Un APT ou Advanced Persitent threat est un groupe financé et soutenu par un État commanditaire qui perpétue des attaques informatiques furtives et continues, ciblant une entité spécifique. Le terme APT est apparu pour la première fois au sein de l’armée de l’air américaine en 2006. Ces groupes ciblent principalement des entreprises et des organisations diverses pour des motifs économiques, politiques ou stratégiques. Leur nombre est en constante augmentation étant donné l’importance grandissante des systèmes d’information dans un contexte de guerre économique (voir le schéma de fonctionnement d’un APT).
Un APT est caractérisé par la persistance et l’efficacité de l’attaque qu’il conduit sur la durée. Il se différencie des pirates informatiques « classiques » par les ressources qu’il déploie et les soutiens dont il bénéficie. L’un des premiers groupes APT connu est celui à l’origine de l’opération Titan Rain. Cette attaque visait des systèmes d’informations américains et avait pour but la récupération d’informations militaires et aérospatiales issues de différentes institutions. Elle a débuté en 2003 et duré près de trois ans. Même si son origine n’a pu être prouvée, plusieurs pistes pointent vers la Chine.
C’est en 2010 que ce type d’attaque est rendu « public » notamment avec l’opération Aurora, visant un total de 34 entreprises internationales dont Google, Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman ou encore Dow Chemical. Cette opération concernait notamment des boîtes e-mail de militants des droits de l'Homme et des dissidents chinois, la question du contournement de la censure d’Internet en Chine étant un enjeu majeur.
En réaction à ces attaques, Google a annoncé sa décision de quitter le territoire chinois. Cette affaire s’est rapidement transformée en incident diplomatique sino-américain. Cependant la Chine est sortie victorieuse de ce bras de fer et Google s’est vu contraint de céder pour conserver sa licence d’activités sur le territoire. Suite aux révélations de câbles diplomatiques américains par Wikileaks le 4 décembre 2010, il apparaît que le commanditaire de cette attaque était le 3e département de l'état-major général de l'armée populaire de libération de Chine plus connu sous le nom de code « Unité 61398 » ou APT1.
La Chine n’est pas le seul territoire où ces actions sont perpétrées. Le groupe Fancy Bear ou APT 28, financé par les plus hautes instances du gouvernement russe a également fait beaucoup parler de lui ces cinq dernières années. A ce titre, on ne lui attribue pas moins d’une quinzaine d’attaques contre des cibles d’ampleur telles que la provocation de dysfonctionnements au sein de l’artillerie ukrainienne entre 2014 et 2016 ; le ciblage d’installations de l’OTAN en 2015 ; une attaque informatique perpétrée contre la maison blanche sous la présidence Obama ; le piratage de la chaîne française TV5 Monde en se faisant passer pour le groupe terroriste État Islamique ou bien encore une attaque contre le serveurs du parti politique français « En Marche » en amont des élections présidentielles de 2017.
Bien que Fancy Bear affiche l’un des plus longs palmarès en matière d’attaque contre des entreprises privées, les autres APT jouent un rôle tout aussi important dans le cadre de la guerre de l’information que se livrent une multitude d’entités privées. Récemment, les groupes APT se sont popularisés dans plusieurs pays notamment en Iran, en Corée du nord, au Vietnam, en Chine et en la Russie.
Afin d’informer et de se prémunir contre d’éventuels actes malveillants, l’entreprise de sécurité informatique Fireeyea publié la liste les APT les plus connus à ce jour.
Dans le cadre de la guerre économique que se livrent États et entreprises, les groupes APT sont devenus une force de frappe au potentiel destructeur, difficilement quantifiable de par les soutiens dont ils disposent. La persistance et l'efficacité de leurs attaques couplée à l’étude en amont de l’écosystème économique et technique de leurs victimes font d’elles un danger contre lequel les entreprises comme les états peinent à lutter.
La formation par l’intermédiaire des responsables sûreté de tous les collaborateurs d’une entreprise est nécessaire pour entretenir la vigilance de chacun tout en leur transmettant les moyens de se prémunir contre les attaques les plus récurrentes employées par les APT. De par leur capacité à se maintenir sous les radars des antivirus, les APT font planer une menace importante sur les entreprises qu’ils ciblent. Ces menaces peuvent se présenter de diverses façons :
Il est primordial pour les responsables sûreté des entreprises ciblées d’identifier ces dangers afin de préserver le patrimoine informationnel et économique de leur entreprise. La méconnaissance de ces sujets et l’absence de réaction ont déjà provoqué la ruine de certaines d’entre elles.
Antoine Burande
Pour le club Sûreté