APT : non pas quoi mais qui

Il y a trois ans, le mot APT (Advanced Persistent Threat) était le plus tendance du milieu cyber. Tout le monde le prononçait d’un air entendu, expliquant qu’il s’agissait d’un nouveau type de menaces. Les spécialistes d’entreprises de cybersécurité montraient leurs “solutions”, les revues de directeurs de SSI ou de sécurité s’interrogeaient gravement, les journalistes faisaient leur travail en répercutant ce souci général.

A l’époque, comme tout le monde, j’avais essayé de comprendre : voici donc des menaces : bien ! Rien de bien nouveau. Elles sont persistantes : j’en déduis donc que par rapport à ce qu’il y avait “avant”, celles-ci s’inscrivaient dans une plus longue durée. Soit ! Enfin elles étaient “avancées”. Fichtre ! là, il fallait écouter les informaticiens et autres hommes de l’art pour nous expliquer en quoi c’était vraiment “avancé” et donc à la pointe de l’innovation, donc de la menace. S’agissait-il d’une nouvelle technique ? de procédés inédits ? Malheureusement, on obtenait des réponses évasives qu’on mettait sur le compte de la complication inhérente à ces suites de zéros et de uns, indicibles au vulgum pecus.

Peu à peu, j’eus l’impression qu’en fait, il s’agissait d’opérations combinées mettant en œuvre une longue phase d’espionnage, utilisant de l’ingénierie sociale pour profiler les cibles, leur lancer des pièges personnalisés afin d’insérer, plus ou moins automatiquement, des logiciels espions ou autres softs furtifs de commande à distance. Riez donc ! mais c’est ce que j’avais plus ou moins compris des explications qu’on m’avait données.

Aussi progressivement, le mot disparut pourtant des écrans radars et par exemple, au dernier FIC, nul n’y fit allusion, même pas Bruce Schneier qui cependant nous confia, sur le ton de la découverte la plus avancée, qu’il fallait réfléchir à la boucle OODA. Là, au passage, c’est le côté sympa quand on voit des informaticiens venir sur le domaine de la stratégie, subitement on se sent plus à l’aise et les rires changent de camp.

A bien y réfléchir, la dernière allusion aux APT fut l’équipe APT1, mentionnée par le rapport Mandiant pour l’unité 68193267830 9881 890 du côté de Shanghai et dépendant de l’armée chinoise. Depuis, le mot s’est évanoui et nous sommes tous passés à autre chose. D’une certaine façon, l’imprécision ressentie et l’absence de définition agréée ont suscité l’abandon de l’expression. Sans le dire, chacun délaissait le mot car on ne voyait pas précisément à quoi ça correspondait.

Aussi est-ce avec grand intérêt que j’ai lu cet article, récemment signalé par l’ami L. Guillet : APT is a who and not a what. On y apprend qu’en fait, la dénomination APT était utilisée par un service officiel de cybersécurité (de l’Armée de l’air US). Quand elle devait transmettre des informations classifiées au secteur privé sans pouvoir citer ses sources ni mettre un État en cause, elle utilisait un nom de code. APT désignait la Chine. Ainsi, APT n’est pas un quoi mais un qui, non un procédé mais un acteur. Menaçant, persistant, pas forcément très avancé.

Mais comme les destinataires ne le savaient pas vraiment, le sigle APT s’est diffusé et est devenu un produit marketing. Bref, si on vous dit que vous risquez une APT, ne tremblez pas et n’allez pas chercher de défibrillateur…

O. Kempf

Share/Partage

Olivier Kempf

Un commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-huit + 18 =

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Translate »