Présentation
RÉSUMÉ
Cet article propose de faire le point sur les attaques informatiques « APT », acronyme international signifiant « Advanced Persistent Threat ». Ce type d’attaque a pour but de procurer à ses commanditaires un accès sur le réseau informatique d’une entreprise ciblée, afin de lui dérober des informations telles que sa propriété intellectuelle ou ses secrets industriels. Il s’agit d’opérations de cyberespionnage mises en œuvre par des attaquants qui suivent tous le même mode opératoire : prise de renseignements sur la cible, compromission initiale, maintien et renforcement des accès sur la cible, découverte et exfiltration de données. L’article présente également plusieurs méthodes de détection de ces attaques.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
This article offers to help understanding the “APT” computer attacks, APT standing for “Advanced Persistent Threat”. These attacks enable attackers to get computer access to a targeted company network, in order to steal information like intellectual property or industrial secrets. Those attacks are cyberespionnage operations built and run by attackers who all follow the same modus operandi: collection of information about the target, initial compromise, continuously strengthening the accesses, discovery and data exfiltration. The paper also provides a list of detection methods.
Auteur(s)
-
Cédric PERNET : Senior Threat Researcher - Trend Micro
INTRODUCTION
Les attaques APT (pour Advanced Persistent Threat) sont des attaques informatiques ayant pour but la compromission et le maintien dans le système d’information d’une entité à des fins de vol d’informations et de données, cette entité étant généralement une entreprise privée ou une instance gouvernementale. La première de ces attaques a été médiatisée au début de notre siècle, mais la visibilité sur ce type de menace a véritablement explosé à partir de 2010 avec l’Opération Aurora ciblant notamment Google.
Le mode opératoire de ces attaques, décrit dans cet article, varie finalement peu et se résume comme suit. Les attaquants étudient d’abord leur cible, afin d’obtenir des éléments pour mener à bien une première compromission du système. Une fois l’accès obtenu, ils se déploient sur le système en renforçant les accès déjà existants (ajout de portes dérobées, d’outils de contrôle à distance) et obtiennent des droits étendus sur le réseau. Ils ciblent ensuite les informations recherchées et les exfiltrent. Ils maintiennent généralement leurs accès des semaines, des mois, voire des années dans certains cas.
Ce qui rend ces attaques difficiles à détecter et à combattre réside notamment dans le fait que l’adversaire maintient ses accès dans le temps en changeant régulièrement les outils déployés sur le système. Les malwares et les logiciels utiles à l’attaquant sont mis à jour, les serveurs de contrôle de ces malwares changent eux aussi régulièrement.
Nous proposerons malgré tout des solutions pour détecter ce type d’attaques et de maintien sur un système informatique.
MOTS-CLÉS
KEYWORDS
malware | cyberespionnage | computer threat
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Menaces et vulnérabilités : protection des sites industriels > Cyberespionnage : la menace APT > Glossaire
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Glossaire
CERT / CSIRT : Un computer emergency response team (CERT) ou computer security incident response team (CSIRT) est un centre d’alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. L’appellation CSIRT est privilégiée en Europe, CERT étant une marque déposée aux États-Unis par l’université Carnegie-Mellon.
FTP : FTP (File Transfer Protocol) est un protocole de communication destiné à l’échange de fichiers sur un réseau.
Malware : Un logiciel malveillant ou maliciel, aussi dénommé logiciel nuisible ou programme malveillant ou pourriciel (« malware » en anglais), est un programme développé dans le but de nuire à un système informatique, sans le consentement de l’utilisateur dont l’ordinateur est infecté.
Proxy : Un proxy est un programme servant d’intermédiaire entre deux hôtes sur un réseau.
RAT : Un outil d’administration à distance (Remote Administration Tool, RAT) est un programme permettant la prise de contrôle totale, à distance, d’un ordinateur depuis un autre ordinateur. Il est constitué de deux parties : le « client » et le « serveur ». Le « client » est installé sur l’ordinateur de celui qui prend le contrôle et le « serveur » est installé sur l’ordinateur contrôlé.
RDP : Remote Desktop Protocol (RDP) est un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services. Des clients existent pour la quasi-totalité des versions de Windows, et pour d’autres systèmes d’exploitation, comme les systèmes GNU/Linux.
Sandbox : Un ou une sandbox (anglicisme signifiant « bac à sable ») est un mécanisme de sécurité informatique qui permet l’exécution de logiciel(s) avec moins de risques pour le système d’exploitation. Ces derniers sont souvent utilisés pour exécuter du code non testé ou de provenance douteuse. Le terme sandbox est aussi utilisé dans un sens plus large pour faire référence à un environnement de test pour logiciels ou sites web. Les sandbox disposent généralement de fonctions d’analyse qui permettent de comprendre le comportement du logiciel testé et déterminer notamment s’il s’agit...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Glossaire
BIBLIOGRAPHIE
-
(1) - ICANN WHOIS - Aperçu technique du protocole Whois. - https://whois.icann.org/fr/aperçu-technique
-
(2) - Phishing box - * - Symantec Internet Security Threat Report (2018). https://www.phishingbox.com/news/phishing-news/symantec-internet-security-threat-report-2018
-
(3) - RSA - RSA Incident Response – - Emerging Threat Profile – Shell_Crew, Janvier 2014. https://www.emc.com/collateral/white-papers/h12756-wp-shell-crew.pdf
-
(4) - * - Emerging Threat : Dragonfly / Energetic Bear – APT Group. https://www.rsa.com/content/dam/en/white-paper/rsa-incident-response-emerging-threat-profile-shell-crew.pdf
-
(5) - GREENBERG (A.) - Meet Mia Ash, the Fake Woman Iranian Hackers Used to Lure Victims. - Wired, Juillet 2017. https://www.wired.com/story/iran-hackers-social-engineering-mia-ash/
-
(6)...
DANS NOS BASES DOCUMENTAIRES
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive