Paradoxalement, au regard de l’importance acquise aujourd’hui par les APT dans le monde de la sécurité, la littérature sur ce phénomène semble faire peu de cas de ses enjeux juridiques. Quelques articles que nous trouvons au gré de recherches sur le net évoquent bien en quelques mots l’existence d’une problématique juridique, mais la plupart l’effleurent davantage que ne la développent. L’accent est la plupart du temps mis sur les aspects techniques, sur les briques constitutives d’une APT, sur les méthodes ou processus visant à se prémunir de ce type de menace, voire sur la définition d’une typologie des acteurs (cibles, attaquants). Dans cet article, nous essaierons de définir le cadre juridique de l’APT, et verrons que pour cela il nous faut revenir, rapidement, sur l’histoire de cette notion, ses multiples manifestations, ses diverses composantes, avant d’aller chercher dans les corpus juridiques existants des outils applicables, et d’en discuter les limites.
1. Définir l’APT
Pratiquée et connue des spécialistes depuis les années 1990, l’attaque ciblée et persistante trouve sa nouveauté dans sa plus forte médiatisation à compter du milieu des années 2000, et la prise de conscience accrue qui en résulte [1]. L’histoire des APT est en effet déjà longue, en attestent ses multiples manifestations [2] : des célèbres opérations Moonlight Maze (1998), Titan Rain (2000), aux récentes Khaan Quest (2013-2014) ou campagne Siesta (2014), Pitty Tiger (2014), Ali Baba (2014) en passant par les non moins médiatisées opérations Shady Rat (2006), Gh0stNet/Shadownet (2007), ou Aurora (2009), pour n’en citer que quelques-unes.
1.1 Définitions
L’expression serait née au sein de l’US Air Force au milieu des années 2000 [5] pour désigner des adversaires sophistiqués, engagés dans des manœuvres de guerre de l’information, en vue d’atteindre sur le long terme des objectifs stratégiques [6]. Les définitions...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] Virgile Juhan, Les menaces persistantes avancées, Le Journal du Net, 24 août 2011, http://www.journaldunet.com/solutions/securite/les-menaces-persitantes-avancees-apt-definition-et-moyens-de-protection/
[2] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014
[3] http://securityaffairs.co/wordpress/26592/cyber-crime/pitty-tiger-atp.html
[4] http://securityaffairs.co/wordpress/33682/cyber-crime/ali-baba-apt-middle-east.html
[5] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014
[6] Rapport Fortinet, Threats on the Horizon : The Rise of the Advanced Persistent Threat, 16 pages, 2013, http://www.fortinet.com/sites/default/files/solutionbrief/threats-on-the-horizon-rise-of-advanced-persistent-threats.pdf
[7] Margaret Rouse, Advanced Persistent Threat (APT), TechTarget, novembre 2010, http://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT
[8] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014
[9] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014
[10] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, p.198-199, décembre 2014
[11] Rapport Fortinet, Threats on the Horizon : The Rise of the Advanced Persistent Threat, 16 pages, 2013, http://www.fortinet.com/sites/default/files/solutionbrief/threats-on-the-horizon-rise-of-advanced-persistent-threats.pdf
[12] http://cyber-serenite.fr/actualites/cyberattaques-la-france-tres-touchee
[13] https://www.lw.com/thoughtLeadership/managing-apt-cybersecurity
[14] http://www.legaltechnology.com/latest-news/comment-apts-pose-rising-security-threat-to-law-firms/
[15] Les atteintes aux intérêts fondamentaux de la nation sont sanctionnées par le Code Pénal. Par exemple : article 410-1, 411-1, 414-5, 414-6, 411-8, 414-8, 414-9, pour sanctionner l’exercice d’activité pour s’informer sur les intérêts de la nation pour une puissance étrangère. Ou encore sanctionner l’appropriation d’un secret de défense nationale, ou la soustraction de secret de défense nationale (Code pénal article 413 et 414)
[16] Protéger les internautes. Rapport sur la cybercriminalité, groupe de travail interministériel sur la lutte contre la cybercriminalité, février 2014. Rapport : http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf ; Annexes du rapport : http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite_annexes.pdf
[17] Marie Barel, Le vol d’informations n’existe pas… Quelles voies juridiques pour la protection de l’information ?, SSTIC 2009, https://www.sstic.org/media/SSTIC2009/SSTIC-actes/Le_vol_d_informations_n_existe_pas/SSTIC2009-Article-Le_vol_d_informations_n_existe_pas-barel.pdf
[18] Proposition de Directive du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (2013/0402(COD)
[19] http://www.assemblee-nationale.fr/14/propositions/pion2139.asp
[20] Convention sur la Cybercriminalité, 23 novembre 2001, http://conventions.coe.int/treaty/fr/Treaties/Html/185.htm
[22] https://www.europol.europa.eu/content/31-arrests-operation-against-bulgarian-organised-crime-network
[23] http://edition.cnn.com/2014/05/19/justice/us-global-hacker-crackdown/
[24] https://www.lw.com/thoughtLeadership/managing-apt-cybersecurity
[27] Sony Pictures Tries to Disrupt Downloads of its stolen files, http://recode.net/2014/12/10/sony-pictures-tries-to-disrupt-downloads-of-its-stolen-files/
[28] Microsoft takes down dozens of ZeuS, SpyEye Botnets, http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/
[29] 18 U.S. Code Chapter 96, Racketeer Influenced and Corrupt Organizations, http://www.hg.org/rico-law.html
[30] http://www.bitlaw.com/source/15usc/
[31] How Microsoft appointed itself Sheriff of the Internet, http://www.wired.com/2014/10/microsoft-pinkerton/
[32] http://www.cbsnews.com/videos/are-u-s-companies-launching-illegal-cyber-counterattacks/
[33] http://www.nationaljournal.com/tech/nsa-chief-warns-companies-against-revenge-hackings-20141028
