APT (Advanced Persistent Threat) : qu’est ce que c’est ?

Temps de lecture : 5 minutes

En français « Menace Persistante Avancée », une Advanced Persistent Threat, ou APT, est une cyberattaque ciblée et continue par laquelle une personne non autorisée s’introduit dans un réseau et y évolue sans être détectée pour une longue période. Il s’agit d’attaques d’envergure qui ciblent le cœur d’activité des entreprises. Il convient d’être particulièrement vigilant face à une APT.

Ces attaques ont le plus souvent pour objectif de surveiller et voler les données des systèmes infiltrés. Elles sont précises et s’attaquent aux ordinateurs et systèmes qui comportent les informations les plus sensibles ou les accès les plus larges au reste du réseau. Elles sont sophistiquées et complexes et nécessitent d’importantes ressources pour être mises en place. 

Replay

Vers un numérique plus durable et soutenable

Découvrez la proposition de Microsoft pour un numérique soutenable et durable traduite en 21 actions.

Visionner le replay

Le déroulement d’une attaque APT

Une attaque APT se déroule habituellement selon 5 phases, décrit TechTarget : 

  • Obtenir l’accès : à travers des campagnes de phishing ou des failles de sécurité y compris Zero Day par exemple ; 
  • Établir un point d’ancrage : une fois dans le réseau, les cybercriminels mettent en place un réseau de portes dérobées et de tunnels pour se déplacer sans être vus. Ils peuvent également utiliser des techniques avancées pour couvrir leurs traces comme la réécriture de code ; 
  • Propager l’attaque : une fois à l’intérieur du réseau, ils peuvent utiliser les informations et les accès pour se déplacer et approfondir l’attaque. L’objectif est de parvenir aux endroits clés du réseau où sont détenues les données les plus sensibles et confidentielles ; 
  • Déployer l’attaque : c’est le moment de l’attaque où les criminels centralisent, compressent et cryptent les données afin de les transférer dans leurs réseaux ; 
  • Exfiltrer la data : ils récoltent et transfèrent la donnée. 

Tant que les cybercriminels ne sont pas repérés, ils peuvent rester dans le réseau voire même créer des accès (backdoor) pour revenir plus tard. 

Quels exemples d’APT ? 

L’une des premières attaques de ce type est Titan Rain, qui aurait démarré en 2003 et duré trois ans. Cette action a permis la récupération massive de données auprès d’organismes américains variés. En particulier les ministères de la défense, de l’énergie et de la sécurité intérieure, leurs contractants, ainsi que la NASA 

Parmi les APT les plus connues, on peut également citer Stuxnet, un ver informatique repéré en 2010. Il se propageait par clé USB et ciblait le programme nucléaire iranien. Extrêmement complexe, les experts en cybersécurité estiment qu’il a été construit conjointement par les gouvernements étasuniens et israélien. Décrit comme une cyberarme, c’est la première fois qu’un virus s’attaque à une infrastructure industrielle. Il avait la capacité d’espionner et de reprogrammer des automates programmables industriels. Le ver a infecté 45 000 systèmes informatiques, dont 30 000 en Iran. 

Plus récemment, on peut mentionner l’affaire SolarWinds – l’une des cyberattaques les plus sophistiquées de la décennie. Notamment car elle a directement touché des administrations américaines. Dans cette attaque de type Supply chain (chaîne logistique), les attaquants ont ciblé l’éditeur de logiciel SolarWinds pour pénétrer les réseaux de leurs clients. Il s’agit d’un modèle d’opération de plus en plus répandu. L’attaque a touché plus de 18 000 structures à travers le monde. Par exemple, les départements du trésor, du commerce ou encore des affaires étrangères américains. 

Quelles cibles ? 

Une APT cible généralement des entreprises ou des États pour des raisons d’affaires (comme l’espionnage industriel), politiques ou économiques. Ce sont les secteurs clés qui regorgent de données particulièrement sensibles et stratégiques. De par leur nature, que ce soit la défense, la finance, l’industrie ou l’énergie, ces secteurs sont particulièrement visés.  

On voit également se développer les attaques types Supply Chain où les cybercriminels ciblent un élément moins sécurisé de la chaîne logistique pour toucher ses acteurs les plus sensibles (comme pour l’exemple de SolarWinds).

Septembre 
21
1h30
Microsoft Security Virtual Training Day: Prot… Visionner En savoir plus

Par qui ? 

Ces attaques sophistiquées et coûteuses sont généralement menées par des groupes de cybercriminels, parfois financés par ou en lien avec des États. Leurs activités sont documentées par les experts et chercheurs en cybersécurité. 

La Chine, l’Iran et la Russie sont soupçonnés d’être affiliés à de nombreux groupes APT – même si ces liens ne sont pas officiellement reconnus.  

En France on connaît Animal Farm, le groupe derrière le malware Babar. Ce logiciel malveillant d’espionnage est connu depuis 2009 et a été développé par la Direction Générale de la Sécurité Extérieure (DGSE) française – une paternité confirmée par le directeur technique de la DGSE en 2016. Véritable kit d’espionnage, Babar comprend notamment un enregistreur de frappe (keylogger) et est capable d’écouter le microphone et haut-parleur de l’appareil infecté, détaille le Monde Informatique. Le programme peut également accéder au presse-papier, notamment utilisé par certaines applications pour conserver les mots de passe. 

Aux États-Unis, l’Equation Group, présumé lié à la National Security Agency (NSA), a développé des programmes similaires. 

Quelles solutions d’APT existent ?  

Une bonne hygiène numérique est nécessaire pour se protéger de ces attaques : avoir des équipes formées à la cybersécurité et aux bonnes pratiques (phishing et autres attaques d’ingénierie sociale). Il convient aussi de mettre en place les mesures de sécurité habituelles : pares-feux, systèmes de gestions de l’identification et accès, analyse des flux etc. Il est également important de se préparer à une attaque potentielle. Par conséquent, d’établir un plan de réponse, avec une équipe dédiée et une marche à suivre en cas d’APT.

Les cybercriminels se font discrets afin de rester dans les systèmes le plus longtemps possible : il faut être à l’affût de la moindre activité inhabituelle, anomalie ou présence de fichiers suspects. Ces derniers pourraient être le signe d’une fusion de données en vue d’être exfiltrées. 

Mai 
10
9h30
Les Endpoints, porte d’entrée et cible privil… Agenda : • Attaque des endpoints – quels impacts pour mon entreprise ? • Comment protéger mes équipements ? • Évaluez votre maturité en matière de sécurité des endpoints (nouveauté Microsoft en quasi-exclusiv… Visionner En savoir plus

La difficulté est que ces groupes, bien organisés, ont les moyens d’exploiter les failles Zero Day. Soit des failles non encore découvertes et pour lesquelles il n’existe pas encore de mise à jour de sécurité. De plus, si une attaque est repérée, il faut tout de même rester vigilant : il est possible que le groupe APT ait laissé des backdoors pour pouvoir s’infiltrer à nouveau sans difficulté. 

Les experts en cybersécurité peuvent utiliser la base de connaissances MITRE ATT&CK®. Cette plateforme recense et classe les différentes tactiques, techniques et procédures d’attaque, afin d’évaluer ses connaissances et ses lacunes. Elle fournit des informations à chaque étape de l’attaque, de la reconnaissance aux actions post-violation et permet de se tenir à jour des nouvelles menaces. MITRE ATT&CK®.