Présentation

Article interactif

1 - INTRODUCTION ET DÉFINITION

2 - PHASES D’UNE ATTAQUE APT

  • 2.1 - Phase de reconnaissance / collecte d’informations sur la cible
  • 2.2 - Compromission initiale
  • 2.3 - Maintien sur le système d’information et renforcement des accès
  • 2.4 - Recherche et exfiltration des données de la cible

3 - MÉTHODES DE DÉTECTION D’ATTAQUES APT

  • 3.1 - Détection sur les postes de travail et serveurs
  • 3.2 - Détection d’attaques APT sur le réseau
  • 3.3 - Détection par une prévention efficace
  • 3.4 - Détection par une veille continue

4 - CONCLUSION

5 - GLOSSAIRE

Article de référence | Réf : H5842 v1

Introduction et définition
Cyberespionnage : la menace APT

Auteur(s) : Cédric PERNET

Relu et validé le 23 juin 2021

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Cet article propose de faire le point sur les attaques informatiques « APT », acronyme international signifiant « Advanced Persistent Threat ». Ce type d’attaque a pour but de procurer à ses commanditaires un accès sur le réseau informatique d’une entreprise ciblée, afin de lui dérober des informations telles que sa propriété intellectuelle ou ses secrets industriels. Il s’agit d’opérations de cyberespionnage mises en œuvre par des attaquants qui suivent tous le même mode opératoire : prise de renseignements sur la cible, compromission initiale, maintien et renforcement des accès sur la cible, découverte et exfiltration de données. L’article présente également plusieurs méthodes de détection de ces attaques.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

Les attaques APT (pour Advanced Persistent Threat) sont des attaques informatiques ayant pour but la compromission et le maintien dans le système d’information d’une entité à des fins de vol d’informations et de données, cette entité étant généralement une entreprise privée ou une instance gouvernementale. La première de ces attaques a été médiatisée au début de notre siècle, mais la visibilité sur ce type de menace a véritablement explosé à partir de 2010 avec l’Opération Aurora ciblant notamment Google.

Le mode opératoire de ces attaques, décrit dans cet article, varie finalement peu et se résume comme suit. Les attaquants étudient d’abord leur cible, afin d’obtenir des éléments pour mener à bien une première compromission du système. Une fois l’accès obtenu, ils se déploient sur le système en renforçant les accès déjà existants (ajout de portes dérobées, d’outils de contrôle à distance) et obtiennent des droits étendus sur le réseau. Ils ciblent ensuite les informations recherchées et les exfiltrent. Ils maintiennent généralement leurs accès des semaines, des mois, voire des années dans certains cas.

Ce qui rend ces attaques difficiles à détecter et à combattre réside notamment dans le fait que l’adversaire maintient ses accès dans le temps en changeant régulièrement les outils déployés sur le système. Les malwares et les logiciels utiles à l’attaquant sont mis à jour, les serveurs de contrôle de ces malwares changent eux aussi régulièrement.

Nous proposerons malgré tout des solutions pour détecter ce type d’attaques et de maintien sur un système informatique.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5842


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

1. Introduction et définition

Le terme « APT » (Advanced Persistent Threat) n’a pas réellement d’équivalent dans la langue française. Il est possible de parler d’« attaques ciblées » mais ce vocable semble incomplet pour décrire le phénomène, comme nous allons le voir dans le présent chapitre.

Ce sigle est apparu en 2006, utilisé par l’US Air Force pour décrire « des types spécifiques d’adversaires, exploits, et cibles utilisées à des fins de collecte de données stratégiques ».

Cette définition est intéressante, parce qu’elle mentionne des adversaires, des aspects informatiques, ainsi qu’un but. Elle ne semble cependant pas complète pour un certain nombre d’experts du domaine, qui en ont décliné d’autres versions, basées sur une expérience réelle ou sur des besoins particuliers de marketing.

Il semble donc utile ici de décortiquer les notions présentes dans ce sigle, une par une.

  • A – Advanced

    Ce mot est celui qui lève le plus de commentaires et de discussions dans les communautés des professionnels de la réponse à incident de sécurité informatique. Le terme « avancé » semble en effet inapproprié pour décrire une majorité d’attaques constatées dans la réalité, qui se révèlent d’une simplicité déconcertante. En effet, dans la plupart des cas, les attaques APT reposent sur de l’ingénierie sociale, associée à l’utilisation de malwares et d’outils permettant la pénétration du système et le maintien/renforcement des accès sur le système compromis. De nombreuses attaques réussies n’ont ainsi finalement utilisé que des logiciels disponibles gratuitement sur Internet (tels que Poison Ivy, Mimikatz, PsExec, HTran par exemple). Certaines attaques sont cependant beaucoup plus sophistiquées, et mettent en œuvre des moyens et des ressources largement plus importantes (par exemple la plateforme « GrayFish » du groupe d’attaquants « Equation Group »).

    GrayFish est le nom d’une plateforme exploitant un malware capable d’infecter directement le firmware d’une dizaine de marques de disques durs. Il s’agit d’un exploit technique d’une sophistication rare, car de telles infections nécessitent des connaissances très spécifiques qui ne sont disponibles que chez les concepteurs et constructeurs...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

TEST DE VALIDATION ET CERTIFICATION CerT.I. :

Cet article vous permet de préparer une certification CerT.I.

Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.

Obtenez CerT.I., la certification
de Techniques de l’Ingénieur !
Acheter le module

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Introduction et définition
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - ICANN WHOIS -   Aperçu technique du protocole Whois.  -  https://whois.icann.org/fr/aperçu-technique

  • (2) - Phishing box -   *  -  Symantec Internet Security Threat Report (2018). https://www.phishingbox.com/news/phishing-news/symantec-internet-security-threat-report-2018

  • (3) - RSA -   RSA Incident Response –  -  Emerging Threat Profile – Shell_Crew, Janvier 2014. https://www.emc.com/collateral/white-papers/h12756-wp-shell-crew.pdf

  • (4) -   *  -  Emerging Threat : Dragonfly / Energetic Bear – APT Group. https://www.rsa.com/content/dam/en/white-paper/rsa-incident-response-emerging-threat-profile-shell-crew.pdf

  • (5) - GREENBERG (A.) -   Meet Mia Ash, the Fake Woman Iranian Hackers Used to Lure Victims.  -  Wired, Juillet 2017. https://www.wired.com/story/iran-hackers-social-engineering-mia-ash/

  • (6)...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Sommaire

QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

1/ Quiz d'entraînement

Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

2/ Test de validation

Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.

Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS