Les Advanced Persistent Threats changent le paradigme de cybersécurité

Les Advanced Persistent Threats ou "APT" sont une pratique très appréciée dans le monde des cyberattaques. C’est la conclusion du Cyber Security Report 2019 de Swisscom. Les attaques de style APT n’ont pas pour but le vol mais l’espionnage sur le long terme. Un logiciel malveillant peut se cacher des mois si ce n’est des années sur un réseau sans que la société ne s’en aperçoive. Les cybercriminels s’intéressent de près aux entreprises qui possèdent de précieux actifs sous forme de données. Il peut s’agir d’informations de nature financière, de données personnelles de clients, de données médicales, de propriété intellectuelle, voire de secrets d’État. Le prestataire de sécurité Kaspersky Lab observe actuellement une centaine de groupes oéprant de telles attaques ciblées. Ils répondent aux doux noms euphémiques de LuckyMouse, OceanLotus, Comment Crew... et agissent vraisemblablement ou au moins partiellement avec la bénédiction de gouvernements. L’espionnage, le vol de données ou le sabotage les motivent. "Les pirates informatiques prennent leur temps pour connaître leurs victimes. Les attaques sont faites sur mesure de manière à ce que le plus d’informations possible s’échappe de l’entreprise sans se faire repérer", ajoute Panos Zarkadakis, Head of Security Framework & Governance chez Swisscom.

La chaîne cybercriminelle

Une attaque de type APT se déroule généralement en sept étapes. La chaîne cybercriminelle dénommée "Cyber Kill Chain" et définie par le groupe d’armement américain Lockheed Martin aide tout aussi bien les agresseurs que les spécialistes de cybersécurité à s’orienter.

1. Renseignement: les assaillants choisissent une cible et collectent des informations sur elle: adresses e-mail, routines professionnelles, structures organisationnelles, etc. Ils font également des recherches sur les relations avec les clients et partenaires qui pourront servir de sas d’entrée. Les intrus s’appliquent à trouver les points faibles de nature autant technique qu’humaine. Cette première phase peut prendre des semaines, si ce n’est des mois.

2. Armement: on définit la route d’attaque et l’outil appropriés, souvent en adaptant un logiciel malveillant existant à l’infrastructure ciblée. Les solutions de sécurité traditionnelles se trouvent ainsi fréquemment dans l’incapacité de repérer l’attaque.

3. Livraison: le harponnage est un moyen couramment employé pour que le logiciel malveillant arrive à destination. On distribue les contenus préjudiciables via la messagerie électronique, le web ou même une clé USB.

4. Accès: il s’agit d’exploiter l’insuffisance technique dès que la victime est tombée dans le piège.

5. Installation: le logiciel malveillant s’installe sur le système ciblé.

6. Établissement de la connexion: le logiciel malveillant prend contact avec le serveur de commande et de contrôle du pirate informatique pour que celui-ci prenne le contrôle du système ciblé.

7. Réalisation des objectifs: l’assaillant exécute le plan initial. Il peut obtenir des droits d’administrateur pour librement copier des données sensibles, par exemple. Une fois ses objectifs d’espionnage atteints, un agresseur "APT" essaie habituellement d’effacer ses traces. La porte dérobée reste ouverte pour qu’il revienne régulièrement dans le système sans être découvert, bien entendu.

Repenser la cybersécurité

Les méthodes classiques de protection de périmètre ne suffisent pas à contrer une attaque de type APT. La cybersécurité doit renforcer son orientation sur les assaillants ayant déjà pénétré le réseau de l’entreprise, recommande Costin Raiu, interviewé dans le Swisscom Cyber Security Report. Le directeur de l’équipe de recherche et d’analyse Kaspersky GReAT parle d’un changement de paradigme. Sachant que les intrus passent la plupart de leur temps à se propager dans le réseau d’entreprise pour y voler
les données, les intéressés doivent repenser leurs mesures de
protection.

Une entreprise devrait par conséquent investir dans de bons systèmes d’alerte. Ceux-ci sont en mesure d’identifier des agresseurs qui sont déjà dans le système. Il faut, de plus, surveiller les processus en cours, les opérations de fichier et les connexions. Il est bien sûr judicieux de mettre plusieurs lignes de défense en place qui compliqueront considérablement les mouvements des pirates sur le réseau. La surveillance permet de repérer les activités suspectes. Les informations fournies par la Threat Intelligence permettent de discerner les schémas typiques et adresses Internet des cyberattaques. Le revers de la médaille: la mise en œuvre de ces mesures de surveillance demande un investissement en complexité et en ressources supérieur à un périmètre de sécurité classique.

Penser comme un cybercriminel

De pures mesures techniques ne suffisent pas à parer des APT. L’humain reste un facteur important: les responsables et spécialistes de la sécurité doivent se mettre à la place de l’assaillant afin de comprendre sa façon de penser et de cerner son mode opératoire. Les APT étant des attaques déclenchées manuellement, leur déroulement montre qu’elles sont souvent pilotées par des mains humaines. Quelques questions utiles: "en quoi mon entreprise pourrait-elle être la cible privilégiée d’une APT?"; "quelles informations et systèmes sont intéressants pour l’espionnage ou le sabotage?"; "à quoi pourrait ressembler une tentative d’hameçonnage ou de piratage psychologique sur le directeur financier?"

Les centres d’opérations de sécurité sont prédestinés à développer la composante humaine de lutte contre les APT. Les spécialistes y examinent les configurations enregistrées afin de démasquer les assaillants humains. "Nous attaquons régulièrement notre propre réseau de manière contrôlée et ciblée. Nous simulons à cet effet une véritable APT pendant plusieurs semaines. Nous mettons ainsi les collaborateurs et systèmes informatiques à l’épreuve, ils subissent un test de résistance dans des conditions réelles et nous pouvons déceler les failles de sécurité", explique à cet égard Markus Neis, Threat Intelligence Manager chez Swisscom.

Avoir les ressources pour mettre sur pied un SOC, n’est pas donné à chaque entreprise, évidemment. Mais ce n’est pas non plus nécessaire. Finalement, rares sont les organisations qui installent elles-mêmes un système d’alarme ou organisent des rondes de nuit sur leur site. On sous-traite généralement ces tâches à des sociétés spécialisées comme Securitas. Il se passe exactement la même chose dans le monde cyber: ce sont des spécialistes qui assument les tâches de sécurité.

Une saine dose de scepticisme

Mais les spécialistes ne peuvent pas tout faire non plus. Sachant que la plupart des attaques couronnées de succès commencent par la négligence d’un collègue, il est d’une importance vitale de sensibiliser et de former les collaborateurs. Il faut leur donner les moyens de reconnaître une tentative d’hameçonnage et les amener à développer un scepticisme sain.

Certes, les méthodes des criminels sont toujours plus sophistiquées et aucun système ne peut protéger totalement des actes de piratage. Mais ce n’est en aucun cas une excuse pour faire acte de négligence, martèle Panos Zarkadakis: "J’installe un système d’alarme à la maison et met mes objets de valeur dans le coffre-fort. Je ferme la porte à clé quand je sors de la maison. Alors pourquoi devrais-je faire preuve de moins de vigilance dans le cyberespace?" Avoir conscience des risques, optimiser la protection des informations et systèmes sensibles, ne jamais relâcher sa vigilance au quotidien ne sont certes pas la garantie de la perfection, mais bien les bases de la cybersécurité.