Lorsqu'on s'intéresse à
la sécurité informatique et aux opérations dans le cyberespace, on
ne peut être passé à côté du « buzz word » APT.
Depuis le très célèbre rapport Mandiant (APT 1 février 2013) de
nombreuses publications présentent ces opérations. Mais au-delà
des commentaires simplistes du type « le virus le plus
sophistiqué jamais découvert », « une attaque d'une
complexité sans égale... » qu'est ce donc qu'une APT ?
En cette fin d'année 2014, Cédric Pernet (@cedricpernet) nous
propose un ouvrage de belle facture qui présente en détail ce type
de menace.
Ouvrage spécialisé,
destiné aux DSI, RSSI, administrateurs systèmes et architectes de
réseau, il peut toutefois rejoindre la bibliothèque de toute
personne curieuse voulant comprendre. N'ayez pas peur, il faut
rentrer dedans et le style simple, concis et très pédagogique
permet aux moins experts de ne pas s'y perdre. Quoiqu'il en soit, ce
livre est un bon prolongement technique de Cybertactique conduire la guerre numérique !
S'appuyant sur une solide
expérience de terrain, l'auteur organise son livre en douze
chapitres, prenant soin de définir les termes (chap1) de brosser le
contexte des APT (chap2) de décrire la chaîne d'attaque (chap3) et
d'en détailler les phases clefs (chap 4 – 5 – 6 -7 -8). Il
détaille ensuite les types de cibles (chap 9), les attaquants (chap
10) puis des exemples de campagnes de cyberespionnage (chap 11).
Enfin, le dernier chapitre propose une approche méthodologique de la
détection des APT.
Bon et si on y allez
maintenant ?
Des mots pour un mal
APT,
de quoi parle-t-on ? L'auteur propose différentes définitions :
- Mandiant : « un groupe d'attaquants sophistiqués, déterminés et coordonnés, qui ont systèmatiqument compromis le gouvernement des Etats-Unis et les réseaux informatiques commerciaux depuis des années. »
- Dell SecureWorks : « APT, terme le plus couramment utilisé pour se référer à des activités de cyberespionnage menées contre les gouvernements, activistes et industries. »
- NIST : « un adversaire qui possède un niveau d'expertise sophistiqué et des ressources importantes, qui lui permettent de créer des opportunités pour atteindre ses objectifs et utilisant de multiples vecteurs d'attaques. Ces objectifs sont typiquement l'établissement et l'extension de compromission dans l'infrastrucure informatique dans le but d'exfiltrer de l'information, déterrer ou entraver des aspects critiques d'une mission, programme ou organisation ; ou se placer en position de remplir ces objectifs dans le futur. »Finalement l'analyse « mot à mot » est également très intéressante car elle soulève de multiples questions.
- Le terme « advanced » en premier lieu ramène souvent au niveau technique des attaquants (« les plus évolués »??). Cet aspect peut largement être critiqué, car d'une part il contribue à l'aspect « marketing » de l'analyse des menaces et d'autre part il est généralement faux. Comme le souligne l'auteur (qui peut se prévaloir d'une certaine experience du sujet) la plus part des APT n'exploitent pas de « vulnérabilités inconnus » (0-day) et utilise bien souvent un vecteur d'infection classique (le mail ciblé – spear phising). L'APT ce n'est pas de la magie.« SecureWorks semble du même avis et écrit dans un document intitulé « Cycle de vie d'une APT » que « la nature organisée des attaques APT est ce qui les rend avancées et c'est cet attribut combiné avec le ciblage d'une entreprise spécifique qui les rend différents des autres scénarios de menaces. Les opérations démarrent avec un plan. Les objectifs sont définis et une série de procédures coordonnées très rodées est mise en mouvement ».(P.4)
- « Persistent » ce terme semble plutôt faire l'unanimité et l'idée étant qu'une APT, par nature cherche à se maintenir sur le système cible.
- « Threat » : encore un terme complexe à cerner, et s'il peut paraître lié au « code » mis en œuvre, il fait plutot référence à « l'intelligence » qu'il y a derrière. La menace ce n'est pas le malware, c'est le groupe qui cherche à l'utiliser dans un but précis.
Pour
finir, Cedric Pernet fait converger les approches pour ne retenir que
la formulation suivante :
« Une
attaque informatique persistante ayant pour but une collecte
d'information sensibles d'une entreprise publique ou privée ciblée,
par la compromission et le maintien de portes dérobées sur le
système d'information. »
