14 mars 2013

Advanced Persistent Threat (APT)

APT

L’attaque APT (Advanced Persistent Threat) ou attaque ciblée est une catégorie de cyberattaques. Ces menaces sont qualifiées ainsi car elles nécessitent la mise en œuvre de moyens techniques et humains importants avec pour objectif de réaliser une infiltration la plus furtive possible dans un système d’information et d’assurer une durée d’accès suffisante pour récolter les données cibles.

 

Les propriétés des attaques APT

Les attaques APT utilisent les mêmes vecteurs d’attaques que les attaques dites « classiques » pour contourner les mesures de protection du système d’information (pare-feu, anti-virus, système de détection d’intrusion, etc.). Le « déni de service » est cependant peu utilisé dans ce cadre car il ne correspond pas directement à la finalité des APT.

  • Attaques à distances (via Internet) : Phishing, drive by download, clickjacking, pièce jointe email, détournement de trafic, accès à des partages réseau (FTP)…
  • Social engineering : Spear Phishing, malware réseaux sociaux, forum communautaire piégé, logiciel malveillant (cheval de troie, keylogger, backdoors…)
  • Attaques dans les locaux (accès physique nécessaire): insertion d’un support amovible infecté (clé USB, CD, smartphone, carte mémoire), infection via le réseau de partage intranet (SMB), attaque de type man in the middle (interception en tierce partie dans un réseau de confiance).

Les attaques n’exploitent donc pas forcément une vulnérabilité logicielle ou réseau mais s’appuient de plus en plus sur le facteur humain (social engineering, réseaux sociaux, etc.). Une usurpation d’identité permet par exemple de dissimuler la plupart des actions, de contourner les blocages et de retarder la détection de la fuite d’information.

 

La tendance des attaques APT

Le terme APT est une tendance pour désigner des attaques de type : vol d’information ou espionnage. Ce type d’attaque n’est pas nouveau, c’est une adaptation des méthodes au contexte et à la société actuelle. Les intérêts de récolter des données sensibles sont variés, par exemple, augmenter sa part de marché au profit d’un concurrent, déstabiliser et créer des tensions géopolitiques…

La médiatisation du terme APT a permis de sensibiliser de nombreuses sociétés et industriels aux risques pesant sur leurs informations sensibles. Notamment du fait des impacts financiers majeurs qu’une APT peut avoir pour un gouvernement (attaque de Bercy), des industriels (Sony, Stuxnet), une entité de confiance numérique (RSA) ou les médias (groupe APT1, rapport Mandiant) qui servent souvent d’exemple.

 

Les moyen de lutte contre les APT

Pour lutter contre les attaques APT, il est préconisé de réaliser une analyse de risques et de se concentrer sur les scénarios qui concernent les actifs qui ont le plus de valeur. En complément des mesures de sécurité mises en place pour limiter les risques « classiques », il est indispensable de mettre en œuvre des mécanismes de surveillance permanente et d’analyser les incidents de sécurité, même mineurs, qui pourraient être un signal faible d’une attaque APT. Il est possible d’empêcher un certain nombre de comportements anormaux sur les actifs cibles (limiter extraction, renforcer l’authentification) mais la principale vulnérabilité reste le facteur humain. En complément, des sessions de sensibilisation des utilisateurs sur les risques et l’existence des attaques APT permettent de faire remonter les alertes rapidement en cas de suspicion d’attaque en interne comme en externe de l’entreprise (social engineering).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *