APT : non pas quoi mais qui
Par Olivier Kempf le vendredi 20 février 2015, 10:06 - Cyber - Lien permanent
Il y a trois ans, le mot APT (Advanced Persistent Threat) était le plus tendance du milieu cyber. Tout le monde le prononçait d'un air entendu, expliquant qu'il s’agissait d'un nouveau type de menaces. Les spécialistes d'entreprises de cybersécurité montraient leurs "solutions", les revues de directeurs de SSI ou de sécurité s’interrogeaient gravement, les journalistes faisaient leur travail en répercutant ce souci général.
A l'époque, comme tout le monde, j'avais essayé de comprendre : voici donc des menaces : bien ! Rien de bien nouveau. Elles sont persistantes : j'en déduis donc que par rapport à ce qu'il y avait "avant", celles-ci s'inscrivaient dans une plus longue durée. Soit ! Enfin elles étaient "avancées". Fichtre ! là, il fallait écouter les informaticiens et autres hommes de l'art pour nous expliquer en quoi c'était vraiment "avancé" et donc à la pointe de l'innovation, donc de la menace. S'agissait-il d'une nouvelle technique ? de procédés inédits ? Malheureusement, on obtenait des réponses évasives qu'on mettait sur le compte de la complication inhérente à ces suites de zéros et de uns, indicibles au vulgum pecus.
Peu à peu, j'eus l'impression qu'en fait, il s'agissait d'opérations combinées mettant en œuvre une longue phase d’espionnage, utilisant de l’ingénierie sociale pour profiler les cibles, leur lancer des pièges personnalisés afin d'insérer, plus ou moins automatiquement, des logiciels espions ou autres softs furtifs de commande à distance. Riez donc ! mais c'est ce que j'avais plus ou moins compris des explications qu'on m'avait données.
Aussi progressivement, le mot disparut pourtant des écrans radars et par exemple, au dernier FIC, nul n'y fit allusion, même pas Bruce Schneier qui cependant nous confia, sur le ton de la découverte la plus avancée, qu'il fallait réfléchir à la boucle OODA. Là, au passage, c'est le côté sympa quand on voit des informaticiens venir sur le domaine de la stratégie, subitement on se sent plus à l'aise et les rires changent de camp.
A bien y réfléchir, la dernière allusion aux APT fut l'équipe APT1, mentionnée par le rapport Mandiant pour l'unité 68193267830 9881 890 du côté de Shanghai et dépendant de l'armée chinoise. Depuis, le mot s'est évanoui et nous sommes tous passés à autre chose. D’une certaine façon, l'imprécision ressentie et l'absence de définition agréée ont suscité l'abandon de l'expression. Sans le dire, chacun délaissait le mot car on ne voyait pas précisément à quoi ça correspondait.
Aussi est-ce avec grand intérêt que j'ai lu cet article, récemment signalé par l'ami L. Guillet : APT is a who and not a what. On y apprend qu'en fait, la dénomination APT était utilisée par un service officiel de cybersécurité (de l’Armée de l'air US). Quand elle devait transmettre des informations classifiées au secteur privé sans pouvoir citer ses sources ni mettre un État en cause, elle utilisait un nom de code. APT désignait la Chine. Ainsi, APT n'est pas un quoi mais un qui, non un procédé mais un acteur. Menaçant, persistant, pas forcément très avancé.
Mais comme les destinataires ne le savaient pas vraiment, le sigle APT s'est diffusé et est devenu un produit marketing. Bref, si on vous dit que vous risquez une APT, ne tremblez pas et n'allez pas chercher de défibrillateur...
O. Kempf
Commentaires
Bonjour Docteur,
Ne serait-ce pas que le concept d'APT s'articulait sur 2 éléments qui se résorbent chaque jour un peu plus :
- l'existence admise d'un bruit de fond de menace, pas avancée, i.e. des permament threats pas bien méchantes si on voulait bien y regarder, du genre du rhume saisonnier lorsque l'on vous parle de poches de menace Ebola, et donc bruit de fond toléré du simple fait qu'aucune situation idéale n'existe ou ne saurait durer ;
corollaire : PT pour lesquelles il n'était pas besoin de s'équiper (comprendre acheter) de solutions logicielles ; en revanche, grosse plus-value de positionnement et commerciale, sur les produits censés répondre aux AdvPT ; les fora où vous croisiez ces gens confus étaient probablement des foires très axées hackers-stratégie-solutions ;
- par le biais des solutions contre les APT, auprès des DSI largués et des CA ignares, l'illusion d'une possibilité de se maintenir isolé, par quelque prophylaxie, de ces pics de menaces avancées. Car qui dit threat dans APT induit à la fois potentialité non réalisée (la menace n'est pas le fait) et possibilité de réponse à la menace. C'est binaire au-dedans et au-dehors. (vous l'avez presque dit mais vous êtes plus policé que moi).
Aujourd'hui, avec le battage autour d'Equation Group et ses Fanny et autres outils forgés avec intelligence et détermination, il faut savoir envisager la caducité même de l'air-gap et la contamination globale du parc mondial...
Donc plus d'APT, juste un état permanent d'infection potentielle car antérieure (*) à la prise de conscience publique. Dans ce monde binaire, l'état de la sécurité passe de 1 à 0.
Cela reprend le leitmotiv de l'ANSSI : ils sont infectés mais ils ne le savent pas encore.
Demain, face à l'ampleur de la contamination des parcs de HDD, il sera donc décrété par cette même profession de gourous du cyber que finalement, le piégeage des HDD par un acteur bien curieux, n'est pas plus grave, si l'on n'a rien cacher, que n'est grave un grippe si l'on n'est pas vieillard ou nourrisson.
Demain verra le monde de la sécurité informatique grand public faire son deuil de l'état de grâce des années passées pour rebâtir des stratégies commerciales qui ne traiteront pas de l'infection mondiale Eq.Group dont on nous rappellera avec justesse qu'elle ne vise que certaines entités (et donc les particuliers qui y sont rattachés) pour des motifs stratégiques. Les photos de Mme Michu n'intéressent pas les commanditaires.
On travaillait dans une doctrine d'une illusoire prévention, on va rebasculer vente de produits curatifs heuristiques./.
Bien à vous,
Colin./.
(*) fin des années 1990, dans la droite lignée du sabotage physique des matériels occidentaux vendus aux soviétiques dans les années 1980 ; ce seraient d'ailleurs les mêmes commanditaires.
egea : il est curieux de voir la montée de bouclier envers le cynisme d'Obama, cf. les éditoriaux de Le Boucher dans les Échos et de l'anonyme dans Le Monde. Mais derrière ces positions de principe, je crains qu'il n'y aura pas de remise en cause du leadership américain, il est désormais trop génétique : Ce n'est plus du Mithridate, c'est de la mutation darwinienne. Ce qui est bon pour les US ne peut être mauvais pour l'Europe, voyons. Là, j'espère que vous n'allez pas dire que je suis policé.J'ai terminé de lire le livre "cyber-warfare" de Jeffrey Carr, en tête des réponses sur amazon (SIC!) à la requête "cyber-defense". En préface, il est recommandé par quelque colonel "expert en cyber-sécurité" de la NSA (Sic!). Le livre est censé traiter de l'état actuel des menaces dans le cyber-espace.
Résultat de la lecture. La moitié est centrée sur la Russie, notamment sur l'utilisation des sites "stop.Georgia.ru" durant le conflit d'août 2008. L'auteur tente de mettre en évidence un pilotage des équipes de hackers par l'état russe malgré l'absence de preuve explicite (l'anonymat du cyber-espace...est bien utile, on peut calomnier selon les envies du moment).
Par contre , rien sur Echelon, qu'on connait depuis les années 80, et bien sûr, rien sur Prism (normal, rendu public après la parution du livre), mais rien non plus sur le Patriot Act (et les articles sur les backdoors) et en général, rien sur l'action des administrations et entreprises US dans le cyber. Rien sur l'avantage tactique et stratégique des USA du fait que leurs entreprises dominent l'internet et le cyber, depuis la production jusqu'à l'utilisation en passant par l'exploitation.
Un grand silence, simplement. Un livre, soi-disant pédagogique et pour les faux débutants, qui tait tout sur les USA et leurs alliés et traite à 50% de la Russie comme menace dans le cyber-espace. Qui ne se pose pas de questions, soit par stupidité soit par humilité, devient donc un expert (car il a lu le livre) en cyber-warfare persuadé que la menace vient de l'est, prêt à gober tout et surtout á soutenir toute mesure devant "améliorer la sécurité" proposée par quelque occidental: US, OTAN, Cazeneuve, Microsoft, qu'importe. En bref, un beau livre de propagande pour intellos, suggéré par amazon et la NSA. un petit bémol, cependant, aucun lubrifiant n'est livré avec le livre.
Egea : Toujours se méfier des colonels, ils ont tendance à raconter n'importe quoi, c'est bien connu.Je connais une collection chez Economica où il y a des choses qui ne sont pas en tête des ventes chez Amazon mais qui pourraient répondre à votre requête, au moins partiellement. Je suis preneur d'une fiche de lecture un soupçon plus détaillée (deux paragraphes en plus) pour dire qui est l'auteur, quand le livre a été publié pour la première fois et qui le recommande dans la grande presse, qu'on ait le sentiment d'avoir affaire à un sachant : cela serait publié avec toute la modestie de ce site... Accessoirement, le plus surprenant consiste dans la non-accusation de la Chine : cela doit être un vieux manuscrit datant d'avant Ghostnet, un truc de 2009 2010, quand la Russie était encore la croquemitaine. Entre temps, ça a été la Chine puis il y a eu PRISM, puis il y a eu l'Ukraine, du coup on voit revenir le grand méchant ours qui fait plein d'actions hybrides avec du cyber (même si en Ukraine, il s'agit seulement de brouillage, vous savez, ce truc de la "guerre électronique" qui date de la bonne vieille guerre de papa et que les Russes n'ont pas abandonné, eux). Bref, soit le bouquin est ultra récent (genre publié à l'automne dernier) soit il est assez ancien. Quant à supposer que l'hégémon bienveillant puisse utiliser le cyberespace à des fins stratégiques, avec une NSA dont le budget équivaut au tiers du budget FR de la défense, et l'ensemble des employés équivaut à l'Armée de terre, je vous trouve bien suspicieux.