Cybersécurité – Les menaces persistantes avancées

Le cyberespace pullule d’acteurs malicieux qu’ils soient un groupe étatique ou un groupe cybercriminel affilié à un état. Tous ces groupes peuvent être regroupés sous le nom générique de Menace Persistante Avancée (MPA) ou Advanced Persistent Threat (APT). Ces groupes ont habituellement des motivations politiques ou économiques et celles-ci motivent la sélection de leurs cibles et de leurs attaques. Les MPAs vont s’infiltrer furtivement dans le réseau de leur cible, vont voler des données, les espionner et perturber leurs opérations courantes. Les attaques sont habituellement planifiées et orchestrées minutieusement plutôt que des attaques d’opportunités qui sont menées par certains groupes de cybercriminels. 

Les MPAs sont avancées dans le sens que les techniques et technologies utilisées sont variées et perfectionnées. Ils peuvent effectuer des missions d’infiltration et d’espionnage pour pénétrer un réseau informatique. De plus, des outils spécifiques peuvent être développés pour une cible particulière. Par exemple, un logiciel furtif qui détraque les centrifugeuses d’enrichissement d’uranium d’une centrale nucléaire.

Les MPAs sont persistantes parce qu’elles ont des buts propres et qu’une fois infiltrés dans les réseaux de leurs cibles, ils font tout en leur pouvoir pour garder ces accès par différentes méthodes. Le but est de continuer à espionner et obtenir le maximum d’informations et de données sur leurs cibles. 

Les MPAs sont des menaces, car les attaques sont réfléchies, planifiées, coordonnées et exécutées selon un plan précis à l’inverse d’une attaque opportuniste. Ces groupes, surtout ceux soutenus par un gouvernement, ont les ressources humaines et financières ainsi que du temps nécessaire pour réussir une attaque informatique sur la cible voulue. 

Pour faire une analogie, un MPA serait dans la catégorie d’un groupe qui vol les lingots d’or d’une banque en ayant planifié pendant des mois l’opération. À l’inverse, un groupe de cybercriminel opportuniste serait des cambrioleurs qui ont volé les biens dans une résidence parce que la porte arrière était débarrée et qu’ils passaient dans le voisinage.

De manière générale, les services de renseignements étatiques des grandes puissances mondiales et régionales ont un ou des groupes qui sont considérés comme des MPAs. Ceci fait partie des affrontements entre pays dans une quête de pouvoir et d’informations. De plus, la barrière d’entrée est plus basse que dans d’autres domaines : il est plus facile d’avoir un groupe de cyberpirates qui attaquent et défendent des infrastructures critiques que d’avoir une marine possédant des frégates, des sous-marins et des porte-avions. De plus, comme ces navires utilisent aussi des systèmes informatiques, si un groupe est capable de perturber le lancement de torpilles d’un sous-marin ennemi, celui-ci devient tout à coup beaucoup moins utile.

Certains chercheurs en cybersécurité analysent les attaques informatiques et tentent de les attribuer à un groupe en particulier. Certains les nomment APT1, APT2, etc. alors que d’autres les nomment selon les gouvernements auxquels les MPAs sont affiliés ainsi qu’un animal. Par exemple, les MPAs russes sont affiliés aux ours (Fancy Bear, Cozy Bear), les groupes chinois au panda et les groupes iraniens aux chats. Toutefois, la nomenclature des groupes MPAs n’est vraiment pas une science exacte et va dépendre de qui fait l’appellation. 

En conclusion, même si ces interactions entre états peuvent sembler loin du quotidien, les conséquences peuvent être très perturbatrices et affectées des populations. 

Simon Benoît

Consultant en cybersécurité