Vol de propriété intellectuelle: détecter les copies de répertoires

Comme nous l’avons déjà précisé dans un précédent article, les pirates internes ont déjà accès aux contenus sensibles. Ils sont autorisés à consulter, copier et modifier du code, des documents et des présentations de grande importance.

Surveiller les lieux

Toutefois, nous savons que les pirates internes prennent généralement la température au préalable pour voir s’ils sont surveillés. Ces activités préliminaires peuvent comprendre la consultation d’un sous-répertoire dans lequel d’importantes propriétés intellectuelles sont conservées et son listage pour voir ce qui s’y trouve.

Plus tard, une nuit de week-end, le pirate copie un sous-répertoire particulier vers un répertoire de base pour procéder à un examen plus approfondi.

Enfin, pendant une autre soirée, il copie de façon récurrente quelques sous-répertoires de plus à partir du référentiel principal, les compresse ou les chiffre, puis les envoie vers une adresse particulière par courrier électronique.

Oui, les algorithmes d’UBA auraient de bien meilleures chances de détecter ces activités inhabituelles que d’autres méthodes. 

Cependant, il existe une technique sympathique que tout le monde peut employer pour repérer les copies de fichiers en masse, même sans disposer d’un logiciel d’UBA sophistiqué. Bien qu’elle ne soit pas parfaite, elle permet une détection des copies récurrentes de répertoires, ce qui pourrait constituer un indice de piratage interne en cas de corrélation avec d’autres données d’analyse.

Modes de piratage

Il convient tout d’abord d’attribuer le crédit de cette idée à Jonathan Grier. Grier, qui possède sa propre entreprise de conseil, a effectué une présentation de son algorithme de détection de pirates internes lors de la RSA Conference de l’année dernière.

Il se fonde sur un fait assez évident de la mécanique des répertoires : chaque fois que vous accédez à un fichier, une métadonnée connue sous le nom de « champ MAC » (modification, access, and creation time) est mise à jour au moyen de la date et de l’heure courantes.

Le champ MAC nous informe simplement de la date à laquelle un fichier a été consulté ou édité pour la dernière fois, ou s’il a été récemment créé, de sa date et de son heure de naissance.

Il est possible que les véritables métadonnées MAC soient réparties sur un ou plusieurs champs d’un OS particulier, mais si vous ne pouvez pas trouver l’information directement, celle-ci peut être facilement reconstituée. Par exemple, chaque fois que vous lancez une commande dir /t:a sous Windows ou ls –l –-time=atime sous Linux, l’horodatage MAC s’affiche dans la liste.

Les répertoires sont semblables aux fichiers. Lorsque vous copiez un fichier dans un répertoire, l’heure MAC du répertoire lui-même est mise à jour. Vous obtenez toujours le dernier moment d’accès dans le champ MAC du répertoire.

Encore une fois, vous pouvez le vérifier vous-même. Remarque : sous Windows, il est possible que vous ayez à demander à votre administrateur d’activer la mise à jour des temps d’accès.

Windows et Linux, soit dit en passant, vous permettent d’effectuer une copie récurrente de répertoires depuis la ligne de commande et de copier la hiérarchie entière d’un répertoire vers une destination donnée. C’est très pratique pour les utilisateurs ordinaires et pour les pirates internes.

Grier souligne qu’après une copie récurrente, les champs MAC d’un répertoire et de ses sous-répertoires se trouveront groupés dans un intervalle réduit qu’il appelle le « temps limite ». Il n’y a là aucune surprise. Voici ce que Grier a découvert : ce type de regroupement dure longtemps après la copie du répertoire !

Vous pouvez voir cela dans l’histogramme ci-dessous : 

(((IMG7909)))

Pourquoi l’amas conserve-t-il sa forme ?

Les accès aux fichiers ont tendance à se produire de manière assez sélective. Il existe une sorte de loi de puissance (abordée dans sa présentation) selon laquelle la plupart des activités relatives aux fichiers restent concentrées sur quelques dossiers.

Détecter l’amas

Cela signifie que le pic ou amas (les dossiers présentant des heures MAC dans une certaine plage) reste le même dans le temps, avec seulement très peu de répertoires glissant vers des heures MAC plus récentes. En d’autres termes, c’est une preuve utilisable dans le cadre d’une analyse technique.

Rédiger un script permettant de recueillir les heures MAC et de les présenter sous forme d’histogramme ne devrait pas demander trop d’efforts. Il vous faudrait déterminer la taille de fichier binaire appropriée et une plage de temps raisonnable pour trouver les amas et le temps limite constituant une information essentielle de l’analyse technique.

Dans sa présentation et dans un texte plus long, Grier formule des suggestions pour trouver les amas au moyen de certaines métriques particulières.

Maintenant, quelques mises en garde : les amas ne constituent pas la preuve de copies récurrentes. Vous pouvez aussi obtenir des amas au moyen d’un grep sous Linux ou d’une copie sélective de nombreux fichiers à partir de plusieurs répertoires.

Et même s’il y a eu copie récurrente, il vous faudra effectuer des analyses plus poussées de vos journaux et en savoir plus sur un collaborateur avant de pouvoir dire s’il existe une quelconque probabilité de vol.

Qu’advient-il si la copie massive de fichiers est normale pour un utilisateur particulier ? C’est là où un bon logiciel d’UBA entre en scène. Il peut analyser TOUT ce que fait un utilisateur et décider si ses copies récurrentes sont normales ou non.

Un bon logiciel d’UBA vous permettra de détecter presque en temps réel les horodatages MAC d’une série de fichiers et de répertoires survenant sur une durée restreinte. Associé à d’autres événements, cet amas de copie de fichiers devient une information importante pour repérer un piratage interne presque immédiatement après qu’il se soit produit.

La technique de Grier constitue un excellent point de départ pour comprendre les types de comportements de vos utilisateurs et déterminer si un vol de propriété intellectuelle a eu lieu dans votre entreprise.