Analyse

Advanced Persistent Threat : une arme croissante de la guerre de l’information

Le 7 janvier 2020 par Antoine Burande

Alors que la guerre économique bat son plein, ces dix dernières années ont vu émerger différents groupes désignés par les services spécialisés sous le nom d’APT.

Un APT ou Advanced Persitent threat est un groupe financé et soutenu par un État commanditaire qui perpétue des attaques informatiques furtives et continues, ciblant une entité spécifique. Le terme APT est apparu pour la première fois au sein de l’armée de l’air américaine en 2006. Ces groupes ciblent principalement des entreprises et des organisations diverses pour des motifs économiques, politiques ou stratégiques. Leur nombre est en constante augmentation étant donné l’importance grandissante des systèmes d’information dans un contexte de guerre économique (voir le schéma de fonctionnement d’un APT).

Un APT est caractérisé par la persistance et l’efficacité de l’attaque qu’il conduit sur la durée. Il se différencie des pirates informatiques « classiques » par les ressources qu’il déploie et les soutiens dont il bénéficie. L’un des premiers groupes APT connu est celui à l’origine de l’opération Titan Rain. Cette attaque visait des systèmes d’informations américains et avait pour but la récupération d’informations militaires et aérospatiales issues de différentes institutions. Elle a débuté en 2003 et duré près de trois ans. Même si son origine n’a pu être prouvée, plusieurs pistes pointent vers la Chine. 

C’est en 2010 que ce type d’attaque est rendu « public » notamment avec l’opération Aurora, visant un total de 34 entreprises internationales dont Google, Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman ou encore Dow Chemical. Cette opération concernait notamment des boîtes e-mail de militants des droits de l'Homme et des dissidents chinois, la question du contournement de la censure d’Internet en Chine étant un enjeu majeur. 

En réaction à ces attaques, Google a annoncé sa décision de quitter le territoire chinois. Cette affaire s’est rapidement transformée en incident diplomatique sino-américain. Cependant la Chine est sortie victorieuse de ce bras de fer et Google s’est vu contraint de céder pour conserver sa licence d’activités sur le territoire. Suite aux révélations de câbles diplomatiques américains par Wikileaks le 4 décembre 2010, il apparaît que le commanditaire de cette attaque était le 3e département de l'état-major général de l'armée populaire de libération de Chine plus connu sous le nom de code « Unité 61398 » ou APT1.

La Chine n’est pas le seul territoire où ces actions sont perpétrées. Le groupe Fancy Bear ou APT 28, financé par les plus hautes instances du gouvernement russe a également fait beaucoup parler de lui ces cinq dernières années. A ce titre, on ne lui attribue pas moins d’une quinzaine d’attaques contre des cibles d’ampleur telles que la provocation de dysfonctionnements au sein de l’artillerie ukrainienne entre 2014 et 2016 ; le ciblage d’installations de l’OTAN en 2015 ; une attaque informatique perpétrée contre la maison blanche sous la présidence Obama ; le piratage de la chaîne française TV5 Monde en se faisant passer pour le groupe terroriste État Islamique  ou bien encore une attaque contre le serveurs du parti politique français « En Marche » en amont des élections présidentielles de 2017.

Bien que Fancy Bear affiche l’un des plus longs palmarès en matière d’attaque contre des entreprises privées, les autres APT jouent un rôle tout aussi important dans le cadre de la guerre de l’information que se livrent une multitude d’entités privées. Récemment, les groupes APT se sont popularisés dans plusieurs pays notamment en Iran, en Corée du nord, au Vietnam, en Chine et en la Russie. 

Afin d’informer et de se prémunir contre d’éventuels actes malveillants, l’entreprise de sécurité informatique Fireeyea publié la liste les APT les plus connus à ce jour.

Dans le cadre de la guerre économique que se livrent États et entreprises, les groupes APT sont devenus une force de frappe au potentiel destructeur, difficilement quantifiable de par les soutiens dont ils disposent. La persistance et l'efficacité de leurs attaques couplée à l’étude en amont de l’écosystème économique et technique de leurs victimes font d’elles un danger contre lequel les entreprises comme les états peinent à lutter.

La formation par l’intermédiaire des responsables sûreté de tous les collaborateurs d’une entreprise est nécessaire pour entretenir la vigilance de chacun tout en leur transmettant les moyens de se prémunir contre les attaques les plus récurrentes employées par les APT. De par leur capacité à se maintenir sous les radars des antivirus, les APT font planer une menace importante sur les entreprises qu’ils ciblent. Ces menaces peuvent se présenter de diverses façons :

  • Le vol de propriété intellectuelle : l'obtention et l’acquisition de données est souvent la première motivation des APT. De plus, les informations financières, concurrentielles ou confidentielles des entreprises ont une forte valeur de revente.
  • La perte de contrôle du système d’information (SI) : Ces attaques ont pour but l’obtention d’accès, de privilèges plus importants au cœur d’un système informatique pour en prendre progressivement le contrôle des comptes administrateurs ou des comptes clés. Ces attaques sont d’une telle efficacité que certaines entreprises ont perdu le contrôle de leur annuaire ou la gestion de leur nom de domaine.
  • La destruction de l’outil industriel ou opérationnel : Ce type d'attaque vise le dérèglement d'outils de production dans le but de paralyser production et ventes de produits.
  • Le chantage : il s’agit d’une menace fréquente dans la cybercriminalité. Une fois les données cryptées ou verrouillées, l’outil de production neutralisé, les responsables de l'attaque réclament une rançon en échange de la restitution d'informations ou le rétablissement de l’outil de production.
  • L’attaque à l’image : L’objectif d'un ATP peut être aussi la destruction de l'image de l'entreprise. Que ce soit par le vol de données confidentielles ou le blocage de l'activité, ces attaques ont un impact durable sur l'image d’une entreprise. En outre, avec l'introduction de législation RGPD sur la protection des données personnelles, les sanction contre les entreprise qui se font dérober ces information peut atteindre des somme astronomique, pouvant atteindre 20 million d'euro. De plus, la loi de modernisation de la justice autorise désormais les actions collectives ; les clients pouvant se retourner contre les entreprises pour intenter un procès collectif.

Il est primordial pour les responsables sûreté des entreprises ciblées d’identifier ces dangers afin de préserver le patrimoine informationnel et économique de leur entreprise. La méconnaissance de ces sujets et l’absence de réaction ont déjà provoqué la ruine de certaines d’entre elles. 

 

Antoine Burande

Pour le club Sûreté