Et si se cacher devenait une signature ? CLOAK révèle les méthodes d’anonymisation pour mieux identifier les cybercriminels.
Dans un retournement presque antinomique, on tente aujourd’hui d’identifier les cybercriminels non pas en suivant leurs traces, mais en étudiant les techniques qu’ils emploient pour les effacer. Ce sont leurs stratégies d’effacement, de camouflage et de furtivité qui deviennent les nouveaux marqueurs à analyser.
En 2025, une initiative originale fait émerger un champ encore peu exploré de la cybersécurité : la cartographie des techniques d’anonymisation utilisées par les cybercriminels. Porté par Mick Deben, consultant en cybersécurité et chercheur, le projet CLOAK propose une grille de lecture novatrice sur les tactiques de dissimulation employées avant, pendant et après une cyberattaque. Inspiré du modèle MITRE ATT&CK™, CLOAK ne se focalise pas sur les méthodes d’attaque en elles-mêmes, mais sur les stratégies permettant aux attaquants de rester invisibles.
À travers plus de 1 300 techniques recensées, la base de connaissances CLOAK révèle les stratégies de dissimulation mises en œuvre dans les cybercrimes. Une avancée majeure pour la détection et l’analyse comportementale.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une taxonomie inédite des mesures de dissimulation
Le projet CLOAK s’appuie sur l’analyse qualitative de plus de 200 guides OpSec issus du web clair et du darkweb. Il structure les techniques selon trois niveaux de dissimulation : technique, comportemental et physique. Le résultat ? Une base de plus de 1300 TTP (tactiques, techniques et procédures) identifiées, couvrant des actions allant de l’usage de VPN jusqu’à la destruction physique de matériel.
Les mesures techniques (TOR, chiffrement, anti-fingerprint, isolement) sont considérées comme les plus importantes pour devenir anonyme. Les mesures comportementales (silence, compartimentation, Wi-Fi public, désinformation) sont essentielles pour le rester. Enfin, les mesures physiques (cages de Faraday, destruction de matériel, portefeuilles papier) assurent la continuité et l’évitement de la détection.
Cette approche multi-niveaux est particulièrement utile aux enquêteurs, car elle permet de repérer des schémas comportementaux systémiques. L’objectif est de faciliter le fingerprinting d’un acteur menaçant non pas par ses attaques, mais par ses manières de les dissimuler.
Vers une identification comportementale des acteurs malveillants
Dans le podcast de Studio 471, Mick Deben explique comment ces techniques peuvent servir à créer une forme d’ »empreinte opérationnelle ». Là où les approches traditionnelles se centrent sur l’exploitation des failles ou les charges utiles, CLOAK propose de se focaliser sur les routines de camouflage.
Ce basculement de paradigme est clé : là où les indicateurs classiques (hash, adresse IP, domaine) peuvent être rapidement remplacés, les habitudes comportementales sont plus difficiles à dissimuler ou à modifier. Cela ouvre la voie à des approches plus durables de détection et d’attribution.
En identifiant les schémas d’anonymisation préférés (par exemple, le recours systématique à des VPN spécifiques ou à des outils de désinformation), les analystes peuvent construire des profils d’acteurs, même en l’absence d’indice direct sur l’attaque.
Une ressource ouverte pour la communauté sécurité
Disponible en accès libre via opsectechniques.com et GitHub, CLOAK se veut évolutif. Son objectif est de permettre une amélioration collaborative et continue, tant dans la description des TTP que dans l’ajout de contre-mesures et capacités de détection.
Pour les analystes cybersécurité, cette ressource est utile : elle enrichit les modèles de menace, alimente les plans de détection comportementale et renforce la compréhension des menaces pré-opérationnelles. Elle peut aussi servir de base pour des références juridiques unifiées ou des écrits techniques standardisés.
L’initiative CLOAK rappelle que les cybercriminels ne se contentent pas d’attaquer : ils se préparent, se protègent, se dissimulent. Et que cette face cachée de leurs activités est tout aussi cruciale à surveiller que les attaques elles-mêmes.
Pour en savoir plus
Identification des acteurs de la menace par leurs techniques d’anonymat
Mick Deben, consultant en cybersécurité du groupe DMC, a créé une base de connaissances sur les techniques d’anonymat des attaquants. Dans ce podcast du Studio 471, il explique comment les professionnels peuvent l’utiliser pour identifier les acteurs malveillants.
Mickinthemiddle/CLOAK : Base de connaissances sur les techniques de dissimulation des cybercriminels
CLOAK est la première base de connaissances accessible au public sur les mesures de dissimulation des cybercriminels. Fruit d’une recherche scientifique qualitative, elle s’inspire du célèbre framework MITRE ATT&CK™ . Développée en analysant plus de 200 guides de sécurité opérationnelle (OpSec) issus du Web clair et du Dark Web, CLOAK a pour objectif principal de contribuer à une meilleure lutte contre la cybercriminalité et a été rendue publique afin de permettre des améliorations en collaboration avec la communauté de la cybersécurité.
(Re)découvrez également:
Initiative MITRE : Partage d’incidents liés à l’IA
Le développement rapide de l’IA présente des défis en cybersécurité. MITRE a lancé une initiative pour améliorer le partage d’incidents liés à l’IA.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
