Microsoft tente de fédérer autour de sa taxonomie des menaces cyber
Cyberéthique et libertés numériques

Microsoft tente de fédérer autour de sa taxonomie des menaces cyber

Artia13 4 Views

Ta peur tu dois nommer

Microsoft tente de fédérer autour de sa taxonomie des menaces cyber

Microsoft et CrowdStrike utiliseront désormais une taxonomie commune pour désigner les groupes organisés auteurs de menaces ou d’attaques cyber, en fonction de leur origine géographique ou de leur motivation principale. S’il se défend de vouloir créer un standard, l’éditeur ne cache pas son ambition de fédérer les acteurs de la cybersécurité autour de ses conventions de nommage.

L’entreprise de cybersécurité CrowdStrike identifiera désormais, elle aussi, les menaces émergentes avec des termes inspirés des sciences du climat, à l’image de « tempête de moutarde » ou « typhon de mûres blanches ». Elle vient en effet d’adopter la taxonomie dédiée aux menaces cyber élaborée et utilisée par Microsoft depuis 2023. L’éditeur de Windows indique dans le même temps que Mandiant (Google) et Unit 42 (Palo Alto Networks) contribueront bientôt à cet effort de classification.

Un standard ? Non, un guide de référence

« Les noms nous permettent de comprendre le paysage des menaces et d’organiser les informations sur les comportements connus ou probables des cyberattaquants », explique Microsoft dans un billet d’annonce. Problème : une taxonomie ne vaut que si elle est partagée. Or les acteurs de la cybersécurité ont souvent leurs propres nomenclatures internes, ce qui conduit à ce qu’un même groupe, ou une même menace, soit identifiée sous des appellations différentes, en fonction de l’éditeur dont émane l’alerte.

« L’acteur que Microsoft appelle Midnight Blizzard peut être référencé comme Cozy Bear, APT29, ou UNC2452 par un autre éditeur. Nos clients communs recherchent toujours plus de clarté », argue encore la firme de Redmond, qui se défend de vouloir imposer sa propre taxonomie au marché et préfère parler de « guide de référence » plutôt que de standard. « Cet effort ne vise pas à créer une norme de nommage unique. Il vise plutôt à aider nos clients et la communauté de la sécurité au sens large à harmoniser leurs renseignements plus facilement, à réagir plus rapidement et à garder une longueur d’avance sur les acteurs malveillants ».

Une taxonomie inspirée du climat

Microsoft profite de l’occasion pour mettre à jour sa taxonomie et en expliquer les grands principes. Les émetteurs de menaces cyber sont ainsi rangés selon cinq grandes familles, en fonction de leur origine géographique, de leur mode opératoire, ou d’éventuels objectifs spécifiques.

L’éditeur distingue ainsi en premier lieu les acteurs « nationaux », dont la finalité serait de répondre à des enjeux d’État, notamment en matière d’espionnage ou de surveillance. Dix-sept pays ou autorités étatiques sont distinguées à l’aide d’un nom en rapport avec un phénomène météorologique. Typhoon désigne la Chine, Sandstorm l’Iran, Blizzard la Russie, etc. La France ne fait l’objet d’aucune dénomination particulière, mais les États-Unis sont référencés comme Tornado.

La taxonomie de Microsoft distingue les acteurs de la menace en fonction de leur origine géographique ou de la finalité de leurs actions

Les acteurs ou organisations motivés uniquement par l’appât du gain sont quant à eux rangés dans une catégorie spécifique, associée au nom Tempest. « Cette catégorie comprend les opérateurs de ransomware, les compromissions de mails professionnels, le phishing et d’autres groupes ayant des motivations purement financières ou d’extorsion », décrit l’éditeur.

Microsoft isole les fournisseurs de solutions, ceux qui éditent les outils d’espionnage, de surveillance ou d’offensive cyber, dans une autre catégorie spécifique, baptisée Tsunami. Les groupes chargés de mener des campagnes d’influence ou de manipulation en ligne sont quant à eux rangés à la rubrique Flood (inondation).

« Les acteurs au sein d’une même famille météorologique reçoivent un adjectif pour distinguer les groupes avec des tactiques, techniques et procédures (TTP), une infrastructure, des objectifs ou d’autres modèles identifiés distincts », explique Microsoft. Dans sa taxonomie, un même nom peut donc désigner plusieurs groupes d’attaquants distincts, si ces derniers partagent des objectifs et des méthodes communs. Ainsi, l’éditeur référence sous l’étiquette Diamond Sleet le groupe nord-coréen Lazarus, dont le nom revient régulièrement dans l’actualité cyber, mais aussi toutes ses émanations ou structures voisines.

Enfin, les groupes émergents, dont les objectifs ou la finalité n’ont pas encore été établis, reçoivent une étiquette générique, Storm (orage), associée à un identifiant à quatre chiffres.

Auteur : Alexandre Laurent

Aller à la source

Artia13

Bonjour ! Je m'appelle Cédric, auteur et éditeur basé à Arles. J'écris et publie des ouvrages sur la désinformation, la sécurité numérique et les enjeux sociétaux, mais aussi des romans d'aventure qui invitent à l'évasion et à la réflexion. Mon objectif : informer, captiver et éveiller les consciences à travers mes écrits.

Artia13 has 2727 posts and counting. See all posts by Artia13

Vous Aimerez Peut-être Aussi

Navigation Privée : Mythes et Réalités de l’Anonymat en Ligne

Navigation Privée : Mythes et Réalités de l’Anonymat en Ligne

Over Shell
💻🔍 L’éthique des exploits : génie ou danger? 🤔 Que feriez-vous? #CyberÉthique #debat

💻🔍 L’éthique des exploits : génie ou danger? 🤔 Que feriez-vous? #CyberÉthique #debat

Code & Spaghetti
Neutralité du net : Internet va-t-il coûter plus cher ?

Neutralité du net : Internet va-t-il coûter plus cher ?

On n'est plus des pigeons !