Les APT, où quand des menaces banales se font ciblées
RSA, Turbomeca, Bercy, Google... Quel est le point commun entre ces différentes organisations ? Elles ont été victimes d’attaques informatiques très ciblées, conduisant à la compromission de données potentiellement très sensibles. Des APT, ou Advanced Persistant Threat. Des menaces qui, loin de ce que peut laisser croire leur nom, s’appuient en premier lieu sur des ressorts qui n’ont pas grand chose d’avancé sur le strict plan technologique.Et auxquelles peu d’entreprises et d’administrations sont véritablement et efficacement préparées.
Même RSA... ce qui confirme ce adage célèbre expliquant qu’il n’y a guère plus mal chaussé qu’un cordonnier... Oui, même RSA a été victime d’une attaque informatique conduisant à la compromission de données sensibles. Et ce n’est pas faute d’être bien informé : à l’occasion de l’événement RSA Conference, mi-février dernier, à San Francisco, les experts de l’éditeurs livraient à la presse un briefing sur ces fameuses APT.
Il faut dire que, comme nous le soulignions dans nos colonnes début mars, les APT ne s’appuient pas, du moins dans leur première phase, sur des outils technologiques très avancés : la base d’une bonne APT, c’est d’abord de l’ingénierie sociale. A savoir : connaître sa cible pour l’accrocher avec un message convaincant, suffisamment du moins pour la pousser à suivre un lien ou ouvrir une pièce jointe qui permettra d’infiltrer sa machine. Itzik Kotler, Directeur technique de Security Art, rencontré la semaine passée à Paris à l’occasion de l’événement Hackito Ergo Sum, le reconnaît bien volontiers : «d’un point de vue technique, il n’y a rien d’avancé dans les APT. Les APT sont similaires à tout le reste : technologiquement, ce sont quasiment les mêmes outils et les mêmes attaques. Mais d’un point de vue business, c’est un tout autre niveau.»
Plus difficiles à détecter
Et de faire un parallèle chronologique avec d’autres malveillances informatiques : «les virus, les chevaux de Troie, il n’y a là rien de neuf. Mais la motivation change. Typiquement, l’émergence de la banque en ligne a conduit à celle d’une nouvelle génération de chevaux de Troie, Zeus et Spy Eye, par exemple. C’est la même chose pour les APT. À ce jour, les APT n’ont aucune avance technologique. Mais l’état d’esprit est différent : il s’agit d’un groupe de personne qui veut infiltrer votre entreprise pour voler quelque chose. On ne parle pas d’attaque de masse. Dans le cas Zeus, il y a très forte distribution du logiciel malveillant. Dans le cas d’APT, la distribution sera faible. On pourra même la compter sur les doigts d’une main. C’est une nouvelle approche. C’est une attaque ciblée.» Et c’est là que commence la différence, que la lutte devient plus corsée : «les anti-virus vont avoir un niveau de détection plus faible parce qu’ils s’appuient sur des bases installées étendues, ne serait-ce que pour obtenir un échantillon et produire une signature. Avec une attaque ciblée, s’appuyant sur un logiciel malveillant taillé sur mesure, on obtient plus de chances de contourner les dispositifs de sécurité en place.»
Repenser la sécurité
Voilà qui ressemble à un bon argument pour le déploiement de solutions de détection/prévention d’intrusion, et même de systèmes de gestion des incidents et informations de sécurité (SIEM) : «oui, tout à fait. Parce que l’on prend un peu recul et que l’on se base sur le comportement du logiciel malveillant. Et puis également parce que l’on peut ainsi détecter des signaux ténus d’une activité malveillante.» Cyrille Badeau, directeur Europe du Sud de Sourcefire, ne se contente de prêcher pour sa paroisse quand il évoque l’arsenal à mettre en place pour se protéger contre les APT : «seul le déploiement d’outils de sécurité adaptés (IPS, SIEM, DLP...) couplé à un processus solide de gestion des événements de sécurité peut permettre de détecter une attaque APT sur les premières phases de son implémentation. Il est parfois possible de stopper les attaques les moins sophistiquées de manière proactive.» De fait, c’est une corrélation de nombreuses informations, de petits incidents, qui peut mettre la puce à l'oreille : requêtes sortants sur des domaines avec lesquels l’entreprise n’a pas de relation; accès «anormaux» ou inhabituels à certaines ressources, par certains utilisateurs, dans un contexte précis ou depuis une adresse IP ne correspondant pas au poste de travail de l’utilisateur; transmission de fichiers chiffrés depuis une machine interne vers des hôtes externes en dehors des processus classiques de transmission de données, etc. Autant chercher une aiguille dans une botte de foin en l’absence de solution plus ou moins automatisée comme le montrait le retour d’expérience d’Eiffage, aux Assises de la Sécurité, à l’automne dernier. Témoignage qui, s’il souligne l’intérêt d’un SIEM, insiste aussi sur la complexité de sa mise en oeuvre.
Les prémisses d’une nouvelle menace
Surtout, pour Itsik Kotler, si la menace se limite actuellement à la fuite de données sensibles, elle pourrait bien aller plus loin, et dans un avenir pas si lointain : «pour l’instant, nous ne voyons que des logiciels malveillants qui se contentent de chercher à dérober des données. Mais nous n’en sommes qu’au début. C’est quelque chose qui va représenter un très grand défi.» L’expert n’exclut d’ailleurs pas l’émergence de logiciels malveillants conçus pour causer des dégâts physiques sur des disques durs, des processeurs, etc. C’était d’ailleurs tout l’objet de sa présentation sur Hackito Ergo Sum. Son point de départ et source d’inspiration ? Stuxnet, évidemment.