Les Etats-Unis ont-ils été victimes de l’opération d’espionnage informatique la plus importante de ces vingt dernières années ? Depuis dimanche 13 décembre et la découverte d’un logiciel espion dissimulé au cœur d’un outil informatique utilisé par des dizaines d’administrations et d’entreprises américains, un vent de panique souffle sur Washington.
Le conseil de sécurité nationale, l’équivalent du conseil de défense français, s’est réuni deux fois en trois jours. Le conseiller de Donald Trump pour la sécurité nationale a dû écourter un déplacement en Europe. La cellule de crise « cyber » de la Maison Blanche, une instance créée sous l’administration Obama, a été activée, tandis que les parlementaires des commissions au renseignement du Sénat et de la Chambre des représentants ont été briefés par les services de renseignement.
Après les départements du Trésor et du commerce, ce sont en effet le ministère de l’intérieur américain, le ministère de la santé et certaines parties du Pentagone qui auraient été visités par les pirates, selon des informations de la presse américaine. Dans certains cas, des courriels auraient été exfiltrés. Le FBI, l’agence américaine de cybersécurité et le directeur du renseignement ont reconnu mercredi 16 décembre, dans un communiqué conjoint et minimaliste, une « compromission ayant affecté des réseaux au sein du gouvernement fédéral ».
Une ampleur impossible à déterminer
Pour pénétrer dans ces réseaux, les pirates ont avancé masqués. Ils sont notamment parvenus à insérer Sunburst, un logiciel malveillant de leur cru, dans certaines versions de la plate-forme Orion, un outil de supervision des réseaux informatiques commercialisé par l’entreprise américaine SolarWinds. La manœuvre, difficile à détecter, est d’une efficacité redoutable : depuis mars, les entreprises installant certaines versions d’Orion dans leurs réseaux informatiques ouvraient sans le savoir une porte d’entrée aux pirates.
Mais, quatre jours après que cette opération de haut vol a été rendue publique, personne n’est en mesure d’en mesurer exactement les dégâts. Sur le papier, ils ont de quoi donner le vertige. SolarWinds a estimé à un peu moins de 18 000 le nombre de ses clients ayant installé, depuis le mois de mars, la version compromise de son logiciel. Mais ce nombre ne permet pas de savoir qui les pirates ont réellement espionné. Le FBI a ouvert une enquête pour identifier, aux Etats-Unis, les victimes.
En effet, Sunburst n’était qu’un point d’entrée. Il est probable que les pirates n’aient utilisé cet accès furtif que dans certains cas, les plus intéressants d’un point de vue de la collecte de renseignement. Mais où ? Et pendant combien de temps ? Les experts naviguent à vue. « Nous pensons que le nombre [de victimes] réellement compromises à quelques dizaines », a déclaré au New York Times Charles Carmakal, directeur technique de l’entreprise FireEye, spécialisée dans la chasse aux hackeurs d’élite. Bloomberg, citant des sources anonymes, évoquait, mardi, 25 victimes identifiées.
Des semaines, des mois d’enquête à prévoir
Même si la liste des victimes réelles des pirates est limitée, la gravité de l’opération d’espionnage demeurera floue tant que ne sera pas identifiée avec exactitude la nature des informations exfiltrées. Et la tâche est ardue : les pirates ont pu arpenter les réseaux rendus accessibles par Sunburst pendant des mois. Suffisant pour se déplacer, se cacher, et effacer leurs traces. « Retirer cet acteur malveillant des réseaux compromis sera une tâche hautement complexe et un défi pour les organisations » a averti, dans un bulletin d’alerte diffusé jeudi, l’agence américaine de cybersécurité.
Aux quatre coins du monde, des experts sont donc à l’œuvre pour tenter d’identifier les victimes ayant accueilli Sunbust en leur sein, et plus délicat encore sera de savoir si leurs auteurs s’en sont servi. Y compris en France. « J’ai échangé avec des entreprises du CAC40 utilisatrices d’Orion. Elles sont en train de corriger en urgence la vulnérabilité et essaient de déterminer si elle a été utilisée et ce qui a été pris. Elles ont un œil attentif sur ce que vont donner comme informations les agences américaines piratées », précise Loïc Guézo, secrétaire général du Clusif, une association spécialisée regroupant notamment des responsables de la cybersécurité de grands groupes.
Ce sont des semaines, voire des mois d’enquête qui s’ouvrent désormais. D’autant que dans son bulletin d’alerte, l’agence de cybersécurité américaine a révélé, sans plus de détails, que les pirates avaient utilisé, pour leur opération d’espionnage, un autre vecteur que la compromission de SolarWinds.
Un camouflet pour la cyberdéfense américaine
Le fait que des ministères et agences de premier plan aux Etats-Unis ont été visés fait craindre, aux Etats-Unis, un camouflet de premier ordre en matière de renseignement. Les pirates semblent en effet avoir opéré sous le nez des autorités américaines, peut-être trop accaparées par la protection des élections. Dans leur communiqué, le FBI, l’agence de cybersécurité et le directeur du renseignement confirment entre les lignes n’avoir détecté l’opération d’espionnage que ces derniers jours.
Le président élu Joe Biden a fait part, jeudi, de sa « grande inquiétude » au sujet des événements. « La gestion de cette fuite sera une priorité majeure dès le moment où nous arriverons aux affaires », a-t-il poursuivi, sans pour autant désigner de responsable. De son côté, l’administration Trump ne s’est pas exprimée directement sur les faits.
Ron Wyden, l’un des sénateurs s’étant entretenu avec les services de renseignement, a dit craindre « un échec massif en matière de sécurité nationale, qui pourrait avoir des ramifications pour des années ». « J’ai peur que les dégâts soient plus graves que ce que l’on sait aujourd’hui », a-t-il poursuivi dans un communiqué. « La magnitude de cette attaque en cours est difficile à exagérer. Des années seront nécessaires pour savoir quels réseaux les Russes contrôlent et lesquels ils ne font qu’occuper » a jugé dans le New York Times Thomas Bossert, l’ancien conseiller de Donald Trump pour la cybersécurité.
La Russie suspectée
Les regards se sont en effet vite tournés vers la Russie, et plus spécifiquement le groupe de pirates APT29, réputé très proche du service de renseignement extérieur, cité comme responsable par plusieurs sources anonymes dans la presse. Et ce d’autant plus après que le sénateur démocrate Richard Blumenthal a, à la sortie d’une réunion secrète avec les services de renseignement, évoqué la « cyberattaque russe ». Le sénateur à la commission du renseignement s’est dit « profondément alarmé, et même carrément effrayé ». « Les Américains méritent de savoir ce qu’il se passe. Déclassifiez ce que l’on sait et ce que l’on ignore », a-t-il intimé à l’administration Trump sur Twitter.
Pourtant, les indices publics sur les auteurs de ces intrusions informatiques sont maigres, voire inexistants. SolarWinds s’est dite victime d’un « Etat nation ». FireEye, en pointe dans l’analyse de l’infiltration, n’a attribué cette dernière à personne, pas plus que le gouvernement américain. Beaucoup d’experts penchent cependant pour dire que, derrière cette opération, se cache un service de renseignement étatique, seul à même d’opérer à un tel niveau de discipline et de discrétion.
from WordPress https://ift.tt/37qzcCZ
via IFTTT
No comments:
Post a Comment