Les APT ça vous parle ? Mais êtes-vous bien certain de savoir de quoi il s’agit ?

Dans son ouvrage Sécurité et espionnage informatique –  Connaissance de la menace APT et du cyberespionnage, Cédric Pernet, Senior Threat Researcher chez Trend Micro (et ancien du CSIRT Airbus Defense & Space), décortique ces fameuses Advanced Persistent Threats, en démêlant le vrai du faux et notamment le mythe de la cyber attaque « sophistiquée ».

Allons directement à l’essentiel, ce livre est un Must Have. Tout RSSI ou DSI devrait le lire pour se confronter à la réalité des menaces externes d’aujourd’hui (et d’hier et de demain !). Car comment lutter contre une menace si on ne la connaît pas ? Ou pire qu’on pense la connaître mais avec tellement d’idées reçues qu’on ne met pas en place les dispositifs adaptés pour les combattre ? C’est tout l’enjeu aujourd’hui. La menace des APT (des plus « basiques » aux plus sophistiquées) est réelle mais beaucoup pensent qu’elle ne concerne seulement les grandes entreprises et les secteurs les plus sensibles. C’est faux, les attaquants peuvent également être opportunistes et s’attaquer à des cibles plus « petites » et sûrement plus fragiles mais qui disposent d’informations à très haute valeur ajoutée.


9782212139655_h430

Comme le dit très bien Cédric dans son ouvrage, c’est sur le A d’APT que beaucoup d’experts divergent. Finalement elles ne seraient pas (toujours) si avancées que ça en termes technique. Tous les groupes d’attaquants, car quand on parle d’APT il faut parler de groupe d’attaquants organisés et motivés, n’utilisent pas des malwares sur mesure et encore moins de 0-day (qui sont plus présentes dans les campagnes marketing des éditeurs de sécurité que dans des APT…). 

Je disais plus haut que le livre intéresserait les RSSI ou DSI mais je le conseille évidemment à un public plus large : toutes les personnes qui travaillent de près ou de loin dans la securité informatique devraient le lire. Et même à ceux qui n’y travaillent pas encore : les étudiants. Ça permettra peut être de créer des vocations car Cédric vend très bien son métier. Avec les APT, on ne s’ennuie pas !

Pour en revenir à l’ouvrage en lui même. Je l’ai trouvé très bien écrit. Il est accessible à tous car Cédric explique très clairement les termes les plus techniques ou exotiques. Les experts techniques en APT seront peut être plus nuancés car ils pourront penser que techniquement le livre ne va pas assez loin mais je ne pense pas que ça soit la cible du livre. Il est néanmoins très complet et aborde toutes les phases qui composent ces attaques ciblées comme on préfère les décrire en français. Le livre présente également de nombreux exemples de campagnes d’APT. A ce sujet je vous renvoie vers ce lien GitHub qui centralise tous les rapports d’APT publiés depuis presque 10 ans par les différents acteurs du monde de la cybersécurité. On notera l’accélération du nombre de rapports sortis depuis 2013 notamment.

Cédric évoque également rapidement la question de l’attribution en restant prudent sur ce sujet « sensible » et surtout complexe. Il l’évoque sous l’angle purement technique en ouvrant le débat épineux (et plus « éthique que technique ») sur les techniques offensives utilisées par de plus en plus d’entreprises de sécurité et de chercheurs pour résoudre le mystère de certaines attaques APT.

FullSizeRender

La fin du livre s’intéresse sur le « comment se protéger ou plutôt détecter ces attaques ». C’est évidemment une partie très intéressante mais qui m’a laissé un peu sur ma faim. Seulement 7 pages (sur 210) sont consacrées à la détection des attaques ciblées. Cela sera sûrement l’objet d’un deuxième tome (espérons le en tout cas). Des solutions existent et ce ne sont pas toujours celles que nous vendent nos amis éditeurs de logiciels de sécurité (la fameuse boite « noire » anti-APT de Next Generation avec détection de 0-day par analyse comportementale 3.0 ©). Non, Cédric le rappelle très justement, on est loin des boites magique qui promettent d’arrêter toutes les attaques ciblées. On ne peut pas nier que ces outils de type sandbox détecteront toujours plus de malwares qu’un simple antivirus mais exploiter « intelligemment les outils actuels » comme le dit Cédric est déjà une excellente démarche pour commencer à détecter les évènements anormaux se produisant sur son système d’information. Il s’agit essentiellement d’analyser les logs, toutes ces traces générées par les postes de travail, les antivirus ou encore sur la partie « réseau » les firewall, proxies, DNS, VPN, IDS, etc. Les analyser et les corréler pas seulement de façon automatique en laissant la machine réfléchir à notre place mais en remettant l’être humain au coeur de la cybersécurité (back to basics) : il faut des analystes, formés,  aux compétences diverses et variées et qui, surtout, connaissent parfaitement les systèmes et les réseaux de l’organisation.

Il ne faut pas oublier la prévention : la sensibilisation des utilisateurs (et oui ça sert toujours mais encore faut-il que ça soit bien fait), la veille, la coopération et l’échange d’informations sur les menaces (par l’intermédiaire des CERT/CSIRT, par exemple). Pour Cédric, le futur de la détection c’est la corrélation de multiples « Indicateurs de Compromission« , ces fameux IOC, qui sont là pour prendre le relais face à l’inefficacité de la détection de malwares exploitant simplement un système de signatures. Plusieurs formats existent comme YARA ou OpenIOC pour pouvoir les créer, les exploiter et les partager très facilement. Un IOC permet de décrire les traces laissées par une cyber attaque ou par un malware sur le réseau ou sur les postes de travail (clés de registre, IP du serveur de C&C, fichier créé…). 

Je ne vais pas vous résumer l’ensemble du bouquin car certains l’ont déjà fait avant moi. Je vous conseille notamment cet excellent billet, très complet, de Bertrand Boyer, auteur du livre et du blog Cybertactique. Stéphane Bortzmeyer a également publié une très bonne fiche de lecture sur son blog. Enfin une interview très complète de l’auteur est disponible sur le site securiteoff.com

Vous savez ce qu’il vous reste à faire ! Bonne lecture !

En bonus, le blog de Cédric Pernet -> http://bl0g.cedricpernet.net/ 

One Comment

  1. Phil 13 février 2015 4:24

    Bonjour

    merci pour le renvoi vers l’interview de SecuriteOff.

    La Rédaction de SecuriteOff.com

Post a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

WordPress SEO