Académique Documents
Professionnel Documents
Culture Documents
Faculté d’Informatique
Département des Systèmes Informatiques
Mémoire de Master
Filière : Informatique
Spécialité :
Sécurité des Systèmes Informatiques
Thème
Conception et implémentation d’un scénario de supervision et
détection des attaques ciblant le contournement de la logique de
fonctionnement métier des applications bancaires SWIFT
Soutenu le : 29/06/2022
Présenté par :
BENMIMOUN Manel
KEDIDAH Racha
Nous désirons aussi remercier les membres du jury pour l’intérêt qu’ils
ont porté à notre effort en acceptant d’examiner notre modeste travail
et en l’enrichissant par leurs propositions.
À mes chères petits frères et sœurs Yasmine et Yanis et Ines, qui sont
ma plus grande source d’inspiration et de motivation et pour qui
j’espère avoir été un bon exemple.
À ma meilleure amie Hiba, qui m’a été d’un grand soutien moral durant
toutes mes années de collège, lycée et d’université.
Manel.
Dédicaces
Je tiens à dédier ce travail à la personne qui a consacré toute sa vie
pour me voir réussir, qui m’a accompagné par ses prières, à ma très
chère mère, aucune dédicace ne saurait exprimer mon sentiment de
gratitude envers toi. Je te dois ce que je suis aujourd’hui et ce que je
serai demain et je ferai toujours de mon mieux pour rester ta fierté et
ne jamais te décevoir.
À mon père Mohamed, mes chers frères Walid et Wacim, avec tous
mes sentiments de respect et de reconnaissance pour leur patience,
leur accompagnement, leur présence et leur soutien.
À une personne très précieuse dans ma vie, qui n’a jamais quitté mon
côté, tes mots d’encouragement sonnent toujours à mes oreilles,
merci Feriel.
Racha.
Résumé
Durant cette lutte contre la fraude que les instituts financiers mènent
désormais contre les cybers attaquants, plusieurs mesures de
sécurité ont dû être mises en place aux seins de ces organisations
pour empêcher et prévenir les attaques qui menacent leurs
applications. On compte parmi les applications les plus ciblées par ces
menaces, les applications du réseau interbancaire SWIFT.
I
2.3.1. BANQUE DEL AUSTROZ EN ÉQUATEUR : ........................................................................ 14
2.3.2. BANQUE DE CHILE EN CHILI :........................................................................................ 14
2.3.3. THIEN PONG BANK AU VIETNAM : ................................................................................ 14
2.3.4. THE BANK OF BANGLADESH : ....................................................................................... 15
2.3.5. FACTEURS DE COMPROMISSION : ................................................................................... 15
2.4. LE PROGRAMME CSP SWIFT : ..................................................................................... 15
2.4.1. DÉFINITION DU CSP : .................................................................................................... 15
2.4.2. CONTRÔLES CSP SWIFT : ............................................................................................ 16
2.4.3. TYPES D’ARCHITECTURES :............................................................................................ 17
2.4.3.1. Architecture A1 : ....................................................................................................... 17
2.4.3.2. Architecture A2 : ....................................................................................................... 18
2.4.3.3. Architecture A3 : ....................................................................................................... 18
2.4.3.4. Architecture B : ......................................................................................................... 18
2.5. CONCLUSION : ................................................................................................................ 19
II
3.6.5. LES SOLUTIONS DE DÉTECTION D’INTRUSION : .............................................................. 30
3.7. MODÈLES ET STRATÉGIES D’UN SOC :.......................................................................... 30
3.8. CONCLUSION : ................................................................................................................ 31
4. CONCEPTION ................................................................................................................ 32
III
5. RÉALISATION ET TESTS............................................................................................ 44
IV
Liste des Figures
Figure 1.1 : Structure d'un message MT. _________________________________________ 8
Figure 2.1 : Type des architectures proposées par CSP (v2020). _____________________ 17
I
Figure 5.21 : Règle 1 - contournement de la vérification. ___________________________ 56
Figure 5.22 : Règle 2 - contournement de l'autorisation. ____________________________ 57
Figure 5.23 : Création de la règle de détection de contournement de routage. ___________ 58
Figure 5.24 : Règle 3 - contournement du routage. ________________________________ 59
Figure 5.25 : Règle 4 - valeur de transaction relativement élevée. ____________________ 60
Figure 5.26 : Règle 5.1 - opération en dehors des heures normales de service (soumission). 61
Figure 5.27 : Règle 5.2 - opération en dehors des heures normales de service (approbation).
_________________________________________________________________________ 61
Figure 5.28 : Remplissage de la liste "SWIFT Messages Creators". ___________________ 62
Figure 5.29 : Règle 6 – problème de séparation des tâches. _________________________ 63
Figure 5.30 : Règle 7 – message expiré. _________________________________________ 64
Figure 5.31 : Détection d’une tentative de contournement de vérification. ______________ 64
Figure 5.32 : Détails de l'alerte : vérification contournée. __________________________ 65
Figure 5.33 : Détection d’une tentative de contournement d'autorisation. ______________ 65
Figure 5.34 : Détails de l'alerte : autorisation contournée. __________________________ 65
Figure 5.35 : Exemple d'une transaction à haute valeur. ____________________________ 66
Figure 5.36 : Détection d’une transaction à haute valeur. ___________________________ 66
Figure 5.37 : Détails de l'alerte : montant élevé. __________________________________ 67
Figure 5.38 : Détection d’une opération dans un temps suspect. ______________________ 67
Figure 5.39 : Détection d’une incompatibilité dans la séparation des tâches. ___________ 68
Figure 5.40 : Détails de l'alerte : problème de séparation des tâches. _________________ 68
Figure 5.41: Configuration de la durée de vie des UUMID. _________________________ 69
Figure 5.42 : Notification de l'expiration d'un UUMID. ____________________________ 69
II
Liste des Tableaux
Tableau 2.1 : Objectifs, principes et contrôles du CSP. _____________________________ 17
III
Table des acronymes
APT Advanced Persistent Threat
C&C Command-and-Control
CSCF Customer Security Controls Framework
CSP Customer Security Program
DDoS Distributed Denial of Service
DoS Denial of Service
DSM Device Support Module
GUI Graphical User Interface
IDS Intrusion Detection System
IoA Indicators of Attack
IoC Indicators of Compromise
KPI Key Performance Indicator
MPF Message Processing Function
MT Message Type
MTTD Mean Time to Detect/Discover
MTTR Mean Time to Respond
OWASP The Open Web Application Security Project
SA Situation Assessment
SAA SWIFT Alliance Access
SAG SWIFT Alliance Gateway
SIEM Security Information & Event Management
SLA Service Level Agreement
SNL SWIFTNet Link
SOC Security Operations Center
SWIFT Society for Worldwide Interbank Financial
Telecommunication
SWIFTNet SWIFT Network
TTP Tactics, Techniques, and Procedures
UEBA User and Entity Behavior Analytics
IV
Introduction générale
Introduction générale
La lutte contre la fraude constitue l’un des défis majeurs que doit relever
l’écosystème financier de nos jours, particulièrement en temps de crise. En cette
période d’instabilité et de changements rapides, les cybercriminels sont en embuscade
et cherchent à tirer parti de cette incertitude en tentant d’identifier les déficiences des
dispositifs de sécurité, pourtant généralement bien affûtés. La fraude aux paiements
institutionnels, largement répandue, constitue aujourd’hui un véritable casse-tête. Les
cybercriminels cherchent en effet à obtenir un accès illicite aux systèmes d’un
établissement, afin de voler des montants conséquents sans être démasqués.
Les fraudeurs ont très vite exploité les possibilités offertes par les nouvelles
conditions de travail suite à la pandémie COVID-19. Au début de l’année 2020, les
Autorités monétaires et les Agences de cybersécurité de différents pays ont fait part
de déclarations selon lesquelles des groupes de cybercriminels et des attaques de
type menace persistante avancée (APT) ciblaient les particuliers et les organisations
de toutes tailles dans le cadre d’escroqueries associées à la pandémie COVID-19. Ces
escroqueries faisaient notamment usage d’emails de phishing.
1
Introduction générale
2
Chapitre 1 Les applications SWIFT
SWIFT a été créée en 1973 par 239 banques de 15 pays qui souhaitaient «
automatiser le télex ». Au 1er janvier 2011, SWIFT interconnectait près de 10 000
utilisateurs dans 210 pays. Au cœur des échanges entre les banques et leurs
correspondants, SWIFT s’est imposé au fil du temps comme l’organisme de
standardisation de l’industrie financière.
3
Chapitre 1 Les applications SWIFT
Le réseau est muni de points d’accès que les utilisateurs atteignent en recourant
aux services de l’un des quatre partenaires choisis par SWIFT pour mettre en œuvre
et assurer la connexion jusqu’aux utilisateurs finaux. La sécurité de bout-en-bout est
assurée par la mise en place de tunnels chiffrés qui permettent de constituer entre
l’utilisateur et SWIFT un réseau privé virtuel (VPN) [1].
Pour toutes les interfaces externes, les applications commerciales utilisent l'API
SWIFTNet Link (SNL) pour accéder aux services SWIFTNet. Ses processus d'arrière-
plan prennent en charge les fonctions de messagerie, de sécurité et de gestion des
services. Il est intégré à SWIFTAlliance WebStation et SWIFTAlliance Gateway (SAG),
SAG permet aux applications professionnelles sur des plateformes informatiques
disparates de transmettre des messages via SWIFTNet, les messages sont reçus via
des adaptateurs hôtes, y compris un adaptateur hôte WebSphere MQ.
Pour accéder au réseau, les utilisateurs ont le choix entre trois grandes familles
de solution [1] :
4
Chapitre 1 Les applications SWIFT
Alliance Lite est destinée à des utilisateurs ayant des volumes limités, une
organisation et des problématiques d’intégration simples. La majorité des nouveaux
utilisateurs de SWIFT ont opté pour cette solution, cette part de marché se retrouvant
plus ou moins chez les entreprises, ce qui confirme le besoin d’une solution simple,
accessible via l’internet, surtout dans les pays où il n’y a pas de Service Bureau.
1.5.1. FIN :
FIN est le service de messagerie le plus ancien. Il permet l'échange de
messages formatés avec les standards MT SWIFT traditionnels. Ces standards
couvrent une large variété de domaines d'activité et sont largement utilisés et acceptés
par la communauté financière.
5
Chapitre 1 Les applications SWIFT
FIN permet l'échange de messages sur la base d'un message à la fois et prend
en charge l'échange de formats internes entre les infrastructures de marché et leurs
clients. Il fonctionne également en mode différé et offre des fonctionnalités étendues,
comme la copie des messages, les transmissions à des groupes d'autres utilisateurs
et la récupération en ligne des messages échangés auparavant [2].
1.5.2. FileAct :
FileAct permet le transfert de fichiers. Il est généralement utilisé pour transférer
des lots importants de messages, comme des fichiers de paiements en gros, de très
gros rapports ou des données opérationnelles [2].
1.5.3. InterAct :
Comme FIN, InterAct permet l'échange de messages sur la base d'un message
à la fois et prend en charge l'échange de formats internes entre les infrastructures de
marché et leurs clients. En outre, InterAct offre plus de flexibilité, notamment la
messagerie en mode différé, la messagerie en temps réel et des options de requête et
de réponse en temps réel. Le service InterAct permet d'échanger les types de
messages MX, qui sont exprimés dans la syntaxe flexible XML et développés
conformément à la méthodologie du standard ISO 20022, beaucoup d'entre eux ayant
déjà été publiés comme définitions du standard ISO 20022 [2].
1.5.4. Browse :
Browse est un service de navigation sur le réseau SWIFTNet permettant aux
utilisateurs de naviguer sur les portails financiers en ligne mis à disposition par les
institutions financières et les infrastructures de marché sur SWIFTNet. Il combine la
convivialité de la technologie Web avec les fonctionnalités de sécurité offertes par
SWIFTNet (il permet aux banques de porter leurs applications web dans un
environnement sécurisé et fiable).
6
Chapitre 1 Les applications SWIFT
1.6. Standardisation :
Étant donné que SWIFT joue un rôle important et sensible par rapport la
communauté financière aujourd’hui, la création des messages doit être donc soumise
à un ensemble de règles, pour cela, SWIFT a créé SWIFT Standards qui définit des
règles et des conseils sur les meilleures pratiques sur la façon dont les normes doivent
être déployées pour répondre aux besoins d’échanges ou pour se conformer à la
réglementation.
SWIFT a utilisé dès le début sa syntaxe propriétaire FIN qui est les messages
MT (ISO 15022), ensuite elle a adopté la modélisation UML, et la syntaxe XML adaptée
aux échanges inter-applications. Les standards XML concernent les paiements entre
banques et entre les entreprises et les banques, dans le deuxième cas, outre des
banques, des trésoriers des entreprises et des éditeurs de logiciels ont validé ce
standard [2].
{{1: BASIC HEADER BLOCK} {2: APPLICATION HEADER BLOCK} {3: USER
HEADER BLOCK} {4: TEXT BLOCK} {5: TRAILER BLOCK}}
7
Chapitre 1 Les applications SWIFT
8
Chapitre 1 Les applications SWIFT
9
Chapitre 1 Les applications SWIFT
Ce format est plus simple à traiter pour un système informatique vu qu’il est
basé sur les messages structurés XML. La ISO 20022 a classé les messages sous
plusieurs types notamment [7] :
Les messages relatifs aux opérations de paiement sont PACS, PAIN et CAMT.
1.7. Conclusion :
10
Chapitre 1 Les applications SWIFT
Dans le prochain chapitre nous aborderons l’aspect sécurité par rapport à ces
systèmes ainsi que les mesures mises en place par SWIFT pour assurer une sécurité
robuste.
11
Chapitre 2 La sécurité autour des applications SWIFT
Des contrôles et des procédures ont été mis en place pour protéger les données
des messages contre toute divulgation non autorisée, pour garantir l'origine des
messages, pour protéger les messages contre toute modification non autorisée et pour
détecter toute altération des messages ; des fonctionnalités de validation des
messages peuvent en outre être utilisées pour garantir que seuls les messages validés
sont traités et remis dans l'ordre pertinent au destinataire prévu [10].
12
Chapitre 2 La sécurité autour des applications SWIFT
2.2.1. Confidentialité :
Afin de protéger la confidentialité des données des clients, l’accès à ces
derniers est protégé par des mesures de sécurité physique et logique adapté à la
criticité de l’information protégée. Ajoutons à cela que ces données sont cryptées
lorsqu’elles sont stockées sur les systèmes SWIFT ou lors de leur transfert.
2.2.2. Intégrité :
Des clés publiques spécifiques à SWIFT, des certificats numériques et des
signatures numériques sont utilisés à la fois pour authentifier les expéditeurs et pour
valider l'intégrité des messages envoyés. SWIFT vérifie les signatures pour confirmer
l'intégrité des messages et valide les certificats pour authentifier les expéditeurs [10].
SWIFT s'assure que les messages sont remis au destinataire prévu dans l'ordre
approprié et fournit une sécurité de bout en bout, permettant aux expéditeurs
d'appliquer des signatures pour leurs destinataires, et aux destinataires de vérifier
l'intégrité des messages et d'authentifier les expéditeurs [10].
2.2.3. Disponibilité :
Plusieurs centres d’exploitations sont gérés par SWIFT, éliminant tous points
de défaillance et assurant une redondance des sites et une disponibilité des services
de messagerie 24 heures sur 24 et 365 jours par an.
2.2.4. Résilience :
Les Infrastructure SWIFT sont conçues, développées et testées afin d’assurer
une disponibilité continue même en cas de perturbation, problème de fonctionnement
ou actes malveillants, ayant comme objectif d’assurer un court temps de récupération.
affectés par un incident. Des tests de continuité d’activités sont effectué régulièrement
couvrant différents scénarios. De plus, des audits internes et externes sont organisés
régulièrement afin d’assurer une résilience des services de la messagerie SWIFT [10].
Les attaques contre les systèmes SWIFT ont été très médiatisées au cours de
ces dernières années. Chaque attaque est particulière (malware, vol d’identifiants…)
mais toutes ont entraîné des pertes financières importantes. Parmi les attaques qui
ont fait objet de beaucoup de pertes on compte :
14
Chapitre 2 La sécurité autour des applications SWIFT
Les attaquants ont eu accès aux systèmes internes de la banque et ont déployé
un logiciel Windows de confiance pour surveiller l'activité des employés. Grâce à cette
prise de position initiale, les attaquants ont pu se déplacer latéralement sur le réseau
interne de la banque à la recherche de systèmes connectés à SWIFT.
Une fois l'accès aux systèmes SWIFT obtenu, les attaquants surveillent le
comportement des employés, volent les informations d'identification des utilisateurs et
déploient des logiciels malveillants spécialement conçus. Le logiciel malveillant ciblait
l'application SWIFT Alliance Access, contournait ses contrôles de sécurité et
supprimait les preuves des messages SWIFT imprimés [13].
En guise de contre-mesure aux cyber menaces dont elle est cible, SWIFT a
introduit le programme de sécurité client (CSP) afin d’aider les clients SWIFT à
sécuriser leur infrastructure SWIFT locale.
15
Chapitre 2 La sécurité autour des applications SWIFT
Dans le document CSP lui-même, il est indiqué que le CSP ne doit pas être
considéré comme une approche exhaustive de la sécurité et qu'il ne remplace pas un
cadre de sécurité et de risque bien structuré. De par sa conception, son objectif est de
fournir une norme de base pour la sécurité de tous les systèmes SWIFT locaux
uniquement. En tant que telles, les méthodologies d'attaque générales peuvent
toujours être appliquées aux systèmes critiques les plus sécurisés [14].
Le tableau 2.1 suivant présente les objectifs et les principes de CSCF pour aider
les utilisateurs à sécuriser leurs systèmes :
16
Chapitre 2 La sécurité autour des applications SWIFT
2.4.3.1. Architecture A1 :
17
Chapitre 2 La sécurité autour des applications SWIFT
2.4.3.2. Architecture A2 :
2.4.3.3. Architecture A3 :
Un logiciel (par exemple, Alliance Lite2 AutoClient, Direct Link ou une solution
de transfert de fichiers) est utilisé dans l’environnement de l’utilisateur pour faciliter la
communication entre les applications avec une interface fournie par un fournisseur de
services (par exemple, un service bureau, Alliance Lite2, un hub de groupe).
Éventuellement, cette configuration peut être utilisée en combinaison avec une
solution GUI (d’utilisateur à application) [15].
2.4.3.4. Architecture B :
18
Chapitre 2 La sécurité autour des applications SWIFT
2.5. Conclusion :
Dans le prochain chapitre nous allons découvrir une des mesures les plus
essentielles pour la détection des comportement anormaux sur différents types de
systèmes.
19
Chapitre 3 Le centre opérationnel de sécurité
3. Le centre opérationnel de
sécurité (SOC)
3.1. Introduction :
Compte tenu de toutes ses responsabilités, le SOC doit offrir un moyen qui
signale les incidents suspects, fournir de l’aide pour traiter ces incidents et avoir les
compétences et les ressources nécessaires pour effectuer des investigations
approfondies et détaillées sur les systèmes compromis pour déterminer la nature de
l’incident.
20
Chapitre 3 Le centre opérationnel de sécurité
Un bon SOC est celui qui intervient contre toute action visant à influer sur la
disponibilité, la confidentialité et l’intégrité des atouts de l’entreprise, il rend les
systèmes plus résilients aux impacts, et détecte et élimine les capacités adverses.
21
Chapitre 3 Le centre opérationnel de sécurité
22
Chapitre 3 Le centre opérationnel de sécurité
23
Chapitre 3 Le centre opérationnel de sécurité
3. Les métriques : sont les indicateurs clés de performance (KPIs), les accords de
niveau de service (SLA), le temps moyen de détection (MTTD) ou le temps moyen
de résolution (MTTR), ces statistiques peuvent être obtenues à partir du temps
de réponse, ou le nombre des incidents ou des faux positifs.
24
Chapitre 3 Le centre opérationnel de sécurité
juniors fournissant une analyse initiale ou un tri et des niveaux supérieurs offrant des
capacités plus avancées, telles que l’investigation et l’analyse des malwares [17].
Les rôles opérationnels : alors que les ingénieurs SOC ont tendance à se
concentrer sur de nouveaux projets, les opérateurs SOC passent leur temps à
maintenir et exploiter les plates-formes SOC actuellement déployées. Contrairement
aux ingénieurs SOC, les opérateurs SOC se concentrent sur le maintien de la
disponibilité et de la stabilité des plates-formes existantes, et fournissent généralement
une couverture correspondant aux niveaux de service attendus au sein du SOC [23].
Autres rôles de support : la plupart des SOC ont un grand nombre d'autres
rôles de support, dont : Les chefs de projet, coordination et soutien de la planification
de la continuité des activités / de la reprise après sinistre, support de conformité et
d’audit, gestionnaires d'incidents et de problèmes, développeurs de
processus/procédure, spécialistes de la formation, spécialistes en communication,
gestion des fournisseurs et des contrats [23].
Le SOC utilise plusieurs technologies afin de satisfaire ses besoins, il n’y a pas
d’outil unique qui « fera tout », chaque outil a ses points forts, mais chacun a aussi ses
limites. Les outils SIEM, les IDS ou les IPS sont de bons exemples de ces outils.
25
Chapitre 3 Le centre opérationnel de sécurité
3.6.1. Le SIEM :
Une solution de gestion de l'information et des événements de sécurité (ou
SIEM) est un logiciel qui améliore la détection des menaces, la conformité et la gestion
des incidents de sécurité grâce à la collecte, l’agrégation, le filtrage, le stockage, le tri,
la corrélation et l'analyse de données et de sources d'événements de sécurité
historiques et en temps réel.
Afin de détecter les menaces avancées ainsi que les infractions de conformité,
les solutions SIEM offrent un outil très performant, il s’agit des règles de corrélation,
une règle de corrélation est un ensemble de tests utilisé pour établir des liens entre
plusieurs évènements et/ou flux constatés sur le réseau, plusieurs exemples de type
de liens peuvent être cités à ce niveau comme par exemple la fréquence « un ou
plusieurs évènements spécifiques qui se répètent dans le temps » ou le séquencement
des évènements « Une authentification réussie après plusieurs tentatives
d’authentifications échouées ».
26
Chapitre 3 Le centre opérationnel de sécurité
Les règles de corrélation sont packagées dans les outils SIEM. Les fournisseurs
offrent généralement la possibilité d'effectuer des mises à jour régulières des
ensembles de règles dans le cadre d'un service d'assistance payant. Ces règles
peuvent être ajustées ou créées selon le besoin ; cependant, il est important de
connaître d'abord les cas d'utilisation que l’entreprise cherche à aborder.
La plupart des règles de corrélation proposées par les fournisseurs SIEM sont
basées sur l'expérience qu'ils acquièrent de leurs bases d'installation et de leurs
équipes de recherche internes, ce qui signifie qu'ils ont très probablement développé
des règles pour les besoins de l’entreprise. Des exemples de règles de corrélation
prêtes à l'emploi incluent le signalement des échecs de connexion excessifs, des
infections par des logiciels malveillants, des connexions sortantes non autorisées et
des tentatives DoS. Il est recommandé de demander au fournisseur SIEM d'analyser
vos scénarios d'entreprise lors d'une preuve de concept afin de valider ses capacités
de corrélation et de création de rapports [25]. Il est des bonnes pratiques d'ajuster les
règles prêtes à l'emploi ou de créer ses propres règles qui répondent aux besoins
d’une entreprise.
27
Chapitre 3 Le centre opérationnel de sécurité
• Quelle est la complexité du cas d'utilisation et quel impact aura-t-il sur les
performances de votre outil SIEM ?
Le cas d'utilisation exact et votre choix d'outils ont un impact sur la complexité
associée à la création ou à la personnalisation des règles de corrélation. Par exemple,
la création d'une règle qui alerte sur la détection de l'utilisation d'un protocole de
gestion en texte clair tel que Telnet pourrait être simple par rapport à des règles plus
complexes qui impliquent plusieurs sources, messages et périodes. En outre, il est
important de prendre en compte l'impact des performances sur le SIEM à mesure que
vos règles augmentent en taille et en complexité, ainsi que la gestion des fonctions
personnalisées [25].
Regardons l'exemple de cas d'utilisation pour créer une règle de corrélation qui
déclenche une alerte lorsque le même compte a été utilisé pour se connecter à plus
de dix serveurs de centre de données, suivi par un ou plusieurs de ces serveurs
établissant une ou plusieurs connexions TCP sortantes vers des Adresses IP dans les
5 minutes après les dix tentatives de connexion. L'idée d'utiliser cet exemple est de
démontrer à quel point la création de règles de corrélation peut être complexe pour
des cas d'utilisation qui peuvent sembler simples. Vous pouvez exprimer ce cas
d'utilisation sous la forme d'une instruction imbriquée composée d'une combinaison
d'événements (contenu) et d'opérateurs tels que AND, OR, NOT et FOLLOWED BY
(contexte avec état). Dans ce cas d'utilisation, un contexte n'est rien d'autre qu'un
ensemble arbitraire de paramètres décrivant un événement particulier ou une
séquence d'événements. Cette instruction imbriquée pour répondre à ce cas
d'utilisation est illustrée à la figure 3.1 suivante :
28
Chapitre 3 Le centre opérationnel de sécurité
Une fois qu'une instruction personnalisée a été créée, l'étape suivante consiste
à convertir l'instruction en règle en suivant la syntaxe utilisée par l'outil SIEM de votre
choix. Les outils SIEM commerciaux fournissent une interface graphique pour vous
permettre d'accomplir cette tâche. Une alternative consiste à confier la création de
règles à un consultant tiers ou aux services professionnels du fournisseur SIEM. Nous
vous recommandons de vérifier d'abord auprès du fournisseur SIEM qu'il n'existe pas
de règle ou de règles existantes qui répondent à vos besoins avant d'investir du temps
et de l'argent dans la création de règles de corrélation personnalisées.
Malgré le fait qu'un cas d'utilisation puisse sembler simple, le convertir en règle
peut ne pas l'être aussi facilement. Même si vous deviez convertir l'exemple précédent
en une règle de corrélation, qu'en est-il des plus compliquées ? De plus, dans quelle
mesure pouvez-vous développer votre base de règles et quel impact cela aurait-il sur
les performances de votre outil ? Examinons quelques alternatives à la création de
règles basées sur la corrélation [25].
29
Chapitre 3 Le centre opérationnel de sécurité
30
Chapitre 3 Le centre opérationnel de sécurité
3.8. Conclusion :
31
Chapitre 4 Conception
4. Conception
4.1. Introduction :
Le traitement se fait selon une fonction de traitement des messages (MPF) qui
sert à :
Un événement est enregistré dans le journal des événements chaque fois qu’un
message sera acheminé, supprimé ou déplacé. Cet événement décrit la file d'attente
d'où provient le message, la file d'attente dans laquelle se trouve le message, et quel
opérateur a acheminé le message.
32
Chapitre 4 Conception
Un nouveau message créé (lorsqu'il est valide) est mis en file d'attente lorsqu'un
opérateur appelle l'une des commandes pour déplacer ou acheminer le message. Si
l'opérateur utilise la commande "Route", alors le MPF invoque les services du logiciel
de routage pour router le message vers la file d'attente suivante. Si l'opérateur n'utilise
pas la commande "Route", alors le MPF lui-même déplace le message directement
dans la file d'attente sélectionnée par l'opérateur.
33
Chapitre 4 Conception
Après une étude des besoins des clients d’Intervalle Technologies, le seuil de
transactions sera limité à 5 millions de dollars.
Après une étude des besoins des clients d’Intervalle Technologies les heures
d’activités normales ont été arrêtées : de 8h à 18h et le weekend le vendredi et samedi.
parcourues ainsi que les files d’attentes par lesquelles passe un message de
transaction. Ce suivi des messages a été effectué selon un identificateur nommé
« UUMID ».
Selon les constats émis lors de l’étude des journaux collectés, le processus
déduit est montré dans le schéma suivant :
35
Chapitre 4 Conception
Received, pour continuer le routage du message, ce dernier doit être vérifié et autorisé,
un message en attente de routage génère un log de type Validation Error. Pour ce fait,
la règle qui sera créée sur le SIEM devra produire une alerte lorsqu’un message est
reçu par la file _MP_authorisation à partir d’une autre file que MP_verification.
Par défaut, si le message a été traité (vérifié) avec succès et est valide, il sera
acheminé vers la file _MP_authorisation et produit un Log de deuxième routage de
type Message Routed ayant comme source _MP_verification et comme destination
_MP_authorisation.
36
Chapitre 4 Conception
37
Chapitre 4 Conception
Les journaux d’audits générés par l’application SWIFT Alliance auront besoin
d’être normalisés et mappés afin que le SIEM puisse les reconnaître et identifier les
différents paramètres, ce qui serait très utile lors de la réalisation de la corrélation.
38
Chapitre 4 Conception
EUR([^\s]*,[^\s]*)
Nom QID
Start Session 1,003,000,002
Message Sent 1,003,000,009
Record not found 1,003,000,012
Validation error (from) 1,003,000,008
Automatic Session Not Started 1,003,000,016
FOFS Information 1,003,000,014
Message Received 1,003,000,015
39
Chapitre 4 Conception
Pour ce fait, la règle qui serait créée sur le SIEM devrait produire une alerte
lorsqu’un message est reçu par la file _MP_authorisation à partir d’une autre file que
MP_verification.
Règle 1 :
Pour ce fait, la règle qui serait créée sur le SIEM devra produire une alerte
lorsqu’un message est reçu par la file EMBS_IN à partir d’une autre file que
_MP_authorisation.
40
Chapitre 4 Conception
Règle 2 :
Pour ce fait, la règle qui serait créée sur le SIEM devrait produire une alerte
lorsqu’un message FOFS provient d’une autre file que EMBS_IN.
Règle 3 :
Apply - SWIFT Suspicious Activity-Message not received from EMBS on events which
are detected by the Local system
and when the event QID is one of the following (1003000010) Message handling
and when the event matches Payload Matches Regular Expression is not (EMBS\s-
\sMessage\swith\sUUMID\s[^,]*)
and when any of UUMID (custom) are contained in any of UUMID – AlphaNumeric
Règle 4 :
41
Chapitre 4 Conception
Règle 5 :
Pour cela une règle de corrélation serait créée sur la SIEM pour alerter lorsque
l’opérateur qui a créé le message est le même à vérifier ou à l’autoriser.
Apply - New SWIFT Message Creator Appears on events which are detected by the
Local system
and when the event matches QID is 1,003,000,015
42
Chapitre 4 Conception
Règle 6 :
Règle 7 :
Apply - SWIFT Message Expired Alert on events which are detected by the Local
system
and when the event(s) were detected by one or more of System Notification-2 :: poc
and when the event QID is one of the following (38750148) Reference Data Expiry
and when the Event Payload contains from collection : UUMID
4.9. Conclusion :
Dans ce chapitre nous avons effectué une étude sur les journaux de
l’applications SWIFT Alliance pour déterminer la logique de fonctionnement et le
scénario de comportement normal d’un traitement de transaction SWIFT pour
finalement en déduire les scénarios de comportement anormaux à partir desquelles
seront implémentés sur le SIEM, dans le prochain chapitre, les règles de corrélation
adéquates pour la détection de ces scénarios constituant des cas d’utilisation pour
l’organisation du SOC.
43
Chapitre 5 Réalisation et Tests
5. Réalisation et Tests
5.1. Introduction :
5.2.1. Windows 10 :
Windows 10 est un système d'exploitation propriétaire de la famille Windows
NT développé par Microsoft lancé au public en 2015 [27].
SWIFT Alliance Access 7.0 est utilisée pour générer le fichier « .log », nous
avons récupéré ces journaux d’évènements après avoir effectué un virement pour les
analyser et extraire les différentes informations nécessaires pour le traitement.
44
Chapitre 5 Réalisation et Tests
5.2.4. WinCollect :
WinCollect est l’une des nombreuses solutions de collecte d'événements
Windows (DSM), c’est un redirecteur d'événements Syslog utilisé pour transférer les
journaux d’événements à partir de Windows vers QRadar [30].
45
Chapitre 5 Réalisation et Tests
46
Chapitre 5 Réalisation et Tests
47
Chapitre 5 Réalisation et Tests
48
Chapitre 5 Réalisation et Tests
49
Chapitre 5 Réalisation et Tests
50
Chapitre 5 Réalisation et Tests
d'explorer plus facilement les données des journaux. Afin de passer de « Unknown »
à un nom d’évènement précis, nous devons d’abord analyser « parser » les
évènements ensuite les mapper. À la fin de cette opération, QRadar affecte à chaque
évènement un identifiant (QID) qui permet de classer l’évènement et l’utiliser par la
suite pour créer des règles de corrélation.
Par exemple, pour avoir le temps exact d’un l’évènement, nous le récupérons à
partir du champ « Date-time » du Log en utilisant l’expression régulière suivante (tout
en respectant le format dans le Log) :
Date-time\s*=\s{1}(\d{2}\/\d{2}\/\d{4}\s\d{2}:\d{2}:\d{2})\s
Figure 5.13 : Le "Parsing" de la date et l'heure d'un évènement dans DSM Editor.
51
Chapitre 5 Réalisation et Tests
De la même manière, il est possible de remplir tous les autres champs tels que
la file source, la file destination, l’identifiant (l’UUMID), l’application, l’hote source etc.
Il est à noter que jusqu’à présent aucun QID n’est attribué aux évènements,
ces derniers ne peuvent être utilisés dans aucune règle (ils ne sont pas encore
indexés), ils figurent touours comme des évènements inconnus pour QRadar.
5.3.3.2. Le mappage :
Le mappage des Logs est le processus qui indique la façon de création d’un
enregistrement à partir des messages. Le mappage des Logs se fait dans la partie
« Event Mappings » du « DSM Editor », un enregistrement contient le nom, la
description, les catégories (High Level HL et Low Level LL), la source et la gravité de
l’évènement.
52
Chapitre 5 Réalisation et Tests
53
Chapitre 5 Réalisation et Tests
54
Chapitre 5 Réalisation et Tests
Pour collecter les UUMID des messages en cours de traitement, nous avons
créé une nouvelle collection « ReferenceSet » appelée « UUMID » :
Pour remplir cette liste, nous avons créé la règle suivante qui permet d’effectuer
cette tâche à l’occurrence de chaque évènement de type Message Received (QID =
1,003,000,015) :
Apply - New UUMID Appears on events which are detected by the Local system and
when the event matches QID is 1,003,000,015
55
Chapitre 5 Réalisation et Tests
Apply - Message Sent successfully on events which are detected by the Local system
and when the event matches QID is 1,003,000,009
56
Chapitre 5 Réalisation et Tests
L’autorisation d’un message est le 2em routage dans la phase de routage, elle
est exécutée à la réception d’un message Message Routed (QID=1,003,000,006) de
la file de vérification, à la fin de l’autorisation le message est routé vers EMBS_IN,
nous allons vérifier donc les messages ayant comme destination la file EMBS_IN, et
une destination et provenant d’une source autre que la file _MP_authorisation, cette
information est indiquée dans le champ « Journal text » du journal d’évènement (voir
la figure 5.6), nous avons créé la règle suivante pour suivre cet acheminement.
Apply - SWIFT Suspicious Activity-Message not received from EMBS on events which
are detected by the Local system
and when the event QID is one of the following (1003000010) Message handling
57
Chapitre 5 Réalisation et Tests
and when the event matches Payload Matches Regular Expression is not (EMBS\s-
\sMessage\swith\sUUMID\s[^,]*)
and when any of UUMID (custom) are contained in any of UUMID – AlphaNumeric
58
Chapitre 5 Réalisation et Tests
Pour signaler toute valeur qui semble élevée, nous définissons un seuil maximal
qu’une transaction ne doit pas dépasser (5,000,000.00USD ou 5,000,000.00EUR dans
notre cas). Ce contrôle est réalisé à l’aide de la règle suivante :
59
Chapitre 5 Réalisation et Tests
Les directives d'application citées dans le point 2.9A exigent que la soumission
et l’approbation des transactions SWIFT soient restreintes en dehors des activités
normales. Chaque institution financière définit son temps de service pour signaler les
opérations effectuées en dehors de ces heures. Nous allons extraire l’heure et la date
des journaux de Message Received (QID=1,003,000,015) pour contrôler la
soumission, et Message Routed (QID=1,003,000,006) pour contrôler l’approbation,
afin de déclencher une alerte en cas de transaction en dehors des heures de services
(les soirs ou bien les weekends).
60
Chapitre 5 Réalisation et Tests
Figure 5.26 : Règle 5.1 - opération en dehors des heures normales de service (soumission).
Apply - SWIFT Suspicious Activity- Approval Compliance Error CSP SWIFT on events
which are detected by the Local system
and when the event QID is one of the following (1003000006) Message Routed
and when the event matches Swift Source Queue (custom) is any of
_MP_authorisation, Swift Destination Queue (custom) is any of EMBS_IN
and when the event matches (DATEFORMAT(devicetime,'H') IN
(0,1,2,3,4,5,6,7,18,19,20, 21,22,23)) or (DATEFORMAT(devicetime,'EE') IN
('Fri','Sat')) AQL filter query
Figure 5.27 : Règle 5.2 - opération en dehors des heures normales de service (approbation).
61
Chapitre 5 Réalisation et Tests
Apply - New SWIFT Message Creator Appears on events which are detected by the
Local system
and when the event matches QID is 1,003,000,015
Ensuite nous avons créé une règle qui permet de signaler les vérificateurs et
les autorisateurs ayant le même utilisateur (Operator) que les créateurs des
messages :
62
Chapitre 5 Réalisation et Tests
Apply - SWIFT Message Expired Alert on events which are detected by the Local
system
and when the event(s) were detected by one or more of System Notification-2 :: poc
and when the event QID is one of the following (38750148) Reference Data Expiry
and when the Event Payload contains from collection : UUMID
63
Chapitre 5 Réalisation et Tests
La figure ci-dessus montre l’alerte d’un message reçu non vérifié, l’utilisateur
souhaite autoriser un message sans le vérifier, dans un autre cas similaire, il tente de
router son message sans l’autoriser, une alerte doit être déclenchée quand un
message demande d’être autorisé sans avoir été vérifié, la figure ci-dessous affiche
les évènements et l’alerte de contournement de la vérification associés à ce scénario :
64
Chapitre 5 Réalisation et Tests
Les détails de l’alerte affirment que le message reçu n’a pas été autorisé (il a
été routé d’une file autre que « _MP_Authorisation » :
65
Chapitre 5 Réalisation et Tests
À l’arrivée d’un évènement Validation Error ayant un montant élevé, une alerte
de type « SWIFT Suspicious Activity- High-Value Transaction » sera déclenchée :
66
Chapitre 5 Réalisation et Tests
Cette règle ne vérifie pas la date et l’heure de réception du journal, elle vérifie
le temps de création de ce dernier (20:45:50).
67
Chapitre 5 Réalisation et Tests
Cette alerte est levée lorsque l’utilisateur créateur du message tente de router
son propre message (le valider ou l’autoriser).
Chaque message créé ont une durée de vie déterminée dans les paramètres
de la liste des identifiants des messages, en raison de faire le test nous allons définir
la durée de vie des éléments du « ReferenceSet » UUMID à 2 minutes après l’insertion
(l’apparition) de chaque UUMID. Dans le cas normal, chaque client spécifie sa durée
souhaitée.
68
Chapitre 5 Réalisation et Tests
5.4. Conclusion :
Dans ce dernier chapitre, nous avons étudié, normalisé et mappé les journaux
reçus par le SIEM à partir de l’application SWIFT Alliance. Par la suite, nous avons pu
programmer les règles de corrélations adéquates aux scénarios sélectionnés dans le
chapitre précédent.
Enfin, nous avons testé les règles créées en simulant les scénarios d’attaques
afin de confirmer la détection en cas d’anomalie.
69
Conclusion générale
Conclusion générale
Mondialement, le secteur financier demeure la première cible potentielle d’une
cyberattaque. Cela s’est représenté à travers l’attaque sur le système bancaire
mondial SWIFT qui n’a pas épargné la banque centrale de Bangladesh. Cette attaque
a engendré d’une part le braquage d’une somme phénoménale, mais a permis d’une
autre part de sensibiliser et assurer la prise de conscience de la sévérité des dangers
qui menacent constamment les systèmes d’information de ces organisations.
Suite à cet événement marquant, le challenge que s’étaient fixé les instituts
financiers était de se forger une maturité et une évolution en termes de sécurité de
l’information afin de pouvoir prévenir ce type d’attaques. L’organisation SWIFT a aussi
veillé à mettre en place un référentiel qui servirait de guide au maintien de la
confidentialité, l’intégrité et la disponibilité dans le réseau SWIFT.
Nous avons élaboré dans le cadre de notre PFE un travail structuré selon
plusieurs étapes afin d’atteindre l’objectif d’assurer la bonne détection des scénarios
d’anomalies qui menacent le réseau SWIFT grâce au SOC. Ces étapes consistaient à
étudier la logique de fonctionnement des messages SWIFT et en déduire les scénarios
de menaces qui devraient être détectés pour finalement les implémenter sur le SIEM
et tester l’efficacité de ces derniers.
Le travail que nous avons effectué nous a permis de découvrir la structure des
fichiers journaux d’audit des applications et spécialement de comprendre la logique de
fonctionnement de l’application bancaire mondiale SWIFT. De plus nous avons
découvert les différents composants qui structurent le SOC et nous familiariser avec
le système de gestion de l’information et des événements de sécurité (SIEM) et
l’approche adoptée par cette solution de sécurité pour le traitement des évènements
et la détection des anomalies.
70
Annexe A – Contrôles du programme CSP
Annexe A – Contrôles du
programme CSP
Les contrôles SWIFT CSCF 2020 sont organisés en trois objectifs principaux,
soutenus par huit principes et 31 contrôles [15].
A B
1. Restreindre l’accès à Internet et protéger les systèmes critiques de
l’environnement informatique général
1.1. Protection de l’environnement SWIFT X
1.2. Contrôle des comptes privilégiés du système X
d’exploitation
1.3. Protection de la plateforme de virtualisation X
1.4. A. Restriction de l’accès à Internet X X
2. Réduire la surface d’attaque et les vulnérabilités
Bibliographie
[1] UTSIT : « SWIFT POUR LES ENTREPRISES VADE MECUM », édition 2011.
[5] Susan V. Scott et Markos Zachariadis : « The Society for Worldwide Interbank
Financial Telecommunication (SWIFT) », publié en 2014.
[8] SWIFT : « ISO 20022 Programme Quality data, quality payments », publié le 19
décembre 2018.
[11] Banque de l’Equateur piratée, 12 millions de dollars dérobés via SWIFT, consulté
le 21/03/2022 https://www.undernews.fr/banque-cartes-bancaires/banque-de-
lequateur-piratee-12-millions-de-dollars-derobes-via-la-faille-swift.html
[12] Deloitte et Touche LLAC : « SWIFT Systems and the SWIFT Customer Security
Program », publié en 2021.
[13] F-secure : « Threat Analysis, SWIFT Systems and the SWIFT Customer Security
Program »,
Références
[16] SANS Institute : « Analyst Program. The Definition of SOC-cess? SANS 2018
Security Operations Center Survey », publié en août 2018.
[19] NIST : ”Security and Privacy Controls for Information Systems and Organizations,
(24) SYSTEM MONITORING | INDICATORS OF COMPROMISE », Revision 5, publié
en septembre 2020.
[23] Joseph Muniz, Gary McIntyre et Nadhem AlFardan : « Security Operation Center:
Building, Operating, and Maintaining Your SOC », publié en 2016.
[25] CISCO : « Security Operation Center: Building, Operating, and Maintaining Your
SOC », publié en 2016.
[26] The SOC, SIEM, and Other Essential SOC Tools, consulté le 15/04/2022 -
https://www.exabeam.com/explainers/siem/the-soc-secops-and-siem/