Mise à jour : ajout du point de vue de Jeffrey Carr sur la question de l’utilisation du terme APT
Ce billet fait suite à un excellent article du célèbre Brian Krebs consacré aux APT (menaces avancées persistantes en français, oui c’est moche). Ce terme devenu à la mode en matière de cybersécurité ces derniers mois n’en finit pas de faire débattre les experts sécurité des quatre coins du monde.
APT m’a tuer (désolé si MISC Mag l’a déjà faite)
OK ces fameuses Advanced Persistent Threat se rapprochent du saint graal du marketing de nos « amis » éditeurs de sécurité (mais également de nombreux experts et escrocs de tout bord). Hier on parlait de cyber attaques, d’intrusions, de fuite de données, aujourd’hui on parle d’APT.
Je comprends les opposants à cette terminologie. Car évidemment certaines entreprises évoquent à tour de bras le mot magique APT (le plus souvent associé aux méchants hackers gouvernementaux chinois) afin de ne pas prendre leurs responsabilités en matière de sécurité de l’information et passer pour de simples victimes. Les APT ont bon dos mais pour autant ne nous enfermons pas dans le déni de réalité : APT ou intrusion ou cyber attaque ne sont pas des chimères. Qu’elles soient avancées, persistantes, triviales ou 0-day, ces menaces existent depuis longtemps et elles sont aujourd’hui de plus en plus fréquentes (ou simplement un peu mieux détectées ou rendues publiques plus facilement). Elles ont simplement changé de nom.
“People will say, ‘Well, this attack wasn’t very advanced, so it can’t be APT’, but I will tell you the folks who are behind some of this stuff are not going to use cool zero-day stuff if they can go in the underground economy and say, ‘Hey, I need [access to] an infected machine in this organization,’ and pay $50 in Paypal in order to get that”
Pour Jeffrey Carr, du blog Digital Dao, les choses sont plus simples. Il veut éliminer le terme APT (qu’il trouve inapproprié et inexact) pour le remplacer par APA (Adaptive Persistent Attack) qui, selon lui, collerait plus à la réalité de ces cyber menaces. A lire sur son dernier billet.
L’article de Krebs rappelle que les APT ne sont pas qu’un fantasme marketing mais bien une réalité. Il s’agit d’une menace qui ne vise pas seulement les industries liées au nucléaire (Hi Areva) ou au secteur de la défense. Les gouvernements du monde occidental ne sont pas non plus les seules victimes des hackers chinois (qui ne sont pas que chinois, l’arbre qui cache la forêt… il fallait bien trouver un nouveau (cyber) ennemi à la hauteur des budgets à faire voter). Ces attaques touchent toutes les entreprises, de la PME au grand groupe.
La plupart des APT suivent un mode opératoire assez classique (ce qui fait dire aux anti-APT qu’elles ne sont pas si avancées qu’on tente de nous le faire croire). On commence par une attaque par social engineering en visant l’un des maillons faibles du SI : l’humain. Un joli e-mail avec un expéditeur bien connu accompagné par une pièce-jointe qui éveille la curiosité qui sommeille en chacun d’entre nous. Mais qui est infectée par un méchant malware (pas reconnu par nos chers antivirus rapidement dépassés) qui va exploiter une faille (Adobe de préférence) pour compromettre la machine et ensuite si tout se passe bien (pour l’attaquant) pivoter sur le réseau pour rechercher et exfiltrer le patrimoine de l’entreprise de façon durable.
L’humain doit être au cœur de nos défenses
Le problème soulevé dans l’article de Krebs par Joe Drissel, dirigeant d’une société spécialisée en sécurité informatique, mérite qu’on s’attarde dessus. Selon lui, l’erreur que nous commettons est de faire reposer nos défenses en général sur un mélange de software/hardware de plus en plus automatisé. Et on en oublie l’humain. Pourquoi ? Les baisses de budget, les logiciels de sécurité sensés nous protéger de tout, le manque de personnel qualifié…
Le social engineering, principal vecteur des APT, est automatisable mais dans ce cas je ne pense pas qu’il soit aussi efficace qu’en mode manuel. Combattre de l’humain avec une machine ne sera jamais à 100% efficace (en attendant des systèmes d’intelligence artificielle très performant mais là on atteint le point Skynet). Joe Drissel, dirigeant de CyberESI, recommande alors de remettre l’humain au centre de l’équation. Ce dont nous avons besoin, selon lui, ce sont des analystes et des experts qui comprennent comment tout fonctionne, qui maîtrisent les dernières menaces, qui comprennent comment les attaquants peuvent penser. Ces experts et analystes seront alors à même de pouvoir exploiter les outils de sécurité puissants mis à leur disposition, qui seuls, ne représentent qu’une défense illusoire. L’automatisation n’est pas la solution à tous nos problèmes de sécurité.
Quid de la contre-attaque ?
La fameuse lutte informatique offensive (chère aux militaires) s’appliquerait-elle au secteur privé ? C’est la question qui se pose aux États-Unis. De nombreuses entreprise de sécurité informatique surveillent pour essayer de détecter les cyber attaques visant les entreprises américaines. Pour cela, elle monitorent certains serveurs suspects ou compromis qui servent de centre de command & control aux attaquants et vers lesquels sont exfiltrées les données volées aux victimes.
Certains souhaiteraient donc avoir le droit de riposter et démanteler ces serveurs de commande, de leur propre initiative mais dans un cadre légal. D’autres y sont opposés car cela reviendrait à simplement déplacer le problème. En effet, en surveillant ces serveurs de commande, ces sociétés ou les autorités détectent régulièrement de nouvelles victimes (et autant de futurs clients pour les agences privées…). Le FBI ne ferait rien pour s’attaquer aux infrastructures des attaquants de peur de perdre leur capacité de détection de ces attaques. Une attitude compréhensible mais qui laisse obligatoirement plusieurs coups d’avance aux attaquants. On reste loin pour le moment d’une défense pro-active.
APT ou pas
On observe actuellement une véritable surenchère autour du terme APT. Mais si la question du vocabulaire reste importante pour que tout le petit monde de la sécurité se comprenne, elle ne doit pas occulter la réalité des menaces d’aujourd’hui et de demain. Les organisations cyber criminelles, les hacktivistes ainsi que les États maîtrisent parfaitement l’art de la cyber attaque. En matière de défense, tout le monde est encore loin du compte. Des ministères sont victimes de vols massifs de données sensibles, des ONG sont cyber espionnées et les cybercriminels eux-mêmes ne sécurisent pas assez leurs serveurs de contrôle.
Les APT ne sont que le symbole des cyber menaces d’aujourd’hui. Des menaces invisibles difficilement détectables qui nous plongent dans un état de perpétuel cyber insécurité où chaque acteur doit considérer qu’il est déjà compromis et se préparer aux incidents et aux crises en résultant. Des solutions existent néanmoins même s’il nécessite une approche « saine » de la sécurité et un respect des règles de cyber hygiènes irréprochable. La défense peut : s’axer sur la protection des données les plus sensibles en cloisonnant les systèmes au maximum, préparer des réponses à incidents (voir à ce propos les excellents documents mis à disposition gratuitement par le CERT Société Générale), remettre au goût du jour la notion de défense en profondeur, mettre l’accent sur une politique opérationnelle de patch management, continuer à sensibiliser tous les personnels pour lutter contre le social engineering (sans baisser les bras) et développer les démarche SIEM de détection et de gestion des incidents (en se focalisant sur l’aspect métier et non sur l’outil lui-même).
Source originale :
Merci pour cet article clair qui permet de défricher « la menace* du moment » qui me semble depuis le début trop proche du marketing et des éditeurs tout en étant parfois bien trop ésotérique et confinée côté technique ! 🙂
* d’accord avec J. Carr : il vaut mieux parler d’attaque puisque tant que cela reste du niveau de la menace, le mal n’est pas (encore) fait.