Advanced Persistent Threat

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir APT.

Une Advanced Persistent Threat (traduction littérale, menace persistante avancée ; en anglais, souvent abrégé APT) est un type de piratage informatique furtif et continu, souvent orchestré par des humains ciblant une entité spécifique.

Une APT cible généralement une organisation pour des motifs d'affaires ou un État pour des motifs politiques. Une APT exige un degré élevé de dissimulation sur une longue période de temps. Le but d'une telle attaque est de placer du code malveillant personnalisé sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu pendant la plus longue période possible.

Le terme Advanced Persistent Threat est aussi utilisé pour désigner un groupe, comme un gouvernement, avec à la fois la capacité et l'intention de cibler, de façon persistante et efficace, une entité spécifique. Un individu, comme un pirate informatique, n'est généralement pas désigné comme un Advanced Persistent Threat, car il n'a pas les ressources pour être à la fois avancé et persistant[1].

Signification de l'expression Advanced Persistent Threat[modifier | modifier le code]

Dans l'expression Advanced Persistent Threat, le mot Advanced fait référence à des techniques sophistiquées utilisant des logiciels malveillants pour exploiter des vulnérabilités dans les systèmes ; le mot persistent suggère qu'un système de commandement et de contrôle externe suit et extrait des données d'une cible sur une longue période de temps ; le mot threat indique une implication humaine dans l'orchestration de l'attaque[2].

Historique[modifier | modifier le code]

La première attaque de ce type, l'opération Titan Rain, a été découverte en 2003. Elle aurait duré environ 3 ans.

Les premières mises en garde contre des courriels malveillants ciblés et utilisant des techniques d'ingénierie sociale qui installaient des chevaux de Troie pour exfiltrer des informations sensibles ont été publiées par des Computer Emergency Response Team (CERT) du Royaume-Uni et des États-Unis en 2005. À cette époque, le terme Advanced Persistent Threat n'était pas utilisé[3].

On reconnait généralement que le terme Advanced Persistent Threat est apparu dans l'United States Air Force en 2006[4] et on attribue au colonel Greg Rattray la création du terme[5].

Ce type d'attaque a été popularisé à la suite de différentes affaires, comme l'attaque contre le journal The New York Times par un groupe chinois qui sera par la suite appelé APT1[6],[7], ou plus anciennement l'Opération Aurora.

Une idée fausse communément répandue est que les Advanced Persistent Threats ne visent que les gouvernements occidentaux. Bien que les Advanced Persistent Threats contre les gouvernements occidentaux soient plus publicisées que les autres, de très nombreux pays de toute allégeance ont utilisé le cyberespace pour recueillir des renseignements sur des individus et des groupes[8],[9],[10].

Aux États-Unis, c'est le United States Cyber Command qui est chargé de coordonner la réponse de l'armée américaine aux Advanced Persistent Threat et aux cyberattaques en général.

Principales caractéristiques des APT[modifier | modifier le code]

Les APT sont des menaces complexes combinant souvent différents vecteurs et stratégies d'attaques, pouvant utiliser des techniques inconnues ou des failles zero day, durant assez longtemps sans être détectées, et la plupart du temps ciblées.

Cycle de vie APT[modifier | modifier le code]

Diagramme montrant le cycle de vie de l'Advanced Persistent Threat (APT).

Les acteurs derrière les APT créent un risque croissant et changeant aux actifs financiers, à la propriété intellectuelle, et à la réputation des organismes[11] en suivant un processus continu :

  1. S'organiser spécifiquement en fonction de la cible pour un objectif singulier
  2. Tenter de gagner un équilibre dans l'environnement, la tactique commune inclut le phishing par e-mails
  3. Utiliser les systèmes compromis comme accès dans le réseau de la cible
  4. Couvrir les voies afin de maintenir l'accès pour de futures initiatives

Les stratégies de défense[modifier | modifier le code]

Il y a des centaines de milliers de variations de programmes malveillants, ce qui rend extrêmement difficile le développement de défense efficace contre les Advanced Persistent Threat. Bien que les activités des Advanced Persistent Threat soient furtives et difficiles à détecter, le trafic réseau associé au commandement et au contrôle (C&C ou C²) des Advanced Persistent Threat peut être détecté au niveau de la couche réseau. Des analyses profondes et des corrélations des historiques d'événements de diverses sources peuvent détecter des Advanced Persistent Threat. Des logiciels peuvent être utilisés pour collecter des historiques d'événements (TCP et UDP) directement à partir des serveurs syslog. Ensuite, des outils d'information et de gestion des événements de sécurité (Security Information and Event Management ou SIEM) peuvent corréler et analyser les historiques d'événements. Bien qu'il soit difficile de séparer le bruit du trafic légitime, un logiciel doté de règles de corrélation correctement définies peut filtrer le trafic légitime pour permettre au personnel de sécurité de se concentrer sur le bruit[2]. Gartner a publié un document sur les meilleures pratiques de défense contre les Advanced Persistent Threat.

Un bon outil de gestion des ressources d'un ordinateur peut aussi aider les experts en sécurité à détecter les nouveaux fichiers suspects sur l'ordinateur.

Une méthode de plus en plus utilisée pour améliorer la détection de ce type d'attaque est la Threat Intelligence, ou intelligence de la menace. Cette discipline, basée sur des techniques du Renseignement, a pour but de collecter et d'organiser toutes les informations liées à des attaques du passé afin de dresser un portrait du possible attaquant (ou groupe d'attaquant). Ce profiling permet de mieux se défendre et d'anticiper au mieux les différents incidents en permettant une détection aux prémices d'une attaque d'envergure.

Les informations peuvent être des marqueurs, indicateurs de compromissions (IOC tels que des hash, des noms de domaine, des adresses IP), historiques d'attaques, mais aussi des signes comme la réutilisation d'architecture ou de plateforme ayant servi dans le passé, l'utilisation de services, techniques, signatures, méthodes spécifiques.

Bibliographie[modifier | modifier le code]

  • Cédric Pernet, Sécurité et espionnage informatique : Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, , 221 p. (ISBN 978-2212139655)

Références[modifier | modifier le code]

  1. « The changing threat environment ... », Command Five Pty Ltd (consulté le 31 mars 2011)
  2. a et b https://www.academia.edu/6309905/Advanced_Persistent_Threat_-_APT
  3. Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D., « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains », Lockheed Martin Corporation Abstract (consulté le 13 mars 2013)
  4. « Assessing Outbound Traffic to Uncover Advanced Persistent Threat », SANS Technology Institute (consulté le 14 avril 2013)
  5. « Introducing Forrester's Cyber Threat Intelligence Research », Forrester Research (consulté le 14 avril 2014)
  6. (en) Michael Mimoso, « Inside the targetted attack on New York Times », threatpost.com,
  7. (en) « APT1: Exposing One of China's Cyber Espionage Units », Mandiant
  8. « An Evolving Crisis » [archive du ], BusinessWeek, (consulté le 20 janvier 2010)
  9. « The New E-spionage Threat » [archive du ], BusinessWeek, (consulté le 19 mars 2011)
  10. « Google Under Attack: The High Cost of Doing Business in China » [archive du ], Der Spiegel, (consulté le 20 janvier 2010)
  11. (en) « Advanced Persistent Threats: Higher Education Security Risks »(ArchiveWikiwixArchive.isGoogleQue faire ?), sur SecureWorks, Dell (consulté le 25 septembre 2014).

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]