Points clés
- Les signaux faibles de compromission — activités anormales mais non immédiatement alarmantes — ne sont visibles que dans les journaux détaillés et ne peuvent pas être détectés par des outils de supervision à granularité insuffisante.
- L'opération Aurora (2009-2010) ciblant Google et d'autres entreprises technologiques a été détectée grâce à un signal faible dans les logs DNS — des requêtes vers des domaines légèrement modifiés qui imitaient des domaines légitimes.
- Les APT (Advanced Persistent Threats) opèrent délibérément sous le seuil de détection des outils standard : ils imitent les activités légitimes, utilisent des outils natifs du système (Living off the Land), et opèrent lentement pour éviter les détections volumétriques.
- NIST SP 800-92 et les recommandations de la CISA sur la détection des APT insistent sur l'importance d'une journalisation granulaire (DNS, accès aux données, exécutions de processus) pour détecter ces techniques.
Les attaques sophistiquées — APT étatiques, ransomwares avancés, menaces internes — opèrent délibérément sous le seuil de détection des outils de supervision standard. Elles imitent des activités légitimes, utilisent des outils natifs du système (techniques "Living off the Land"), et progressent lentement pour éviter les détections basées sur la volumétrie ou les signatures. Ces attaques ne peuvent être détectées qu'en analysant des signaux faibles dans des journaux suffisamment granulaires.
La journalisation granulaire — logs DNS complets, journaux d'exécution des processus (Sysmon), logs détaillés des accès aux données — est la condition pour rendre ces signaux faibles visibles. Sans cette granularité, les attaques sophistiquées restent invisibles jusqu'à ce qu'elles produisent un effet visible — chiffrement, publication de données, défacement.
Les signaux faibles les plus révélateurs
Les requêtes DNS vers des domaines suspects sont l'un des signaux faibles les plus précoces de compromission. Les malwares et les outils de command-and-control utilisent fréquemment des domaines que les attaquants enregistrent pour communiquer avec les systèmes compromis. Ces domaines peuvent utiliser le DGA (Domain Generation Algorithm) — génération automatique de noms de domaine — ou imiter des domaines légitimes (typosquatting). La journalisation DNS complète et son analyse permettent de détecter ces communications avant qu'elles n'initient des actions malveillantes.
L'exécution de processus inhabituels (PowerShell, WMI, PsExec, certutil.exe) sur des systèmes qui n'utilisent pas habituellement ces outils est un signal faible caractéristique des techniques "Living off the Land". Ces outils natifs Windows sont légitimes mais fréquemment utilisés par les attaquants pour leurs activités post-compromission, précisément parce qu'ils ne déclenchent pas les antivirus. Sysmon, un outil gratuit de Microsoft, permet de journaliser les créations de processus, les connexions réseau et les accès au registre à un niveau de granularité qui rend ces techniques visibles.
Les modifications de la base de registre Windows sur des clés de persistance (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) sont un signal de persistance — un attaquant qui cherche à maintenir son accès au système après un redémarrage. Ces modifications sont invisibles sans un outil de journalisation du registre (comme Sysmon), mais révèlent immédiatement la présence d'un mécanisme de persistance malveillant.
Les techniques APT et leurs traces dans les logs
Les APT utilisent fréquemment des techniques de credential harvesting (vol d'identifiants) via des outils comme Mimikatz, qui accèdent à la mémoire du processus LSASS (Local Security Authority Subsystem Service). Cette activité laisse une trace dans les logs Sysmon (accès au processus LSASS par un processus non autorisé) et dans les logs d'audit Windows. Sans ces logs, l'activité est invisible — ce qui explique pourquoi la configuration de Sysmon est une recommandation standard de la CISA et du NIST pour tous les systèmes Windows.
Les exfiltrations de données à faible volume et débit sont des signaux faibles que seule une analyse comportementale détectée dans des logs de flux réseau peut révéler. Un attaquant sophistiqué n'exfiltre pas 100 GB de données d'un coup — il exfiltre 10 MB par jour pendant des mois, en utilisant des protocoles légitimes (HTTPS) vers des destinations légitimes (Google Drive, OneDrive). Seule l'analyse des baselines comportementales et des patterns d'accès aux données peut révéler ce type d'exfiltration lente.
L'opération Aurora (2009-2010), qui a ciblé Google, Adobe, Intel et d'autres entreprises technologiques, a été détectée par l'équipe de sécurité de Google grâce à l'analyse de logs DNS. Des requêtes DNS vers des domaines de command-and-control avaient été capturées dans les logs DNS de Google, permettant de remonter à la compromission initiale et d'identifier les systèmes affectés. Sans journalisation DNS complète, cette détection n'aurait pas été possible.
Mettre en place la journalisation granulaire
La journalisation granulaire nécessaire pour détecter les signaux faibles inclut : les logs DNS complets (requête, réponse, IP source) — NIST SP 800-92 recommande la centralisation des logs DNS comme priorité ; les logs Sysmon sur les systèmes Windows (créations de processus, connexions réseau, accès aux fichiers) ; les logs détaillés d'audit Windows (logon events 4624/4625, process creation 4688) ; et les logs d'accès aux bases de données (requêtes SQL, volumes d'accès par compte).
La CISA publie régulièrement des guides sur les logs prioritaires pour la détection des techniques APT, alignés sur le framework MITRE ATT&CK. Ces guides permettent d'identifier précisément quels événements journaliser pour détecter les techniques d'attaque les plus fréquemment utilisées par les groupes APT documentés.
L'investigation forensique de l'opération Sunburst par Mandiant a révélé que la backdoor Sunburst avait été conçue spécifiquement pour éviter les détections standard. Elle dormait 14 jours après l'installation, vérifiait l'absence d'outils d'analyse de sécurité, et imitait le trafic légitime d'Orion pour communiquer avec ses serveurs C2. Les signaux qui ont finalement permis la détection incluaient des requêtes DNS vers des domaines C2 légèrement inhabituels et des patterns d'accès Azure AD anormaux — des signaux invisibles sans journalisation DNS granulaire et logs Azure AD complets. La CISA a publié après cet incident une directive d'urgence imposant la journalisation des logs Azure AD pour toutes les agences fédérales américaines.
L'intrusion du groupe APT28 (Fancy Bear, attribué aux services de renseignement militaire russes GRU) dans les réseaux du Bundestag allemand en 2015 a exfiltré des données pendant plusieurs semaines avant d'être détectée. L'investigation du BSI (Bundesamt für Sicherheit in der Informationstechnik) a révélé que les signaux de l'intrusion étaient présents dans les logs réseau pendant plusieurs semaines — des connexions vers des serveurs C2 russes depuis des postes du Bundestag — mais n'avaient pas été détectés faute d'analyse automatisée des logs DNS et réseau. L'incident a conduit le BSI à publier des recommandations renforcées sur la journalisation DNS pour les institutions publiques allemandes.
Le groupe APT41, attribué à des acteurs étatiques chinois, a conduit entre 2012 et 2019 une campagne de compromission ciblant des éditeurs de jeux vidéo asiatiques pour voler du code source et des devises virtuelles. L'investigation de Mandiant a révélé que APT41 utilisait des techniques de Living off the Land (WMI, PowerShell) et des outils de rootkit qui rendaient la présence du groupe invisible sans Sysmon ou des solutions EDR avancées. Les organisations qui avaient Sysmon déployé ont détecté des signaux faibles (exécutions PowerShell inhabituelles, connexions réseau anormales) dans les premières semaines. Celles sans Sysmon n'ont découvert la compromission que lors de défaillances opérationnelles visibles, parfois plusieurs années plus tard.