APT - Advanced Persistant Threat

De M82 - DIMA's wiki
Aller à la navigation Aller à la recherche

Terme utilisé dans le milieu de la sécurité informatique et de l’analyse des menaces cyber pour désigner autant un type d’attaque qu’un groupe d’attaquants méthodiques, à des fins d’espionnage informatique. Plusieurs définitions du terme coexistent mais paraissent souvent ne traiter qu’un aspect du problème. Ainsi, le groupe de sécurité américain Mandiant (à qui l’on doit le rapport sur l’unité chinoise en charge de la lutte informatique offensive – APT1) parle d’« un groupe d'attaquants sophistiqués, déterminés et coordonnés, qui ont systématiquement compromis le gouvernement des États-Unis et les réseaux informatiques commerciaux depuis des années. ». Pour Dell SecureWorks : « APT, terme le plus couramment utilisé pour se référer à des activités de cyberespionnage menées contre les gouvernements, activistes et industries. ». Enfin, pour le NIST* : « un adversaire qui possède un niveau d'expertise sophistiqué et des ressources importantes, qui lui permettent de créer des opportunités pour atteindre ses objectifs et utilisant de multiples vecteurs d'attaques. Ces objectifs sont typiquement l'établissement et l'extension d’une compromission dans l’infrastructure informatique dans le but d'exfiltrer de l'information, décourager ou entraver des aspects critiques d'une mission, d’un programme ou organisation ; ou se placer en position de remplir ces objectifs dans le futur ». Finalement l'analyse « mot à mot » est également très intéressante car elle soulève de multiples questions. Le terme « advanced » en premier lieu ramène souvent au niveau technique des attaquants (« les plus évolués »). Cet aspect peut largement être critiqué, car d'une part il contribue à l'aspect « marketing » de l'analyse des menaces et d'autre part il est généralement faux. En effet, la plus part des APT n'exploitent pas de « vulnérabilités inconnues » (0-day) et utilisent bien souvent un vecteur d'infection classique (le mail ciblé – spear phising*). SecureWorks semble du même avis et écrit dans un document intitulé « Cycle de vie d'une APT » que « la nature organisée des attaques APT est ce qui les rend avancées et c'est cet attribut combiné avec le ciblage d'une entreprise spécifique qui les rend différents des autres scénarios de menaces. Les opérations démarrent avec un plan. Les objectifs sont définis et une série de procédures coordonnées très rodées est mise en mouvement ». En revanche, le terme « Persistent », semble plutôt faire l'unanimité. L'idée sous jacente étant qu'une APT, par nature, cherche à se maintenir sur le système cible. Le dernier terme de l’expression APT, « Threat » est encore plus complexe à cerner, et s'il peut paraître lié au « code » mis en œuvre, il fait plutôt référence à « l'intelligence » qu'il y a derrière. La menace ce n'est pas le code malveillant, c'est le groupe qui cherche à l'utiliser dans un but précis. Cedric Pernet dans son ouvrage sur les APT, fait converger les approches pour ne retenir que la formulation suivante : « Une attaque informatique persistante ayant pour but une collecte d'information sensibles d'une entreprise publique ou privée ciblée, par la compromission et le maintien de portes dérobées sur le système d'information. » D’autres analyses enfin laissent entendre que le terme APT ne désignerait pas un type d’attaque mais serait un terme utilisé pour évoquer des attaquants chinois, sans les nommer expressément, lors des échanges d’informations entre le gouvernement américain et le secteur privé.

Récupérée de « https://diod.m82-project.org/index.php?title=APT_-_Advanced_Persistant_Threat&oldid=1268 »