Les menaces persistantes avancées décryptées par les experts Christophe Kiciak (Provadys) "APT : La bonne excuse ?"

christophe kiciak est manager, expert en audit de sécurité et tests d'intrusion, — Christophe Kiciak est Manager, expert en audit de sécurité et tests d'intrusion, chez Provayds. © Provadys

Qui n'a pas entendu parler des "APT" ("Advanced Persistent Threats", ou "Menaces Persistantes Avancées") ?

Depuis plusieurs mois, ce terme est sur toutes les lèvres. A tout seigneur tout honneur, c'est Google lui-même qui a ouvert le bal début 2010, en rendant public le vol de certaines données via la désormais célèbre "Opération Aurora".

Dès lors, de nombreux autres cas ont emboité le pas à cette déclaration : intrusion à Bercy, chez RSA, ou encore récemment pour Sony. Ces évènements on eu des conséquences graves pour l'activité même des entreprises concernées. Sommes-nous donc tous à la merci de ces attaques apparemment incontrôlables ?

Faille Zero Day et discrétion

Par définition, les techniques mises en œuvre par ces attaques sont avancées, c'est-à-dire qu'elles tirent parti de failles non publiques ("Zero Day"). Il est par conséquent extrêmement difficile de les détecter. D'autre part, elles cherchent à créer un canal de communication persistant entre l'agresseur et sa victime : pour ce faire, il lui est nécessaire de rester aussi discrète que possible, en minimisant les effets de bords et en utilisant des protocoles qui n'éveilleront pas de soupçons.

"Dans de nombreux cas d'attaques réelles perpétrées soi-disant via des APT, les techniques mises en œuvre n'avaient rien d'avancées"

Ces pré-requis impliquent qu'une APT est très chère à développer. Les compétences techniques à sa création sont très pointues et sa mise en place requiert une enquête poussée sur la cible visée : de fait, plusieurs semaines voire plusieurs mois de travail préparatoire peuvent s'avérer nécessaires.

Il est donc clair que de telles attaques ne seront pas mises en place dans un contexte opportuniste de vol de données quelconques : par exemple, agiter le drapeau de l'APT pour un cas de récupération de numéros de cartes de crédit est peu crédible (la persistance n'a pas d'intérêt dans ce cas, les numéros dérobés devant être utilisés rapidement avant leur blocage).

Les APT pour excuser ses propres lacunes en termes de sécurité

Une réelle APT viserait des données bien plus stratégiques (espionnage industriel notamment). Bien que ces redoutables attaques existent, il serait trop facile de mettre systématiquement en avant cette existence pour excuser ses propres lacunes en termes de sécurité.

En effet, dans de nombreux cas d'attaques réelles perpétrées soi-disant via des APT, les techniques mises en œuvre n'avaient rien d'avancées : récupération de données publiques (moteurs de recherche, réseaux sociaux, social engineering léger), utilisation de failles non moins publiques (plugins Flash, lecteurs PDF, outils bureautiques, navigateurs...) ou très célèbres (mots de passe faibles, injections SQL, ...), utilisation de plate-formes d'attaques standards ("PoisonIvy" par exemple), sorties des données via des canaux de communications détectables (HTTP, IM ou DNS le plus souvent).

Ainsi, s'il est vrai que se prémunir d'une réelle APT est une tâche quasi-impossible, des chiffres très récents nous indiquent que seuls 3% des incidents de sécurité avérés ont effectivement utilisé des techniques si sophistiquées qu'on ne pouvait virtuellement plus les stopper (étude Verizon "2011 Breach Report").

L'excuse un peu trop convenue des APT

Le corollaire est donc que dans 97% des cas, les systèmes de sécurité mis en place n'ont pas été efficaces. Dès lors, les bonnes pratiques en la matière prennent tout leur sens : sécurité en profondeur (privilégier différentes couches de protection plutôt qu'un seul mur, de manière à multiplier les obstacles à franchir pour l'agresseur), sensibilisation de tout le personnel à ces problèmes (y compris les non-informaticiens, afin d'éviter les points faibles humains trop flagrants), et surtout, une supervision acérée de l'activité réseau, avec une importance de traitement équivalente à tous les incidents, même les plus anodins.

Ces tâches sont bien sûr complexes et coûteuses à réaliser, mais restent un passage obligé si l'on souhaite éviter d'avoir à se réfugier derrière l'excuse un peu trop convenue que sont devenues les APT.