La surface d’attaque est une notion essentielle en cybersécurité. Nous proposons dans cet article un rappel des divers éléments de sa définition (partie 1), puis formulons quelques hypothèses relatives à l’objectif de réduction de la surface d’attaque, qui se heurte à plusieurs difficultés (partie 2). Enfin, dans une visée plus prospective, nous interrogeons-nous sur les effets potentiels de l’intelligence artificielle sur la définition de la surface d’attaque (partie 3).
1. Définitions, enjeux
C’est au tournant des années 1990-2000 que l’on voit apparaître la notion de « surface d’attaque ». Ainsi apparaît-elle depuis dans des articles qui en proposent définitions, modèles formels [1], taxonomies [2], métriques [3], méthodes d’analyses (pour des environnements et applications particuliers tels que BlackBerry [4], Windows [5], Cloud, web browser [6], mobiles [7] ; ou pour des dimensions spécifiques telles que la surface d’attaque humaine [8]...), méthodes de réduction [9].
1.1. Définitions
La notion de surface d’attaque est aujourd’hui centrale en cybersécurité, gestion du risque et de la menace. Les évolutions technologiques incessantes conjuguées à l’expansion accélérée du cyberespace (cloud computing, Internet des objets [10]) contribuent par ailleurs à une remise en question constante de la notion, de son approche.
La « surface d’attaque » désigne « les potentielles vulnérabilités qui...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] Pratyusa K. Manadhata, et alt., « A formal model for a system’s attack surface », juillet 2007, 21 pages
[2] Nils Gruschka, Meiko Jensen, « Attack surfaces : a taxonomy for attacks on Cloud services », 2010, IEEE Conference, 3rd international conference on Cloud Computing, pp.276-279
[3] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE, 6 pages
[4] James O’Connor, « Attack surface analysis of BlackBerry Devices », Symantec Security Response, Ireland, 39 pages (rapport non daté)
[5] James Hoagland, et alt., « Windows Vista Network Attack Surface Analysis », Symantec Advanced Threat Research, 116 pages. (rapport non daté)
[6] Erwan Abgrall et alt., « Empirical investigation of the Web browser attach surface under Cross-site scripting: an urgent need for Systematic security regression testing », 2014 IEEE International Conference on Software Testing, Verification, and Validation Workshops, 8 pages
[7] Mark Sherman, Attack surfaces for mobile devices, Proceedings of the 2nd International Workshop on Software Development Lifecycle for Mobile, pp. 5-8, 2014
[8] Edwards, Matthew, « Panning for gold: Automatically analysing online social engineering attack surfaces », Computers & security, Volume 69, n° 1, août 2017, pp.18-34
[9] Akashdeep Bhardwaj, Sam Goundar, « Reducing the threat surface to minimize the impact of cyberattacks », Network Security, Volume 2018, n° 4, avril 2018, pp. 15–19
[10] Daniel Miessler, « Securing the Internet of Things: mapping attack surface areas using the OWASP IoT Top 10 », RSA Conference 2015, San Francisco, 20-24 avril 2015, présentation PowerPoint, 54 pages
[11] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE.
[12] Stephen Northcutt, « The Attack Surface Problem », SANS Technology Institute, https://www.sans.edu/cyber-research/security-laboratory/article/did-attack-surface
[13] « Analyse et réduction de la surface d’attaque », site Information-Security, https://www.information-security.fr/analayt-reduction-surface-dattaque/
[14] « Attack your attack surface », rapport de Skybox Security, mars 2016, 13 pages, https://www.skyboxsecurity.com/sites/default/files/Attack%20Surface%20Visualization.pdf
[15] Michael Howard, « Fending off future attacks by reducing attack surface », Microsoft, février 2003
[16] Anil Kurmus et alt., « Attack surface metrics and automated compile-time OS kernel tailoring », 17 pages, https://www.ibr.cs.tu-bs.de/users/kurmus/papers/kurmus-ndss13.pdf - Joshua A. Meek, Wayne Zage, « M.I.D.A.S.: metrics identification of attack surfaces », Master Thesis, Department of Computer Science, Ball State University, Indiana, USA, 2012
[17] Pratyusa K. Manadhata, « Attack Surface Measurement », http://mlsec.info/project/attacksurface/
[18] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE
[19] Department of Defense, DoD Cybersecurity Discipline, Implementation Plan, octobre 2015 (version amendée en février 2016), 27 pages
[20] Improving Cyber Basics. DoD Cyber Discipline Implementation Plan and DoD Cyber Scorecard, Décembre 2016, 10 slides
[21] Moritz Lipp, et alt., « Meltdown », 2018, 16 pages, https://meltdownattack.com/meltdown.pdf
[22] Department of Defense, « The DoD Cyber Strategy », avril 2015, Washington, 42 pages
[23] Amar Toor, « Singapore will ban civil servants from using the internet », 24 août 2016, site Theverge.com, https://www.theverge.com/2016/8/24/12621508/singapore-internet-ban-public-servants-cyber-attack
[24] Harold Abelson et alt., « Keys under Doormat: mandating insecurity by requiring government access to all data and communications », Computer Science and Artificial Intelligence Laboratory, Technical Report, 6 juillet 2015, 34 pages
[25] Phil Quade, « Executive Insights: using artificial intelligence to rebalance the cyber criminal advantage », 27 février 2018, site Fortinet.com, https://www.fortinet.com/blog/industry-trends/executive-insights--using-artificial-intelligence-to-rebalance-t.html
[26] Miles Brundage et alt., « The Malicious use of artificial intelligence: forecasting, prevention, and mitigation », février 2018, 101 pages
[27] Andrew B. Gardner, « Combatting Advanced Cybersecurity Threats with AI and Machine Learning », RSA Conference 2017, 13-17 février 2017, San Francisco, présentation PowerPoint, 33 pages
[28] Maria Korolov, « How AI can help you stay ahead of cybersecurity threats », site CSOOnline.com, 19 octobre 2017, https://www.csoonline.com/article/3233951/machine-learning/how-ai-can-help-you-stay-ahead-of-cybersecurity-threats.html
[29] Moises Danziger, Marco Aurelio, Amaral Henriques, « Attacking and Defending with Intelligent Botnets », 3-7 septembre 2017, Brésil, 5 pages, XXXV Simposio Brasileiro de Telecomunicaçoes e Processamento de Sinais
[30] « Les deep fakes, des vidéos truquées au fort potentiel de nuisance », 29 mars 2018, Site rts.ch, https://www.rts.ch/info/sciences-tech/technologies/9405974-les-deep-fakes-des-videos-truquees-au-fort-potentiel-de-nuisance.html