Présentation
RÉSUMÉ
Cet article propose de faire le point sur les attaques informatiques « APT », acronyme international signifiant « Advanced Persistent Threat ». Ce type d’attaque a pour but de procurer à ses commanditaires un accès sur le réseau informatique d’une entreprise ciblée, afin de lui dérober des informations telles que sa propriété intellectuelle ou ses secrets industriels. Il s’agit d’opérations de cyberespionnage mises en œuvre par des attaquants qui suivent tous le même mode opératoire : prise de renseignements sur la cible, compromission initiale, maintien et renforcement des accès sur la cible, découverte et exfiltration de données. L’article présente également plusieurs méthodes de détection de ces attaques.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Cédric PERNET : Senior Threat Researcher - Trend Micro
INTRODUCTION
Les attaques APT (pour Advanced Persistent Threat) sont des attaques informatiques ayant pour but la compromission et le maintien dans le système d’information d’une entité à des fins de vol d’informations et de données, cette entité étant généralement une entreprise privée ou une instance gouvernementale. La première de ces attaques a été médiatisée au début de notre siècle, mais la visibilité sur ce type de menace a véritablement explosé à partir de 2010 avec l’Opération Aurora ciblant notamment Google.
Le mode opératoire de ces attaques, décrit dans cet article, varie finalement peu et se résume comme suit. Les attaquants étudient d’abord leur cible, afin d’obtenir des éléments pour mener à bien une première compromission du système. Une fois l’accès obtenu, ils se déploient sur le système en renforçant les accès déjà existants (ajout de portes dérobées, d’outils de contrôle à distance) et obtiennent des droits étendus sur le réseau. Ils ciblent ensuite les informations recherchées et les exfiltrent. Ils maintiennent généralement leurs accès des semaines, des mois, voire des années dans certains cas.
Ce qui rend ces attaques difficiles à détecter et à combattre réside notamment dans le fait que l’adversaire maintient ses accès dans le temps en changeant régulièrement les outils déployés sur le système. Les malwares et les logiciels utiles à l’attaquant sont mis à jour, les serveurs de contrôle de ces malwares changent eux aussi régulièrement.
Nous proposerons malgré tout des solutions pour détecter ce type d’attaques et de maintien sur un système informatique.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Menaces et vulnérabilités : protection des sites industriels > Cyberespionnage : la menace APT > Phases d’une attaque APT
Présentation
Méthodes de détection d’attaques APTArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
2. Phases d’une attaque APT
2.1 Phase de reconnaissance / collecte d’informations sur la cible
Cette phase est cruciale puisque sans elle, point d’attaque.
Le principe est simple : avant d’attaquer une entreprise ou une entité gouvernementale, il faut se renseigner sur elle et en connaître certains méandres.
Cette phase de découverte et de collecte d’informations se mène de façon plus ou moins discrète, plus ou moins intensément, en fonction des attaquants, de leurs besoins et de leur expérience.
Comme dans beaucoup de domaines, une préparation rigoureuse est la clef de la réussite.
À ce stade, techniquement parlant, il existe deux types d’actions pour l’attaquant. Un premier type d’action est désigné comme « passif » parce qu’il ne met en œuvre que des moyens indirects par rapport à la cible, principalement de la recherche d’information dans des sources ouvertes non directement liées à la future victime. Un second type d’action désigné « actif » met en œuvre des moyens plus directs, dont certains sont détectables du côté de la cible.
Cette phase peut se révéler rapidement très technique, pour peu que les attaquants aient décidé de rechercher directement des vulnérabilités sur les serveurs de la cible. Les opérations effectuées dans ce cadre présentent de fortes similitudes avec certains tests d’intrusion menés lors d’audits de sécurité légitimes.
On peut donc se poser la question : quelle est la différence entre une APT en phase initiale et un test d’intrusion ?
La différence réside dans le fait que dans un contexte d’APT, l’attaquant n’a besoin de trouver qu’une seule vulnérabilité exploitable pour mettre à mal toute l’intégrité du système d’information. Un test d’intrusion, quant à lui, aura plutôt pour objectif de dresser une liste exhaustive des vulnérabilités du système audité. En plus de considérations techniques, il semble opportun de préciser qu’un test d’intrusion s’inscrit dans un cadre réglementaire strict, totalement légitime, alors qu’une attaque APT est illicite.
HAUT DE PAGE
Sous ce terme...
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Phases d’une attaque APT
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - ICANN WHOIS - Aperçu technique du protocole Whois. - https://whois.icann.org/fr/aperçu-technique
-
(2) - Phishing box - * - Symantec Internet Security Threat Report (2018). https://www.phishingbox.com/news/phishing-news/symantec-internet-security-threat-report-2018
-
(3) - RSA - RSA Incident Response – - Emerging Threat Profile – Shell_Crew, Janvier 2014. https://www.emc.com/collateral/white-papers/h12756-wp-shell-crew.pdf
-
(4) - * - Emerging Threat : Dragonfly / Energetic Bear – APT Group. https://www.rsa.com/content/dam/en/white-paper/rsa-incident-response-emerging-threat-profile-shell-crew.pdf
-
(5) - GREENBERG (A.) - Meet Mia Ash, the Fake Woman Iranian Hackers Used to Lure Victims. - Wired, Juillet 2017. https://www.wired.com/story/iran-hackers-social-engineering-mia-ash/
-
(6)...
DANS NOS BASES DOCUMENTAIRES
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
L'expertise technique et scientifique de référence
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
