Lumières sur la sécurité

jeudi 27 mars 2025

Depuis de nombreuses années, les entreprises sont victimes de piratage, tout comme les milliards d’utilisateurs particuliers dans le monde. La notion d’attaque ciblée, apparue il y a plusieurs années, est parfois encore mal connue du grand public. Mais si vous vous intéressez au thème de la sécurité informatique, vous en aurez probablement entendu parler, de même que la notion d’attaque APT, menace persistante avancée (de l'anglais Advanced Persistent Threat : attaque prolongée d'une complexité accrue).

Vous avez pu rencontrer leurs mentions dans les médias et chez les éditeurs d'antivirus ou d’autres solutions de sécurité. Mais malgré certains cas documentés de telles attaques, les détails et la véritable ampleur de leurs conséquences sont rarement connus du public. À bien des égards, il n'y a toujours pas d'unité dans la définition claire des critères par lesquels un incident peut être interprété sans ambiguïté comme étant APT.

Nous allons consacrer cette publication du Projet Lumières sur la sécurité aux attaques ciblées et aux APT en particulier, en mettant ces termes sur un pied d'égalité et en essayant de comprendre les menaces qu'ils recouvrent. Bien sûr, un utilisateur particulier est peu susceptible de faire face directement à une attaque ciblée. Cependant, ce thème illustre les capacités actuelles des acteurs de la cybercriminalité et représente un enjeu important pour les entreprises et les orgranisations publiques. Comme on le dit souvent, plus on est informé, plus on est vigilant, et c’est peut-être grâce à vous qu’une attaque ciblée échouera au sein de votre entreprise.

Qu'est-ce qu'une attaque APT ?

L'abréviation APT comme terme désignant une classe distincte de menaces est apparue vers le milieu des années 2000. La paternité en est attribuée au ministère américain de la Défense. À cette époque, APT désignait des incidents informatiques « spéciaux » et du cyberespionnage, qui étaient considérés comme une menace pour la sécurité nationale. Plus tard, le terme a été repris par les journalistes lorsqu'ils ont décrit des attaques informatiques très médiatisées ciblant de grandes enseignes (par exemple, Google) puis s’est généralisé parmi les spécialistes de la sécurité informatique.

Il faut dire tout de suite que le terme est apparu beaucoup plus tard que le phénomène lui-même. Alors qu'entend-on par menace de classe APT ? L'une des définitions les plus courantes est la suivante : il s'agit d'une attaque préparée, ciblée, et techniquement sophistiquée, qui se caractérise généralement par une présence cachée et durable d'un attaquant dans un système d'information compromis. Les objectifs d'une telle attaque peuvent être le vol de données, le cyberespionnage ou le sabotage du système d'information afin d’abîmer la réputation ou de saper les activités de l'organisation. Les critères « obligatoires » pour caractériser les attaques APT comprennent souvent les objectifs à long terme des attaquants et l'utilisation de logiciels malveillants complexes et souvent uniques pour pirater, masquer et effectuer des actions destructrices. De plus, l'APT implique une planification minutieuse et la disponibilité de ressources appropriées — non seulement financières, mais également techniques, c'est-à-dire des cybercriminels qualifiés.

Au fil du temps, le terme APT a fait sa place et est également entré dans le vocabulaire marketing des éditeurs.

Ce qu’il est important de rappeler est que la sécurité du système d'information ne dépend pas tant de la gravité de la menace que de la volonté de l'entreprise de prendre des mesures de protection préventives.

Des exemples d'attaques ciblées contre de grandes entreprises privées et même des institutions publiques sont connus, et par de nombreux aspects, ils répondent aux critères APT. Le Laboratoire antivirus de Doctor Web enquête également sur les incidents informatiques, dont certains que nous avons interprétés comme des attaques ciblées. Dans certains cas, lorsque des mécanismes intéressants sont révélés, il est possible de publier des études sur ces attaques, tout en préservant, bien entendu, la confidentialité de la partie concernée. Voici un article sur une attaque ciblée, qui, heureusement, n'a pas fonctionné. Parfois, les entreprises demandent de l'aide une fois que l’attaque a eu lieu, nos spécialistes connaissent des cas où des pirates informatiques sont restés dans le réseau de l'entreprise pendant plusieurs années avant d'être détectés.

Les attaques ciblées se distinguent généralement des autres attaques réseau sur les secteurs privé et public. Comme nous l’avons dit, les entreprises sont la cible des pirates informatiques depuis de nombreuses années et des attaques « ordinaires » peuvent être menées contre toutes les entreprises qui semblent vulnérables ou potentiellement rentables pour les attaquants. Il s'agit souvent d'opérations ponctuelles qui ne se caractérisent pas nécessairement par une longue préparation et des solutions techniques complexes. Les cybercriminels peuvent utiliser des outils connus et disponibles sur le marché noir, tout en agissant en petits groupes ou même seuls. Le but principal de ces piratages est d'obtenir des gains financiers. Les attaques ciblées, en revanche, ne sont pas un événement ordinaire. En règle générale, l’objectif de ces attaques est l'espionnage industriel ou même étatique et les victimes ne sont jamais sélectionnées au hasard. À l'heure actuelle, plusieurs dizaines de groupes APT avec leur propre " écriture ", outils et objectifs sont connus dans le monde. La véritable ampleur de la menace est inconnue, les détails des événements, ainsi que les conséquences, pour des raisons évidentes, remontent rarement à la surface. Dans le même temps, les chercheurs et les fournisseurs d'antivirus qui enquêtent sur de telles attaques partagent généralement des données importantes qui aident à éviter la répétition d'incidents et à protéger les utilisateurs. De plus, dans le cadre de ces enquêtes, les analystes publient généralement des indicateurs de compromission (En anglais IoC - Indicators of Compromise). Ce sont des hachages de fichiers malveillants, d'adresses IP et de noms de domaine de serveurs de contrôle d’attaquants impliqués dans une attaque particulière. De cette façon, les experts peuvent analyser les fichiers suspects ou l'activité réseau dans l'organisation et ainsi vérifier si son infrastructure a été soumise à une attaque similaire.

Scénarios des attaques ciblées

Les scénarios d'attaques ciblées peuvent être divers, et ils ont presque toujours une structure en plusieurs étapes. Au départ, on suppose une préparation minutieuse. Les attaquants peuvent collecter des informations sur l'infrastructure de l'organisation, ses employés, les logiciels utilisés ou même les règlements internes. Une telle attaque n'implique pas toujours uniquement une composante numérique. A des fins de renseignement, un groupe d'attaquants peut utiliser des techniques d'ingénierie sociale et des hommes de paille (par exemple, des candidats à l'emploi, des employés ou des sous-traitants) pour obtenir des informations. Il s'agit d'une étape importante pour déterminer la méthode et le point d'entrée dans le réseau de l'entreprise.

Curieusement, les cybercriminels utilisent souvent le même type d’hameçonnage pour pénétrer dans le premier nœud du réseau. C’est ce qu'on appelle en anglais le spear phishing. Les informations recueillies au cours de la première étape et une ingénierie sociale très intelligente permettent aux attaquants de tirer le meilleur parti de ces astuces apparemment simples. Une méthode courante consiste à envoyer des courriels d'hameçonnage ciblés à un employé ou à un groupe de personnes en particulier.

Une autre option comprend l'exploitation des vulnérabilités peu connues ou même des vulnérabilités zero-day dans les logiciels, les systèmes d'exploitation et le matériel. Cela est également possible grâce à l'exploration et à l'étude de l'infrastructure et des logiciels utilisés dans l'organisation cible. Trouver et exploiter les vulnérabilités zero-day est coûteux et difficile, mais comme nous l'avons dit ci-dessus, les groupes APT disposent de ressources conséquentes.

Dans certains cas, les attaquants peuvent effectuer une attaque dite sur la chaîne d'approvisionnement (supply chain attack en anglais) pour pirater l'organisation cible. Cela signifie que les pirates informatiques compromettent des partenaires, des fournisseurs ou des sous-traitants de l'organisation victime, espérant par leur intermédiaire accéder au réseau cible. C'est une méthode assez récente, car de nombreuses entreprises utilisent des services et des produits tiers dans leur activité. La méthode peut être sélectionnée s'il s’avère plus facile de pirater une tierce partie et de trouver ainsi un point d'entrée dans l'organisation cible. Ensuite, les attaquants peuvent modifier un produit ou un service en implémentant, par exemple, une porte dérobée avec la prochaine mise à jour légitime.

Bien sûr, les cybercriminels peuvent combiner des méthodes et des mécanismes, les dupliquer afin d'augmenter leurs chances de succès. Leur objectif principal est de « fournir » le module principal du logiciel malveillant au réseau de l'organisation et de forcer l'utilisateur à l'exécuter. Les actions ultérieures sont la dissimulation de son activité, la consolidation et une action systématique sur le réseau.

Le logiciel malveillant primaire est généralement un Trojan téléchargeur ou un autre programme qui assure un fonctionnement furtif et la livraison d'autres modules malveillants (appelés " charges utiles " ) à un appareil sur le réseau. Il est important de noter que les attaques APT se caractérisent par l'utilisation de logiciels malveillants techniquement sophistiqués et adaptés à une victime spécifique. C'est pourquoi les outils antivirus standard peuvent être impuissants, surtout s'ils fonctionnent exclusivement par des méthodes de signature. Par exemple, certains échantillons connus de chevaux de Troie APT utilisent des services système avec la substitution de bibliothèques DLL pour leur chargement et ne fonctionnent ensuite qu'en RAM. Il existe des modifications complexes des chevaux de Troie et des portes dérobées avec une structure multi-modules, capable de charger des plug-ins supplémentaires pour effectuer diverses actions destructrices sur commande du centre de contrôle des attaquants. L'analyse et le débogage des échantillons malveillants trouvés sont également des procédures complexes, car les auteurs de virus utilisent diverses techniques pour obscurcir le code. Cependant, une analyse réussie aide à déterminer la fonctionnalité du cheval de Troie et les dommages éventuels causés par son fonctionnement.

Après l'infection initiale, il y a généralement une fixation dans le système, où le cheval de Troie assure un fonctionnement stable sur l'appareil avec une possibilité de se déplacer davantage dans le réseau. Comme indiqué ci-dessus, le cheval de Troie à ce stade est capable de recevoir des commandes du centre de contrôle, de télécharger des modules malveillants supplémentaires, de scanner le réseau, etc. La tâche la plus importante dans ce cas est de masquer l'activité. Les attaquants prévoient toujours une possibilité d'autodestruction du cheval de Troie ainsi qu'une période d'inactivité, un mode veille et d'autres fonctions de masquage. Le but ultime est de toucher les appareils qui intéressent les attaquants dans le réseau et les données qui s'y trouvent. Ainsi, la compromission du contrôleur de domaine dans le réseau de l'organisation est considérée comme particulièrement dangereuse. Obtenir l'accès à ce nœud libère complètement les mains des intrus.

Comment minimiser les risques ?

La protection contre les attaques ciblées est une question assez complexe, qui dépasse largement le cadre de cet article introductif. Bien sûr, les attaques ciblées ne menacent pas directement les utilisateurs ordinaires. Mais, comme nous le savons, tout commence par de petites choses. Les employés des entreprises victimes ne sont pas toujours des experts dans le domaine de la sécurité informatique. Il peut s'agir des mêmes « utilisateurs à domicile » à travers lesquels les intrus agissent. Si le phishing ciblé reste un stratagème trivial auquel tout le monde peut résister, il n’est pas prouvé que ce sont toujours les compétences techniques qui conduisent à la réussite d’une attaque. Souvent, et c’est ce que recherchent les attaquants, la raison est malheureusement une protection insuffisante du réseau de l'entreprise. Dans nos publications, nous parlons souvent de l'importance d'une approche intégrée pour assurer notre sécurité numérique. Cette approche couvre tous les aspects de la protection des données personnelles sur le réseau, de la sauvegarde et de la configuration correcte du routeur domestique. La protection contre les attaques ciblées, aussi banale que cela puisse paraître, implique la même chose, mais avec beaucoup plus d'aspects. C’est là où réside la difficulté pour les organisations, prévoir toutes les mesures de protection, et trouver un équilibre pour ne pas paralyser l’activité avec des restrictions trop fortes.

En conclusion, nous voudrions rappeler l’importance, pour les entreprises, d'avoir une stratégie bien établie pour protéger l'infrastructure du réseau, former le personnel et promouvoir les principes de sécurité. Cela s'applique à tous ceux qui travaillent sur un PC et ont accès aux données sur le réseau, en particulier les employés ayant un niveau d'accès élevé. Le contrôle d'accès basé sur les rôles, la minimisation des privilèges, la séparation des réseaux internes sont des pratiques de base mais importantes qui, hélas, ne sont pas mises en œuvre partout. La nécessité d'utiliser des logiciels de sécurité, qu'il s'agisse d'antivirus sur tous les nœuds ou de programmes de surveillance et de réponse rapide aux incidents, est également tout à fait évidente.