Un braquage ne commence jamais par le braquage

Au centre commercial « Les Arcades », personne ne force le rideau de la bijouterie à 3 heures du matin sans avoir préparé son coup. Avant le vol, il y a des semaines de travail invisible.

Quelqu'un est venu plusieurs fois en simple client. Il a noté les horaires des vigiles, repéré l'angle mort des caméras près de l'escalier de service, observé quel employé laisse la porte du local technique entrouverte pendant sa pause. Un autre s'est présenté en faux livreur pour franchir la zone réservée au personnel. Le jour J, l'équipe sait exactement où aller, quand, et par où ressortir.

Le braquage est l'étape finale et visible. Tout le reste est une séquence d'actions préparatoires, chacune nécessaire à la suivante. Casser un seul maillon (un vigile qui contrôle le badge du faux livreur, une caméra réorientée) fait dérailler tout le plan.

Une cyberattaque suit la même logique : ce n'est pas un événement instantané, c'est un enchaînement d'étapes. Repérer une étape, c'est avoir une chance d'arrêter toute la chaîne.

C'est exactement l'idée derrière deux modèles devenus des standards : la Cyber Kill Chain de Lockheed Martin et la matrice MITRE ATT&CK. Le premier décrit la séquence type d'une intrusion. Le second catalogue les techniques réellement observées chez les attaquants. Ensemble, ils donnent au défenseur une grille de lecture pour comprendre où il en est, et où frapper pour interrompre l'attaque.


Pourquoi modéliser une attaque comme une chaîne

Tant qu'on voit une intrusion comme un instant unique (« on s'est fait pirater »), on ne sait pas quoi en faire. On constate les dégâts, sans comprendre comment on en est arrivé là.

Modéliser l'attaque comme une suite d'étapes change la donne sur trois plans.

D'abord, ça donne du vocabulaire commun. Quand l'équipe sécurité dit « on a détecté l'attaquant en phase de reconnaissance », tout le monde comprend qu'il n'a encore rien volé. C'est très différent de « il exfiltre des données depuis trois jours ».

Ensuite, ça transforme un mur en plusieurs portes. Une attaque réussie doit franchir chaque étape. Le défenseur, lui, n'a besoin de gagner qu'une seule fois : bloquer n'importe quelle étape suffit à faire échouer l'ensemble. C'est le prolongement direct de la défense en profondeur (chaque couche est une nouvelle chance d'arrêter l'adversaire).

Enfin, ça oriente l'investigation. Quand un analyste de SOC repère un indice, savoir à quelle étape il correspond lui dit ce qui a probablement déjà eu lieu, et ce qui risque d'arriver ensuite.

L'asymétrie joue ici en faveur du défenseur : l'attaquant doit réussir toutes les étapes, le défenseur n'a qu'à en casser une.

Les sept étapes de la Cyber Kill Chain

Lockheed Martin a publié en 2011 son modèle Cyber Kill Chain, transposé du vocabulaire militaire (la « chaîne de frappe »). Il décrit une intrusion ciblée en sept phases successives.

flowchart LR R[1. Reconnaissance] --> W[2. Weaponization] W --> D[3. Delivery] D --> E[4. Exploitation] E --> I[5. Installation] I --> C[6. Command and Control] C --> A[7. Actions on Objectives] classDef recon fill:#d89253,stroke:#8a4d16,color:#1a1a1a classDef prep fill:#ede9e1,stroke:#b5651d,color:#1a1a1a classDef intrusion fill:#b5651d,stroke:#8a4d16,color:#f5f2ec classDef impact fill:#a0413e,stroke:#8a4d16,color:#f5f2ec class R recon class W,D prep class E,I,C intrusion class A impact

Voici ce que recouvre chaque phase, avec sa traduction côté « Les Arcades ».

1. Reconnaissance. L'attaquant collecte des informations sur sa cible : adresses e-mail, technologies utilisées, noms d'employés, services exposés sur Internet. Aux Arcades, c'est le repérage des lieux, des horaires et des habitudes du personnel.

2. Weaponization (militarisation). Il prépare son arme : un document piégé, un exécutable malveillant, un kit d'exploitation. Rien n'a encore touché la cible. C'est le moment où l'équipe fabrique le faux uniforme de livreur et le double de la clé.

3. Delivery (livraison). L'arme est acheminée vers la cible, le plus souvent par e-mail de phishing, clé USB, ou site web compromis. C'est le faux livreur qui se présente à l'entrée de service avec son colis.

4. Exploitation. Le code malveillant s'exécute en profitant d'une vulnérabilité (technique) ou d'un clic de l'utilisateur (humain). La porte cède : l'attaquant a un premier pied dans la place, comme le faux livreur qui franchit enfin la zone réservée.

5. Installation. L'attaquant établit une présence durable : porte dérobée, compte caché, tâche planifiée. Il s'assure de pouvoir revenir même si la première brèche est refermée. C'est le cambrioleur qui cale discrètement une issue de secours pour ressortir plus tard.

6. Command and Control (C2). La machine compromise prend contact avec un serveur contrôlé par l'attaquant, qui lui envoie ses ordres à distance. Le complice à l'intérieur reçoit ses instructions par oreillette depuis le parking.

7. Actions on Objectives (actions sur les objectifs). L'attaquant atteint enfin son but : vol de données, chiffrement par rançongiciel, sabotage. C'est le braquage proprement dit, le seul moment où les dégâts deviennent visibles.

Le modèle a une faiblesse à connaître : il est linéaire et taillé pour l'intrusion par malware. Les attaques modernes bouclent, reviennent en arrière, ou démarrent directement avec des identifiants volés. Il reste une excellente première grille de lecture, pas une vérité absolue.

MITRE ATT&CK : la matrice de ce que font vraiment les attaquants

La kill chain dit dans quel ordre une attaque se déroule. Elle ne dit pas comment, concrètement, l'attaquant s'y prend à chaque étape. C'est là qu'intervient MITRE ATT&CK, une base de connaissances publique et continuellement mise à jour, construite à partir d'attaques réelles observées sur le terrain.

ATT&CK (pour Adversarial Tactics, Techniques, and Common Knowledge) s'organise sur deux niveaux.

Les tactiques sont les objectifs de l'attaquant : pourquoi il fait quelque chose. La matrice Enterprise en compte quatorze, parmi lesquelles Initial Access, Execution, Persistence, Privilege Escalation, Lateral Movement, Exfiltration. Ce sont, en plus fin, l'équivalent des étapes de la kill chain.

Les techniques sont les moyens concrets : comment il atteint chaque objectif. Chacune porte un identifiant stable. Par exemple, T1566 Phishing couvre l'envoi de messages piégés pour obtenir un accès initial, et T1078 Valid Accounts décrit l'usage d'identifiants légitimes volés. Beaucoup de techniques se déclinent en sous-techniques plus précises.

ATT&CK n'est pas une théorie : chaque technique est rattachée à des groupes d'attaquants et des logiciels malveillants réellement observés. C'est un catalogue du « déjà-vu », pas du « possible en principe ».

Pour un SOC, cet adossement au réel est précieux. Quand un analyste repère un comportement suspect, il peut le rattacher à une technique ATT&CK, donc à un objectif probable, donc anticiper la suite. La matrice sert aussi à mesurer sa couverture défensive : pour chaque technique, suis-je capable de la détecter ? La représenter visuellement (par exemple avec l'outil ATT&CK Navigator) fait apparaître les trous.

Et la défense ? MITRE D3FEND

ATT&CK regarde l'attaque. Son pendant défensif, MITRE D3FEND, catalogue les contre-mesures. Là où ATT&CK décrit une technique offensive, D3FEND propose les actions défensives qui la neutralisent, et établit des liens entre les deux. L'ensemble offre une cartographie : « voici ce que fait l'attaquant, voici ce que je peux opposer à chaque geste ».


Comment le défenseur brise la chaîne, étape par étape

L'intérêt pratique de ces modèles tient en une phrase : à chaque étape correspond une parade. Plus on intercepte tôt, moins les dégâts sont lourds. Aux Arcades, la vidéosurveillance et le PC sécurité jouent ce rôle : ils peuvent repérer le repéreur dès ses premières visites, bien avant le braquage.

Le tableau ci-dessous met en regard chaque étape de la kill chain et les parades correspondantes côté défense.

Étape de la kill chain Ce que fait l'attaquant Parade défensive
Reconnaissance Collecte d'infos publiques, scan des services exposés Réduction de la surface d'attaque, supervision des scans, hygiène de la donnée publique
Weaponization Prépare le malware ou le document piégé Veille sur les menaces (CTI), connaissance des outils adverses
Delivery Envoie le phishing, dépose le fichier Filtrage e-mail et anti-spam, SPF/DKIM/DMARC, sensibilisation des utilisateurs
Exploitation Exécute le code via une faille ou un clic Correctifs à jour, durcissement, protection de l'endpoint (EDR)
Installation Pose une porte dérobée, un mécanisme de persistance EDR, surveillance des modifications système, moindre privilège
Command and Control Établit un canal de pilotage à distance Filtrage sortant, analyse DNS, détection du trafic anormal
Actions on Objectives Exfiltre, chiffre, détruit Segmentation, chiffrement des données, DLP, sauvegardes hors ligne

On retrouve ici, étape par étape, les couches de la défense en profondeur. Chaque ligne du tableau est une couche, et donc une occasion supplémentaire de stopper l'attaquant. Si le filtrage e-mail laisse passer le phishing, l'EDR peut encore bloquer l'exploitation. S'il échoue, le filtrage sortant peut repérer le canal C2. Aucune barrière n'est parfaite, mais leur empilement rend la chaîne complète très difficile à parcourir d'un bout à l'autre.

Détecter tôt vaut mieux que détecter tard. Bloquer la reconnaissance coûte presque rien ; bloquer au stade de l'exfiltration, c'est limiter les dégâts d'une intrusion déjà bien installée.

Scénario réel : la compromission de Target en 2013

Le cas de l'enseigne de distribution américaine Target illustre la kill chain de bout en bout, sur une attaque qui a exposé les données d'environ 40 millions de cartes bancaires. Les faits ci-dessous sont issus du rapport du Comité du Sénat américain sur le commerce (2014) et des enquêtes du journaliste Brian Krebs.

Reconnaissance et accès initial. Les attaquants ne visent pas Target en frontal. Ils ciblent un prestataire de chauffage et de climatisation (CVC), Fazio Mechanical, qui dispose d'un accès aux systèmes de Target pour la facturation et le suivi de ses interventions. C'est le faux livreur des Arcades : on n'entre pas par la grande porte, mais par celle du fournisseur de confiance.

Delivery et exploitation. Le prestataire est compromis par un e-mail piégé, qui permet de dérober ses identifiants d'accès. Avec ces identifiants légitimes (une situation que MITRE ATT&CK décrit comme T1078 Valid Accounts), les attaquants se connectent au portail fournisseur de Target. Pour le système, ce n'est pas une intrusion : c'est un partenaire qui se connecte normalement.

Installation et progression. Une fois dans le réseau, les attaquants se déplacent latéralement jusqu'aux systèmes de paiement, qui n'étaient pas suffisamment isolés du reste. Ils installent un logiciel malveillant directement sur les terminaux de caisse, conçu pour lire les données de cartes au moment où elles transitent en clair dans la mémoire.

Command and Control et exfiltration. Le malware collecte les numéros de cartes, les regroupe sur un serveur interne, puis les exfiltre par lots vers des serveurs externes contrôlés par les attaquants. C'est le braquage proprement dit, étalé sur plusieurs semaines.

Le point le plus discuté de l'affaire : des outils de détection avaient bien généré des alertes pendant l'attaque, mais elles n'ont pas été traitées à temps. La vidéosurveillance filmait, mais personne ne regardait l'écran au bon moment. La leçon n'est pas qu'il manquait une barrière, c'est qu'une chaîne d'alertes non exploitée équivaut à pas d'alerte du tout.

Deux maillons auraient suffi à tout changer : un accès tiers correctement cloisonné (le prestataire CVC n'avait aucune raison d'atteindre les caisses) et des alertes réellement traitées. Casser une seule étape aurait fait échouer l'ensemble.

Points clés

  • Une attaque n'est pas un instant, c'est une séquence d'étapes ; chaque étape franchie en rend une autre possible.
  • La Cyber Kill Chain (Lockheed Martin) décrit l'ordre type d'une intrusion en sept phases, de la reconnaissance aux actions sur les objectifs.
  • MITRE ATT&CK complète ce cadre avec les tactiques et techniques réellement observées, et D3FEND y associe les contre-mesures.
  • Le défenseur gagne par asymétrie : l'attaquant doit réussir toutes les étapes, briser une seule suffit à le stopper. C'est la défense en profondeur appliquée à la chronologie de l'attaque.
  • Le cas Target montre que les barrières ne valent rien sans traitement effectif des alertes : une détection ignorée équivaut à une absence de détection.

Dans la série

Palier 1 : Connaître les lieux. Domaine : Menaces.

Pour aller plus loin