Outils / logiciels et technologies Advanced Persistent Threats (APT)
De 2003 à 2005, les autorités américaines sont victimes d’un piratage informatique sophistiqué. Les cybercriminels ont volé des données sensibles de la NASA, du département de la Défense et de sous-traitants militaires. Baptisée Titan Rain, cette attaque inaugure un nouveau type de cybercriminalité : l’Advanced Persistent Threat (APT) ou menace persistante avancée.
Ces menaces sont dirigées contre les États ou contre les entreprises stratégiques. Leur durée et leur complexité désignent des groupes de cybercriminels puissants et organisés. Dans le cas de Titan Rain, les États-Unis accusent un groupe financé par le gouvernement chinois. La détection des Advanced Persistent Threats représente désormais un défi permanent pour la cybersécurité.
Qu’est-ce qu’un Advanced Persistent Threat (APT) ?
La complexité des APT les différencie du piratage informatique traditionnel. L’Advanced Persistent Threat, c’est une stratégie et des techniques élaborées.
Advanced Persistent Threats : des attaques contre des cibles identifiées
Un malware représente une cyberattaque opportuniste pour les experts américains du CSRC, le centre de ressources pour la sécurité informatique. Il peut être l’œuvre d’un pirate isolé. Les techniques utilisées visent à implanter de façon aléatoire un logiciel malveillant dans le système ou le réseau informatique des victimes.
L’APT désigne au contraire un piratage ciblé. Il est conçu et dirigé contre une cible connue à l’avance. C’est un piratage sur mesure des systèmes informatiques d’un État ou d’une organisation stratégique. Ces opérations exigent des moyens humains et financiers. Les criminels agissent sur commande : vol de données, sabotage, etc.
Les techniques utilisées par les APT : intelligence et organisation
La force de l’APT repose sur la complexité des techniques utilisées. Les menaces peuvent se composer de plusieurs campagnes d’attaques organisées dans un ordre précis. Ce process déboussole les responsables de la sécurité informatique. Les experts se heurtent ainsi à des leurres (malware de premier niveau). La diversion provoquée permet alors d’installer la véritable attaque sur du long terme.
L’efficacité des attaques APT : une menace croissante pour la cybersécurité
Les Advanced Persistent Threats font désormais l’objet d’une vigilance permanente des professionnels de la cybersécurité. Ces menaces sont dites furtives et continues. Chaque détection fait l’objet d’un signalement. Le cabinet en cybersécurité Mandiant édite le premier rapport APT en 2013. Les menaces persistantes avancées sont dorénavant numérotées : APT 1 à n.
En 2022, l’APT 40 désigne une cyberattaque chinoise contre des intérêts maritimes occidentaux. En 10 ans, cela représente donc une vingtaine de cyberattaques de grande ampleur. Et le repérage a posteriori d’une APT ne permet pas d’écarter totalement sa présence. En effet, les cybercriminels peuvent intégrer une backdoor (porte dérobée) en vue de futures campagnes d’attaques.
Comment fonctionne un APT ?
Les services de sécurité informatique parviennent à décrypter désormais le modus operandi des menaces persistantes avancées. Selon eux, il existe ainsi trois grandes étapes communes aux APT connues.
Étape 1 : infiltration du réseau ou des systèmes informatiques par des campagnes d’attaques
La première phase d’une Advanced Persistent Threat consiste à infiltrer le réseau informatique de la cible. L’obtention de l’accès (gain access) repose sur des cyberattaques classiques : phishing, pharming, etc. La spécificité de cette étape, c’est l’utilisation de plusieurs vecteurs de cyber menace pour perturber la protection du réseau cible.
L’une des attaques lancées réussit alors à installer un réseau d’accès (access network) grâce à des portes dérobées, des tunnels ou de la réécriture de code. Ces techniques avancées permettent aux cybercriminels de se déplacer sans être repérés par la cybersécurité.
Étape 2 : propagation de la menace au sein du réseau pour obtenir les informations voulues
Les hackers progressent en toute discrétion dans le réseau infiltré. Le déploiement de cette deuxième étape de l’APT s’effectue lentement. Il s’agit de déverrouiller chaque code de sécurité informatique. Les tactiques utilisées permettent de couvrir leur passage : le repérage d’une menace persistante avancée est quasi impossible !
Étape 3 : organisation de la fuite des données par le groupe de cybercriminels
Dans cette dernière phase, les cybercriminels collectent les données sensibles recherchées. Ils peuvent les regrouper, les compresser et les crypter. L’objectif, c’est de transférer l’information volée sur un réseau tiers en toute discrétion. L’opération se réalise en flux continu. Les données sont collectées et transférées sur une période significative (mois ou années). Leur mission achevée, les cybercriminels peuvent laisser des portes dérobées pour organiser de futures attaques.
Quelles sont les conséquences des APT en cyber management ?
Les APT répondent à des objectifs précis. Les groupes de cybercriminels recherchent des informations pour leurs commanditaires ou exécutent une opération de sabotage.
Le vol de données sensibles pour les États et les entreprises
Les APT servent souvent les intérêts de pays concurrents. L’information devient le nerf de la guerre pour les entreprises. Les menaces persistantes avancées permettent ainsi le vol d’informations sur des brevets, des process de fabrication ou des systèmes économiques. Mais, ils peuvent également rechercher des données confidentielles sur des personnes stratégiques : capitaines d’industrie, hommes politiques, lobbyistes, etc.
Les groupes criminels peuvent aussi jouer un rôle dans la stratégie militaire d’un pays belligérant. Les services de renseignement parviennent à obtenir des données classées secret Défense sans infiltrer d’agent en pays ennemi.
Les attaques de sabotage de réseaux ou de systèmes informatiques
Le cyber management vise à piloter la protection des systèmes d’information d’États et d’entreprises stratégiques. Les APT réussissent cependant à déjouer la cybersécurité de leurs cibles pour des opérations de sabotage. Un groupe de hackers peut avoir la mission de perturber le déroulement d’un grand événement politique, économique ou sportif.
Les Jeux olympiques de 2024 représentent ainsi une cible potentielle. Responsable de l’ingénierie informatique de l’événement, l’entreprise ATOS déploie depuis deux ans une stratégie de cybersécurité avancée. Elle a ainsi créé un site de 1000 m² en Espagne pour tester la sécurité de son système face aux cybermenaces.
Comment détecter un Advanced Persistent Threat ?
Les tactiques avancées des groupes cybercriminels exigent la mise en place d’une threat intelligence (intelligence de la menace).
Cybervigilance contre cyberattaque
La cybersécurité face aux APT repose sur la surveillance active du réseau informatique. Elle doit s’adapter aux process des menaces persistantes avancées : adopter une approche multidimensionnelle. Pour détecter les signes d’une attaque, il s’agit alors de repérer :
- des anomalies dans les données sortantes ;
- des comportements inhabituels de comptes utilisateurs ;
- des activités anormales dans les bases de données ;
- la présence de fichiers inconnus.
La coopération anti-APT des experts en cybersécurité
En 2013, la société à but non lucratif MITRE publie la base de connaissance MITRE ATT&CK. Elle recense les tactiques utilisées par les hackers. Elle propose également des pistes de solutions pour bloquer les attaques. Les responsables de la sécurité informatique s’y réfèrent pour détecter les intrusions et tentatives d’APT.
L’agence gouvernementale américaine CISA (Cybersecurity and Infrastructure Security Agency) publie par ailleurs des avis et des alertes sur les APT. Elle fournit enfin une assistance en cas de cyberattaque. L’objectif de l’agence de sécurité consiste à informer en temps réel les professionnels de la cybersécurité sur les APT détectées.
Qui sont les cibles d’une menace persistante avancée ?
Les victimes d’une Advanced Persistent Threat représentent des cibles de grande valeur : économique, politique, sociale. En France, ce sont des organisations à importance vitale (OIV) dans des secteurs stratégiques : énergie, transport, santé, militaire, etc. Les APT peuvent déstabiliser également la vie publique d’un pays : infiltration d’un parti politique ou de médias avant des élections.
Quels sont les exemples d’APT ?
Les APT sont portées principalement par des groupes de pirates financés par la Russie, la Chine, l’Iran et la Corée du Nord. Mais, les États occidentaux financent aussi des groupes de hackers : le groupe Animal Farm piloté par la DGSE et celui de l’Equation Group par la NSA (National Security Agency).
Voici trois exemples connus d’Advanced Persistent Threat.
- L’Opération Aurora mise à jour en 2010 par Google, l’une des cibles : l’attaque financée par la Chine ciblait 30 grandes entreprises américaines. Le gain de l’opération, c’est le vol du code source de produits commerciaux stratégiques.
- Le groupe Lazarus, adossé à la Corée du Nord, a attaqué une société d’armement polonaise entre 2020 et 2021. Il a accédé aux données personnelles d’accès de salariés en publiant une fausse offre d’emploi de la société Boeing.
- Les hackers de Fancy Bear seraient impliqués dans l’ingérence russe dans l’élection présidentielle américaine de 2016. Il est soupçonné dans l’espionnage du parti En Marche en France et du Bundestag allemand.
Quelles sont les stratégies de prévention et de gestion des APT ?
Pour prévenir et gérer les APT, les organisations doivent renforcer leurs procédures habituelles de sécurité informatique : systèmes de protection anti-malware et sensibilisation des utilisateurs. La mise en place d’une gouvernance en cybersécurité permet en particulier de déployer des mesures de prévention adaptées. Enfin, la formation d’experts en cybersécurité devient indispensable pour répondre à la sophistication des APT. Il s’agit finalement de développer une véritable culture de la cybersécurité pour détecter et bloquer une Advanced Persistent Threat.
La cyber menace s’intensifie donc. Les autorités américaines dénombrent plus de 150 groupes d’APT dans le monde. Pour contrer leurs attaques, les moyens de protection doivent être à la hauteur des agressions : financement, formation et expertise.