Now Reading
Menaces Persistantes Avancées : quelles sont-elles ?
1

Menaces Persistantes Avancées : quelles sont-elles ?

by Cloud Guru14 octobre 2015

Bitdefender propose des technologies de sécurité dans plus de 100 pays via un réseau de partenaires de premier plan, de distributeurs et de revendeurs à valeur ajoutée. Depuis 2001, Bitdefender produit régulièrement des technologies leaders du marché pour les entreprises et les particuliers et est l’un des plus grands fournisseurs de solutions de sécurité pour les technologies de virtualisation et Cloud.
Fort de cette expérience, Bitdefender propose un livre blanc « Un point de vue sur la valeur réelle des protections contre les APT (Menaces Persistantes Avancées) ». En voici un extrait, avec la définition d’une APT.

Les définitions existantes

Il n’y a pas à proprement parler de définition officielle des “Menaces Persistantes Avancées (APT)” et chaque entreprise propose sa propre définition. Par exemple :

  • Bit9 les décrit comme “implacables, des attaques ciblées lancées par des États-nations, des hacktivistes et autres cyber-criminels qui ont pour objectif le vol d’informations sensibles d’entreprises” (1)
  • Zscaler liste “les attaques zero-day, les vers, les virus, les chevaux de Troie, les URL malveillantes, les adresses IP infectées…” (2)  dans la rubrique dédiée aux APT de leur site.
  • Trusteer explique que c’est “un terme faisant référence à des attaques ciblées visant les entreprises et autres organisations, utilisant des malwares disponibles sur le marché ou développés sur mesure pour dérober des informations ou commettre des fraudes.” (3)
  • Fortinet dit sur les APT qu’elles ciblent “des personnes ou des fonctions spécifiques au sein des entreprises, s’infiltrant grâce à plusieurs vecteurs de diffusion (attaques de phishing, drive-by sur le Web, etc.) et utilisant des techniques d’évasion très élaborées pour passer inaperçues pendant de longues périodes avant d’exfiltrer des données.” (4)
  • FireEye définit ces menaces comme “suffisamment persistantes pour passer sous le radar des technologies de sécurité traditionnelles, telles que les pare-feu de nouvelle génération, les systèmes d’IPS traditionnels, les antivirus, les passerelles Web ou les messageries sécurisées.” (5)

La plupart des tentatives de définition du terme APT ont deux éléments en commun :

  1. Une APT implique un certain type de malware qui n’est “pas détecté par une solution traditionnelle de sécurité (souvent décrite comme un antivirus basé sur les signatures)”.
  2. Une APT fait partie d’une cyber-attaque qui cible les individus au sein d’une entreprise. Cependant, une telle définition, si elle était acceptée par l’industrie, laisserait encore trop de place à l’interprétation.

illustration_LB_couvAfin de se conformer avec le premier point, une entreprise pourrait étiqueter d’“APT” tout malware qu’elle détecte, et affirmer – sans nommer une marque en particulier – qu’un “antivirus traditionnel” ne serait pas en mesure de l’identifier. Mais il n’y a pas de définition officielle des “antivirus traditionnels” ; nous pouvons seulement dire qu’ils ne sont pas capables de détecter un code malveillant spécifique. Cependant, si nous examinons les tests comparatifs du secteur, ce sera le cas aussi pour d’autres solutions considérées comme “modernes”. Par conséquent, les affirmations se basant sur la notion d’antivirus traditionnel ne peuvent pas être considérées comme valides.

En ce qui concerne le deuxième point, il y a plusieurs opinions sur qui ou quel type d’organisation serait la cible privilégiée d’une attaque de type APT :

  • La cible est d’importance nationale : les organismes gouvernementaux, les installations nucléaires… Ce type d’entités ont été ciblées par des APT célèbres (comme Stuxnet et Flame), mais accepter une définition des APT qui réduit la cible à ce type d’entité pose deux problèmes aux entreprises qui proposent des solutions de sécurité contre les APT :
    –  les attaques APT sont si coûteuses et complexes qu’elles ne peuvent être effectuées qu’au niveau étatique – en effet, le succès de Stuxnet serait  le résultat d’une collaboration étroite entre plusieurs gouvernements (6) . Selon cette logique, la grande majorité des entreprises serait à l’abri de telles attaques, simplement parce qu’elles ne constituent pas des cibles suffisamment intéressantes.
    –  Il serait extrêmement présomptueux de prétendre qu’une solution de sécurité développée par une société pourrait bloquer de telles attaques  APT.  Après  tout,  une  attaque  APT  ayant  une  cible  d’importance  nationale  serait  développée  par  des  équipes  de  cyber-criminels disposant de budgets virtuellement illimités avec un État pour soutenir leurs actions. Ainsi, ces derniers n’auraient aucun mal à acquérir une telle solution, à l’analyser en détail pour ensuite créer un malware qui serait capable de passer au travers des défenses sans déclencher d’alerte. Un tel malware rendrait également la tâche extrêmement difficile pour les entreprises qui voudraient faire en sorte que leurs solutions existantes puissent le détecter. Non seulement cela leur demanderait un effort considérable, mais elles ne seraient pas en mesure de mettre en place cela en en temps voulu. Donc une définition des APT qui désigne des entités étatiques comme cibles ne serait pas retenue par les fournisseurs de solutions de protection contre les APT.
  • La cible est toutes les personnes ayant été attaquées par des malwares. “Vous avez été infecté par un malware ? A-t-il chiffré vos fichiers et vous a demandé de payer une rançon pour les déchiffrer ? Vous avez été attaqué par une APT !” Ceci est une définition intéressante, car elle permet à un produit de pouvoir être vendu à quasiment tout le monde. Toutefois, elle ne précise pas ce qui rend une solution contre les APT différente d’une solution de sécurité fournie par un autre éditeur de sécurité, non spécialisé dans les APT. Donc, si nous considérons que tout le monde pourrait être la cible d’une attaque APT, il va être difficile pour les entreprises spécialisées dans la protection contre les APT de mettre en avant leur valeur ajoutée (s’il y en a une !).
  • La cible est une entité commerciale, appelée “votre entreprise” pour souligner le fait que VOUS avez besoin de protection. Telle est la définition la plus raisonnable, parce que les attaques ciblées existent bel et bien et des failles de sécurité importantes sont découvertes tous les ans. Le seul problème auquel les fournisseurs de solutions contre les APT sont confrontés dans ce cas est que de telles attaques ciblées peuvent très bien, et c’est souvent le cas, ne pas utiliser de malware pouvant être considéré comme “avancé” et ne nécessitant par conséquent pas d’une protection “avancée”. Nous pouvons citer par exemple l’attaque menée contre l’entreprise Target, que les représentants de McAfee ont qualifié d’ “absolument simpliste et sans intérêt.” (7)
    Par conséquent, nous pourrions confirmer qu’une attaque APT cible “votre entreprise” et utilise un certain type de malware sophistiqué que “les solutions de sécurité traditionnelles” ne peuvent pas détecter. […]
  1. www.bit9.com/solutions/advanced-persistent-threat
  2. www.zscaler.com/cloud-security/advanced-persistent-threats.php
  3. www.trusteer.com/glossary/advanced-persistent-threat-apt
  4. www.fortinet.com/solutions/advanced-threat-protection.html
  5. http://www.fireeye.com/platform/
  6. “Une cyber-attaque ayant a causé des dommages contre le programme nucléaire iraquien était l’œuvre d’experts américains et israéliens, qui ont agi sous les ordres secrets du Président Obama. Celui-ci souhaitait ralentir le processus de développement d’une arme nucléaire qui n’usait pas de moyens militaires traditionnels, expliquent les représentants américains actuels et passés” www.washingtonpost.com/world/national-security/stuxnet-was-work-of-us-and-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html
  7. En fait, McAfee a précisé que le malware utilisant une faille de sécurité de Target était “absolument simpliste et sans intérêt”. www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data

>Découvrez l’intégralité du Livre Blanc BITDEFENDER

{lang: 'fr'}
About The Author
Cloud Guru
1 Comments

Vous souhaitez réagir sur cet article ?