Menace dans le cyberespace : qu'est-ce qu'une APT et pourquoi s'en soucier ?

Actif depuis 2021, ce groupe cybercriminel a été surnommé Volt Typhoon par des experts en cybersécurité. En raison de son niveau de sophistication technique et de son engagement dans des attaques multiples et de grande ampleur, ce groupe a été catégorisé comme une "APT" : un terme désignant par métonymie une menace persistante avancée (Advanced Persistent Threat, terme initialement utilisé pour désigner le mode opératoire complexe).

Qu’est-ce qu’une APT et pourquoi retiennent-elles particulièrement l’attention des acteurs de la cybersécurité ? Les attaques informatiques sont menées par une multitude d’acteurs, mais les groupes structurés, professionnels et s’engageant dans des campagnes durables contre leurs cibles, sont plus rares et considérés comme des APT. Ils constituent la menace la plus difficile à contrer pour les États et les entreprises de cybersécurité. Pour cette raison, il est essentiel de comprendre la nature de ces acteurs, leur rôle dans la géopolitique du cyberespace et leurs objectifs. La nature singulière de l’espace numérique, la technicité de ces modes opératoires informatiques et la dimension obscure du cyberespionnage et de la cyberguerre ont produit ces acteurs hybrides, souvent indépendants mais liés d’une manière ou d’une autre aux États, qui ressemblent à des mercenaires ou des corsaires plutôt qu’à des acteurs conventionnels de la confrontation. Le travail d’identification et de publicisation de leurs activités est une stratégie qui démontre la prégnance des acteurs occidentaux de la cybersécurité et leurs tentatives de façonner un ordre juridique et politique stabilisé dans l’espace numérique, ce qui n’est pas sans difficultés.

Le terme APT (menace avancée persistante) a été conçu initialement au sein de l’armée américaine pour désigner des campagnes d’infiltration informatiques se déroulant dans la durée, permettant de pénétrer dans les réseaux informatiques d’une structure publique ou d’une entreprise pour surveiller et exfiltrer des données, discrètement et pendant plusieurs semaines, mois ou années. La notion de persistance est très importante car elle illustre autant le désarroi des acteurs en défense se rendant compte qu’il est souvent très difficile d’évaluer avec précision le temps qu’a duré une cyberattaque et les dégâts qu’elle a pu causer, que la grande motivation des acteurs en attaque à retrouver un accès aux réseaux dont ils se sont fait expulser.

Par métonymie, à mesure que les grandes entreprises de cybersécurité identifiaient des groupes structurés, utilisant des modes opératoires (Techniques, Tactiques et Procédures - TTP) propres et reconnaissables, celles-ci ont établi une typologie publique et numérotée (APT1, APT2…) pour désigner ces groupes. Ainsi, depuis les années 1990, l’apparition progressive de groupes cybercriminels a entraîné, à partir de 2014, l’apparition d’une liste en constante augmentation et des pratiques de Cyber Threat Intelligence (CTI) pour caractériser leurs activités, leurs liens avec des États ou non, leurs modes opératoires et leurs objectifs stratégiques (espionnage, sabotage, extorsion financière…).

La nature singulière de l’éclosion de ces acteurs informatiques, initialement à la recherche de gains financiers ou d’une indépendance permettant un déni plausible des États, amène désormais les acteurs de l’espace numérique à se confronter à une galaxie de pirates et corsaires digitaux. Dans cette mer numérique, la violence n’est pas le monopole wébérien des acteurs étatiques. Ces acteurs mènent parfois des actions à des fins d’enrichissement et parfois des actions d’espionnage ou de sabotage à des fins stratégiques, sous couvert de patriotisme ou de contrats avec leurs États de rattachement. Le plus souvent, les deux.

Ce flou est volontairement entretenu par leurs États de rattachement car les activités criminelles des APT leur permettent :

- Un déni plausible, les États pouvant nier leur participation à des actions par nature illégale mais dont la responsabilité est difficile à attribuer avec certitude ;

- Un respect de leurs engagements juridiques, ces États pouvant se distinguer de ces entités indépendantes et nier leur responsabilité au regard du droit ;

- De mener des actions stratégiques en se cachant derrière des groupes criminels, ce qui renforce la clandestinité d’une action étatique voire ce qui permet des opérations "sous faux drapeau" en faisant croire à la responsabilité d’un acteur tiers, si possible d’une nationalité différente de la sienne pour écarter tout soupçon. 

À titre d’illustration, en janvier 2023, à l’occasion de la cyberguerre en Ukraine, la société de cybersécurité Mandiant a observé le groupe de cyberespionnage russe Turla, lié aux services de renseignement, réutiliser des outils informatiques de groupes cybercriminels plus communs pour masquer son rôle dans certaines attaques.

Les premières APT (1, 2 et 3) sont chinoises, mais dans le débat public et médiatique, ce sont les APT russes qui sont sur le devant de la scène. Les APT liées à la Chine sont moins visibles car elles participent essentiellement à des opérations d’espionnage et de vol de données, à la différence des APT russes qui sévissent depuis deux décennies autant dans le domaine stratégique, avec des opérations spectaculaires en Ukraine, en Europe ou aux États-Unis, que dans le domaine criminel, rançonnant très fréquemment les entreprises.

La dislocation de l’URSS et la décennie des années 1990 a entraîné une reconversion massive des personnels des organes de force soviétiques (services de renseignement, armées, polices) vers des activités privées, plus ou moins lucratives, plus ou moins criminelles. L’éclosion, en parallèle, d’un secteur informatique en pleine croissance et le niveau technique élevé (mathématique, informatique) de nombre de ces personnels a entraîné un boom des groupes cybercriminels. Ces individus sont restés étroitement liés aux organes de force russes à mesure que le pouvoir russe restructurait et reprenait la main sur l’appareil d’État (milieu de la décennie 1990, puis arrivée de Vladimir Poutine en 1999).

Des acteurs indépendants, formés et expérimentés, loyaux ou tenus par des serments d’allégeance (voir la notion de krycha), entraînés par leurs opérations criminelles étaient donc directement disponibles pour servir ponctuellement les intérêts stratégiques russes. Ces acteurs étaient d’autant plus facilement activables que les enjeux stratégiques cyber ont d’abord été portés par les services de renseignement, ce qui est toujours le cas en Russie mais de moins en moins en Occident. L’endogamie et les liens d’allégeance ont permis aux trois services russes, FSB (service de sécurité intérieur), SVR (service de renseignement extérieur) et GRU/GU (service de renseignement militaire) de s’appuyer sur ces pirates, patriotes et/ou payés, pour mener des cyberattaques. Ainsi, sur un nuancier dans lequel il est difficile d’effectuer des distinctions claires, se trouvent des APT indépendantes et employées et des APT directement liées aux services de renseignement, comme n’importe quelle unité ou cellule administrative.

Fancy Bear (ou APT28) est le surnom donnée à l’unité 26165 du GRU et Sandworm (ou Voodoo Bear), celui donnée à l'unité 74455, agissant sur un large spectre (espionnage, sabotage, lutte informationnelle…). Cozy Bear (ou APT29) est le surnom donné à un groupe qui agirait pour le compte du SVR à des fins d’espionnage. Berserk Bear serait un groupe travaillant au profit du FSB, sans qu’il soit clair s’il s’agit de membres du FSB ou de contractants indépendants, tout comme Turla (ou Venomous Bear), la plus vieille APT, active au profit du FSB et du gouvernement russe depuis 1996. Ces APT sont les plus connues et ne recouvrent pas l’ensemble des acteurs menaçants russes, qui restent fluides, des individus pouvant travailler pour plusieurs groupes ou en changer. Ces APT ont participé à toutes les opérations russes rendues publiques, comme le hack du parti démocrate américain en 2016 ou de la campagne d'Emmanuel Macron en 2017, les sabotages en Ukraine entre 2014 et 2023 ou la pénétration de nombreuses installations critiques en Europe ou aux États-Unis, notamment Colonial Pipeline en 2021.

Si l’on évoque souvent les APT russes, en réalité, il en existe de nombreuses autres qui sont progressivement publicisées. Les trois premières APT de la liste sont chinoises, ces dernières ayant été caractérisées publiquement, en 2014, par les sociétés de cybersécurité Mandiant et Crowdstrike. S’agissant de la Chine, les APT identifiées sont soit des unités de l’Armée Populaire de Libération (APL, armée chinoise), soit des groupes liés au Ministère de la Sécurité d’État (MSE, service de renseignement intérieur et extérieur chinois). Si ces APT sont plus souvent des groupes appartenant aux organes de force, essayant simplement de se comporter comme des groupes indépendants pour des raisons de discrétion, il existe quelques APT, tel que Double Dragon (APT 10), connues pour mener aussi des activités à des fins financières. En outre, considérant que la Chine n’est pas encore engagée dans une confrontation militaire et stratégique assumée contre l’Occident ou ses alliés, à la différence de la Russie, elles mènent essentiellement des activités d’espionnage et de vols de données, au détriment d’actions de sabotage par exemple.

L’Iran et la Corée du Nord sont deux nations ayant développé des capacités cyber s’appuyant sur des groupes plus ou moins indépendants, menant des activités autant criminelles (la Corée du Nord récupère des finances et des devises étrangères en rançonnant des entreprises) que stratégiques (l’Iran attaque et menace régulièrement ses opposants régionaux, Israël en tête, ou l’Albanie plus récemment). La nature autocratique de ces deux pays et le poids de leurs organes de force en font des modèles assez similaires à la Chine, en plus petit format. L’arme cyber étant moins coûteuse que les armes stratégiques traditionnelles, reposant sur des compétences scientifiques avancées (ce qui est le cas des communautés scientifiques des deux pays) et permettant de réaliser des attaques moins bridées et facilement niables, elle est privilégiée par ce type de régime. Hellix Kitten (ou APT 34) et Charming Kitten (ou APT 35) pour l’Iran, Lazarus Group (ou APT 38) pour la Corée du Nord, sont leurs champions.

Des puissances moyennes, avec des ambitions stratégiques et/ou des organes de force dotées et centrales, telles que la Turquie, le Vietnam ou l'Ouzbékistan sont aussi soupçonnées de s’appuyer sur des APT pour mener des opérations politiques ou stratégiques dans l’espace numérique. Ces cas illustrent la prolifération des groupes de hackers étatiques ou professionnalisés, de leurs armes cyber et de leurs modes opératoires. Cette prolifération constitue probablement l’embryon d’un développement vraisemblablement très fort de ces groupes dans les prochaines décennies, chaque État intégrant progressivement cette capacité à son arsenal stratégique.

À noter que le groupe terroriste "État Islamique" a eu, à son apogée en 2014-2015, un groupe structuré agissant dans l’espace numérique, avec des compétences élevées en informatique, mais agissant essentiellement dans le domaine de la propagande et de la lutte informationnelle. Ce groupe n’a jamais été considéré comme une APT, vraisemblablement car il ne menait pas de cyberattaques en tant que telles.

Une première caractéristique des APT est leur maîtrise de l’ensemble des modes opératoires pour mener des cyberattaques complexes, discrètes et durables. En 2013, Mandiant proposait une typologie de cycle complet d’attaque, précisant que les APT maîtrisait de manière autonome l’ensemble du cycle : compromission initiale du réseau (i.e. trouver et activer une faille humaine et/ou informatique pour entrer), établissement d’une présence (i.e. installer des accès pérennes et des outils de contrôle à distance), escalade de privilèges (i.e. améliorer/créer les autorisations des comptes piratés pour accroître ses droits sur le réseau et rechercher des droits administrateurs), reconnaissance interne (i.e. cartographier le réseau), latéralisation (i.e. étendre ses accès à d’autres machines du réseau), maintien d’une présence (i.e. utiliser ses accès pour développer des accès redondants et durables), mission accomplie (i.e. identifier et exfiltrer des données ou implanter des pièges destinés à un sabotage futur).

Une seconde caractéristique des APT est leur professionnalisation, à l’image des groupes cybercriminels en général, confortée par des liens privilégiés avec les États. En effet, une évolution significative, relevée par l’ANSSI dans son dernier rapport sur l’état de la menace informatique, est le développement de groupes cybercriminels dédiés à des segments spécifiques des attaques (accès initial ; serveur démarqué de commande à distance…). La prestation de service cybercriminelle a lieu de plus en plus fréquemment avec un niveau de spécialisation en accroissement. Ces groupes ressemblent de plus en plus à des entreprises classiques (horaires de bureau, organisation du travail, rémunération contractuelle).

Soutenus par des États dans la plupart des cas, les APT sont plus résilientes que les groupes cybercriminels plus classiques mais font aussi l’objet de la surveillance la plus importante des entreprises de cybersécurité et des acteurs cyber des pays visés, États-Unis en tête. 

Alors que dans les pays occidentaux, des capacités cyber offensives existent et se structurent autour des armées et des services de renseignement, on parle très peu d’APT dans leur cas. Ce constat illustre trois phénomènes complémentaires : 

- La structuration publique et démocratique des capacités cyber offensives occidentales ;

- La domination du secteur de la cybersécurité par des entreprises occidentales, singulièrement américaines ;

- La publicisation de la menace cyber est une stratégie délibérée pour façonner les représentations de la menace.

L’absence de liens entre les gouvernements des démocraties occidentales et les groupes criminels a entraîné le développement de capacités strictement étatiques, d’une part, et de groupes cybercriminels, d’autre part, non liés à l’État et traqués par la justice de leurs pays. Cette étanchéité n’a pas permis le développement d’acteurs similaires aux APT.

L’identification, la dénomination et la publicisation des APT sont le privilège des entreprises de cybersécurité qui ont choisi une stratégie d’exposition des menaces, dans un souci de pédagogie, de partage des bonnes pratiques et des mesures "d’hygiène numérique", mais aussi dans une logique de cybersécurité distribuée : le partage est clé et favorise un accroissement de la cybersécurité globale par une remédiation collective. 

Si cette stratégie s’inscrit dans la logique de cyberdéfense, elle a aussi une vocation stratégique dès lors qu’elle participe à définir la menace cyber et à forger les représentations collectives. Ainsi, ce n’est pas un hasard si les APT dont on parle sont toutes liées à des adversaires stratégiques des États-Unis et de leurs alliés occidentaux. La société de cybersécurité russe Kaspersky a essayé de procéder de la même manière en identifiant publiquement un groupe surnommé Equation group, soupçonné d’être lié à la NSA américaine, sans grand résultat, ce groupe n’apparaissant plus dans les rapports des entreprises de cybersécurité. 

Si les représentations mentales sont façonnées par les entreprises de cybersécurité américaine, dominantes sur le marché, elles illustrent aussi une vision européenne. En effet, les pays et entreprises européennes sont des cibles très fréquentes des APT, une donnée que l’ENISA (European Union Agency for Network and Information Security), l’agence européenne de sécurité des réseaux informatiques, a prise en compte très tôt. Comme ses équivalents français (ANSSI) et américain (CISA), elle mène un travail de sensibilisation et d’alerte sur ces groupes menaçants, comme elle l’a fait récemment à propos des APT chinoises 27, 30 et 31. En coordination avec le CERT-UE et les CERT nationaux, des centres d'alerte et de réaction aux attaques informatiques, elle émet des signalements et anime une coordination des acteurs publics et privés pour accroître le partage d’informations. Enfin, au-delà de la réaction de court-terme, se pose la question de mettre en œuvre des régimes de sanctions contre les APT ou leurs soutiens : si des premières sanctions avaient été adoptées en 2020, le débat est encore relativement théorique car il bute sur le sujet de l’attribution des cyberattaques, acte politique rare et prérogatives des États. Si les positions évoluent progressivement sur la faisabilité de l’attribution, alors que la limite était longtemps technique, l’UE n’est pas encore prête pour sanctionner les APT et surtout leurs pays d’accueil ou de soutien, au risque de crises diplomatiques fortes. La coopération juridique est étudiée, via Eurojust, et la voie d’une meilleure cyberdéfense collective est privilégiée.

La notion de persistance, étroitement liée aux APT, signifie que les acteurs de l’espace numérique sont susceptibles de se positionner dans un système d’information ou dans des réseaux et d’y rester plusieurs semaines, mois ou années, tant qu’ils ne sont pas détectés et expulsés. Ceci est permis par la distance géographique et juridique entre les attaquants et les cibles, situées souvent dans un autre pays, les premiers bénéficiant en plus de modes opératoires pour préserver leur anonymat au maximum. L’infiltration persistante d’un réseau informatique ressemble plus à l’infiltration d’un espion à l’intérieur d’une organisation qu’à une opération militaire armée. Sauf qu’ici, aucune présence physique n’est requise et le risque juridique est minimal pour les auteurs.

En raison de ces caractéristiques de l’espace numérique, la persistance est un enjeu pour les attaquants comme pour les défenseurs. Les attaquants, qu’ils soient criminels ou étatiques, doivent se maintenir le plus longtemps et le plus discrètement dans des réseaux pour mener leurs objectifs. Les outils et techniques informatiques déployées servent ainsi à se cacher et à développer le plus d’accès possibles au réseau, en cas de détection et de remédiation de certains accès (des portes sont fermées, mais certaines restent encore ouvertes). Seule la logique de rançonnage, via des ransomwares, nécessite de se révéler directement à sa cible.

Les défenseurs doivent eux aussi maintenir une persistance dans leurs réseaux en menant des recherches constantes de failles, de vulnérabilités ou d’indices de compromission. Ils doivent être en permanence en action pour protéger les systèmes, chercher les attaquants et remédier aux éventuelles attaques et pénétration. Les dégâts d’une cyberattaque incapacitante (sabotage, déni de service, défacement) sont importants mais ponctuels, alors que les dégâts d’une attaque persistante sont quasiment impossibles à caractériser et chiffrer. La perte d’informations sensibles pour une entreprise ou la contagion d’infrastructures critiques en amont d’opérations militaires, comme cela a été observé en Ukraine, peuvent avoir des conséquences considérables.

Cette logique de persistance qui s’appliquent à tous, États comme entreprises, est complétée par une double composante d’une dernière pratique de persistance :

- Entrer et persister sur un réseau adverse pour anticiper des attaques contre ses propres réseaux; 

- Identifier et saboter en permanence les outils et intentions d’un adversaire pour l’empêcher de nuire contre ses propres réseaux. 

Ces deux dimensions sont à l’origine de la doctrine d’engagement persistant (Persistent Engagement) de l’US Cyber Command américain qui a choisi, en 2018, de passer d’une logique de dissuasion à une logique de surveillance et d’engagement constant de ses adversaires dans l’espace numérique.

Copyright image : PHILIPPE HUGUEN / AFP