Qu'est-ce qu'une menace persistante sophistiquée (APT) ?

S'il y a bien une chose qui empêche les professionnels de la cybersécurité d'entreprise de dormir la nuit, c'est l'idée qu'une attaque utilisant une série de techniques sophistiquées, conçue pour voler des informations sensibles de l'entreprise, se produise.

Comme le suggère le terme « sophistiqué », une attaque persistante sophistiquée utilise des techniques de piratage continu, clandestines et sophistiquées pour accéder à un système et y rester pendant une longue période potentiellement destructrice.

Principales cibles

En raison du niveau d'effort requis pour effectuer une telle attaque, les menaces persistantes sophistiquées visent spécifiquement des cibles de haute valeur, comme les États-nations et les grandes entreprises. Leur but ultime est de voler des informations sur une longue période, plutôt que de simplement « plonger » dans un système et le quitter rapidement, ce que font de nombreux pirates Black Hat lors d'attaques cybernétiques de plus faible ampleur.

Une APT est une méthode d'attaque que les entreprises du monde entier devraient surveiller. Toutefois, cela ne veut pas dire que les PME sont à l'abri de ce type d'attaque.

Les pirates qui lancent des APT utilisent de plus en plus les petites entreprises qui font partie de la chaîne logistique de leur cible ultime afin d'accéder aux grandes organisations. Ils utilisent ces entreprises, dont les systèmes de défense sont généralement moins performants, comme tremplin.

Une attaque en constance évolution

L'unique objectif d'une attaque APT est d'avoir un accès continu au système. Les pirates y parviennent grâce à une série d'étapes.

Étape 1 : Accéder

Tel un cambrioleur qui force l'ouverture d'une porte avec un pied-de-biche, les cybercriminels s'infiltrent généralement par l'intermédiaire d'un réseau, d'un fichier infecté, d'un courrier indésirable ou d'une application vulnérabilité pour introduire des programmes malveillants dans un réseau cible.

Étape 2 : Établir un point d'ancrage

Les cybercriminels implantent des programmes malveillants qui permettent de créer un réseau de backdoors et de tunnels utilisé pour se déplacer dans des systèmes sans être détectés. Les programmes malveillants emploient souvent des techniques telles que la réécriture du code pour aider les pirates à dissimuler leurs traces.

Étape 3 : Approfondir l'accès

Une fois infiltrés, les pirates utilisent des techniques telles que le craquage de mot de passe pour accéder aux droits d'administrateur afin de pouvoir contrôler davantage le système et obtenir des niveaux d'accès supérieurs.

Étape 4 : Se déplacer latéralement

Au plus profond du système et grâce aux droits d'administrateur, les pirates peuvent se déplacer à volonté. Ils peuvent également tenter d'accéder à d'autres serveurs et à d'autres parties du réseau sécurisés.

Étape 5: Regarder, apprendre et rester

Depuis l'intérieur du système, les pirates parviennent à comprendre parfaitement comment il fonctionne et ses vulnérabilités, ce qui leur permet de collecter à volonté les informations qu'ils souhaitent.

Les pirates peuvent tenter de laisser ce processus s'exécuter (peut-être indéfiniment) ou se retirer après avoir atteint un objectif spécifique. Ils laissent souvent une backdoor ouverte pour accéder à nouveau au système plus tard.

Le facteur humain

Puisque les systèmes de défense cybernétiques des entreprises ont tendance à être plus sophistiqués que ceux d'un utilisateur, les méthodes d'attaque nécessitent souvent la participation active d'une personne de l'intérieur afin d'introduire ce « pied-de-biche » crucial. Néanmoins, cela ne veut pas dire que le membre du personnel participe sciemment à l'attaque. En général, un attaquant déploie un éventail de méthodes de piratage informatique, telles que des attaques de whaling et le phishing ciblé.

Une menace qui pèse toujours

Le principal danger des attaques APT est que, même quand elles sont découvertes et que la menace immédiate semble être passée, les pirates peuvent avoir laissé plusieurs backdoors ouvertes qui leur permettent de revenir quand ils le souhaitent. En outre, de nombreux systèmes de défense cybernétiques traditionnels, tels que les antivirus et les pare-feu, ne sont pas toujours en mesure de protéger contre ces types d'attaques.

Une combinaison de plusieurs mesures, allant des solutions de sécurité sophistiquées comme Kaspersky Enterprise Security à un effectif formé et conscient des méthodes de piratage informatique, doit être déployée afin de maximiser les chances de réussite d'une défense permanente.

Articles connexes :

• Qu'est-ce qu'un adware?
• Qu'est-ce qu'un cheval de Troie?
• Faits et FAQ sur les virus informatiques et les programmes malveillants
• Courriers indésirables et phishing

Produits associés :

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android