Le Portail
Analyses Brèves Annuaire Événements Gala de L'IE - Servir la France
Thèmes
Agroalimentaire
et santé Business et
développement Cyber et
Technologie Défense et
Aéronautique Énergie et
matières premières Enjeux de
Puissances Influence Questions
juridiques Risques et
sûreté
Gala de l'IE - 10 ans du Portail
15e édition du Gala de l'IE et 10 ans du Portail de l'IE Lancement des 10 ans
Aires Régionales
Afrique Amérique Latine Amérique du Nord Asie Europe Moyen-Orient Russie
Ressources
Bibliographie La Presse IE La Recherche Outils Comparatif de
logiciels de veille Portail
Intelligence Afrique
L'IE
Fondateurs Personnalités de l'IE Métiers de l'IE L'IE et
l'entreprise Textes de
Réfèrence Lexique
Gala de L'IE - Servir la France
Les 10 ans du Portail
Le Portail Thèmes Aires Régionales Ressources L'IE Gala de L'IE - Servir la France
Analyses Brèves Annuaire Événements Gala de L'IE - Servir la France
Analyse

Advanced Persistent Threat : une arme croissante de la guerre de l’information

Le 7 janvier 2020 par Antoine Burande
Alors que la guerre économique bat son plein, ces dix dernières années ont vu émerger différents groupes désignés par les services spécialisés sous le nom d’APT.

Un APT ou Advanced Persitent threat est un groupe financé et soutenu par un État commanditaire qui perpétue des attaques informatiques furtives et continues, ciblant une entité spécifique. Le terme APT est apparu pour la première fois au sein de l’armée de l’air américaine en 2006. Ces groupes ciblent principalement des entreprises et des organisations diverses pour des motifs économiques, politiques ou stratégiques. Leur nombre est en constante augmentation étant donné l’importance grandissante des systèmes d’information dans un contexte de guerre économique (voir le schéma de fonctionnement d’un APT).

Un APT est caractérisé par la persistance et l’efficacité de l’attaque qu’il conduit sur la durée. Il se différencie des pirates informatiques « classiques » par les ressources qu’il déploie et les soutiens dont il bénéficie. L’un des premiers groupes APT connu est celui à l’origine de l’opération Titan Rain. Cette attaque visait des systèmes d’informations américains et avait pour but la récupération d’informations militaires et aérospatiales issues de différentes institutions. Elle a débuté en 2003 et duré près de trois ans. Même si son origine n’a pu être prouvée, plusieurs pistes pointent vers la Chine. 

C’est en 2010 que ce type d’attaque est rendu « public » notamment avec l’opération Aurora, visant un total de 34 entreprises internationales dont Google, Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman ou encore Dow Chemical. Cette opération concernait notamment des boîtes e-mail de militants des droits de l'Homme et des dissidents chinois, la question du contournement de la censure d’Internet en Chine étant un enjeu majeur. 

En réaction à ces attaques, Google a annoncé sa décision de quitter le territoire chinois. Cette affaire s’est rapidement transformée en incident diplomatique sino-américain. Cependant la Chine est sortie victorieuse de ce bras de fer et Google s’est vu contraint de céder pour conserver sa licence d’activités sur le territoire. Suite aux révélations de câbles diplomatiques américains par Wikileaks le 4 décembre 2010, il apparaît que le commanditaire de cette attaque était le 3e département de l'état-major général de l'armée populaire de libération de Chine plus connu sous le nom de code « Unité 61398 » ou APT1.

La Chine n’est pas le seul territoire où ces actions sont perpétrées. Le groupe Fancy Bear ou APT 28, financé par les plus hautes instances du gouvernement russe a également fait beaucoup parler de lui ces cinq dernières années. A ce titre, on ne lui attribue pas moins d’une quinzaine d’attaques contre des cibles d’ampleur telles que la provocation de dysfonctionnements au sein de l’artillerie ukrainienne entre 2014 et 2016 ; le ciblage d’installations de l’OTAN en 2015 ; une attaque informatique perpétrée contre la maison blanche sous la présidence Obama ; le piratage de la chaîne française TV5 Monde en se faisant passer pour le groupe terroriste État Islamique  ou bien encore une attaque contre le serveurs du parti politique français « En Marche » en amont des élections présidentielles de 2017.

Bien que Fancy Bear affiche l’un des plus longs palmarès en matière d’attaque contre des entreprises privées, les autres APT jouent un rôle tout aussi important dans le cadre de la guerre de l’information que se livrent une multitude d’entités privées. Récemment, les groupes APT se sont popularisés dans plusieurs pays notamment en Iran, en Corée du nord, au Vietnam, en Chine et en la Russie. 

Afin d’informer et de se prémunir contre d’éventuels actes malveillants, l’entreprise de sécurité informatique Fireeyea publié la liste les APT les plus connus à ce jour.

Dans le cadre de la guerre économique que se livrent États et entreprises, les groupes APT sont devenus une force de frappe au potentiel destructeur, difficilement quantifiable de par les soutiens dont ils disposent. La persistance et l'efficacité de leurs attaques couplée à l’étude en amont de l’écosystème économique et technique de leurs victimes font d’elles un danger contre lequel les entreprises comme les états peinent à lutter.

La formation par l’intermédiaire des responsables sûreté de tous les collaborateurs d’une entreprise est nécessaire pour entretenir la vigilance de chacun tout en leur transmettant les moyens de se prémunir contre les attaques les plus récurrentes employées par les APT. De par leur capacité à se maintenir sous les radars des antivirus, les APT font planer une menace importante sur les entreprises qu’ils ciblent. Ces menaces peuvent se présenter de diverses façons :

  • Le vol de propriété intellectuelle : l'obtention et l’acquisition de données est souvent la première motivation des APT. De plus, les informations financières, concurrentielles ou confidentielles des entreprises ont une forte valeur de revente.
  • La perte de contrôle du système d’information (SI) : Ces attaques ont pour but l’obtention d’accès, de privilèges plus importants au cœur d’un système informatique pour en prendre progressivement le contrôle des comptes administrateurs ou des comptes clés. Ces attaques sont d’une telle efficacité que certaines entreprises ont perdu le contrôle de leur annuaire ou la gestion de leur nom de domaine.
  • La destruction de l’outil industriel ou opérationnel : Ce type d'attaque vise le dérèglement d'outils de production dans le but de paralyser production et ventes de produits.
  • Le chantage : il s’agit d’une menace fréquente dans la cybercriminalité. Une fois les données cryptées ou verrouillées, l’outil de production neutralisé, les responsables de l'attaque réclament une rançon en échange de la restitution d'informations ou le rétablissement de l’outil de production.
  • L’attaque à l’image : L’objectif d'un ATP peut être aussi la destruction de l'image de l'entreprise. Que ce soit par le vol de données confidentielles ou le blocage de l'activité, ces attaques ont un impact durable sur l'image d’une entreprise. En outre, avec l'introduction de législation RGPD sur la protection des données personnelles, les sanction contre les entreprise qui se font dérober ces information peut atteindre des somme astronomique, pouvant atteindre 20 million d'euro. De plus, la loi de modernisation de la justice autorise désormais les actions collectives ; les clients pouvant se retourner contre les entreprises pour intenter un procès collectif.

Il est primordial pour les responsables sûreté des entreprises ciblées d’identifier ces dangers afin de préserver le patrimoine informationnel et économique de leur entreprise. La méconnaissance de ces sujets et l’absence de réaction ont déjà provoqué la ruine de certaines d’entre elles. 

 

Antoine Burande

Pour le club Sûreté


Suivez-nous !



Événements

Séminaire - Les acteurs chinois et le déploiement de la 5G en Afrique de l'Ouest
29 mars 2023
Conférence - Les différents enjeux de la cryptomonnaie dans le monde
3 avril 2023
Séminaire - Faire sens des "routes de la soie numériques" : étude du corridor numérique sino-pakistanais
5 avril 2023
Conférence - ESS / RSE : Quels sont les rapports de force émergents ?
6 avril 2023
Conférence - L’Europe de l’énergie au-delà de la guerre en Ukraine : perspectives et défis
13 avril 2023

Plus d'événements

Brèves

Sourcing et fiabilité de l’information stratégique à l’heure de ChatGPT et des fakes news
24 mars 2023
Diplomatie juridique : la France lance sa première stratégie d’influence par le droit
23 mars 2023
Importations d’uranium : La France n’est pas dépendante de la Russie, contrairement aux allégations de Greenpeace
22 mars 2023
Survol de la Russie : les États-Unis prêts à sanctionner les compagnies aériennes étrangères
22 mars 2023
Souveraineté énergétique : Framatome relocalise une partie de ses activités en France
20 mars 2023

Plus de brèves

Partenaires


Conditions générales d'utilisation Contact Les définitions de l'intelligence économique Mentions Légales Qui sommes-nous ? Vie privée