Bonjour à tous et bienvenue dans le ZDTech, le podcast quotidien de la rédaction de
ZDNet. Je m’appelle Louis ADAM et aujourd’hui, je vais vous expliquer pourquoi
certains groupes malveillants sont désignés par le sigle APT.
Fancy Bear, Animal Farm, Hafnium : chaque société de cybersécurité dispose de sa
propre nomenclature pour designer ces groupes. Mais tous sont généralement
regroupés sous la même ombrelle, celle des groupes APT.
APT pour Advanced Persistent Threat, ou Menace persistante avancée : l’acronyme
existe depuis le début des années 2000 et nous vient d’outre atlantique, plus
particulièrement du monde de la défense américaine. Le terme a depuis gagné en
popularité dans le monde de la sécurité informatique et vise à décrire un certains type
d’attaquants. Derrière cet acronyme, il n’est pas question d’une technique particulière
ou d’outils spécifique, mais plutôt d’un mode opératoire particulier.
Les groupes désignés par le sigle APT sont des groupes organisés et patients. Le
terme « Avancé » qui leur colle à la peau est souvent mal interprété. Il ne s’agit pas
forcement d’attaquants disposant d’outils, de vulnérabilités ou de logiciels
malveillants sophistiqués, mais plutôt de leur capacité à exploiter tout un panel
d’attaques pour infiltrer les réseaux qu’ils ciblent et s’y maintenir. En d’autre terme,
on peut parfaitement trouver des exemples de groupes APT exploitant des
vulnérabilités connues, des logiciels malveillants communs et des techniques
d’attaques, comme le phishing, tout à fait traditionnelles.
Le qualificatif « Persistant » est en revanche plus adapté : contrairement aux groupes
cybercriminels traditionnels, les groupes APT peuvent prendre leur temps pour
attaquer une cible. Ils peuvent ainsi effectuer plusieurs reconnaissances avant
d’identifier les vulnérabilités à exploiter, contourner les défenses de la cible et ensuite
déployer des moyens visant à se maintenir dans le réseau de la cible sans être repéré
pendant des périodes très longues, parfois plusieurs mois.
Enfin, l’objectif de ces groupes est souvent très spécifique : les chercheurs en
sécurité associent plus généralement ce sigle à des groupes spécialisés dans
l’espionnage et le vol d’informations souvent sensibles. Il n’est donc pas surprenant
de voir que derrière de nombreux groupes APT se trouvent des unités encadrées par
les services de renseignement de plusieurs pays. Mais l’espionnage n’est pas
forcement leur seule mission : certains groupes APT se livrent ainsi parfois à la
diffusion de désinformation ou de sabotage de systèmes informatiques.
Et les cibles de ces groupes sont de tous types. Si les secteurs les plus stratégiques,
comme ceux ayant trait à la défense ou l’aéronautique, sont fréquemment considérés
comme des cibles de choix, n’importe quelle organisation ou personne détenant des
informations stratégiques peut être visé par ce type de groupe.
Contrairement aux cybercriminels « classiques », les groupes APT opèrent donc avec
méthode. Ils ont des objectifs précis, fixés par un commanditaire, des équipes
constituées de spécialistes et des procédures souvent rodées visant à atteindre leurs
cibles en restant sous le radar.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
