attribution des menaces sur le portail Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Pourquoi est-il utile d’attribuer un programme malveillant \u00e0 un groupe de pirates en particulier ?<\/p>\n","protected":false},"author":2792,"featured_media":23596,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[28,1608,4027],"class_list":{"0":"post-23591","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attaques","11":"tag-services","12":"tag-threat-intelligence"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/practical-value-of-cyberthreat-attribution\/23591\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/practical-value-of-cyberthreat-attribution\/30133\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/25194\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/13167\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/practical-value-of-cyberthreat-attribution\/30010\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/28957\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/practical-value-of-cyberthreat-attribution\/31823\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/practical-value-of-cyberthreat-attribution\/30444\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/practical-value-of-cyberthreat-attribution\/41238\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/practical-value-of-cyberthreat-attribution\/14248\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/55217\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/practical-value-of-cyberthreat-attribution\/24713\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/practical-value-of-cyberthreat-attribution\/33159\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/practical-value-of-cyberthreat-attribution\/30222\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/practical-value-of-cyberthreat-attribution\/35894\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/practical-value-of-cyberthreat-attribution\/35550\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/threat-intelligence\/","name":"threat intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23591"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23591\/revisions"}],"predecessor-version":[{"id":23607,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23591\/revisions\/23607"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23596"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}