Menaces persistantes avancées – Advanced Persistent Threat (APT)

La plupart des attaques commanditées par des États visaient à compromettre une entreprise à des fins d'espionnage ou de sabotage pendant une longue période, mais sans être détectées.

Le terme Menaces persistantes avancées (APT, Advanced Persistent Threat) est souvent employé à mauvais escient. Au lieu de désigner une approche technique spécifique adoptée face à une menace, il vise à décrire l'auteur de l'attaque (ou le groupe d'attaquants) et ses motivations sous-jacentes, autres qu'un simple espionnage, gain financier ou délit ponctuel.

Les Menaces persistantes avancées (APT, ou parfois menaces APT) sont soit motivées par l'espionnage industriel visant à dérober de précieux secrets commerciaux et propriétés intellectuelles, soit par le sabotage des plans et de l'infrastructure d'une organisation.

Les auteurs d'attaques APT utilisent diverses techniques basées sur la messagerie pour générer des attaques, soutenues par d'autres techniques d'exploitation physiques et externes. Voici les caractéristiques propres aux attaques APT que l'on ne retrouve pas dans les autres formes d'attaques :

• Reconnaissance : les auteurs d'attaques APT exploitent généralement le renseignement et la reconnaissance, et savent quel utilisateur et quels systèmes les aideront à atteindre leurs buts. Ces informations sont habituellement glanées sur les réseaux sociaux, les forums publics et, plus probablement encore, via le renseignement des agences de sécurité d'État.
• Durée de vie : les techniques employées par les auteurs des attaques APT visent à leur permettent d'échapper à toute détection pendant de longues périodes, pas d'infecter brièvement un système comme dans les attaques généralement motivées par un gain financier. Leur objectif étant de ne laisser aucune trace de leur passage, ils opèrent généralement en dehors des heures de bureau. Pour pouvoir réaccéder au système au cas où leur première intrusion serait détectée, ils laissent toujours des portes dérobées, et deviennent ainsi persistants.
• Logiciels malveillants avancés : Les auteurs des attaques APT exploitent l'éventail complet des techniques d'intrusion connues et disponibles, et combinent plusieurs méthodologies dans une même attaque pour atteindre leur objectif. Ils utilisent les kits et logiciels criminels disponibles sur le marché, mais disposent généralement de la technologie et du savoir-faire nécessaires pour élaborer leurs propres outils personnalisés et codes malveillants polymorphiques lorsque certains environnements et systèmes l'exigent.
• Phishing : La plupart des menaces persistantes avancées faisant appel à des techniques d'exploitation axées sur Internet commencent par l'ingénierie sociale et le harponnage. Après avoir compromis l'ordinateur d'un utilisateur ou récupéré des identifiants de connexion au réseau, les attaquants déploient alors leurs propres outils afin de surveiller et d'envahir le réseau à leur gré, d'une machine à l'autre et d'un réseau à l'autre, jusqu'à dénicher les informations recherchées.
• Attaque active : contrairement aux attaques délictueuses classiques, les menaces persistantes avancées supposent une forte implication et coordination de l'attaquant lui-même, plutôt que du code malveillant entièrement automatique qui se contente de renvoyer les données collectées. Dans ce cas, l'adversaire est un attaquant parfaitement armé, motivé et compétent, extrêmement actif et dont l'approche est hautement ciblée.

Aucune solution miracle ne peut protéger l'entreprise contre les attaques APT. Une fois dans l'organisation, ces menaces, et leurs auteurs, cherchent à rester en place. La clé consiste donc à combiner des technologies capables de recouper les différents journaux et d'identifier les comportements inhabituels au sein du réseau de l'entreprise. La stratégie de défense doit alors avant tout viser à choisir des solutions de détection de premier plan, capables de fournir de précieux renseignements sur les cibles, les méthodes des attaquants, la fréquence de leur activité, la provenance de la menace persistante avancée et les risques associés aux motivations de ces attaquants.

Selon le rapport de Verizon sur les violations de données, 95 % des menaces ciblées et persistantes avancées utilisent une forme de harponnage en tout debut d'attaque. Toute stratégie de défense de l'entreprise contre les attaques APT (appelée advanced persistent threat protection) doit donc inclure une solution de détection capable de repérer les schémas de trafic inhabituel dans les messages électroniques, de réécrire les adresses URL incluses dans les e-mails suspects, puis de surveiller en permanence ces URL dans un sandbox pour détecter tout comportement malveillant. Une telle approche permettra éventuellement à l'entreprise de se protéger et/ou de détecter ce type d'attaques, et savoir quels utilisateurs ont été compromis, à quel moment et depuis quand est un atout majeur pour mieux cerner l'adversaire et ses motivations.