A l’époque, comme tout le monde, j’avais essayé de comprendre : voici donc des menaces : bien ! Rien de bien nouveau. Elles sont persistantes : j’en déduis donc que par rapport à ce qu’il y avait « avant », celles-ci s’inscrivaient dans une plus longue durée. Soit ! Enfin elles étaient « avancées ». Fichtre ! là, il fallait écouter les informaticiens et autres hommes de l’art pour nous expliquer en quoi c’était vraiment « avancé » et donc à la pointe de l’innovation, donc de la menace. S’agissait-il d’une nouvelle technique ? de procédés inédits ? Malheureusement, on obtenait des réponses évasives qu’on mettait sur le compte de la complication inhérente à ces suites de zéros et de uns, indicibles au vulgum pecus.
Peu à peu, j’eus l’impression qu’en fait, il s’agissait d’opérations combinées mettant en œuvre une longue phase d’espionnage, utilisant de l’ingénierie sociale pour profiler les cibles, leur lancer des pièges personnalisés afin d’insérer, plus ou moins automatiquement, des logiciels espions ou autres softs furtifs de commande à distance. Riez donc ! mais c’est ce que j’avais plus ou moins compris des explications qu’on m’avait données.
Aussi progressivement, le mot disparut pourtant des écrans radars et par exemple, au dernier FIC, nul n’y fit allusion, même pas Bruce Schneier qui cependant nous confia, sur le ton de la découverte la plus avancée, qu’il fallait réfléchir à la boucle OODA. Là, au passage, c’est le côté sympa quand on voit des informaticiens venir sur le domaine de la stratégie, subitement on se sent plus à l’aise et les rires changent de camp.
A bien y réfléchir, la dernière allusion aux APT fut l’équipe APT1, mentionnée par le rapport Mandiant pour l’unité 68193267830 9881 890 du côté de Shanghai et dépendant de l’armée chinoise. Depuis, le mot s’est évanoui et nous sommes tous passés à autre chose. D’une certaine façon, l’imprécision ressentie et l’absence de définition agréée ont suscité l’abandon de l’expression. Sans le dire, chacun délaissait le mot car on ne voyait pas précisément à quoi ça correspondait.
Aussi est-ce avec grand intérêt que j’ai lu cet article, récemment signalé par l’ami L. Guillet : APT is a who and not a what. On y apprend qu’en fait, la dénomination APT était utilisée par un service officiel de cybersécurité (de l’Armée de l’air US). Quand elle devait transmettre des informations classifiées au secteur privé sans pouvoir citer ses sources ni mettre un État en cause, elle utilisait un nom de code. APT désignait la Chine. Ainsi, APT n’est pas un quoi mais un qui, non un procédé mais un acteur. Menaçant, persistant, pas forcément très avancé.
Mais comme les destinataires ne le savaient pas vraiment, le sigle APT s’est diffusé et est devenu un produit marketing. Bref, si on vous dit que vous risquez une APT, ne tremblez pas et n’allez pas chercher de défibrillateur…
O. Kempf
Le terme APT n’a servi qu’à Mandiant, société de service, pour se vendre 1 Milliard de dollars à FireEye. Respect pour le marketing APT.
Hervé Schauer