Les gens imaginent souvent les APT comme un cas d’espionnage : il s’agit sûrement d’un très gros problème mais nous ne sommes pas vraiment concernés en tant que simples mortels, n’est-ce pas ? La plupart d’entre nous ne gardent pas de secrets industriels ou gouvernementaux dans leur téléphone, et ne conservent pas des informations classifiées sur leur ordinateur professionnel. Alors pourquoi les escrocs s’intéressent-ils à nous ?
Il s’avère que les gens n’ont pas vraiment tort. Il est rare qu’un acteur parrainé par l’État-nation s’en prenne à un individu lambda, même si nous pouvons toutefois être un dégât collatéral. Daniel Creus, membre de l’équipe d’analyse et de recherche mondiale (GReAT) de Kaspersky a récemment parlé de ce problème à Barcelone. Cet article explique brièvement ce qui a été dit et présente trois scénarios permettant de comprendre comment n’importe quel utilisateur peut être victime d’une attaque APT.
Dégâts collatéraux, scénario #1 : le mauvais site au mauvais moment
Contrairement à d’autres acteurs plus petits, les APT ont assez d’argent pour un paquet d’exploits zero-day, y compris ceux qui permettent de réaliser des attaques de point d’eau à distance. Les recherches effectuées dans le cadre du projet Google Project Zero en 2019 ont révélé qu’un acteur a utilisé 14 vulnérabilités différentes de 5 chaînes d’exploits pour infecter ses victimes avec un spyware.
Certaines de ces vulnérabilités ont été utilisées pour infecter à distance les utilisateurs iOS qui visitaient certains sites Internet ayant à voir avec la politique. Les téléphones ont été infectés par un spyware. Il s’avère que cet acteur ne faisait pas la différence entre les visiteurs du site. Par conséquent, tous les utilisateurs iOS ayant visité le site ont été infectés, même s’ils n’intéressaient pas forcément l’acteur.
Ce n’est pas vraiment la seule attaque APT à avoir utilisé un point d’eau. Par exemple, un des vecteurs d’attaque du tristement célèbre NotPetya (alias ExPetr) a fait ses débuts en infectant un site Internet du gouvernement. Lorsque les utilisateurs visitaient le site, le malware était téléchargé puis exécuté sur l’ordinateur. Vous vous souvenez peut-être que les dégâts collatéraux provoqués par NotPetya étaient considérables.
Par conséquent, un des problèmes des APT est que les acteurs de menace ne veulent pas vraiment vous prendre pour cible, mais si vous visitez le mauvais site Internet, ou télécharger la mauvaise application, alors vous serez tout de même infecté et les informations confidentielles de votre dispositif seront visibles ou infectées, notamment s’il s’agit d’un ransomware d’APT comme NotPetya.
Dégâts collatéraux scénario #2 : les cybercriminels ont des jouets dangereux
Les APT cherchent notamment à obtenir les secrets d’autres APT. Les cybercriminels ont tendance à se pirater entre eux et divulguent parfois les outils utilisés par leurs rivaux. D’autres acteurs, plus petits et moins avancés, les récupèrent et s’en servent pour créer des malwares, qui deviennent parfois incontrôlables. N’oubliez pas que l’infâme wiper WannaCry a été créé à partir de EternalBlue, un des exploits révélés par ShadowBrokers lorsqu’ils ont décidé de publier l’arsenal des armes informatiques d’Equation Group.
D’autres menaces, dont NotPetya/ExPetr, Bad Rabbit, EternalRocks, etc reposent sur l’exploit EternalBlue. La divulgation d’un exploit a engendré toute une série d’importantes épidémies diverses et variées, et d’événements plus petits, qui ont affecté des centaines de milliers d’ordinateurs et perturbé le travail de nombreux organismes gouvernementaux et entreprises du monde entier.
En résumé, le second problème que rencontrent les gens ordinaires lorsqu’il s’agit des APT est que les acteurs de menace créent des outils vraiment dangereux qui échappent parfois à leur contrôle. Par conséquent, les cybercriminels, qui ont plus ou moins d’expérience, peuvent obtenir ces objets très dangereux et ne vont pas hésiter à s’en servir. Ces actions font parfois de nombreuses victimes innocentes.
Dégâts collatéraux scénario #3 : divulgation des données collectées
Comme nous l’avons dit auparavant, les acteurs à l’origine des APT ont tendance à se pirater entre eux. Ils publient parfois les outils qu’ils ont dérobé mais aussi les informations que leurs rivaux ont obtenues grâce à ces outils. Par exemple, c’est ainsi que les données collectées par le tristement célèbre outil de cyber espionnage ZooPark ont été rendues publiques.
Au cours des deux dernières années, 13 vendeurs de stalkerware ont été piratés, ou ont laissé les données collectées disponibles en ligne, en les conservant sur un serveur Web non protégé et accessible au public. Ces fuites touchent aussi les acteurs plus importants. Les créateurs de la gamme de produits FinFisher ont été piratés, tout comme l’a été l’encore plus célèbre entreprise italienne Hacking Team, connue pour le développement de logiciels servant à la surveillance.
Nous rencontrons donc un troisième problème : même si une APT n’a rien à voir avec les utilisateurs lambda et qu’elle ne fait que stocker leurs données sans les utiliser contre eux, la moindre divulgation permet aux escrocs, notamment les moins importants, d’utiliser ces informations pour faire du chantage ou pour rechercher des données confidentielles (numéro de cartes bancaires, copies de documents, contacts ou encore photos compromettantes).
Comment se protéger des APT
Même si une APT est beaucoup plus sophistiquée qu’un simple malware, nous utilisons les mêmes techniques pour nous en protéger.
- Désactivez l’installation d’applications provenant de sources tierces sur vos dispositifs Android. Si vous avez vraiment besoin d’installer une application de confiance indisponible sur Google Play, n’autorisez cette action qu’une seule fois et n’oubliez pas de rétablir les paramètres lorsque vous avez fini.
- Vérifiez régulièrement les autorisations des applications que vous avez installées et retirez celles que vous considérez comme facultatives. Il est également conseillé de vérifier la liste des autorisations qu’une application demande avant de l’installer. Ces informations sont disponibles sur Google Play.
- Évitez de visiter les sites Internet douteux et de cliquer sur les liens de sources qui ne vous inspirent pas confiance. Les inconnus qui vous envoient des liens et des applications n’ont jamais de bonnes intentions. Certaines APT peuvent infecter des sites légitimes, même si la plupart d’entre elles n’utilisent que la bonne vieille méthode de l’hameçonnage.
- Installez une solution de sécurité de confiance qui analyse tous les objets que vous envisagez d’installer ou de télécharger sur votre dispositif, et vérifie chaque lien et paquet. Considérez qu’il s’agit de votre dernière ligne de défense : même si un acteur mal intentionné arrive à vous tromper, ou utilise un exploit pour accéder à votre dispositif, la solution de sécurité peut vous protéger.