L’omerta sur les attaques APT

Les APT (Advanced Persistent Threat) ou attaques ciblées sont la terreur des responsables de la sécurité informatique. Mais faute de moyens et d’une connaissance précise de ces techniques, de nombreuses entreprises restent démunies et ne veulent pas se donner les moyens d’être mieux protégées. Explications avec Cédric Pernet, Senior Threat Researcher at Trend Micro.

Propos recueillis par Philippe Richard

SecuriteOff : De vos rencontres vous en tirez souvent la même conclusion : qu’il s’agisse de DSI, d’architectes réseau ou encore développeurs, il y a une méconnaissance à propos des attaques APT (Advanced Persistent Threat) ou attaques ciblées. Quelles sont les causes ?

Cédric Pernet : Pour commencer, il règne une certaine confusion dans les esprits quant à ce qu’est réellement une attaque APT. Pour certains RSSI, la découverte d’un trojan bancaire sur son parc informatique est une APT, alors qu’il ne s’agit probablement que d’une infection non ciblée propagée par une campagne de mails de cybercriminels… Pour d’autres, un DDoS est une APT…
Ensuite, il y a ceux qui savent ce qu’est une APT (à savoir, une attaque ciblée sur leur entreprise dans le but de leur dérober de la propriété intellectuelle ou des informations), mais qui souffrent des nombreuses idées reçues poussées par le journalisme sensationnel. Ils pensent que les attaquants utilisent forcément des outils très puissants, indétectables, et que leurs compétences en piratage confinent au génie. D’où un certain fatalisme de certains, qui baissent les bras avant même de se défendre.
La méconnaissance des attaques APT provient en grande partie du manque de sources fiables sur le sujet, ce que j’essaye de combattre dans mon livre.

SecuriteOff : Cette méconnaissance explique-t’elle que les APT ne soient pas repérées alors que la majorité utilise les mêmes techniques et un déroulement de campagne souvent similaire ?

C.P : La méconnaissance est une chose. Le manque de moyens en est une autre. Les attaques APT peuvent être détectées, et elles le sont, lorsque de vrais moyens sont mis en œuvre pour lutter contre ce fléau. Pour détecter ces attaques, il faut se doter d’outils qui surveillent le trafic réseau ainsi que les postes de travail (HIDS), mais il faut surtout des analystes compétents, à plein temps, abreuvés par une veille efficace en menaces, sans quoi l’ensemble ne sert à rien. Ces moyens sont généralement mis en œuvre soit en interne, sous forme de SOC généralement, ce qui est très couteux et les profils adéquats sont rares, soit externalisés dans des SOCs (Security Operating Center).

SecuriteOff : On peut supposer que cette méconnaissance a des conséquences très graves pour les PME qui n’ont pas les ressources (humaines et financières : vous dites que la détection d’APT implique « des moyens conséquents ») pour être sensibilisées et organisées ? La situation est d’autant plus préoccupante que les attaquants ne visent pas que les grands comptes !

C.P : Le cas des PME est en effet préoccupant. Je pense notamment à un cas que j’ai rencontré dans lequel une entreprise de quatre personnes était la seule à développer un certain type de produit, et qui était la cible d’un groupe d’attaquants APT chinois que j’avais identifié. Ces derniers ont finalement été sauvés par le fait qu’ils étaient aussi petits : ils n’avaient qu’un site web, qui était externalisé chez un gros hébergeur. Par contre, leur mode de fonctionnement faisait qu’ils n’avaient aucune information sensible sur Internet, du fait que finalement, ils n’avaient pas de réseau d’entreprise. Et c’est là que réside la solution pour ce type de sociétés : ne rien mettre sur des réseaux, tout simplement. Les secrets industriels et la propriété intellectuelle peuvent être stockés sur des machines non connectées, à charge pour les utilisateurs de ne pas infecter ces postes avec des malwares provenant de supports numériques tels que des clefs USB par exemple.

SecuriteOff : Les entreprises étrangères sont-elles mieux « préparées » aux APT que leurs homologues français ?

C.P : Certains pays ont une culture plus développée en matière de sécurité informatique, mais je crois qu’il s’agit surtout d’un problème de culture d’entreprise. Où que ce soit dans le monde, si vous ne sensibilisez pas vos employés, et si toute la hiérarchie de la sécurité informatique de l’entreprise n’est pas au fait de ce type de menaces, les attaquants auront toutes les cartes en main pour réussir leur attaque.

SecuriteOff : Certaines entreprises anglo-saxonnes n’hésitent pas à embaucher des hackers. Cette pratique n’est pas répandue en France. Pourquoi ? Le recrutement de ces spécialistes ne serait-il pas une bonne initiative ?

C.P : Je me méfie de l’utilisation du terme « hacker ». Ce terme noble au départ décrit surtout un passionné de la compréhension des systèmes informatiques et des ordinateurs, mais a dérivé pour décrire des pirates informatiques, tout aussi passionnés certes, mais mettant à mal des réseaux informatiques et des personnes responsables de ces réseaux.
Personnellement, je ne connais pas les méthodes de recrutement des sociétés françaises dans lesquelles je n’ai pas été employé, mais j’aurais tendance à penser qu’en face d’un réel déficit de compétences en réponse à incident notamment, il ne faudrait pas cracher sur de tels profils, loin de là. Cependant, c’est une histoire de confiance et de nombreuses sociétés ne peuvent tout simplement pas embaucher de telles personnes parce qu’elles ont besoin d’intervenir à des niveaux d’habilitations tout simplement incompatibles avec un passé délictuel ou criminel.

SecuriteOff : Dans votre livre, vos exemples d’attaques s’arrêtent à mars 2014. Avez-vous des exemples plus récents ?

C.P : J’aurais aimé poursuivre la rédaction de l’ouvrage et ne jamais m’arrêter… Honnêtement, ça a été difficile pour moi de rendre le manuscrit à mon éditeur, sur une deadline prévue depuis plusieurs mois… D’autant que je voyais passer des attaques que j’avais envie d’ajouter. Néanmoins, cela s’est arrêté un peu plus tard que mars, je pense notamment à la publication sur le groupe Pitty Tiger sur laquelle j’ai travaillé et que nous avons publiée en juillet 2014.
Je peux donc répondre par l’affirmative : il y a eu des attaques APT médiatisées depuis, telles que Regin, Operation Poisoned Handover, Operation Cleaver, Anunak, Cloud Atlas, Penguin Turla, et d’autres… Comme vous le voyez, cela va très vite. Les publications APT fournissent non seulement un terrain très fertile à des chercheurs, mais également un puissant outil de marketing.

SecuriteOff : La sensibilisation à l’espionnage économique implique un long travail d’évangélisation de la part d’experts comme vous. Cette mission est d’autant plus difficile, qu’en période de crise, la sécurité est considérée comme un cout et non comme pas un investissement ?

C.P : Je travaille depuis environ 7 ans dans des environnements de type CSIRT, sur de la réponse à incident et sur de l’investigation numérique. Ces structures vivent sur les budgets de la sécurité, et doivent tous les ans se justifier sur leurs activités, mais d’autant plus péniblement quand « tout va bien » dans l’entreprise. Une année passée à combattre un grand nombre d’incidents se justifie pleinement auprès de dirigeants. Par contre, ils ont beaucoup plus de mal à comprendre comment une équipe « vit » lorsque tout est calme pendant de nombreux mois. Ils ne voient pas forcément que les périodes creuses sont mises à profit pour faire de la veille plus poussée, se maintenir à jour de ses connaissances, tisser des liens de social networking plus serrés avec d’autres structures CSIRT, faire de la sensibilisation, échanger de l’information avec des tiers, et s’assurer qu’effectivement, il n’y a pas d’incident en cours… J’ai donc effectivement plutôt vu les budgets alloués à la sécurité défendus comme des « investissements » alors qu’ils étaient perçus comme des « coûts ».

SecuriteOff : Les attaques ciblées ont-elles augmenté ces dernières années ou, certaines entreprises étant plus sensibilisées et organisées, les APT sont mieux repérées ? À moins qu’il soit difficile d’établir une tendance, car des APT ne sont pas médiatisées ?

C. P : De nombreuses attaques APT ne sont pas médiatisées, effectivement. Les NDA signées lors de réponse à incidents sur ce type d’attaques sont très strictes, et ne permettent pas de communiquer dessus. Il est également difficile d’estimer si les attaques ont augmenté, ou s’il y a simplement plus de publications sur ces dernières. Si nous regardons l’évolution de la cybercriminalité classique, il semble légitime de penser que ce type de cybercriminalité particulière suivra la même tendance : il y en aura de plus en plus. Espérons qu’elle soit de mieux en mieux détectée du coup.

SecuriteOff : Quels conseils donneriez-vous aux entreprises ? Vos conseils diffèrent-ils selon qu’il s’agisse de PME ou de grands comptes ?

C.P : Difficile de répondre à cette question en quelques lignes. Nous avons évoqué précédemment le problème de budget que peuvent rencontrer les PME, sur lequel je ne reviens pas. Pour ce qui est des grands comptes, ils doivent impérativement mettre en place des analyses de leur trafic et de leurs postes de travail. Il ne faut pas se contenter de « déployer des boiboites », il faut analyser ce qui en sort, et maintenir une veille efficace qui permet d’alimenter la société en nouvelles règles de détections. Pour finir, il faut faire de la sensibilisation, beaucoup de sensibilisation, encore et toujours de la sensibilisation. Elle doit par contre englober des notions de sécurité informatique générales, avant de s’intéresser aux APT : cela ne sert à rien de parler APT à un utilisateur qui ne sait pas ce qu’est un malware… Cette sensibilisation doit être effectuée dans toutes les sociétés, peu importe leur taille.