00:00En juin 2025, des cyberspions iraniens tentent d'infiltrer les infrastructures informatiques d'experts de la cybersécurité, basées en Israël.
00:09L'objectif est clair, dérober des informations sensibles et tenter d'infiltrer sur le long terme les réseaux d'influence
00:16israéliens.
00:17L'attaque qui combine usurpation d'identité et phishing ultra-ciblé est attribuée à un groupe de hackers directement affiliés
00:24aux gardiens de la révolution islamique,
00:26on les nomme APT42, mais aussi Tempête de Sable Mentholé, Manticor Instruite ou même Charming Kittens, comprenez les chatons mignons.
00:37Mais alors, comment un même groupe de hackers peut avoir différentes appellations ?
00:41Pourquoi ces noms sont-ils si étranges ? Et qui décide pour eux ?
00:46Car contrairement à ce que l'on pourrait croire, ce ne sont pas les hackers qui décident de leur propre
00:50nom, enfin, pas tous.
00:52Pour être plus précis, on va distinguer les acteurs malveillants en deux groupes.
00:56Le premier sera composé des APT, pour Advanced Persistent Threats.
01:02Ce sont des groupes de hackers souvent soutenus par des États et qui ont pour but d'infiltrer des infrastructures
01:08informatiques sur le long terme,
01:10pendant des mois, voire parfois des années.
01:13Un peu comme nos hackers iraniens, c'est justement cette catégorie qui nous intéresse.
01:17De l'autre côté, on retrouve des groupes cybercriminels à but purement financier ou les activistes.
01:23Outre les intentions qui ne sont pas les mêmes, ici on les distingue car en l'occurrence, dans la plupart
01:27des cas, ces groupes choisissent leur nom.
01:29Soit pour susciter la peur lors de négociations de rançons, soit pour diffuser leurs revendications auprès du grand public,
01:36comme par exemple les Anonymous.
01:39Les APT, eux, au contraire, préfèrent agir dans l'ombre, revendiquent rarement quoi que ce soit,
01:45et font de la discrétion le point central de leur campagne d'espionnage et de sabotage.
01:50Pourquoi se doter d'un nom quand le but est de brouiller les pistes ?
01:54Mais du coup, à qui revient ce travail de nomenclature ?
01:58Eh bien, c'est aux chercheurs qui traquent ces cybercriminels masqués.
02:01Ils composent les équipes de Threat Intelligence, donc l'analyse des menaces, des grandes sociétés de cybersécurité mondiales.
02:08Parmi elles, on retrouve Kaspersky en Russie, Bitdefender en Roumanie, Checkpoint Research en Israël,
02:15ou encore les géants américains, CrowdStrike ou Microsoft.
02:19Toutes ces entreprises sont à l'affût du moindre indice sur ces groupes APT.
02:23On observe leurs habitudes, leurs modes opératoires sur le très long terme,
02:28et pour partager ces informations, il est rapidement devenu essentiel de leur donner des noms,
02:33un processus pas si simple, vous allez le voir.
02:36Pour en parler, on a contacté Adam Meyers depuis Washington.
02:39Pendant des années, Adam a conseillé les autorités américaines sur leur politique cyber,
02:43et il est aujourd'hui le vice-président des opérations de lutte contre les menaces chez CrowdStrike.
03:25Et justement, l'opération Aurora, dont nous parlait,
03:28Adam va marquer un tournant dans le domaine de l'analyse des menaces cyber.
03:32Son écho dans le monde entier fait passer la discipline au premier plan médiatique,
03:36mais à cette époque, les chercheurs sont encore frileux à désigner des états derrière une cyberattaque.
03:41Tout change.
03:42En 2013, lorsque Mendian désigne quasi-formellement l'armée chinoise comme commanditaire d'une attaque,
03:48elle publie APT1, un rapport qui établit les liens entre les hackers et le pouvoir de Pékin,
03:54et qui décrit le mode opératoire derrière la cyberattaque.
03:57Un texte fondateur pour la discipline, et le principe de nomenclature est alors simple,
04:01à chaque fois qu'un nouvel acteur est formellement identifié,
04:04on ajoute un chiffre aux trois lettres APT.
04:07APT1, APT2, APT3, APT4, etc.
04:12Simple, me direz-vous, mais le système présente vite quelques limites.
04:16Les cybermenaces se multiplient à vitesse grand V,
04:19et à l'heure où nous tournons cette vidéo, nous en sommes déjà à APT43.
04:23Adam Meyers révèle également une autre limite.
04:25C'est un start, mais c'est un start, mais c'est pas la cause de qui est derrière l
04:31'attache,
04:32donc vous devriez comprendre qui est bénéfique de l'attache.
04:34Et en beaucoup de ces cas, surtout en fait, c'est en France, c'est en France.
04:38Et donc, nous disons, qu'on a dit, plutôt que c'est par exemple APT1 ou APT3,
04:43c'est qu'on a PANDA.
04:44Ce sont des Chins nation-states threat acteurs.
04:47Et le façon dont nous regardons cette vidéo, c'est qu'on a un animal associé à ce pays,
04:51c'est qu'on a quelque chose d'un représentatif.
05:06Voilà donc une partie de notre mystère résolu.
05:10Châtons mignons est donc l'aliasse utilisé par CrowdStrike pour parler d'APT42.
05:15Mais si vous faites passer ces mêmes chatons mignons dans la machine à nom de Microsoft,
05:20c'est une toute autre histoire.
05:21Fini les animaux, on passe cette fois-ci à la météo représentative des pays d'origine.
05:27Les Russes deviennent des blizzards, les Chinois des typhoons, donc des typhons,
05:31et les Iraniens deviennent des sandstorms, donc des tempêtes de sable.
05:35Mais le jeu ne s'arrête pas là,
05:37et pour distinguer les différents acteurs d'un même pays, on doit y ajouter un adjectif.
05:42Chez CrowdStrike, les chatons sont mignons, la tempête de sable de Microsoft est quant à elle,
05:48mentholée, mais ne cherchez pas toujours une logique derrière ces distinctions.
06:09Vous l'avez compris, le monde de la CyberTut Intelligence ne manque pas d'inspiration.
06:14D'ailleurs, mis à part la météo et les animaux, d'autres méthodes existent.
06:18Les chercheurs de Palo Alto Network, par exemple, utilisent eux un système basé sur l'astronomie.
06:23Les Checkpoint utilisent des figures mythologiques,
06:26d'où le nom de Manticore Instruite pour APT42,
06:30alias Tempête de sable mentholée, alias Château Mignon, je pense que vous avez compris.
06:35Mais du coup, est-ce qu'on ne s'y perd pas un peu ?
06:37Lorsque nous, journalistes, cherchons à raconter le plus clairement possible les histoires cyber,
06:42la multitude de noms peut être un vrai casse-tête, il est plus difficile de raconter une histoire
06:48lorsque le personnage principal a quatre alias différents.
06:51D'ailleurs, de nombreuses institutions publiques, comme l'Annecy en France,
06:55qui traque également ces APT, décident de reprendre des noms déjà établis
06:59plutôt que d'en ajouter de nouveau à cette liste interminable.
07:02Mais pour Adam Meyers, il s'agit d'une précaution nécessaire.
07:26Pas besoin d'un nom fixe, donc selon CrowdStrike,
07:29qui a tout de même décidé d'agir face à la confusion.
07:32En juin 2025, Microsoft et CrowdStrike ont décidé de lancer un projet commun.
07:37Leur but, dresser une liste claire des différents noms utilisés
07:41pour plus de 80 groupes, l'idée n'est donc pas d'imposer un nom unique
07:45mais de créer une sorte de pierre de rosette
07:47qui permettrait aux professionnels de la cybersécurité de mieux faire les liens
07:51et de savoir à qui ils ont affaire.
07:53Mandiant et Palo Alto Networks ont également annoncé rejoindre l'initiative
07:58insuffisant pour certaines voix de la cybersécurité,
08:01notamment des professeurs et des chercheurs du secteur public
08:04qui considèrent que ce travail de nomenclature
08:06est en fait devenu une bataille d'influence marketing dans le monde cyber.
08:10Selon eux, derrière ces noms, chaque société privée cherche en fait
08:14à imposer ses conventions, à devenir la référence, le nom, numéro 1.
08:21Sous-titrage Société Radio-Canada
08:31Sous-titrage Société Radio-Canada
08:32Sous-titrage Société Radio-Canada
Commentaires