{"id":154599,"date":"2025-07-31T11:22:04","date_gmt":"2025-07-31T18:22:04","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=154599"},"modified":"2025-08-26T13:08:53","modified_gmt":"2025-08-26T20:08:53","slug":"unit-42-attribution-framework","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/","title":{"rendered":"Le cadre d\u2019attribution de l\u2019Unit\u00a042"},"content":{"rendered":"<h2><a id=\"post-154599-_heading=h.a0e7qf6fl4ux\"><\/a>Avant-propos<\/h2>\n<p>L\u2019attribution des acteurs de la menace a longtemps \u00e9t\u00e9 per\u00e7ue comme un art plut\u00f4t que comme une science. En effet, la confirmation des activit\u00e9s observ\u00e9es repose souvent sur l\u2019expertise de quelques chercheurs. Cette approche n\u2019est pas durable et alimente la confusion dans la d\u00e9nomination des groupes de menaces. Nous avons r\u00e9pondu \u00e0 ce probl\u00e8me en cr\u00e9ant le cadre d\u2019attribution de l\u2019Unit\u00a042, tout en nous appuyant sur l\u2019excellent travail du <a href=\"https:\/\/apps.dtic.mil\/sti\/citations\/ADA586960\" target=\"_blank\" rel=\"noopener\">Mod\u00e8le en Diamant appliqu\u00e9 \u00e0 l\u2019analyse des intrusions<\/a>.<\/p>\n<p>Le cadre d\u2019attribution de l\u2019Unit\u00a042 propose une m\u00e9thode syst\u00e9matique d\u2019analyse des donn\u00e9es li\u00e9es aux menaces. Il facilite l\u2019attribution des activit\u00e9s observ\u00e9es \u00e0 des acteurs de la menace formellement identifi\u00e9s, \u00e0 des groupes temporaires ou \u00e0 des clusters d\u2019activit\u00e9s. Un \u00e9l\u00e9ment central de ce cadre est l\u2019int\u00e9gration de <a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">l\u2019Admiralty System<\/a>, qui attribue \u00e0 chaque \u00e9l\u00e9ment de preuve des scores de fiabilit\u00e9 et de cr\u00e9dibilit\u00e9 par d\u00e9faut. Cette m\u00e9thodologie \u2013\u00a0qui laisse une marge d\u2019appr\u00e9ciation aux chercheurs pour ajuster ces scores\u00a0\u2013 est essentielle au suivi des menaces et renforce l\u2019efficacit\u00e9 de la collecte et de l\u2019analyse du renseignement.<\/p>\n<ul>\n<li>Fiabilit\u00e9\u00a0: elle \u00e9value la confiance que l\u2019on peut accorder \u00e0 la source, y compris sa capacit\u00e9 \u00e0 fournir des informations exactes.<\/li>\n<li>Cr\u00e9dibilit\u00e9\u00a0: elle d\u00e9termine si l\u2019information peut \u00eatre corrobor\u00e9e par d\u2019autres sources.<\/li>\n<\/ul>\n<p>Nous appliquons ce cadre \u00e0 un large spectre de donn\u00e9es sur les menaces, parmi lesquelles\u00a0:<\/p>\n<ul>\n<li>Les tactiques, techniques et proc\u00e9dures (TTP)<\/li>\n<li>L\u2019outillage, ainsi que les commandes et configurations des ensembles d\u2019outils<\/li>\n<li>L\u2019analyse et la r\u00e9tro-ing\u00e9nierie du code malveillant<\/li>\n<li>La coh\u00e9rence de l\u2019OPSEC (s\u00e9curit\u00e9 op\u00e9rationnelle)<\/li>\n<li>L\u2019analyse de la chronologie<\/li>\n<li>L\u2019infrastructure r\u00e9seau<\/li>\n<li>La victimologie et le ciblage<\/li>\n<\/ul>\n<p>Au fur et \u00e0 mesure que nous collectons et analysons ces donn\u00e9es, nous les cat\u00e9gorisons d\u2019abord sous forme de clusters d\u2019activit\u00e9s. Cette d\u00e9marche s\u2019inscrit dans le temps. Ces clusters sont consolid\u00e9s lorsqu\u2019ils se chevauchent, puis sont d\u00e9finis en tant que groupes de menaces temporaires lorsque nous obtenons une meilleure visibilit\u00e9. Un groupe est consid\u00e9r\u00e9 comme \u00e9tant formellement identifi\u00e9 (selon notre <a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-threat-group-naming-update\/\" target=\"_blank\" rel=\"noopener\">nomenclature en constellation<\/a>) que lorsque la visibilit\u00e9 est suffisante. Cette progression m\u00e9thodique emp\u00eache toute attribution pr\u00e9matur\u00e9e et garantit un mod\u00e8le coh\u00e9rent pour identifier les groupes.<\/p>\n<table style=\"width: 98.3297%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 194.689%;\"><strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/nomenclature-fr\/\" target=\"_blank\" rel=\"noopener\">Nomenclature<\/a>,<\/strong> <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/bookworm-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Bookworm<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/stately-taurus-fr\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-154599-_heading=h.dvy2merpwxhz\"><\/a>Niveaux d\u2019attribution<\/h2>\n<p>Source d\u2019informations tant tactiques que strat\u00e9giques, le renseignement sur les menaces est essentiel pour permettre aux parties prenantes de prendre des d\u00e9cisions \u00e9clair\u00e9es en mati\u00e8re de s\u00e9curit\u00e9. L\u2019attribution produit de la valeur \u00e0 plusieurs niveaux. M\u00eame sans identifier de mani\u00e8re d\u00e9finitive l\u2019acteur sp\u00e9cifique ou le pays d\u2019origine, diff\u00e9rents degr\u00e9s d\u2019attribution peuvent produire des r\u00e9sultats pr\u00e9cieux. Le cadre d\u2019attribution de l\u2019Unit\u00a042 pr\u00e9voit trois niveaux distincts\u00a0:<\/p>\n<ul>\n<li>Les clusters d\u2019activit\u00e9s<\/li>\n<li>Les groupes de menaces temporaires<\/li>\n<li>Les acteurs de la menace identifi\u00e9s<\/li>\n<\/ul>\n<p>La figure\u00a01 illustre ces niveaux d\u2019attribution sur une chronologie allant des clusters d\u2019activit\u00e9s \u00e0 l\u2019identification d\u2019un groupe.<\/p>\n<figure id=\"attachment_154633\" aria-describedby=\"caption-attachment-154633\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-154633 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-Attribution-Framework-Redo-2-786x361.png\" alt=\"Sch\u00e9ma illustrant l\u2019analyse des cybermenaces dans le temps, incluant des \u00ab\u00a0Clusters d\u2019activit\u00e9s\u00a0\u00bb (Activity Clusters) \u00e9tiquet\u00e9s par des IoC et des TTP, qui obtiennent le statut de \u00ab\u00a0Groupes de menaces temporaires\u00a0\u00bb (Temporary Threat Groups) identifi\u00e9s sous les r\u00e9f\u00e9rences TGR-CR-0147 et TGR-CR-0185, avant de devenir \u00ab\u00a0Acteur de la menace identifi\u00e9\u00a0\u00bb (Named Threat Actor) \u2013\u00a0ici, Stinky Libra. Le tout repr\u00e9sent\u00e9 par un graphisme stylis\u00e9. Le processus est mesur\u00e9 dans le temps. \" width=\"1000\" height=\"459\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-Attribution-Framework-Redo-2-786x361.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-Attribution-Framework-Redo-2-768x353.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-Attribution-Framework-Redo-2.png 939w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-154633\" class=\"wp-caption-text\">Figure 1. Le Cadre d\u2019Attribution de l\u2019Unit 42 \u2013 trois niveaux d\u2019activit\u00e9s suivies.<\/figcaption><\/figure>\n<h3><a id=\"post-154599-_heading=h.w2vjjezgftij\"><\/a>Niveau\u00a01\u00a0: Clusters d\u2019activit\u00e9s<\/h3>\n<p>L\u2019attribution commence par l\u2019affectation de l\u2019activit\u00e9 observ\u00e9e \u00e0 un cluster, qu\u2019il soit nouveau ou d\u00e9j\u00e0 connu. Lors de l\u2019analyse d\u2019une activit\u00e9 malveillante ou d\u2019une intrusion, les analystes collectent diff\u00e9rents types d\u2019informations. Citons notamment\u00a0:<\/p>\n<ul>\n<li>L\u2019infrastructure (par ex. adresses\u00a0IP, domaines, URL)<\/li>\n<li>Les capacit\u00e9s (par ex. malwares, outils, TTP)<\/li>\n<li>Les victimes et le ciblage (par ex. organisations, secteurs, r\u00e9gions, chevauchements temporels)<\/li>\n<\/ul>\n<p>Un \u00e9v\u00e9nement isol\u00e9 n\u2019est g\u00e9n\u00e9ralement pas suffisant pour constituer un cluster d\u2019activit\u00e9s. Bien que nous admettions parfois qu\u2019une observation unique puisse \u00eatre class\u00e9e comme cluster, dans la plupart des cas nous exigeons au moins deux \u00e9v\u00e9nements ou faits observables li\u00e9s (et davantage, de pr\u00e9f\u00e9rence). Le terme \u00ab\u00a0li\u00e9s\u00a0\u00bb peut s\u2019appliquer\u00a0:<\/p>\n<ul>\n<li>Aux indicateurs de compromission (IoC)<\/li>\n<li>Aux TTP similaires<\/li>\n<li>Au ciblage de la m\u00eame organisation ou du m\u00eame secteur<\/li>\n<li>\u00c0 une manifestation dans un court laps de temps<\/li>\n<\/ul>\n<p>Nous proc\u00e9dons ensuite aux \u00e9tapes suivantes\u00a0:<\/p>\n<ul>\n<li>Formuler clairement la logique qui justifie le regroupement de ces \u00e9v\u00e9nements dans un cluster.<\/li>\n<li>Expliquer les caract\u00e9ristiques communes et pourquoi nous consid\u00e9rons que leur lien va au-del\u00e0 de la simple co\u00efncidence.<\/li>\n<\/ul>\n<p>Cette justification est essentielle pour garantir la transparence et permettre \u00e0 d\u2019autres de comprendre notre raisonnement.<\/p>\n<p>Par exemple, nous pourrions observer les \u00e9v\u00e9nements suivants\u00a0:<\/p>\n<ul>\n<li>\u00c9v\u00e9nement\u00a01\u00a0: un e-mail d\u2019hame\u00e7onnage visant une institution financi\u00e8re, contenant une pi\u00e8ce jointe malveillante (fichier ayant un hachage\u00a0SHA256 sp\u00e9cifique).<\/li>\n<li>\u00c9v\u00e9nement\u00a02\u00a0: une autre institution financi\u00e8re signalant une infection par un malware pr\u00e9sentant le m\u00eame hachage\u00a0SHA256.<\/li>\n<li>\u00c9v\u00e9nement\u00a03\u00a0: des renseignements en source ouverte (OSINT), issus d\u2019un billet de blog, reliant ce hachage\u00a0SHA256 \u00e0 une campagne d\u2019hame\u00e7onnage pr\u00e9sum\u00e9e.<\/li>\n<\/ul>\n<p>Ces \u00e9v\u00e9nements seraient suffisants pour constituer un cluster d\u2019activit\u00e9s. Cet exemple regroupe plusieurs \u00e9v\u00e9nements li\u00e9s (c\u2019est-\u00e0-dire un hame\u00e7onnage et une infection par malware) avec des IoC qui se recoupent (m\u00eame hachage\u00a0SHA256) et un chevauchement potentiel des victimes (institutions financi\u00e8res). L\u2019OSINT apporte un contexte suppl\u00e9mentaire.<\/p>\n<p>Nous nommons les clusters d\u2019activit\u00e9s en fonction du motif qui leur est attribu\u00e9, en utilisant le pr\u00e9fixe CL- suivi d\u2019une balise li\u00e9e \u00e0 la motivation et d\u2019un num\u00e9ro unique. Les balises de motivation sont les suivantes\u00a0:<\/p>\n<ul>\n<li>UNK\u00a0: motivation inconnue<\/li>\n<li>STA\u00a0: motivation \u00e9tatique<\/li>\n<li>CRI\u00a0: motivation criminelle<\/li>\n<li>MIX\u00a0: combinaison de motivations STA et CRI<\/li>\n<\/ul>\n<p>Voici un exemple de nom pour un cluster d\u2019activit\u00e9s suspect\u00e9 d\u2019\u00eatre appuy\u00e9 par un \u00c9tat\u00a0: CL-STA-0001.<\/p>\n<p><strong>Ce qui n\u2019est pas requis pour constituer un cluster d\u2019activit\u00e9s\u00a0:<\/strong><\/p>\n<ul>\n<li>Attribution \u00e0 haut niveau de confiance\u00a0: il n\u2019est pas n\u00e9cessaire de savoir qui est \u00e0 l\u2019origine de l\u2019activit\u00e9 pour cr\u00e9er un cluster. Les clusters d\u2019activit\u00e9s servent \u00e0 regrouper des activit\u00e9s li\u00e9es, m\u00eame si l\u2019acteur reste inconnu.<\/li>\n<li>Cartographie compl\u00e8te du cycle de vie de l\u2019attaque\u00a0: il n\u2019est pas n\u00e9cessaire de comprendre l\u2019ensemble du cycle de vie de l\u2019attaque au stade du cluster. Il est possible de constituer des clusters d\u2019activit\u00e9s \u00e0 partir d\u2019informations partielles.<\/li>\n<\/ul>\n<table>\n<thead>\n<tr>\n<th>\n<p style=\"text-align: left;\"><strong>Remarque\u00a0:<\/strong> en mati\u00e8re de renseignements sur les menaces, les notions de cluster d\u2019activit\u00e9s et de campagne sont des termes apparent\u00e9s, utilis\u00e9s pour d\u00e9crire l\u2019activit\u00e9 d\u2019un adversaire. Ces termes renvoient cependant \u00e0 diff\u00e9rents niveaux d\u2019organisation et de compr\u00e9hension.<\/p>\n<p style=\"text-align: left;\">Un <strong>cluster d\u2019activit\u00e9s<\/strong> d\u00e9signe un ensemble de comportements observ\u00e9s, d\u2019IoC et de TTP qui semblent reli\u00e9s entre eux. \u00c0 ce stade initial de l\u2019analyse, le contexte complet d\u2019une op\u00e9ration coordonn\u00e9e fait d\u00e9faut\u00a0: il n\u2019existe donc pas de compr\u00e9hension claire de l\u2019objectif global ni du cycle de vie complet de l\u2019attaque. Le niveau d\u2019attribution peut \u00eatre faible ou incertain.<\/p>\n<p style=\"text-align: left;\">Une <strong>campagne <\/strong>correspond \u00e0 un niveau plus \u00e9lev\u00e9 d\u2019organisation et de compr\u00e9hension. Elle implique une s\u00e9rie d\u2019activit\u00e9s coordonn\u00e9es, souvent attribu\u00e9es \u00e0 un acteur ou \u00e0 un groupe de menaces sp\u00e9cifique, men\u00e9es dans le cadre d\u2019un objectif d\u00e9fini (par exemple\u00a0: espionnage, gain financier, perturbation). Une campagne suppose un effort d\u00e9lib\u00e9r\u00e9 et planifi\u00e9 avec un but clair. Elle s\u2019\u00e9tend g\u00e9n\u00e9ralement sur une p\u00e9riode donn\u00e9e et englobe plusieurs phases, comme la reconnaissance, l\u2019intrusion et l\u2019exploitation.<\/p>\n<p style=\"text-align: left;\">Utilisons une analogie li\u00e9e aux puzzles\u00a0:<\/p>\n<ul>\n<li style=\"text-align: left;\">Un <strong>cluster d\u2019activit\u00e9s<\/strong> s\u2019apparente \u00e0 quelques pi\u00e8ces de puzzle qui semblent s\u2019assembler. Mais sans mod\u00e8le, nous ne savons pas encore \u00e0 quoi ressemblera l\u2019image finale.<\/li>\n<li style=\"text-align: left;\">Une <strong>campagne <\/strong>correspond au fait de disposer de nombreuses pi\u00e8ces et d\u2019appr\u00e9hender l\u2019image dans son ensemble (l\u2019objectif), tout en voyant comment les pi\u00e8ces s\u2019embo\u00eetent pour former une composition coh\u00e9rente (les activit\u00e9s coordonn\u00e9es).<\/li>\n<\/ul>\n<\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h3><a id=\"post-154599-_heading=h.hchdqr1o32en\"><\/a>Niveau\u00a02\u00a0: les groupes de menaces temporaires<\/h3>\n<p>Les groupes de menaces temporaires repr\u00e9sentent le deuxi\u00e8me niveau d\u2019attribution. Ce concept permet de faire \u00e9voluer des clusters d\u2019activit\u00e9s vers une cat\u00e9gorie plus \u00e9tablie lorsque nous avons la certitude qu\u2019un seul acteur est impliqu\u00e9 dans l\u2019activit\u00e9 malveillante. Cela reste valable m\u00eame si nous ne disposons pas encore d\u2019informations suffisantes pour attribuer l\u2019activit\u00e9 \u00e0 un acteur identifi\u00e9.<\/p>\n<p>La mise en place de groupes de menaces temporaires permet un suivi et une analyse plus cibl\u00e9s des op\u00e9rations d\u2019un acteur, tout en continuant \u00e0 d\u00e9velopper le corpus de renseignements.<\/p>\n<p>Avant de d\u00e9finir un cluster d\u2019activit\u00e9s en tant que groupe de menaces temporaire, il est essentiel de proc\u00e9der \u00e0 des v\u00e9rifications rigoureuses des donn\u00e9es de renseignement collect\u00e9es afin de s\u2019assurer que le regroupement correspond bien \u00e0 un acteur de la menace unique et distinct. Un \u00e9l\u00e9ment fondamental de la cr\u00e9ation d\u2019un groupe de menaces temporaire consiste \u00e0 cartographier l\u2019activit\u00e9 malveillante, identifi\u00e9e selon la m\u00e9thode formelle d\u2019analyse des intrusions connue sous le nom de <a href=\"https:\/\/apps.dtic.mil\/sti\/pdfs\/ADA586960.pdf\" target=\"_blank\" rel=\"noopener\">Mod\u00e8le en Diamant<\/a>.<\/p>\n<p>Une enqu\u00eate approfondie permet d\u2019obtenir une compr\u00e9hension plus nuanc\u00e9e de l\u2019activit\u00e9 issue d\u2019un ou de plusieurs clusters, en allant au-del\u00e0 des similitudes superficielles. Cette approche est essentielle pour d\u00e9finir en toute confiance un cluster d\u2019activit\u00e9s en tant que groupe de menaces temporaire et poser les bases d\u2019une \u00e9ventuelle attribution ult\u00e9rieure \u00e0 un acteur identifi\u00e9. Une documentation m\u00e9ticuleuse des conclusions et des justifications est indispensable pour garantir la transparence et la reproductibilit\u00e9.<\/p>\n<p>Afin de r\u00e9duire le risque d\u2019attribuer \u00e0 tort des \u00e9v\u00e9nements sans lien (ou opportunistes) \u00e0 un m\u00eame acteur de la menace, nous observons l\u2019activit\u00e9 sur une p\u00e9riode d\u2019au moins six mois. Cette dur\u00e9e offre id\u00e9alement un volume suffisant d\u2019observations directes issues de cas concrets pour d\u00e9montrer un comportement persistant et confirmer que l\u2019activit\u00e9 observ\u00e9e provient bien du m\u00eame groupe.<\/p>\n<p>Nous nommons les groupes de menaces temporaires en fonction du motif qui leur attribu\u00e9, en utilisant le pr\u00e9fixe TGR- suivi d\u2019une balise li\u00e9e \u00e0 la motivation et d\u2019un num\u00e9ro unique. Les balises de motivation sont les suivantes\u00a0:<\/p>\n<ul>\n<li>UNK\u00a0: motivation inconnue<\/li>\n<li>STA\u00a0: motivation \u00e9tatique<\/li>\n<li>CRI\u00a0: motivation criminelle<\/li>\n<li>MIX\u00a0: combinaison de motivations STA et CRI<\/li>\n<\/ul>\n<p>Voici un exemple de nom pour un groupe de menace temporaire suspect\u00e9 d\u2019\u00eatre appuy\u00e9 par un \u00c9tat\u00a0: TGR-STA-0001.<\/p>\n<h3><a id=\"post-154599-_heading=h.55zuq8gpnaur\"><\/a>Niveau\u00a03\u00a0: l\u2019acteur de la menace\/\u00c9tat identifi\u00e9<\/h3>\n<p>En cas d\u2019intrusion, il est naturel de chercher \u00e0 identifier les responsables. Toutefois, l\u2019attribution exige une analyse minutieuse afin d\u2019att\u00e9nuer les biais inh\u00e9rents.<\/p>\n<p>Associer publiquement une attaque \u00e0 un acteur de la menace sp\u00e9cifique ou \u00e0 un pays d\u2019origine peut avoir des r\u00e9percussions importantes. Par exemple, des acteurs de la menace destructeurs pourraient lancer des attaques de repr\u00e9sailles. En cas d\u2019association erron\u00e9e, cela pourrait conduire les destinataires du renseignement \u00e0 mal hi\u00e9rarchiser leurs mesures de s\u00e9curit\u00e9.<\/p>\n<p>Toute mention publique d\u2019un lien entre une activit\u00e9 et un acteur de la menace identifi\u00e9 doit imp\u00e9rativement \u00eatre formul\u00e9e avec prudence, et refl\u00e9ter notre niveau de confiance dans cette connexion. Cela permet d\u2019\u00e9viter les erreurs d\u2019attribution au sein de la communaut\u00e9 et d\u2019\u00e9viter que nos parties prenantes ne gaspillent des ressources.<\/p>\n<p>Le fait de \u00ab\u00a0hisser\u00a0\u00bb un groupe de menaces temporaire au rang d\u2019acteur de la menace identifi\u00e9 (c\u2019est-\u00e0-dire, l\u2019attribution d\u2019un <a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-threat-group-naming-update\/\" target=\"_blank\" rel=\"noopener\">nom issu de la constellation Unit\u00a042<\/a>) constitue une \u00e9tape majeure qui exige une \u00e9valuation exigeante et des preuves solides. Cela requiert des \u00e9l\u00e9ments probants provenant de multiples sources fiables, incluant notre t\u00e9l\u00e9m\u00e9trie interne, des partenaires de confiance et de l\u2019OSINT corrobor\u00e9. Nous cartographions l\u2019activit\u00e9 sur les quatre sommets du Mod\u00e8le en Diamant (adversaire, infrastructure, capacit\u00e9s, victime), avec plusieurs \u00e9l\u00e9ments suivis pour chacun d\u2019entre eux.<\/p>\n<h3><a id=\"post-154599-_heading=h.1b0m2q5soe6g\"><\/a>D\u00e9termination de la motivation\u00a0: cybercriminelle, \u00e9tatique ou mixte<\/h3>\n<p>Dans le cadre du processus d\u2019attribution, nous devons prendre en compte\u00a0:<\/p>\n<ul>\n<li>Les motivations de l\u2019acteur de la menace (dans la mesure du possible) sur la base de ses activit\u00e9s (par exemple, vol de donn\u00e9es sensibles, destruction de syst\u00e8mes, demande de ran\u00e7on)<\/li>\n<li>La victimologie<\/li>\n<li>Les recoupements \u00e9ventuels avec des activit\u00e9s d\u00e9j\u00e0 connues<\/li>\n<\/ul>\n<p>La d\u00e9termination de cette motivation fournit l\u2019\u00e9tiquette incluse dans le nom du cluster d\u2019activit\u00e9s ou du groupe de menaces temporaire, en faisant \u00e9voluer l\u2019\u00e9tat initial \u00ab\u00a0UNK\u00a0\u00bb (inconnue) vers \u00ab\u00a0CRI\u00a0\u00bb (cybercriminelle), \u00ab\u00a0STA\u00a0\u00bb (\u00e9tatique) ou \u00ab\u00a0MIX\u00a0\u00bb pour une combinaison des deux. Les balises CRI, STA et MIX s\u2019appliquent aux clusters d\u2019activit\u00e9s comme aux groupes de menaces temporaires, car il est imp\u00e9ratif de conna\u00eetre la motivation d\u2019un groupe avant de lui attribuer le statut d\u2019acteur identifi\u00e9.<\/p>\n<h2><a id=\"post-154599-_heading=h.rvozux9rw5m\"><\/a>Normes minimales pour les niveaux d\u2019attribution<\/h2>\n<p>Nous appliquons un ensemble de normes minimales \u00e0 chaque niveau d\u2019attribution afin de garantir la rigueur analytique, la cr\u00e9dibilit\u00e9 et l\u2019exactitude de nos rapports.<\/p>\n<p>Ci-dessous, nous pr\u00e9sentons certaines des consid\u00e9rations que nous avons d\u00e9finies pour encadrer la migration des activit\u00e9s au sein de notre cadre d\u2019attribution. Nous les regroupons par type d\u2019analyse, puis nous d\u00e9crivons la mani\u00e8re dont ces consid\u00e9rations s\u2019appliquent \u00e0 chaque niveau d\u2019attribution.<\/p>\n<h3><a id=\"post-154599-_heading=h.iepcn34bg36n\"><\/a>Analyse des TTP<\/h3>\n<ul>\n<li><strong>Les clusters d\u2019activit\u00e9s<\/strong>\n<ul>\n<li><em>Regroupements de TTP similaires\u00a0:<\/em> inclut l\u2019utilisation de la m\u00eame famille de malwares, de techniques d\u2019exploitation ou d\u2019une infrastructure de commande et contr\u00f4le (C2).<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les groupes de menaces temporaires<\/strong>\n<ul>\n<li><em>TTP d\u00e9taill\u00e9s\u00a0:<\/em> nous allons au-del\u00e0 des classifications g\u00e9n\u00e9rales des tactiques et techniques du r\u00e9f\u00e9rentiel <a href=\"https:\/\/attack.mitre.org\/\">MITRE ATT&amp;CK\u00ae<\/a> et nous concentrons sur les d\u00e9tails proc\u00e9duraux et artefacts associ\u00e9s, comme les outils, commandes et configurations sp\u00e9cifiques employ\u00e9s.<\/li>\n<li><em>Outils d\u2019infrastructure personnalis\u00e9s\u00a0: <\/em>outils ou scripts personnalis\u00e9s utilis\u00e9s pour g\u00e9rer ou interagir avec l\u2019infrastructure du groupe (par ex. un outil propri\u00e9taire de gestion d\u2019infrastructure ou un botnet).<\/li>\n<li><em>Configurations d\u2019infrastructure uniques\u00a0:<\/em> configurations inhabituelles ou uniques de composants d\u2019infrastructure courants (par ex. un param\u00e9trage non standard d\u2019un serveur web utilis\u00e9 pour la communication\u00a0C2).<\/li>\n<li><em>Analyse chronologique de l\u2019\u00e9volution des TTP\u00a0: <\/em>nous examinons le d\u00e9veloppement chronologique de l\u2019usage des TTP au sein du cluster. Un sch\u00e9ma continu et \u00e9volutif de TTP dans le temps sugg\u00e8re souvent qu\u2019un m\u00eame acteur perfectionne ses m\u00e9thodes. En revanche, des changements soudains ou majeurs peuvent indiquer l\u2019implication d\u2019autres acteurs ou de campagnes diff\u00e9rentes.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les acteurs de la menace identifi\u00e9s<\/strong>\n<ul>\n<li><em>TTP distincts et bien d\u00e9finis\u00a0:<\/em> l\u2019acteur de la menace identifi\u00e9 doit pr\u00e9senter un ensemble de TTP distincts et bien d\u00e9finis qui le diff\u00e9rencient des autres acteurs connus. Il peut s\u2019agir d\u2019un malware unique, d\u2019outils personnalis\u00e9s, de techniques d\u2019exploitation sp\u00e9cifiques ou d\u2019un cycle d\u2019attaque caract\u00e9ristique. Plus les TTP sont uniques et coh\u00e9rents, plus l\u2019attribution \u00e0 un acteur distinct est fiable.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154599-_heading=h.iawhyx8x4tqt\"><\/a>Analyse de l\u2019infrastructure et des outils<\/h3>\n<ul>\n<li><strong>Les clusters d\u2019activit\u00e9s <\/strong>\n<ul>\n<li><em>IoC qui se recoupent\u00a0: <\/em>adresses\u00a0IP, noms de domaine, empreintes de fichiers ou autres indicateurs partag\u00e9s.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les groupes de menaces temporaires <\/strong>\n<ul>\n<li><em>Voir plus loin que les adresses IP et les domaines\u00a0:<\/em> nous nous concentrons sur les relations entre les \u00e9l\u00e9ments d\u2019infrastructure, comme les fournisseurs d\u2019h\u00e9bergement partag\u00e9s ou les sch\u00e9mas d\u2019enregistrement. Nous utilisons ces pivots d\u2019infrastructure pour mettre au jour d\u2019autres activit\u00e9s connexes.<\/li>\n<li><em>Enregistrements Whois et (p)DNS\u00a0:<\/em> nous analysons les enregistrements Whois et (p)DNS pour d\u00e9tecter des domaines suspects. Nous recherchons des sch\u00e9mas dans les informations du titulaire du domaine et des serveurs de noms, ainsi que d\u2019autres d\u00e9tails susceptibles de relier entre elles des infrastructures en apparence distinctes.<\/li>\n<li><em>Similitudes du code\u00a0:<\/em> si un malware est impliqu\u00e9, nous allons au-del\u00e0 de la comparaison des empreintes. Nous analysons le code pour rep\u00e9rer des similitudes de structure, de fonctionnalit\u00e9s et de caract\u00e9ristiques uniques. Nous recherchons la r\u00e9utilisation de code, des biblioth\u00e8ques communes ou d\u2019autres indices qui pointeraient vers un d\u00e9veloppeur unique ou une base de code commune.<\/li>\n<li><em>Configuration des outils\u00a0:<\/em> nous examinons la configuration des outils utilis\u00e9s par l\u2019acteur. Des configurations uniques, des modules personnalis\u00e9s ou des param\u00e8tres sp\u00e9cifiques peuvent pointer de mani\u00e8re cr\u00e9dible vers un acteur unique.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les acteurs de la menace identifi\u00e9s <\/strong>\n<ul>\n<li><em>Analyse de l\u2019infrastructure\u00a0: <\/em>nous r\u00e9alisons une analyse approfondie de l\u2019infrastructure, en reliant l\u2019activit\u00e9 du groupe \u00e0 des \u00e9l\u00e9ments d\u2019infrastructure sp\u00e9cifiques (adresses\u00a0IP, domaines ou serveurs). Nous d\u00e9montrons une utilisation coh\u00e9rente de cette infrastructure dans le temps et, id\u00e9alement, nous l\u2019associons exclusivement aux op\u00e9rations du groupe.<\/li>\n<li><em>Analyse des malwares\u00a0: <\/em>si des malwares sont impliqu\u00e9s, nous proc\u00e9dons \u00e0 une analyse approfondie afin d\u2019identifier des caract\u00e9ristiques de code uniques, des bases de code partag\u00e9es ou des liens avec d\u2019autres familles de malwares connues et utilis\u00e9es par le groupe.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154599-_heading=h.iubmq3at9m27\"><\/a>Ciblage et victimologie<\/h3>\n<ul>\n<li><strong>Les clusters d\u2019activit\u00e9s <\/strong>\n<ul>\n<li><em>Victimes similaires\u00a0:<\/em> ciblage d\u2019organisations appartenant au m\u00eame secteur, implant\u00e9es dans une m\u00eame r\u00e9gion g\u00e9ographique ou pr\u00e9sentant des profils similaires.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les groupes de menaces temporaires <\/strong>\n<ul>\n<li><em>Analyse approfondie des profils de victimes\u00a0: <\/em>nous identifions des caract\u00e9ristiques organisationnelles sp\u00e9cifiques, des technologies utilis\u00e9es ou des types de donn\u00e9es vis\u00e9s qui relient les victimes entre elles. Nous recherchons des sch\u00e9mas allant au-del\u00e0 des simples classifications g\u00e9n\u00e9rales. Par exemple\u00a0: existe-t-il une vuln\u00e9rabilit\u00e9 commune exploit\u00e9e par un acteur de la menace, pouvant indiquer un ciblage opportuniste fond\u00e9 sur la surface d\u2019attaque des victimes\u00a0?<\/li>\n<li><em>Motifs du ciblage\u00a0: <\/em>nous \u00e9tudions les motivations sous-jacentes au ciblage. Le choix des victimes s\u2019aligne-t-il sur un objectif particulier, tel que l\u2019espionnage, le gain financier ou la perturbation\u00a0? Comprendre la raison du ciblage permet d\u2019obtenir des informations essentielles sur l\u2019identit\u00e9 et les objectifs de l\u2019acteur.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les acteurs de la menace identifi\u00e9s <\/strong>\n<ul>\n<li><em>Motivations et sch\u00e9mas de ciblage\u00a0: <\/em>nous mettons au point une compr\u00e9hension claire des motivations et des sch\u00e9mas de ciblage de l\u2019acteur de la menace. Quels sont ses objectifs (espionnage, gain financier ou perturbation)\u00a0? Quelles sont ses cibles typiques (secteurs, zones g\u00e9ographiques, organisations)\u00a0? Une compr\u00e9hension pr\u00e9cise des motivations et des cibles de l\u2019acteur renforce l\u2019attribution et apporte un contexte pr\u00e9cieux.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154599-_heading=h.cw2nx9e0eny8\"><\/a>Analyse temporelle<\/h3>\n<ul>\n<li><strong>Les clusters d\u2019activit\u00e9s <\/strong>\n<ul>\n<li><em>Proximit\u00e9 temporelle\u00a0:<\/em> \u00e9v\u00e9nements se produisant dans un laps de temps relativement court.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les groupes de menaces temporaires <\/strong>\n<ul>\n<li><em>\u00c9v\u00e9nements g\u00e9opolitiques ou sectoriels\u00a0: <\/em>nous corr\u00e9lons la chronologie de l\u2019activit\u00e9 avec des \u00e9v\u00e9nements externes, tels que des d\u00e9veloppements g\u00e9opolitiques ou des conf\u00e9rences sectorielles. L\u2019activit\u00e9 co\u00efncide-t-elle avec des \u00e9v\u00e9nements susceptibles d\u2019apporter un contexte ou de sugg\u00e9rer un motif\u00a0?<\/li>\n<\/ul>\n<\/li>\n<li><strong>Les acteurs de la menace identifi\u00e9s <\/strong>\n<ul>\n<li><em>Op\u00e9rations soutenues\u00a0:<\/em> nous observons une activit\u00e9 coh\u00e9rente et prolong\u00e9e de l\u2019acteur de la menace sur une p\u00e9riode \u00e9tendue, couvrant plusieurs campagnes. Cela d\u00e9montre un engagement op\u00e9rationnel \u00e0 long terme et r\u00e9duit la probabilit\u00e9 d\u2019attribuer \u00e0 tort une activit\u00e9 opportuniste de courte dur\u00e9e ou une op\u00e9ration sous faux pavillon.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154599-_heading=h.e7b8klz5stzj\"><\/a>Autres consid\u00e9rations relatives \u00e0 l\u2019attribution<\/h3>\n<p><strong>Suivi de l\u2019OPSEC\u00a0: <\/strong>nous analysons les pratiques OPSEC d\u2019un acteur de la menace. Commet-il des erreurs r\u00e9currentes ou pr\u00e9sente-t-il des sch\u00e9mas uniques dans ses tentatives de rester anonyme\u00a0? Ces empreintes\u00a0OPSEC peuvent \u00eatre pr\u00e9cieuses pour l\u2019attribution. Parmi les erreurs notables, citons\u00a0:<\/p>\n<ul>\n<li>Les fautes de frappe dans le code et les commandes<\/li>\n<li>La pr\u00e9sence d\u2019un identifiant de d\u00e9veloppeur dans le code ou les m\u00e9tadonn\u00e9es d\u2019un fichier<\/li>\n<li>Une infrastructure ouverte<\/li>\n<\/ul>\n<p><strong>Absence de preuves contradictoires\u00a0: <\/strong>nous nous montrons prudents en pr\u00e9sence de preuves contradictoires pouvant invalider l\u2019hypoth\u00e8se d\u2019un acteur unique. Par exemple, des changements radicaux dans les TTP ou dans les cibles d\u2019un cluster d\u2019activit\u00e9 peuvent indiquer l\u2019implication de plusieurs acteurs de la menace ou un changement d\u2019op\u00e9rations. De tels cas n\u00e9cessitent une enqu\u00eate approfondie avant d\u2019attribuer le statut de groupe de menaces temporaire \u00e0 un cluster d\u2019activit\u00e9.<\/p>\n<p><strong>Volume de donn\u00e9es exceptionnellement \u00e9lev\u00e9\u00a0: <\/strong>un changement de statut peut \u00eatre justifi\u00e9 si un volume important et de haute qualit\u00e9 de donn\u00e9es li\u00e9es \u00e0 une menace appara\u00eet de mani\u00e8re pr\u00e9coce. Cela peut par exemple se produire \u00e0 la suite d\u2019un incident majeur au cours duquel une analyse forensique approfondie ou une collecte de renseignements sur les menaces met en lumi\u00e8re une masse d\u2019informations sur un acteur jusqu\u2019alors inconnu. Ce calendrier acc\u00e9l\u00e9r\u00e9 se justifie lorsque les donn\u00e9es offrent une compr\u00e9hension compl\u00e8te des TTP, de l\u2019infrastructure et des motivations de l\u2019acteur. Le cluster d\u2019activit\u00e9 doit alors d\u00e9montrer une activit\u00e9 couvrant plusieurs axes du Mod\u00e8le en Diamant.<\/p>\n<p><strong>Raret\u00e9 des donn\u00e9es\u00a0: <\/strong>si les donn\u00e9es restent limit\u00e9es apr\u00e8s une p\u00e9riode prolong\u00e9e d\u2019observation, la d\u00e9signation en tant que groupe de menace temporaire pourrait s\u2019av\u00e9rer pr\u00e9matur\u00e9e. Dans de tels cas, la poursuite de la surveillance et de la collecte d\u2019informations demeure essentielle. Nous faisons preuve de discernement pour d\u00e9terminer la dur\u00e9e d\u2019observation ad\u00e9quate, en tenant compte de facteurs tels que\u00a0:<\/p>\n<ul>\n<li>La nature de la menace<\/li>\n<li>L\u2019impact potentiel<\/li>\n<li>Les sources de renseignement disponibles<\/li>\n<\/ul>\n<p>L\u2019objectif est de r\u00e9unir un volume de donn\u00e9es suffisant pour permettre une attribution fiable \u00e0 un acteur unique avant de proc\u00e9der \u00e0 sa d\u00e9signation formelle en tant que groupe de menace temporaire.<\/p>\n<h2><a id=\"post-154599-_heading=h.h0uy4ekujh2o\"><\/a>\u00c9valuation de la qualit\u00e9, de la validit\u00e9 et du niveau de confiance<\/h2>\n<p>Tout au long du cycle de vie du renseignement, nous r\u00e9\u00e9valuons r\u00e9guli\u00e8rement la qualit\u00e9, la validit\u00e9 et le niveau de confiance de nos renseignements sur les menaces. Avant de cr\u00e9er un cluster d\u2019activit\u00e9, de lui attribuer le statut de groupe de menace temporaire ou d\u2019identifier formellement un acteur, nous r\u00e9examinons nos recherches et proc\u00e9dons \u00e0 plusieurs v\u00e9rifications pour garantir que le cluster d\u2019activit\u00e9 est valide, pertinent et qu\u2019il repose sur des informations fiables.<\/p>\n<ul>\n<li><strong>V\u00e9rification des sources <\/strong>\n<ul>\n<li><em>Fiabilit\u00e9 des sources\u00a0:<\/em> nous \u00e9valuons la fiabilit\u00e9 des sources d\u2019information. Nous privil\u00e9gions les sources de confiance, telles que notre t\u00e9l\u00e9m\u00e9trie interne, nos partenaires v\u00e9rifi\u00e9s et les chercheurs en s\u00e9curit\u00e9 \u00e9tablis. Nous restons prudents avec les informations provenant de sources non fiables ou ayant un historique de rapports inexacts. Dans la mesure du possible, nous faisons le lien entre des sources secondaires (par ex. un article de presse) et un rapport technique original. Nous appliquons ensuite des notations de fiabilit\u00e9 des sources (A-F) et de cr\u00e9dibilit\u00e9 (1-6).<\/li>\n<li><em>Corroboration\u00a0:<\/em> dans la mesure du possible, nous recherchons une corroboration aupr\u00e8s de plusieurs sources ind\u00e9pendantes et externes. Si une information provient d\u2019une seule source \u2013\u00a0en particulier si elle est peu fiable\u00a0\u2013 nous l\u2019abordons avec scepticisme et cherchons des preuves compl\u00e9mentaires.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Validit\u00e9 des indicateurs <\/strong>\n<ul>\n<li><em>Contexte des IoC\u00a0: <\/em>nous \u00e9valuons le contexte dans lequel les IoC ont \u00e9t\u00e9 observ\u00e9s. D\u00e9pourvus de contexte (par ex. un hachage de fichier sans information compl\u00e9mentaire), leur valeur est limit\u00e9e. Il est essentiel de comprendre comment les IoC ont \u00e9t\u00e9 obtenus et ce qu\u2019ils repr\u00e9sentent.<\/li>\n<li><em>Caract\u00e8re unique des IoC\u00a0:<\/em> nous \u00e9valuons le caract\u00e8re unique des IoC. Les outils courants, les exploits disponibles publiquement ou une infrastructure g\u00e9n\u00e9rique constituent des indicateurs faibles. Nous privil\u00e9gions les IoC uniques ou rares, en particulier ceux associ\u00e9s \u00e0 des acteurs de la menace sp\u00e9cifiques ou \u00e0 des familles de malwares.<\/li>\n<li><em>Volatilit\u00e9 des IoC\u00a0: <\/em>nous tenons compte de la volatilit\u00e9 des IoC. Les adresses\u00a0IP et les noms de domaine peuvent changer rapidement, ce qui les rend moins fiables pour un suivi \u00e0 long terme. Les hachages de malwares et les TTP sont g\u00e9n\u00e9ralement plus persistants.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Coh\u00e9rence des TTP <\/strong>\n<ul>\n<li><em>Sch\u00e9mas \u00e9tablis\u00a0: <\/em>nous comparons les TTP observ\u00e9s aux sch\u00e9mas \u00e9tablis d\u2019acteurs de la menace connus. Les TTP correspondent-ils \u00e0 ceux de groupes d\u00e9j\u00e0 identifi\u00e9s\u00a0? Est-ce que des \u00e9carts significatifs permettent le doute\u00a0?<\/li>\n<li><em>Coh\u00e9rence interne\u00a0:<\/em> nous v\u00e9rifions la coh\u00e9rence interne des TTP observ\u00e9s. Les tactiques et techniques forment-elles un ensemble logique\u00a0? Existe-t-il des contradictions ou incoh\u00e9rences sugg\u00e9rant que l\u2019activit\u00e9 pourrait ne pas \u00eatre li\u00e9e\u00a0?<\/li>\n<\/ul>\n<\/li>\n<li><strong>Analyse des victimes <\/strong>\n<ul>\n<li><em>Sch\u00e9mas de ciblage\u00a0:<\/em> nous analysons les sch\u00e9mas de ciblage des victimes. Les victimes pr\u00e9sentent-elles des caract\u00e9ristiques communes (secteur, zone g\u00e9ographique, taille de l\u2019organisation)\u00a0? Ces sch\u00e9mas de ciblage correspondent-ils aux objectifs ou aux motivations connus de l\u2019acteur suspect\u00e9\u00a0?<\/li>\n<li><em>Faux drapeaux\u00a0:<\/em> nous envisageons la possibilit\u00e9 de faux drapeaux. Le choix des victimes semble-t-il d\u00e9lib\u00e9r\u00e9ment con\u00e7u pour induire les analystes en erreur et incriminer un autre acteur\u00a0?<\/li>\n<\/ul>\n<\/li>\n<li><strong>\u00c9valuation des niveaux de confiance <\/strong>\n<ul>\n<li><em>\u00c9valuation de la confiance\u00a0: <\/em>nous synth\u00e9tisons ces \u00e9l\u00e9ments pour aboutir \u00e0 une \u00e9valuation unique et claire du niveau de confiance.<\/li>\n<li><em>Langage estimatif\u00a0<\/em>: nous appliquons le <a href=\"https:\/\/www.misp-project.org\/taxonomies.html#_estimative_language\">langage estimatif<\/a> \u00e9tabli par la communaut\u00e9 am\u00e9ricaine du renseignement.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154599-_heading=h.hgkwwhs3h81r\"><\/a>V\u00e9rification des sources avec le syst\u00e8me Admiralty<\/h3>\n<p>Le <a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\">syst\u00e8me Admiralty<\/a> fournit les valeurs possibles de fiabilit\u00e9 des sources et de cr\u00e9dibilit\u00e9 des informations, ainsi que des mots-cl\u00e9s et des descriptions de ces valeurs, qui peuvent \u00eatre utilis\u00e9s lors de la r\u00e9daction de rapports de veille cyber. Le tableau 1 pr\u00e9sente les cotes, les mots-cl\u00e9s et les descriptions employ\u00e9es dans notre mise en \u0153uvre du syst\u00e8me Admiralty pour \u00e9valuer la fiabilit\u00e9 d\u2019une source.<\/p>\n<table style=\"width: 101.007%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 112.185%;\" colspan=\"3\"><strong>Fiabilit\u00e9 de la source<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 6.7119%;\"><strong>Cote<\/strong><\/td>\n<td style=\"text-align: center; width: 18.0439%;\"><strong>Mots cl\u00e9s<\/strong><\/td>\n<td style=\"text-align: center; width: 87.429%;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 6.7119%; text-align: center;\">A<\/td>\n<td style=\"width: 18.0439%;\">Fiable<\/td>\n<td style=\"width: 87.429%;\">Aucun doute quant \u00e0 l\u2019authenticit\u00e9, la fiabilit\u00e9 ou la comp\u00e9tence de la source. Historique de fiabilit\u00e9 totale.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 6.7119%; text-align: center;\">B<\/td>\n<td style=\"width: 18.0439%;\">G\u00e9n\u00e9ralement fiable<\/td>\n<td style=\"width: 87.429%;\">Doutes mineurs. Historique d\u2019informations globalement valides.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 6.7119%; text-align: center;\">C<\/td>\n<td style=\"width: 18.0439%;\">Assez fiable<\/td>\n<td style=\"width: 87.429%;\">Doutes. Informations valides fournies par le pass\u00e9.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 6.7119%; text-align: center;\">D<\/td>\n<td style=\"width: 18.0439%;\">Peu fiable<\/td>\n<td style=\"width: 87.429%;\">Doutes importants. Informations valides fournies par le pass\u00e9.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 6.7119%; text-align: center;\">E<\/td>\n<td style=\"width: 18.0439%;\">Non fiable<\/td>\n<td style=\"width: 87.429%;\">Manque d\u2019authenticit\u00e9, de fiabilit\u00e9 et de comp\u00e9tence. Historique d\u2019informations invalides.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 6.7119%; text-align: center;\">F<\/td>\n<td style=\"width: 18.0439%;\">Fiabilit\u00e9 inconnue.<\/td>\n<td style=\"width: 87.429%;\">Informations insuffisantes pour \u00e9valuer la fiabilit\u00e9. Pourrait ne pas \u00eatre fiable.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. \u00c9chelle Admiralty pour d\u00e9terminer la fiabilit\u00e9 d\u2019une source d\u2019information.<\/span><\/p>\n<p>En interne, nous d\u00e9finissons des scores par d\u00e9faut pour les sources courantes. Par exemple, nous attribuons par d\u00e9faut un score de fiabilit\u00e9 \u00ab\u00a0A\u00a0\u00bb aux donn\u00e9es issues de la t\u00e9l\u00e9m\u00e9trie. Ce score peut \u00eatre abaiss\u00e9 si nous relevons des indices d\u2019interf\u00e9rences possibles avec la journalisation ou d\u2019autres contournements d\u00e9fensifs susceptibles d\u2019avoir affect\u00e9 la t\u00e9l\u00e9m\u00e9trie.<\/p>\n<p>La cr\u00e9dibilit\u00e9 de l\u2019information peut varier de 1 \u00e0 6 et est \u00e9valu\u00e9e s\u00e9par\u00e9ment de la fiabilit\u00e9 de la source.<\/p>\n<p>Le tableau 2 pr\u00e9sente les cotes, mots-cl\u00e9s et descriptions utilis\u00e9s dans notre mise en \u0153uvre de l\u2019\u00e9chelle Admiralty pour \u00e9valuer la cr\u00e9dibilit\u00e9 de l\u2019information.<\/p>\n<table style=\"width: 101.201%; height: 192px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 107.638%; height: 24px;\" colspan=\"3\"><strong>Cr\u00e9dibilit\u00e9 de l\u2019information<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 7.99872%; height: 24px;\"><strong>Cote<\/strong><\/td>\n<td style=\"text-align: center; width: 14.5566%; height: 24px;\"><strong>Mots cl\u00e9s<\/strong><\/td>\n<td style=\"text-align: center; width: 85.0829%; height: 24px;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 7.99872%; text-align: center; height: 24px;\">1<\/td>\n<td style=\"width: 14.5566%; height: 24px;\">Confirm\u00e9e<\/td>\n<td style=\"width: 85.0829%; height: 24px;\">Confirm\u00e9e par d\u2019autres sources ind\u00e9pendantes. Logique en soi. Coh\u00e9rente avec d\u2019autres informations sur le sujet.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 7.99872%; text-align: center; height: 24px;\">2<\/td>\n<td style=\"width: 14.5566%; height: 24px;\">Probablement vraie<\/td>\n<td style=\"width: 85.0829%; height: 24px;\">Non confirm\u00e9e. Logique en soi. Coh\u00e9rente avec d\u2019autres informations sur le sujet.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 7.99872%; text-align: center; height: 24px;\">3<\/td>\n<td style=\"width: 14.5566%; height: 24px;\">Possiblement vraie<\/td>\n<td style=\"width: 85.0829%; height: 24px;\">Non confirm\u00e9e. Raisonnablement logique en soi. Concorde avec d\u2019autres informations sur le sujet.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 7.99872%; text-align: center; height: 24px;\">4<\/td>\n<td style=\"width: 14.5566%; height: 24px;\">Douteuse<\/td>\n<td style=\"width: 85.0829%; height: 24px;\">Non confirm\u00e9e. Possible mais non logique. Aucune autre information sur le sujet.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 7.99872%; text-align: center; height: 24px;\">5<\/td>\n<td style=\"width: 14.5566%; height: 24px;\">Improbable<\/td>\n<td style=\"width: 85.0829%; height: 24px;\">Non confirm\u00e9e. Non logique en soi. Contredite par d\u2019autres informations sur le sujet.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 7.99872%; text-align: center; height: 24px;\">6<\/td>\n<td style=\"width: 14.5566%; height: 24px;\">Difficile \u00e0 dire<\/td>\n<td style=\"width: 85.0829%; height: 24px;\">Aucun \u00e9l\u00e9ment ne permet d\u2019\u00e9valuer la validit\u00e9 de l\u2019information.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a02. \u00c9chelle Admiralty pour d\u00e9terminer la cr\u00e9dibilit\u00e9 d\u2019une information.<\/span><\/p>\n<p>En interne, nous avons \u00e9tabli des scores de cr\u00e9dibilit\u00e9 par d\u00e9faut pour un large \u00e9ventail d\u2019artefacts de renseignement, tels que\u00a0:<\/p>\n<ul>\n<li>Les IoC standards (par ex. empreintes de fichiers, noms de domaine, adresses\u00a0IP, adresses e-mail)<\/li>\n<li>Les artefacts cl\u00e9s utilis\u00e9s par les chercheurs en cybers\u00e9curit\u00e9 pour suivre les groupes (par ex. informations d\u2019enregistrement, d\u00e9tails des certificats TLS)<\/li>\n<\/ul>\n<p>L\u00e0 encore, il s\u2019agit de scores par d\u00e9faut que nos analystes peuvent ajuster \u00e0 la hausse ou \u00e0 la baisse en fonction de leurs constats. Par exemple, une adresse\u00a0IP re\u00e7oit par d\u00e9faut une cote de cr\u00e9dibilit\u00e9 de 4 (Douteuse), car elle peut h\u00e9berger de nombreux services sans lien entre eux et changer rapidement d\u2019association avec des sites ou services sp\u00e9cifiques. Toutefois, les chercheurs en cybers\u00e9curit\u00e9 peuvent relever ce score en s\u2019appuyant sur des preuves pr\u00e9cises, notamment dans les cas o\u00f9 l\u2019adresse\u00a0IP est cod\u00e9e en dur dans la configuration d\u2019un logiciel malveillant, associ\u00e9e \u00e0 de la t\u00e9l\u00e9m\u00e9trie\u00a0C2 active, dans le cadre d\u2019une r\u00e9ponse \u00e0 incident en cours.<\/p>\n<p>Les niveaux de fiabilit\u00e9 et de cr\u00e9dibilit\u00e9 des sources exercent une influence directe sur notre processus d\u2019attribution. Par exemple, une source d\u2019information class\u00e9e \u00ab\u00a0A2\u00a0\u00bb aura un poids bien plus fort qu\u2019une source not\u00e9e \u00ab\u00a0C3\u00a0\u00bb.<\/p>\n<h2><a id=\"post-154599-_heading=h.japwrpbdxpmc\"><\/a>Application du cadre d\u2019attribution<\/h2>\n<p>Notre suivi de longue dur\u00e9e des activit\u00e9s de Stately\u00a0Taurus illustre la red\u00e9finition d\u2019un cluster d\u2019activit\u00e9 en tant que groupe de menace identifi\u00e9. En 2015, nous avions publi\u00e9 un article de recherche sur les menaces d\u00e9crivant la d\u00e9couverte du <a href=\"https:\/\/unit42.paloaltonetworks.com\/bookworm-trojan-a-model-of-modular-architecture\/\" target=\"_blank\" rel=\"noopener\">cheval de Troie\u00a0Bookworm<\/a>, ainsi qu\u2019un second article intitul\u00e9 <a href=\"https:\/\/unit42.paloaltonetworks.com\/attack-campaign-on-the-government-of-thailand-delivers-bookworm-trojan\/\" target=\"_blank\" rel=\"noopener\">Attack Campaign on the Government of Thailand Delivers Bookworm Trojan<\/a>.<\/p>\n<p>\u00c0 l\u2019\u00e9poque, le cadre d\u2019attribution n\u2019existait pas encore, et ces articles ne faisaient donc pas mention de clusters d\u2019activit\u00e9. Cependant, nous avons mis en \u00e9vidence cette \u00e9volution dans <a href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-attacks-se-asian-government\/\" target=\"_blank\" rel=\"noopener\">notre article de 2023 sur Stately\u00a0Taurus<\/a>, o\u00f9 nous avons cr\u00e9\u00e9 un cluster d\u2019activit\u00e9 li\u00e9 \u00e0 l\u2019activit\u00e9 de 2015 et \u00e9tabli un lien avec ce groupe. Puis, en 2025, en nous appuyant sur notre cadre d\u2019attribution, nous avons compl\u00e9t\u00e9 la mise en relation entre <a href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-uses-bookworm-malware\/\" target=\"_blank\" rel=\"noopener\">Stately\u00a0Taurus et le malware Bookworm<\/a>.<\/p>\n<p>Lors de l\u2019analyse, nous avons relev\u00e9 des chevauchements entre certaines parties de l\u2019infrastructure de l\u2019acteur de la menace et des syst\u00e8mes utilis\u00e9s par une variante du malware Bookworm. La figure\u00a02 associe des hachages\u00a0SHA256 li\u00e9s \u00e0 cette variante de Bookworm \u00e0 l\u2019infrastructure utilis\u00e9e par Stately\u00a0Taurus.<\/p>\n<figure id=\"attachment_154611\" aria-describedby=\"caption-attachment-154611\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-154611 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-572854-154599-2.jpeg\" alt=\"Diagramme illustrant le flux de donn\u00e9es entre des n\u0153uds identifi\u00e9s par des hachages\u00a0SHA256, reli\u00e9s par des fl\u00e8ches. Le malware est repr\u00e9sent\u00e9 en rouge et le groupe de menaces Stately\u00a0Taurus en bleu. \" width=\"800\" height=\"803\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-572854-154599-2.jpeg 1067w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-572854-154599-2-438x440.jpeg 438w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-572854-154599-2-697x700.jpeg 697w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-572854-154599-2-300x300.jpeg 300w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-572854-154599-2-768x771.jpeg 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-154611\" class=\"wp-caption-text\">Figure 2. Diagrammes de liens entre les artefacts de renseignements sur les menaces reliant le malware Bookworm (n\u0153uds rouges) \u00e0 Stately Taurus (n\u0153uds bleus).<\/figcaption><\/figure>\n<p>Nous avons int\u00e9gr\u00e9 l\u2019ensemble des IoC suivis, des TTP et des autres artefacts de renseignement dans notre grille interne du cadre d\u2019attribution, pr\u00e9sent\u00e9e \u00e0 la figure\u00a03. Nous avons \u00e9galement renseign\u00e9 des pr\u00e9cisions dans la colonne d\u2019analyse, y compris les justifications de toute modification apport\u00e9e au score par d\u00e9faut propos\u00e9.<\/p>\n<figure id=\"attachment_154622\" aria-describedby=\"caption-attachment-154622\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-154622 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-575813-154599-3.png\" alt=\"Feuille de calcul pr\u00e9sentant divers types de cybermenaces, class\u00e9s par mod\u00e8le de domaine, type, source d\u2019attribution, valeur, analyse, chevauchement, sources \u00e9tay\u00e9es et disponibilit\u00e9 manuelle. Elle comprend des colonnes pour les vecteurs, les capacit\u00e9s, l\u2019infrastructure et le malware, avec des informations issues d\u2019organisations gouvernementales et de la recherche publique.\" width=\"1000\" height=\"362\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-575813-154599-3.png 1676w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-575813-154599-3-786x285.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-575813-154599-3-768x278.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-575813-154599-3-1536x556.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-154622\" class=\"wp-caption-text\">Figure 3. Exemple d\u2019IoC li\u00e9s \u00e0 Stately Taurus et au malware Bookworm dans une grille du Cadre d\u2019Attribution.<\/figcaption><\/figure>\n<p>Nous avons mis en place un comit\u00e9 de r\u00e9vision du cadre d\u2019attribution charg\u00e9 d\u2019examiner les r\u00e9sultats. Ce comit\u00e9 r\u00e9unit des membres issus de plusieurs \u00e9quipes de recherche internes afin de discuter des conclusions et de garantir leur exactitude. Il veille \u00e9galement \u00e0 ce qu\u2019aucune opportunit\u00e9 d\u2019enrichir davantage la vision du renseignement ne soit n\u00e9glig\u00e9e avant de d\u00e9signer un cluster d\u2019activit\u00e9 en tant que groupe de menace temporaire, ou un groupe de menace temporaire en tant qu\u2019acteur de la menace identifi\u00e9.<\/p>\n<h2><a id=\"post-154599-_heading=h.fkfsig7k8sf6\"><\/a>Conclusion<\/h2>\n<p>Le cadre d\u2019attribution de l\u2019Unit 42 propose une approche structur\u00e9e pour l\u2019analyse des donn\u00e9es relatives aux menaces. Cette m\u00e9thodologie permet d\u2019attribuer l\u2019activit\u00e9 observ\u00e9e \u00e0 des acteurs de la menace identifi\u00e9s, \u00e0 des clusters d\u2019activit\u00e9 ou \u00e0 des groupes de menace temporaires, avec diff\u00e9rents niveaux de confiance. Elle est essentielle pour le suivi \u00e0 long terme et am\u00e9liore l\u2019efficacit\u00e9 de la collecte et de l\u2019analyse du renseignement sur les menaces.<\/p>\n<p>Nous esp\u00e9rons que ce cadre offrira \u00e0 nos destinataires du renseignement la transparence n\u00e9cessaire sur nos pratiques internes. Nous esp\u00e9rons \u00e9galement qu\u2019il pourra servir de r\u00e9f\u00e9rence \u00e0 d\u2019autres \u00e9quipes de recherche et contribuer \u00e0 l\u2019\u00e9volution et \u00e0 la professionnalisation continues de la discipline du renseignement sur les menaces.<\/p>\n<p>Pour en savoir plus sur les groupes de menaces formels identifi\u00e9s par l\u2019Unit\u00a042, consultez notre article <a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\">Les groupes d\u2019acteurs de la menace suivis par Unit\u00a042<\/a> (en anglais).<\/p>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<h2><a id=\"post-154599-_heading=h.wguciybc4a0d\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">Enhance your Cyber Threat Intelligence with the Admiralty System<\/a> \u2013 SANS Blog<\/li>\n<li><a href=\"https:\/\/apps.dtic.mil\/sti\/pdfs\/ADA586960.pdf\" target=\"_blank\" rel=\"noopener\">The Diamond Model of Intrusion Analysis<\/a> \u2013 Defense Technical Information Center (DTIC), United States Department of Defense (DoD)<\/li>\n<li><a href=\"https:\/\/www.misp-project.org\/taxonomies.html#_estimative_language\" target=\"_blank\" rel=\"noopener\">MISP Taxonomies: Estimative Language<\/a> \u2013 Malware Information Sharing Platform (MISP) Project<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\">Threat Actor Groups Tracked by Palo Alto Networks Unit 42<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Les diff\u00e9rentes strates du cadre d\u2019attribution de l\u2019Unit 42. Nous vous proposons un rare aper\u00e7u des rouages du syst\u00e8me utilis\u00e9 pour attribuer, in fine, les activit\u00e9s observ\u00e9es \u00e0 des groupes de menaces.<\/p>\n","protected":false},"author":160,"featured_media":148858,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8796,8733,8823,8805,8832],"tags":[9493,9494,9495,9496],"product_categories":[9151],"coauthors":[9414,888,935],"class_list":["post-154599","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nation-state-cyberattacks-fr","category-cybercrime-fr","category-threat-actor-groups-fr","category-ransomware-fr","category-threat-research-fr","tag-advanced-persistent-threat-fr","tag-bookworm-fr","tag-nomenclature-fr","tag-stately-taurus-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Le cadre d\u2019attribution de l\u2019Unit\u00a042<\/title>\n<meta name=\"description\" content=\"Les diff\u00e9rentes strates du cadre d\u2019attribution de l\u2019Unit 42. Nous vous proposons un rare aper\u00e7u des rouages du syst\u00e8me utilis\u00e9 pour attribuer, in fine, les activit\u00e9s observ\u00e9es \u00e0 des groupes de menaces.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Le cadre d\u2019attribution de l\u2019Unit\u00a042\" \/>\n<meta property=\"og:description\" content=\"Les diff\u00e9rentes strates du cadre d\u2019attribution de l\u2019Unit 42. Nous vous proposons un rare aper\u00e7u des rouages du syst\u00e8me utilis\u00e9 pour attribuer, in fine, les activit\u00e9s observ\u00e9es \u00e0 des groupes de menaces.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-31T18:22:04+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-26T20:08:53+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Andy Piazza, Kyle Wilhoit, Robert Falcone\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Le cadre d\u2019attribution de l\u2019Unit\u00a042","description":"Les diff\u00e9rentes strates du cadre d\u2019attribution de l\u2019Unit 42. Nous vous proposons un rare aper\u00e7u des rouages du syst\u00e8me utilis\u00e9 pour attribuer, in fine, les activit\u00e9s observ\u00e9es \u00e0 des groupes de menaces.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/","og_locale":"fr_FR","og_type":"article","og_title":"Le cadre d\u2019attribution de l\u2019Unit\u00a042","og_description":"Les diff\u00e9rentes strates du cadre d\u2019attribution de l\u2019Unit 42. Nous vous proposons un rare aper\u00e7u des rouages du syst\u00e8me utilis\u00e9 pour attribuer, in fine, les activit\u00e9s observ\u00e9es \u00e0 des groupes de menaces.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/","og_site_name":"Unit 42","article_published_time":"2025-07-31T18:22:04+00:00","article_modified_time":"2025-08-26T20:08:53+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","type":"image\/png"}],"author":"Andy Piazza, Kyle Wilhoit, Robert Falcone","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/"},"author":{"name":"Kyle Wilhoit","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"headline":"Le cadre d\u2019attribution de l\u2019Unit\u00a042","datePublished":"2025-07-31T18:22:04+00:00","dateModified":"2025-08-26T20:08:53+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/"},"wordCount":5671,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","keywords":["Advanced Persistent Threat","Bookworm","nomenclature","Stately Taurus"],"articleSection":["Cyberattaques \u00e9tatiques","Cybercrime","Groupes cybercriminels","Ransomware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/","name":"Le cadre d\u2019attribution de l\u2019Unit\u00a042","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","datePublished":"2025-07-31T18:22:04+00:00","dateModified":"2025-08-26T20:08:53+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"description":"Les diff\u00e9rentes strates du cadre d\u2019attribution de l\u2019Unit 42. Nous vous proposons un rare aper\u00e7u des rouages du syst\u00e8me utilis\u00e9 pour attribuer, in fine, les activit\u00e9s observ\u00e9es \u00e0 des groupes de menaces.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of Unit 42 threat attribution system. Illustration featuring a white triangle centered within an abstract cosmic background of purple and blue swirls and stars."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Le cadre d\u2019attribution de l\u2019Unit\u00a042"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab","name":"Kyle Wilhoit","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Kyle Wilhoit"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/kyle-wilhoit\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/154599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/160"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=154599"}],"version-history":[{"count":2,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/154599\/revisions"}],"predecessor-version":[{"id":154662,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/154599\/revisions\/154662"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/148858"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=154599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=154599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=154599"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=154599"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=154599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}