Advanced Persistent Threats (APT)

Cyberattaques sournoises: en moyenne 200 attaques inaperçues par jour

Avec sa densité élevée d’organisations et d’entreprises internationales, la Suisse présente un risque de cyber-opérations accru, a constaté MELANI dans son rapport semestriel sur la sécurité en Suisse. Parmi celles-ci figurent les Advanced Persistent Threats. Cyrill Peter explique comment ces attaques se déroulent et comment les entreprises peuvent s’en protéger.

Ann-Kristin Koch, 17. Août 2017

Les réseaux de l’agence mondiale antidopage (AMA) et du Tribunal arbitral du sport de Lausanne (TAS) ont été hackés l’année dernière. Les experts supposent que le tribunal a été la cible du groupe de hackers Anonymous Pologne en réaction à l’exclusion pour dopage d’athlètes russes. Les circonstances exactes et le rôle joué par le groupe de hackers n’ont pas été totalement éclaircis. Les experts appellent ce type d’attaques secrètes et très bien préparées «Advanced Persistent Threats» (APT) et y associent fréquemment des cyberattaques perpétrées avec le soutien de gouvernements étrangers. «Fancy Bear» était le nom du groupe qui a publié d’importantes quantités de données sur des athlètes du monde entier censées provenir des bases de données de l’AMA.

Sous ce nom adorable se cachent des méthodes offensives impitoyables. Ces dernières années, les Advanced Persistent Threats (APT) se sont avérées constituer une cyber-arme très efficace. Les attaques APT sont bien préparées par leurs auteurs et impliquent généralement des efforts et des coûts importants. La cible doit donc être «intéressante»: propriété intellectuelle, informations sensibles ou butin commercial direct.

Des cyberattaques à pas de loup

Les Advanced Persistent Threats sont une combinaison de différentes méthodes qui cible spécifiquement les entreprises. Cela va d’une faille de sécurité à l’exploitation d’un point faible jusqu’au développement de logiciels malveillants pour l’attaque d’une entreprise en particulier. Les systèmes mobiles comme les ordinateurs portables et les smartphones sont particulièrement visés. Les attaques ciblent spécifiquement ces terminaux car ils établissent régulièrement des connexions au réseau d’entreprise pour utiliser ses ressources (mail, serveur de fichiers, etc). Il faut en moyenne environ 200 jours pour qu’une entreprise remarque que sa sécurité est compromise. En effet, les meilleures attaques ne sont plus spectaculaires, mais «silencieuses», et ne sont donc plus remarquées. Ce qui est tout à fait dans l’intérêt de l’attaquant.

Comment se protéger?

Les installations actuelles sont généralement constituées d’un grand nombre de systèmes de sécurité (firewalls, détection des intrusions, scanner antivirus, etc.) Ces infrastructures de sécurité sont et demeurent un composant important et doivent former une chaîne homogène. Mais elles ne suffisent pas à détecter ou à bloquer les APT. Les systèmes classiques ne reconnaissent que les attaques connues, de systèmes et modèles connus grâce à leurs signatures. Ils ne permettent pas de détecter les attaques Zero Day, les communications avec des réseaux, botnets et services Internet suspects. Pour cela, une Threat Intelligence dédiée et locale est nécessaire. Elle est utilisée comme source pertinente pour les solutions d’analyse et de détection de sécurité, qui sont capables d’identifier les attaques ou les systèmes infectés grâce à différents mécanismes tels que l’analyse des données de journal, la corrélation et les analyses de comportement. Cela nécessite également des spécialistes de la sécurité parfaitement formés, capables d’interpréter rapidement et correctement les informations, d’agir en conséquence et, au besoin, de faire appel à des spécialistes d’autres disciplines IT.

Explication des Advanced Persistent Threats

APT est l’abréviation de Advanced Persistent Threat. Les APT sont des attaques ciblées sur une victime précise ou un nombre très limité de victimes. L’arsenal utilisé est également sophistiqué: Les auteurs de l’APT utilisent un éventail complet de techniques et de tactiques, observent leur cible en détail et optimisent le type d’attaque. Les attaques sont menées avec ténacité: le premier ordinateur infecté sert de tête de pont vers le réseau local. Une fois que l’agresseur a un pied dans la porte, il acquiert petit à petit des droits d’utilisateur supplémentaires afin d’accéder aux autres machines du réseau local. Il progresse ainsi jusqu’à atteindre sa véritable cible, par exemple un ordinateur contenant des données de recherche et développement. Il prend alors ses quartiers et peut ainsi espionner sa victime pendant longtemps, souvent sans être remarqué.

Penser comme les hackers

Le rôle des départements Security au sein des entreprises est devenu essentiel. Se contenter de mettre à jour les systèmes de sécurité n’est plus suffisant. Il faut désormais être capable de se mettre à la place de l’attaquant. En d’autres termes: penser comme des hackers pour garder un coup d’avance sur ceux-ci. Une entreprise ne possédant pas ces ressources a la possibilité de recourir à l’aide d’un fournisseur de Security Services spécialisé. Ceux-ci disposent non seulement des outils adaptés, mais surtout d’experts qui surveillent les systèmes 24 heures sur 24 et sont capables d’interpréter efficacement chaque événement et de prendre les mesures correctives appropriées en cas d’incident de sécurité.