{"id":14438,"date":"2020-03-10T12:09:25","date_gmt":"2020-03-10T12:09:25","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14438"},"modified":"2020-05-07T17:09:55","modified_gmt":"2020-05-07T17:09:55","slug":"apt-collateral-damage","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/apt-collateral-damage\/14438\/","title":{"rendered":"D\u00e9g\u00e2ts collat\u00e9raux des APT"},"content":{"rendered":"

Les gens imaginent souvent les APT comme un cas d\u2019espionnage\u00a0: il s\u2019agit s\u00fbrement d\u2019un tr\u00e8s gros probl\u00e8me mais nous ne sommes pas vraiment concern\u00e9s en tant que simples mortels, n\u2019est-ce pas\u00a0? La plupart d\u2019entre nous ne gardent pas de secrets industriels ou gouvernementaux dans leur t\u00e9l\u00e9phone, et ne conservent pas des informations classifi\u00e9es sur leur ordinateur professionnel. Alors pourquoi les escrocs s\u2019int\u00e9ressent-ils \u00e0 nous\u00a0?<\/p>\n

Il s\u2019av\u00e8re que les gens n\u2019ont pas vraiment tort. Il est rare qu\u2019un acteur parrain\u00e9 par l\u2019\u00c9tat-nation s\u2019en prenne \u00e0 un individu lambda, m\u00eame si nous pouvons toutefois \u00eatre un d\u00e9g\u00e2t collat\u00e9ral. Daniel Creus, membre de l\u2019\u00e9quipe d\u2019analyse et de recherche mondiale (GReAT) de Kaspersky a r\u00e9cemment parl\u00e9 de ce probl\u00e8me \u00e0 Barcelone. Cet article explique bri\u00e8vement ce qui a \u00e9t\u00e9 dit et pr\u00e9sente trois sc\u00e9narios permettant de comprendre comment n\u2019importe quel utilisateur peut \u00eatre victime d\u2019une attaque APT.<\/p>\n

D\u00e9g\u00e2ts collat\u00e9raux, sc\u00e9nario #1 : le mauvais site au mauvais moment<\/h2>\n

Contrairement \u00e0 d\u2019autres acteurs plus petits, les APT ont assez d\u2019argent pour un paquet d\u2019exploits zero-day, y compris ceux qui permettent de r\u00e9aliser des attaques de point d\u2019eau<\/a> \u00e0 distance. Les recherches effectu\u00e9es dans le cadre du projet Google Project Zero<\/a> en 2019 ont r\u00e9v\u00e9l\u00e9 qu\u2019un acteur a utilis\u00e9 14 vuln\u00e9rabilit\u00e9s diff\u00e9rentes de 5 cha\u00eenes d\u2019exploits pour infecter ses victimes avec un spyware.<\/p>\n

Certaines de ces vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 utilis\u00e9es pour infecter \u00e0 distance les utilisateurs iOS qui visitaient certains sites Internet ayant \u00e0 voir avec la politique. Les t\u00e9l\u00e9phones ont \u00e9t\u00e9 infect\u00e9s par un spyware. Il s\u2019av\u00e8re que cet acteur ne faisait pas la diff\u00e9rence entre les visiteurs du site. Par cons\u00e9quent, tous<\/em> les utilisateurs iOS ayant visit\u00e9 le site ont \u00e9t\u00e9 infect\u00e9s, m\u00eame s\u2019ils n\u2019int\u00e9ressaient pas forc\u00e9ment l\u2019acteur.<\/p>\n

Ce n\u2019est pas vraiment la seule attaque APT \u00e0 avoir utilis\u00e9 un point d\u2019eau. Par exemple, un des vecteurs d\u2019attaque du tristement c\u00e9l\u00e8bre NotPetya (alias ExPetr)<\/a> a fait ses d\u00e9buts en infectant un site Internet du gouvernement. Lorsque les utilisateurs visitaient le site, le malware \u00e9tait t\u00e9l\u00e9charg\u00e9 puis ex\u00e9cut\u00e9 sur l\u2019ordinateur. Vous vous souvenez peut-\u00eatre que les d\u00e9g\u00e2ts collat\u00e9raux provoqu\u00e9s par NotPetya \u00e9taient consid\u00e9rables.<\/p>\n

Par cons\u00e9quent, un des probl\u00e8mes des APT est que les acteurs de menace ne veulent pas vraiment vous prendre pour cible, mais si vous visitez le mauvais site Internet, ou t\u00e9l\u00e9charger la mauvaise application, alors vous serez tout de m\u00eame infect\u00e9 et les informations confidentielles de votre dispositif seront visibles ou infect\u00e9es, notamment s\u2019il s\u2019agit d\u2019un ransomware d\u2019APT comme NotPetya.<\/p>\n

D\u00e9g\u00e2ts collat\u00e9raux sc\u00e9nario #2 : les cybercriminels ont des jouets dangereux<\/h2>\n

Les APT cherchent notamment \u00e0 obtenir les secrets d\u2019autres APT. Les cybercriminels ont tendance \u00e0 se pirater entre eux et divulguent parfois les outils utilis\u00e9s par leurs rivaux. D\u2019autres acteurs, plus petits et moins avanc\u00e9s, les r\u00e9cup\u00e8rent et s\u2019en servent pour cr\u00e9er des malwares, qui deviennent parfois incontr\u00f4lables. N\u2019oubliez pas que l\u2019inf\u00e2me wiper WannaCry<\/a> a \u00e9t\u00e9 cr\u00e9\u00e9 \u00e0 partir de EternalBlue, un des exploits r\u00e9v\u00e9l\u00e9s par ShadowBrokers lorsqu\u2019ils ont d\u00e9cid\u00e9 de publier l\u2019arsenal des armes informatiques d\u2019Equation Group.<\/p>\n

D\u2019autres menaces, dont NotPetya\/ExPetr, Bad Rabbit<\/a>, EternalRocks, etc reposent sur l\u2019exploit EternalBlue. La divulgation d\u2019un exploit a engendr\u00e9 toute une s\u00e9rie d\u2019importantes \u00e9pid\u00e9mies diverses et vari\u00e9es, et d\u2019\u00e9v\u00e9nements plus petits, qui ont affect\u00e9 des centaines de milliers d\u2019ordinateurs et perturb\u00e9 le travail de nombreux organismes gouvernementaux et entreprises du monde entier.<\/p>\n

En r\u00e9sum\u00e9, le second probl\u00e8me que rencontrent les gens ordinaires lorsqu\u2019il s\u2019agit des APT est que les acteurs de menace cr\u00e9ent des outils vraiment dangereux qui \u00e9chappent parfois \u00e0 leur contr\u00f4le. Par cons\u00e9quent, les cybercriminels, qui ont plus ou moins d\u2019exp\u00e9rience, peuvent obtenir ces objets tr\u00e8s dangereux et ne vont pas h\u00e9siter \u00e0 s\u2019en servir. Ces actions font parfois de nombreuses victimes innocentes.<\/p>\n

D\u00e9g\u00e2ts collat\u00e9raux sc\u00e9nario #3 : divulgation des donn\u00e9es collect\u00e9es<\/h2>\n

Comme nous l\u2019avons dit auparavant, les acteurs \u00e0 l\u2019origine des APT ont tendance \u00e0 se pirater entre eux. Ils publient parfois les outils qu\u2019ils ont d\u00e9rob\u00e9 mais aussi les informations que leurs rivaux ont obtenues gr\u00e2ce \u00e0 ces outils. Par exemple, c\u2019est ainsi que les donn\u00e9es collect\u00e9es par le tristement c\u00e9l\u00e8bre outil de cyber espionnage ZooPark<\/a> ont \u00e9t\u00e9 rendues publiques.<\/p>\n

Au cours des deux derni\u00e8res ann\u00e9es, 13 vendeurs de stalkerware ont \u00e9t\u00e9 pirat\u00e9s, ou ont laiss\u00e9 les donn\u00e9es collect\u00e9es disponibles en ligne, en les conservant sur un serveur Web non prot\u00e9g\u00e9 et accessible au public. Ces fuites touchent aussi les acteurs plus importants. Les cr\u00e9ateurs de la gamme de produits FinFisher ont \u00e9t\u00e9 pirat\u00e9s<\/a>, tout comme l\u2019a \u00e9t\u00e9 l\u2019encore plus c\u00e9l\u00e8bre entreprise italienne Hacking Team<\/a>, connue pour le d\u00e9veloppement de logiciels servant \u00e0 la surveillance.<\/p>\n

Nous rencontrons donc un troisi\u00e8me probl\u00e8me\u00a0: m\u00eame si une APT n\u2019a rien \u00e0 voir avec les utilisateurs lambda et qu\u2019elle ne fait que stocker leurs donn\u00e9es sans les utiliser contre eux, la moindre divulgation permet aux escrocs, notamment les moins importants, d\u2019utiliser ces informations pour faire du chantage ou pour rechercher des donn\u00e9es confidentielles (num\u00e9ro de cartes bancaires, copies de documents, contacts ou encore photos compromettantes).<\/p>\n

Comment se prot\u00e9ger des APT<\/h2>\n

M\u00eame si une APT est beaucoup plus sophistiqu\u00e9e qu\u2019un simple malware, nous utilisons les m\u00eames techniques pour nous en prot\u00e9ger.<\/p>\n