En 2010, le monde découvrait Stuxnet, un ver informatique qui a servi à saboter les systèmes hautement sécurisés de la centrale nucléaire de Natanz, en Iran.
Probablement introduit via une clé USB infectée ou par la négligence d’un employé au sein de l’infrastructure « air gap » visant à isoler physiquement le réseau d’Internet, le logiciel malveillant s’est infiltré progressivement jusqu’aux automates Siemens pilotant les centrifugeuses d’enrichissement d’uranium.
Une fois en place, Stuxnet a entamé une opération de sabotage redoutable : il a modifié de façon cyclique la vitesse de rotation des centrifugeuses, les faisant accélérer au-delà des normes avant de les ralentir brutalement. Des variations soudaines, qui ont endommagé puis entraîné la casse progressive des machines.
Dans le même temps, le virus a falsifié les données affichées sur les écrans de contrôle en diffusant de faux signaux. Dupés, les opérateurs et les systèmes d’alerte ont attribué ces pannes à répétition à des défauts matériels ou des erreurs humaines.
Les dégâts sont là : il a été estimé que le nombre de centrifugeuses rendues inopérantes en moins de deux ans se situe de 1 000 à 2 000. Derrière ce coup de maître ? Très probablement les États-Unis et Israël, deux pays très déterminés à ralentir activement (et discrètement) le programme nucléaire militaire iranien, par tous les moyens.
Dans la conscience collective, Stuxnet a marqué un tournant : une attaque numérique a montré qu’elle peut tout à fait provoquer des dégâts dans le monde réel. Mieux : elle peut avoir un impact véritablement stratégique et bouleverser un équilibre géopolitique.
L’affaire incarne l’archétype de ce qu’est une APT : sophistication, furtivité, persistance et ciblage stratégique.
Qu’est-ce qu’une Advanced Persistent Threat ?
Une Advanced Persistent Threat, ou menace persistante avancée (MPA), se définit comme une cyberattaque hautement sophistiquée, menée de façon furtive et durable par des groupes organisés.
Ces attaques ne visent pas n’importe qui et n’importe quoi. Il s’agit de s’en servir contre des cibles de très haute valeur : des organisations stratégiques telles que des administrations publiques, des institutions financières, des multinationales ou des infrastructures critiques du transport, de l’énergie ou de l’armement, comme la centrale de Natanz.
Ce qui distingue une APT des attaques informatiques classiques, c’est la patience des assaillants (une opération peut s’étaler parfois sur des années), leur capacité d’adaptation face au système visé, le degré de sophistication de l’attaque, et les importants moyens financiers et techniques qu’ils ont à disposition pour atteindre leur but.
Pour qu’une APT soit un succès, l’attaquant s’efforce de se faufiler en toute discrétion dans les infrastructures qu’il cible, parfois en restant tapis dans l’ombre, sans rien faire, en attendant le moment opportun pour agir, parfois sur décision politique, selon les circonstances. La plupart du temps, le plus grand secret entoure ce type d’opération.
Les motivations peuvent relever du cyberespionnage, du sabotage ou du vol de données et impliquent souvent d’un objectif géopolitique.
Le cycle de vie d’une attaque APT
Le déroulement d’une APT suit la plupart du temps un schéma méthodique, documenté par des modèles comme MITRE ATT&CK ou le KILL CHAIN.
Tout commence par une phase de reconnaissance : les attaquants collectent un maximum d’informations publiques et techniques sur la cible, cherchent à identifier les faiblesses exploitables, les employés clés ou les fournisseurs vulnérables.
Cette phase de reconnaissance approfondie leur permet de concevoir une intrusion sur mesure, généralement facilitée par des techniques d’ingénierie sociale. Une fois leur stratégie en place, les assaillants exécutent la compromission initiale, ce qui peut nécessiter une campagne de phishing ciblée (« spear phishing »), l’exploitation d’une faille logicielle ou la compromission d’un partenaire.
Dès qu’ils parviennent à établir un premier accès, les attaquants procèdent à l’installation de programmes malveillants parfois préconçus spécifiquement pour la cible : portes dérobées (backdoors), rootkits, chevaux de Troie d’administration à distance (RAT). Ces outils leur garantissent une présence stable et la possibilité, à l’avenir, d’orchestrer leurs actions à distance via des infrastructures de commande et contrôle (qu’on nomme « C2 »).
Il est essentiel pour une APT de disposer de divers points d’entrée afin de multiplier ses chances de survie face à d’éventuelles mesures défensives. L’objectif est de rebondir au moindre signe de détection. Cela requiert des outils personnalisés, souvent développés spécialement pour la cible et par le recours à des vulnérabilités zero-day — comprenez des failles qui n’ont pas encore été documentées publiquement.
Une fois bien installés, les cyberattaquants peuvent entamer une phase de mouvements latéraux : ils explorent d’autres machines dans le réseau, cherchent à s’octroyer des privilèges plus élevés au fur et à mesure qu’ils progressent par le biais du vol d’identifiants ou l’exploitation de failles supplémentaires. L’infiltration approfondie du système leur sert à repérer les ressources jugées critiques — des serveurs stockant des données sensibles ou, pour reprendre l’exemple de Stuxnet, les automates de Siemens.
Quand les cibles sont identifiées et que les accès adéquats sont acquis, l’attaque entre dans une phase d’exfiltration : extraction de données, transmission frauduleuse d’informations ou sabotage des systèmes, selon les ordres de mission.
Tout au long de leur opération, les APT redoublent d’efforts pour brouiller les pistes : mise en place de nouvelles portes dérobées, désactivation de mécanismes de sécurité ou purge des journaux d’activité afin de ralentir la détection.
Les groupes APT, leurs motivations et leurs cibles
Pour mener de telles opérations sur le long terme, il faut des groupes hautement structurés ainsi que des financements et des ressources d’ingénierie de tout premier ordre.
C’est pour cette raison que les groupes APT sont souvent associés à des États. On les accuse d’être soutenus ou directement pilotés par des services de renseignement ou des gouvernements dans le monde entier.
De fait, l’activité APT repose fréquemment sur des enjeux géopolitiques de première importance, même si d’autres motivations peuvent entrer en ligne de compte. Espionnage militaire, industriel ou politique, vol de données stratégiques, déstabilisation d’un régime, sabotage d’une infrastructure… les justifications pour agir ne manquent pas.
Quel que soit l’objectif, ces actions requièrent un accès discret et prolongé dans les structures informatiques ennemies. Ces accès dormants permettront également aux attaquants de disposer à l’avenir d’un pouvoir de chantage sur leurs victimes. Et elles peuvent aussi servir indirectement de mise en garde en exposant le degré de pénétration d’un système.
Pour causer le plus de perturbations, les groupes APT veillent à cibler des entités critiques dans la chaîne de valeur du pays ou du secteur visé : ministères, instituts de recherche, entreprises innovantes, opérateurs d’importance vitale (énergie, télécoms, santé), institutions financières et parfois même des prestataires pour conduire des opérations sur la chaîne d’approvisionnement (supply chain attack).
Ce fut notamment le cas en 2024, lors des attaques via les bipeurs perpétrées par l’armée israélienne contre des dirigeants du Hamas et du Hezbollah.
Qui traque les groupes APT ?
La détection des groupes APT et la surveillance de leurs modes opératoires reposent sur une coalition complexe d’acteurs publics et privés, qui coopèrent à l’échelle internationale pour contrer ces menaces.
Du côté institutionnel, des agences gouvernementales telles que l’ANSSI en France, la CISA aux États-Unis, ou le NCSC au Royaume-Uni disposent d’équipes dédiées à la surveillance proactive de ces groupes, à la collecte de renseignements techniques et à la coordination des réponses.
Ces organismes s’appuient sur des centres d’opérations de sécurité et des équipes de réponse aux incidents (CERT/CSIRT) qui assurent une surveillance continue des réseaux, analysent les signaux faibles, partagent des alertes et planifient les stratégies de remédiation en cas d’attaque avérée.
En parallèle, de nombreux acteurs privés spécialisés dans le renseignement sur les menaces (threat intelligence) jouent un rôle majeur : des entreprises internationales comme Kaspersky, Microsoft, CrowdStrike, ESET ou Mandiant publient des rapports techniques sur l’activité des groupes APT, exposent leurs outils et leurs méthodes, et alimentent des bases de données d’indicateurs de compromission accessibles à leurs clients et partenaires.
Exemples marquants de groupes et d’opérations APT
La multiplication d’acteurs de surveillance et la variété géographique des attaquants ont forgé la nomenclature singulière des groupes APT.
En raison de leur discrétion, certains groupes disposent de plusieurs noms, mais à force de coups d’éclat et de couverture médiatique, certains sont tout de même parvenus à entrer dans l’imaginaire collectif.
L’opération Aurora, attribuée au groupe chinois APT1, a ciblé des géants du numérique comme Google ou Adobe, avec pour objectif l’espionnage industriel.
Cozy Bear (aussi appelé APT29), groupe de hackers très probablement lié aux services secrets russes, est notamment responsable de l’infiltration des serveurs du Parti démocrate américain en 2015-2016 et de l’accès furtif aux e-mails de responsables de la campagne d’Hillary Clinton.
Le groupe Lazarus (aussi appelé Diamond Sleet) en Corée du Nord s’est illustré dans l’infiltration d’entreprises américaines du Web3 et aurait détourné des milliards de dollars en cryptomonnaies pour financer, entre autres, le programme nucléaire de Kim Jong-un.
D’autres groupes APT comme Charming Kitten (Iran), APT28/Fancy Bear (Russie), ou APT31/Judgment Panda (Chine) multiplient les cyberopérations d’espionnage et de sabotage partout dans le monde.
Comment détecter et contrer une menace persistante avancée
Au vu du degré de sophistication et de discrétion des APT et des groupes qui les déploient, les déceler requiert une surveillance continue et proactive.
Les organisations doivent mettre en œuvre de multiples outils de sécurité : une surveillance constante du trafic réseau pour capter d’éventuels transferts de données suspects ou d’éventuelles connexions inhabituelles, la mise en place d’outils SIEM (Security Information and Event Management) ou EDR (Endpoint Detection and Response) permettant de repérer les comportements anormaux, ainsi que la détection active des indicateurs de compromission (IOC).
Au-delà des outils de veille, c’est l’organisation de la défense en cas d’intrusion qui limite les dégâts. Segmenter le réseau, cloisonner les accès sensibles, imposer des politiques d’accès fortes (comme l’authentification multifacteur), et adopter l’approche Zero Trust contribuent à freiner et à isoler une attaque APT. Former les équipes à la cybersécurité, notamment aux risques de phishing ou d’ingénierie sociale, est indispensable.
Enfin, les organisations doivent disposer d’un plan de réponse aux incidents pour limiter la casse et reprendre la main sur leur réseau en cas d’infiltration.
Les risques face à une menace APT
Les conséquences d’une APT sur une institution, qu’elle soit publique ou privée, peuvent affecter, par effet domino, tout le secteur économique d’un pays ou sa stabilité politique.
Une attaque aboutie peut causer la fuite de données stratégiques comme des secrets industriels, ou des informations militaires et géopolitiques sensibles. Les groupes APT sont aussi à l’origine de vastes campagnes de désinformation à l’approche d’élections nationales.
Des risques immenses auxquels s’ajoute la difficulté de suivre ces menaces mouvantes. Les groupes APT évoluent en permanence : ils intègrent désormais des techniques d’intelligence artificielle pour automatiser la génération d’attaques personnalisées, détourner des authentifications biométriques ou générer des fake news à grande échelle sur les réseaux sociaux.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour de l’actu en petit comité, rejoignez la communauté Numerama sur WhatsApp !