Automated generation of variable vulnerable architectures

Génération automatisé d’architectures vulnérables variables L’objectif de cette thèse est de proposer un nouveau paradigme de déploiement d’architectures vulnérables, capable de modéliser un scénario d’attaque à un haut niveau d’abstraction avant de convertir cette modélisation en multiples instances décrite à un bas niveau d’abstraction, déployables et jouables sur un réseau.Un tel paradigme facilite le design et déploiement d'exercices de cyber-sécurité, ainsi que la récolte de données d'attaques, utile pour d'autres travaux de recherche. En particulier, ce travail de conversion à partir d’une description haut niveau permet de faciliter la réutilisation d’une description de scénario donnée, en proposant automatiquement plusieurs variations d’un unique scénario.Une publication décrivant ce paradigme, son fonctionnement, ses applications, ainsi que l’outil issue de ce travail (URSID) a été publié à FPS 2023.Cette thèse décrit tout d’abord le fonctionnement de sa modélisation haut niveau d’un scénario d’attaque. En combinant la notion de position d’attaque (session accédée par un attaquant sur une machine), de secrets (données acquises par l’attaquant au court du scénario) et de techniques d’attaque (actions performées par l’attaquant pour acquérir des secrets et des nouvelles positions), ce formalisme est capable de décrire un scénario d’attaque à un haut niveau d’abstraction apte à la réutilisation de ce scénario. Nous faisons usage de la nomenclature MITRE ATT&CK pour labelliser nos transitions.Une fois un scénario décrit à ce haut niveau d’abstraction, il est nécessaire de le convertir à un niveau d’abstraction plus bas afin de pouvoir décrire l’architecture vulnérable qui en résultera, i.e les fichiers, systèmes d’exploitations or logiciels à installer sur les machines. En associant à chaque technique d’attaque (description haut niveau d’une action d’un attaquant) plusieurs procédures d’attaque (détails technique de cette action), un unique scénario au niveau technique est converti en une variation de scénarios au niveau procédural, qui peuvent ensuite être convertis en fichiers de descriptions d’architectures virtuelles destinées à des outils de déploiement tels que Vagrant et Ansible. Afin d’éviter des incompatibilités dans le choix de procédures, nous introduisons le concept de contraintes d’architectures, qui permettent de décrire les conséquences que le choix d’une procédure a sur l’architecture en terme de fichiers, systèmes d’exploitations, logiciels et comptes à installer sur la machine.Cette thèse et son outil résultant URSID furent d'abord utilisé afin de déployer un exercice de type Capture-The-Flag dans le cadre de l'European Cyber School en Avril 2024. Ce projet visait à initier des étudiants aux travaux de pentesteurs professionels (Red team et Blue team), tout en récoltant des données d'attaques. Ce projet a donné lieu à une publication à IEEE International Conference on Big Data en 2023, qui en particulier a rendu disponible à la communauté scientifique les données d'attaques récoltées durant l’expérience.URSID fut ensuite la base d'un exercice dans le cadre de BreizhCTF, une compétition de Capture-The-Flag à Rennes en Mai 2024 regroupant plus de 600 participants. Cet exercice - intitulé Casinolimit - était l'un des challenges proposes aux joueurs. D'un point de vue recherche, cette expérience a permis de tester les capacités de l'outil URSID à s'adapter à une architecture de déploiement grande échelle, tout en récoltant de nouveaux jeux de données d'attaquants qui bénéficie les travaux d'autres membres de l'équipe.L'outil URSID est toujours en développement continu et est disponible et documenté en ligne pour le bénéfice de la communauté scientifique.