Le FBI construit une ville simulée en Alabama pour la recherche en matière de sécurité afin de simuler de véritables scénarios d'attaque de réseau

Le FBI a construit une « fausse ville » à Huntsville, en Alabama, pour étudier et simuler l'évolution des cyberattaques dans le monde réel, couvrant tout, depuis les maisons ordinaires et les systèmes des véhicules jusqu'aux infrastructures critiques telles que les hôpitaux et l'électricité. Cette installation, connue sous le nom de « Cyber Range », couvre une superficie d'environ 22 000 pieds carrés et est équipée de stations-service, d'hôpitaux, de dépanneurs et de plusieurs résidences entièrement meublées. La disposition générale est similaire à celle d’une petite communauté.

D'apparence, ce champ de tir en réseau ressemble davantage à la mise en scène utilisée pour les exercices hors ligne traditionnels, mais en fait, presque tous les systèmes à l'intérieur de l'installation ont été connectés à Internet et sont câblés et configurés en fonction de l'environnement réel du réseau communautaire, de sorte que le comportement du réseau des divers équipements et systèmes puisse être aussi proche que possible de l'état d'utilisation réel, ce qui est l'un des objectifs principaux de sa construction. Le FBI a officiellement inauguré cette installation l'année dernière et a récemment démontré pour la première fois son fonctionnement à travers une vidéo publique. Les images montrent que l’ensemble du système est hautement interconnecté et n’est pas assemblé à partir de plusieurs environnements de test isolés, mais fonctionne comme un écosystème numérique unifié et complet.

Cette conception vise à restaurer le chemin de développement des événements de réseau dans le monde réel. En réalité, les attaques réseau ne se limitent souvent pas à un seul système, mais se déplacent latéralement le long du réseau, en utilisant divers maillons faibles pour franchir la ligne de défense au niveau de nœuds inattendus. Par exemple, un appareil domestique compromis peut devenir le point d’entrée d’une intrusion à plus grande échelle. Le FBI a déclaré que la cyber-gamme est conçue pour simuler de telles voies d'attaque, dans l'espoir d'observer le processus de propagation des menaces entre différents systèmes en se rapprochant de la connectivité et de la complexité réelles.

Dans cette installation, tout, des réseaux domestiques aux systèmes d'entreprise, peut être ciblé pour des exercices d'attaque. Les stagiaires et les enquêteurs mèneront ici divers scénarios simulés, notamment les systèmes d'infodivertissement des véhicules, l'infrastructure informatique des hôpitaux et les environnements de sécurité d'entreprise, en se concentrant sur l'observation de la trajectoire comportementale des attaques après avoir obtenu un accès initial et de la manière dont le code malveillant se propage entre différents systèmes interconnectés. Grâce à ces exercices pratiques, les services concernés peuvent mieux comprendre chaque étape de la chaîne d'attaque et son impact sur l'infrastructure du monde réel.

La gamme cyber est équipée d'un petit centre de données avec plus de 200 serveurs déployés, qui permet d'exécuter diverses simulations d'attaques, d'héberger des échantillons de logiciels malveillants et d'enregistrer l'évolution des différents types d'attaques dans la dimension temporelle. Dans cet environnement, les chercheurs peuvent observer la vitesse de propagation des menaces, les vulnérabilités spécifiques exploitées par les attaquants et les effets réels des mesures défensives à différentes étapes, fournissant ainsi des données étayant les stratégies de protection et les réponses d'urgence ultérieures.

Une caractéristique clé de l'installation est son isolement complet des réseaux externes. Le FBI a souligné que tous les systèmes du champ de tir ne sont pas connectés à Internet ni à de véritables réseaux de production. Cet « environnement fermé » physiquement et logiquement leur permet de mener des exercices et des tests à haut risque et hautement expérimentaux sans mettre en danger les systèmes externes. Dans le contexte de l'existence généralisée de logiciels malveillants modernes et sophistiqués et d'outils d'attaque hautement automatisés, garantir qu'aucun code expérimental ou charge d'attaque ne puisse « s'échapper » dans l'environnement réel est considéré comme une condition préalable au fonctionnement de telles installations.

En termes de contenu des exercices, la gamme cyber ne se limite pas aux exercices de cybersécurité au sens conventionnel du terme. Les participants pourraient étudier comment une attaque a paralysé un réseau hospitalier ou analyser comment un code malveillant implanté dans un système s'est propagé plus loin dans les systèmes interconnectés d'infrastructures critiques telles que les systèmes électriques. Dans certains cas, l’exercice se concentrera sur la criminalistique numérique et la traçabilité, en se concentrant sur le processus de reconstruction des événements après l’attaque et sur la manière dont les enquêteurs peuvent restaurer le chemin de l’intrusion et localiser la source de l’attaque dans un environnement complexe.

Cette installation a également été comparée à la simulation physique de ville « Hogan's Alley » utilisée depuis longtemps par le FBI. Alors que cette dernière est principalement utilisée pour la formation tactique et policière dans un environnement physique, la gamme cyber de Huntsville cible un paysage de menaces complètement différent, dans lequel les systèmes numériques sont étroitement liés aux infrastructures physiques du monde réel. Le FBI estime qu'à mesure que les infrastructures critiques, les systèmes d'entreprise et les appareils personnels sont entièrement connectés au réseau, les conséquences des cyberattaques ne se limitent plus à des fuites de données, mais peuvent directement conduire à des risques de sécurité et opérationnels dans le monde réel.

Grâce à cette cyber-gamme, le FBI et les agences partenaires peuvent tester des hypothèses de défense et des plans d'urgence dans un espace « contrôlable en cas de panne ». Dans un environnement de production réel, les tests de sécurité et les exercices d'attaque doivent être strictement limités pour éviter d'affecter les opérations commerciales réelles, mais dans un champ de tir, ces restrictions peuvent être délibérément assouplies pour permettre au système d'être délibérément compromis lors d'attaques simulées. L'étude de la « réaction en chaîne » provoquée par des attaques dans des conditions contrôlées peut aider les départements concernés à évaluer plus systématiquement les vulnérabilités, à optimiser les configurations de défense et à améliorer les capacités réelles de réponse au combat.

Le FBI a souligné qu'à mesure que le nombre d'appareils connectés et de services en ligne continue de croître rapidement, la surface d'attaque potentielle s'étend également, ce qui rend difficile la compréhension complète des interactions entre des systèmes complexes et des problèmes de sécurité qu'ils posent en s'appuyant uniquement sur la modélisation théorique et les expériences traditionnelles. Selon eux, pour vraiment comprendre comment ces systèmes sont interconnectés et comment les attaques s'y propagent, il est nécessaire de disposer d'une « ville numérique » capable de véritablement reproduire l'environnement expérimental sans provoquer de conséquences réelles, et cette installation de Huntsville est l'une des plates-formes de base construites pour répondre à ce besoin.