APT, la menace du 3ème type

APT, trois lettres qui semblent faire trembler de nombreux responsables de sécurité à travers la planète depuis quelques mois.

L'acronyme APT signifie "Advanced Persistent Threat", que nous pouvons littéralement traduire en français par "Menace Persévérante Avancée".

Certes, vous n'êtes pas mieux informés après cette courte définition, mais sachez qu'à l'évocation de ces simples mots, vos anti-virus, firewalls et autres système de détection d'intrusion ont déjà des sueurs froides.

APT : menace du 3ème type

Rassurez-vous, les petits bonhommes verts ne vont pas attaqués vos réseaux car il ne s'agit pas d'une suite donnée au célèbre film "Rencontres du troisième type".

S'il fallait définir les types d'attaques, nous pourrions aisément dire que le 1er type exploite les faiblesses de l'utilisateur (chevaux de Troie par exemple) et que le 2nd type exploite les faiblesses des programmes (exploitation d'une vulnérabilité par exemple).

Le 3ème type d'attaques n'est que le savoureux cocktail des deux premiers, auquel vous ajoutez 1/3 de marketing sécurité, 1/3 de gros titres dans la presse et enfin 1/3 de petits mensonges.

association de malfaiteurs

Quitte à parler d'un sujet qui est censé faire peur, autant mettre un titre accrocheur au paragraphe... C'est pourtant bien la notion de groupe d'attaquants qui caractérise la définition commune de l'APT (voir Wikipedia).

En synthèse, dans cette même définition, vous apprendrez qu'une APT est reconnaissable comme suit:

  • elle est menée par un groupe, de préférence l'officine d'un état étranger
  • elle est menée avec des moyens et une volonté à la hauteur de la cible visée
  • elle est menée dans le cadre d'une opération d'espionnage (d'internet de préférence)
  • elle ne peut être menée par un individu, même hacker, motivé ou pas


Il est néanmoins précisé que pour les professionnels de la sécurité, ainsi que les médias, le terme APT se réfère à des attaques sophistiquées se déroulant sur de longues périodes.

En synthèse, ou bien la dernière attaque dont vous avez été victime est le fruit d'un groupe d'espions venus d'un état qui n'est pas ami avec le votre, ou bien les attaquants ont réussi à rentrer dans vos systèmes à la vitesse d'un octet par heure et que cela fait des mois que ça dure.

la naissance du monstre

Si le terme APT apparait durant l'année 2009 dans certains livres que lisent les administrateurs système et réseaux avant de se coucher, il n'est massivement repris par la presse que durant les premiers mois de 2010.

Début 2010, les échanges par voie de presse d'enflamment quelque peu entre le géant Google et  l'état chinois, le premier accusant le second de piratage de ses systèmes. Celui qui a réussi à pirater les systèmes du géant de l'Internet ne peut alors être qu'aussi gros que lui (en convertissant le nombre de serveurs de l'un en nombre de bras de l'autre), politiquement motivé (sinon, qui voudrait du mal à un annuaire) mais aussi très expérimenté.

Suivront ensuite des attaques contre des  groupes pétroliers, puis dernièrement de nouvelles attaques dont la presse s'est largement fait écho (Bercy, RSA, Sony, ...).

principes généraux

Fin janvier 2011, la société Mandiant, spécialisée dans les prestations de sécurité informatique, a publiée le rapport "M-Trends 2010", disponible en téléchargement ici. Sur la base de centaines d'études d'attaques, elle dresse un portait robot de étapes clés d'une attaque APT :

  • 1. Reconnaissance de l'écosystème de la victime (scan, ingénierie sociale, ...)
  • 2. Intrusion furtive dans les systèmes cibles (envoi de mail ciblés avec cheval de Troie, ...)
  • 3. Mise en place d'une backdoor sur le réseau pénétré
  • 4. Obtention de droits d'accès vers d'autres systèmes internes
  • 5. Installation d'un ensemble d'outillage nécessaire à la furtivité, l'exfiltration de données, ...
  • 6. Obtention de privilèges plus importants (après sniffage de données par exemple)
  • 7. Exfiltration furtive de données (avec encryption et utilisation de canaux licites, HTTP par ex.)
  • 8. Adaptation à l'écosystème et ses détecteurs pour préserver les acquis de l'attaquant


Même si ce rapport révèle quelques détails sur les techniques employées, il est difficile d'en conclure que les attaques APT soient l'aboutissement ultime des techniques d'attaques (car si cela était le cas, autant d'articles sur le sujet ne seraient pas publiés).

Difficile également d'évaluer le niveau d'estimer le niveau d'excellence atteint par les attaques déclarées "APT" par les victimes, tant il est tentant pour ces dernières de se réfugier derrière une incroyable opération d'espionnage pour justifier une absence de communication ou un aveu de faiblesses sur ses lignes de défense.

avertir, prévenir, traiter

Que les APT soient considérées comme le type de menaces ultime qui va s'abattre sur les systèmes informatiques du monde entier par les uns, ou tout simplement l'enchainement intelligent d'attaques moins abouties pour les autres, elles représentent ce dont un responsable sécurité en entreprise ne souhaiterait pas être victime : l'intrusion, le vol et la fuite de données.

L'acronyme APT peut sans doute être rapproché des trois règles fondamentales suivantes :

  • Avertir et informer ses utilisateurs des risques liés à l'ingénierie sociale et aux mails
  • Prévenir tout incident en équipant ses infrastructures de systèmes de protection et de supervision
  • Traiter le moindre incident avec la même priorité et le même sérieux, quelque soit sa nature


En choisissant une stratégie basée sur la sensibilisation, la protection et l'action, vous ne vous mettrez certes pas à l'abri de toute attaque, mais augmenterez vos chances de stopper celles qui se veulent plus persistantes que vous !

pour aller plus loin

Voici une petite liste d'articles (en anglais) qui vous apporteront d'autres éléments de compréhension sur les APT et la manière dont ils sont analysés :

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.