Etat du monde IT : le fourre-tout des APT

Ce fut l’un des buzzwords de l’année écoulée, et il est plus que probable que l’on l’entendra encore en 2012 : APT. Trois lettres qui signifient, en anglais, Advanced Persistent Threat, et qui désignent des attaques ciblées visant à infiltrer un système d’information pour en retirer des informations précises. Mais la réalité de la menace et de son sérieux ne devra pas être détournée pour cacher des lacunes dans les systèmes ou les procédures de sécurité.

Souvenez-vous : début mars, Paris-Match révèle l’affaire. Entre décembre 2010 et le week-end du 6 mars 2011, la direction du Trésor du ministère des Finances a été la cible d'une cyber-attaque visant à dérober des informations. L'attaque a été confirmée par Bercy. Les assaillants seraient parvenus à s'infiltrer dans environ 150 ordinateurs, sur lesquels a été installé un mouchard introduit via un e-mail infecté (qui se diffuse via les carnets d'adresses). Une technique des plus classiques. Selon François Baroin, le ministre du Budget, l'attaque visait à récupérer des informations relatives à l'organisation du G20. "Les dossiers personnels, les dossiers individuels, les dossiers fiscaux ne sont pas concernés", a assuré le ministre. Interrogés alors, Thierry Karsenti, de Check Point, évoquait «un niveau de sophistication élevé». Jean-Philippe Bichard, de Kasperky, osait même un parallèle avec la référence, en termes de sophistication, justement, à Stuxnet : «le cheval de Troie de Bercy a peut-être utilisé les mêmes moyens.» Patrick Pailloux, patron de l’ANSSI, assurait quant à lui «qu’il s’agissait d’attaques ciblées utilisant des virus dédiés conçus à cette fin.» 

On n’en saura pas plus. Rien ne filtrera officiellement sur la nature du logiciel malveillant utilisé. Ni même sur l’état réel des défenses de Bercy ou de la formation de ses personnels à la protection des données sensibles. Autant de questions toutefois très légitimes et qui, sans réponse, laissent planer le doute, certains n’hésitant pas à dénoncer une opération de communication. Dommage parce que cela ne sert pas le travail d’alerte et de prévention entourant une menace qui semble de plus en plus sérieuse.

Les entreprises, des cibles de choix

Car les exemples n’ont pas manqué, en 2011, pour attester de la réalité de la menace : DigiNotar, RSA, Turbomeca, Google... toutes ont été victimes d’attaques informatiques très ciblées. Il faut dire que les APT ne s’appuient pas, du moins dans leur première phase, sur des outils technologiques très avancés : la base d’une bonne APT, c’est d’abord de l’ingénierie sociale. A savoir : connaître sa cible pour l’accrocher avec un message convaincant, suffisamment du moins pour la pousser à suivre un lien ou ouvrir une pièce jointe qui permettra d’infiltrer sa machine. Itzik Kotler, directeur technique de Security Art, rencontré début avril à Paris à l’occasion de l’événement Hackito Ergo Sum, le reconnaît bien volontiers : «d’un point de vue technique, il n’y a rien d’avancé dans les APT. Les APT sont similaires à tout le reste : technologiquement, ce sont quasiment les mêmes outils et les mêmes attaques. Mais d’un point de vue business, c’est un tout autre niveau.» Et puis, dans le cas d’APT, la distribution du logiciel malveillant est faible. On peut même la compter sur les doigts d’une main. La lutte n’en est que plus corsée. Ce qui n’implique pas que la détection et la prévention des APT soient impossibles. 

Tom Heiser, président de RSA, et Art Coviello, son président exécutif, ont profité de l’édition de RSA Conférence, cet automne, à Londres, pour tirer les conséquences de l’intrusion dont l’éditeur a été victime, soulignant au passage que RSA n’était pas la cible finale mais juste un moyen, un passage obligé. De quoi les amener à encourager les entreprises à repenser leur appréhension de la sécurité et leur analyse du risque. D’un côté. De l’autre, ils appellent tous les deux à plus d’éducation, de formation, des utilisateurs, mais aussi de contrôle. Surtout, ils soulignent que pour lutter contre les APT, les systèmes traditionnels de sécurité périmétrique ne suffisent plus : il faut observer le trafic en profondeur, à l’écoute de signaux faibles susceptibles d’être révélateurs d’activités malveillantes. 

Pas simple, sûrement coûteux, tant en investissement initial qu’en exploitation, surtout lorsque l’on pense à des outils tels que les SIEM (Security Information and Event Management), qui permettent de surveiller et d’analyser les incidents de sécurité. Mais probablement indispensables pour faire face aux nouveaux défis de la sécurité des données sensibles.

En complément sur LeMagIT :

- Piratage de Bercy : tous les regards se tournent déjà vers la Chine

- Piratage à Bercy : incident majeur ou effet(s) d’aubaine ?

- Piratage : les organigrammes de Bercy disparaissent de ses sites Web

- Revue de presse - piratage à Bercy : tempête dans un vers d’eau et opération de communication

- Gérôme Billois, Solucom : «le piratage de Bercy montre l’inadaptation des politiques de sécurité aux attaques ciblées.»

- Les données d’entreprise, nouvelles cibles des pirates

- Hack de RSA : ingénierie sociale, mails ciblés, faille zero-day, le nouveau cocktail détonant des hackers

- Les APT, ou quand des menaces banales se font ciblées

- La détection et la prévention des APT sont difficiles mais possibles

- Fuite des données de RSA SecurID : tout a commencé par du phishing ciblé

- Sony : l’exemple malheureux d’une impréparation ordinaire

- Lockheed Martin, cible de choix pour une attaque ciblée

Le FMI, encore victime de piratage

- Les entreprises s’inquiètent des APT mais restent sans protection

- Après son rachat par Intel, McAfee rapproche enfin la sécurité du matériel

- RSA, victime de deux groupes coordonnés

- RSA tire les leçons de son intrusion

- Pour Art Coviello, il faut continuer d’éduquer mais il faut plus d’action

- La sécurité à l’heure du Big Data

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close