Mardi 17 octobre 2017
NASDAQ : 6626.9629 3.0962   nasdaq0.05 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

APT : des attaques quasi indétectables

Imprimer Envoyer à un ami Contacter la rédaction
Par Thierry Lévy-Abégnoli le 20/06/2012 - indexel.net
 
Apt-attaques-furtives-quasi-indetectables

Apparues il y a deux à trois ans et de plus en plus structurées, les menaces persistantes avancées sont des attaques sophistiquées et furtives qui visent généralement le vol d’informations sensibles.

 

1. En quoi les APT se différencient-elles des attaques classiques ?

Techniquement, une menace persistante avancée, ou APT (Advanced Persistent Threat) se distingue par sa complexité, sa durée et sa discrétion, davantage que par les techniques mises en œuvre. "L'émergence des APT résulte d'une évolution de la cybercriminalité plus que d'une révolution", affirme ainsi Cyrille Barthelemy, directeur de l'activité sécurité chez Intrinsec. "Loin de se résumer à un malware unique, c'est une combinaison de différents moyens d'attaque traditionnels", confirme pour sa part Emmanuel Le Bohec, regional manager chez Corero Network Security. Une APT est en outre précédée d'un travail préparatoire d'identification et de repérage de la cible afin de déterminer la séquence la plus efficace.

2. Qui sont les assaillants et quels sont leurs objectifs ?

L'objectif est presque toujours le vol d'informations. "Les APT relèvent souvent de l'espionnage industriel voire de la guerre entre États", explique Emmanuel Le Bohec. Même s'il peut se montrer opportuniste, l'attaquant a donc une idée précise de ce que qu'il veut – par exemple une base de clients ou les plans d'un projet. "La durée et la complexité de ces attaques sous-tendent une organisation avec un certain financement", affirme Philippe Rondel, directeur technique chez CheckPoint. C'est donc un État, une organisation criminelle ou une grande entreprise. "Mais dans ce dernier cas, elle sous-traite l'opération", précise Philippe Rondel.

3. Quelles entreprises sont les plus menacées ?

Emmanuel Le BohecTout type d'entreprise peut craindre une APT, même les PME, dès lors qu'elles détiennent des informations sensibles. "Les grands comptes sont davantage concernés mais pour les atteindre, les APT commencent souvent par cibler leurs sous-traitants, synonymes de maillons faibles", prévient Emmanuel Le Bohec (photo).

4. Comment se déroule une APT ?

Une APT procède étape par étape selon une stratégie de type militaire. Certaines étapes sont partiellement automatisées, comme la recherche de vulnérabilités ou le scanne de ports. "Mais il y a toujours un humain qui supervise l'opération et adapte la stratégie", précise Emmanuel Le Bohec.

Leonard DahanPremière étape : définir la cible et collecter des informations sur elle, ses clients et prestataires. Une phase de reconnaissance vise ensuite l'identification des systèmes et applications connectés à Internet, de leurs versions et de leurs failles. Pour rester invisible durant cette phase, l'attaquant met en œuvre des techniques de contournement avancées dites AET (Advanced Evasion Techniques). "Ces techniques permettent de contourner les firewalls et les IPS", explique Léonard Dahan (photo), country manager chez StoneSoft.

Puis l'assaillant monte sa plate-forme d'attaque. "Les organisations lançant des APT opèrent via des botnets qu'elles louent", explique à ce sujet Philippe Rondel. Cette phase préparatoire peut comporter une démarche de social engineering visant à identifier les employés, leurs e-mails et leurs rôles afin de s'adresser à eux d'une façon crédible. Puis vient le début de l'attaque. Emmanuel Le Bohec décrit un scénario typique : "l'attaquant glisse dans un e-mail, une pièce jointe de type PDF ou Excel, qui contient un code exploitant une faille de sécurité afin de prendre le contrôle d'un poste, ce qui permet ensuite d'installer des malwares qui permettront un déploiement vers d'autres postes". Lors de cette propagation lente et contrôlée, des privilèges de plus en plus élevés permettent d'accéder à des informations de plus en plus sensibles. Quatrième phase : l'installation d'autres malwares permet de chiffrer les données jugées intéressantes puis de les exfiltrer. La phase ultime consiste à nettoyer toutes les traces.

5. Les APT sont-elles liées à des attaques en déni de service ?

"Le déni de service peut servir d'écran de fumée pour masquer une APT ou faire tomber les barrières de sécurité", affirme Emmanuel Le Bohec. Certaines entreprises choisissent en effet de configurer leurs équipements afin, en cas d'attaque massive, de privilégier le service à la sécurité. Toutefois, si un déni de service peut effectivement masquer une APT, la méthode est peu discrète. "Une fois la panique passée, l'entreprise sera plus vigilante", constate Philippe Rondel.

6. Comment détecter et prévenir ces attaques ?

Philippe Rondel"L'assaillant stoppe son offensive dès qu'il sent un risque d'être détecté", affirme Philippe Rondel (photo). Mais les APT sont souvent découvertes des années plus tard, quand elles le sont. Même durant la phase de propagation, les protections sont généralement aveugles car les malwares sont chiffrés ou conçus spécifiquement, donc sans signature connue. Le seul moment où une APT peut se trahir, c'est quand elle communique avec l'extérieur afin d'assurer le suivi de son déploiement ou d'exfiltrer les informations. Ce dialogue peut alors générer un trafic anormal tel que flux non HTTP sur des ports HTTP, ou flux chiffrés sur des ports qui ne véhiculent normalement que des flux en clair.

"La détection et la prévention doivent combiner plusieurs mesures dans le cadre d'une approche globale", affirme Philippe Rondel. On mettra à jour les systèmes et applications afin de supprimer les failles, on déploiera des outils de détection de malwares procédant par analyse comportementale, on surveillera l'évolution des clés de registre des PC ainsi que la réputation des URL, domaines et adresses IP ciblés en sortie, et on analysera les protocoles pour détecter les flux sortants anormaux. "Enfin, on éduquera les utilisateurs pour qu'ils réagissent à des comportements anormaux du système d'information, comme des lenteurs ou des pièces jointes suspectes", ajoute Cyrille Barthelemy.

Les fournisseurs d'équipements et de logiciels de sécurité ont également un travail de fond à réaliser. "Aujourd'hui, ces firewalls et autres IPS qui analysent les protocoles et les contenus ne détectent pas la plupart des techniques de contournement avancées car ils interprètent les protocoles en privilégiant les performances plutôt que le respect des normes", affirme Léonard Dahan, tout en estimant qu'il faudra des années d'efforts ainsi qu'une prise de conscience des entreprises pour que cette problématique soit correctement prise en compte.

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages