Nous l'avions déjà longuement développé dans nos colonnes : identifier les auteurs d'une attaque informatique est un exercice périlleux. L'attribution de ces attaques par les « officiels » gouvernementaux à tel ou tel acteur est tout autant, sinon davantage, une affaire de politique que de technique.
Dans un intéressant billet de blog, deux analystes de Talos en donnent une illustration en résumant de manière accessible les analyses du malware « Olympic Destroyer ». Ce dernier aurait pu être utilisé lors d'une attaque contre les jeux olympiques de Pyeongchang en Corée du Sud.
Se basant sur leurs propres travaux ou sur les analyses d'autres sociétés spécialisées, les chercheurs placent différents groupes sur la « rangée de suspects ». Le groupe Lazarus, d'abord, que certains soupçonnent d'être lié au gouvernement nord-coréen. APT3 et APT10 ensuite, groupes supposément en lien avec le gouvernement chinois. Enfin, on trouve des similitudes entre « Olympic Destroyer » et un autre malware qui a fait beaucoup parler de lui, « NotPetya », dont certains attribuent la paternité à un groupe proche du gouvernement russe.
Et de conclure :
Au fur et à mesure que les compétences et techniques de ces acteurs évoluent, nous les verrons sans doute adopter des ruses pour compliquer et rendre confuse l'attribution. L'attribution est d'ores et déjà difficile. Il est peu probable qu'elle devienne plus facile.
Difficile de leur donner tort.