WASHINGTON – Alors que les assistants du président Biden luttent pour trouver des moyens innovants de riposter contre la Russie pour le piratage le plus sophistiqué du gouvernement et des entreprises de l’histoire, les principaux sénateurs et dirigeants d’entreprise ont averti mardi que «la portée et l’ampleur» de l’opération n’étaient pas claires, et que l’attaque pourrait encore se poursuivre.
« Qui connaît l’intégralité de ce qui s’est passé ici? » Brad Smith, le président de Microsoft, a déclaré jeudi à la commission du renseignement du Sénat. «À l’heure actuelle, l’attaquant» – qui semble être le SVR, l’une des principales agences de renseignement de Russie – «est le seul à connaître l’intégralité de ce qu’il a fait». Microsoft a été l’un des premiers à sonner l’alarme concernant l’intrusion dans les réseaux du gouvernement et du secteur privé.
L’audience était une rare diffusion publique de l’un des plus gros échecs du renseignement américain depuis Pearl Harbor et les attentats terroristes du 11 septembre 2001: un assaut contre la «chaîne d’approvisionnement» des logiciels de gestion de réseau utilisés par les gouvernements et la plupart des les plus grandes entreprises.
L’Agence de sécurité nationale, malgré des milliards de dollars dépensés pour installer des capteurs dans les réseaux du monde entier, a manqué les preuves pendant plus d’un an – un point soulevé par les sénateurs démocrates et républicains, qui ont demandé combien de temps les États-Unis seraient restés dans le noir.
«Cela aurait pu être exponentiellement pire», a déclaré le sénateur Mark Warner, démocrate de Virginie et nouveau président de la commission du renseignement du Sénat, au terme de deux heures et demie de témoignage.
En fait, cela peut s’avérer pire. Lors d’un briefing à la Maison Blanche la semaine dernière, Anne Neuberger, la nouvelle conseillère à la sécurité nationale du président Biden pour les cybermenaces et les menaces émergentes, a déclaré que la Maison Blanche préparait une réponse globale en raison de «la capacité de cela à devenir perturbateur». Elle faisait référence à la possibilité que le même accès qui donnait aux Russes la possibilité de voler des données puisse, dans la phase suivante d’une opération, leur permettre de les modifier ou de les détruire.
Mais aucun représentant des agences de renseignement des États-Unis, principalement la National Security Agency, n’a comparu à l’audience. Plusieurs sénateurs ont fustigé les dirigeants d’Amazon Web Services pour avoir refusé d’y assister. L’absence d’Amazon n’a laissé personne pour expliquer comment les pirates russes utilisaient secrètement ses serveurs aux États-Unis pour exécuter des centres de commande et de contrôle afin de mener à bien l’opération, en supprimant les courriels et autres données de ce que Mme Neuberger a déclaré être au moins neuf agences gouvernementales. et plus de 100 entreprises.
Les assistants de M. Biden envisagent une gamme de réponses que son conseiller à la sécurité nationale, Jake Sullivan, a qualifié ce week-end de «mélange d’outils vus et invisibles».
M. Sullivan a promis que lorsqu’une réponse viendrait, ce ne serait «pas simplement des sanctions», la manière la plus courante de réaction du gouvernement en réponse à l’attaque de la Corée du Nord contre Sony Pictures Entertainment et aux attaques de l’Iran contre des banques américaines et un barrage dans le comté de Westchester, New York.
Ces options, selon des responsables familiers avec les discussions, incluent des variantes de mesures que le président Barack Obama a envisagées et rejetées après le piratage des systèmes électoraux d’État en 2016. Ils ont inclus l’utilisation de cyber-outils pour révéler ou geler des actifs détenus secrètement par le président russe Vladimir V.
Lors d’un point de presse à la Maison Blanche mardi, Jen Psaki, l’attachée de presse, a déclaré qu’une réponse américaine viendrait dans «des semaines, pas des mois». Mais d’abord, les États-Unis devront faire une déclaration définitive que l’une des agences de renseignement russes était responsable.
Dernières mises à jour
- Le département de l’éducation déclare que les tests standardisés ne seront pas annulés.
- L’administration Biden abandonne les changements apportés par l’ère Trump au test de citoyenneté.
- Les démocrates de la Chambre poussent 1,9 billion de dollars de mesures de relance par le biais du comité budgétaire.
« Il n’y a pas beaucoup de suspense en ce moment sur ce dont nous parlons », a déclaré M. Smith, qui a ajouté que si Microsoft n’avait pas identifié les intrus, rien ne contredisait la conclusion provisoire des services de renseignement américains selon laquelle la Russie était » susceptible d’être le coupable.
M. Biden devra alors surmonter un autre problème: différencier ce que les Russes ont fait du genre d’espionnage que font les États-Unis, y compris contre leurs alliés. Les fonctionnaires préparent déjà les bases de cet argument. La semaine dernière, M. Biden a qualifié l’intrusion du malware d ‘«imprudente» car elle a touché plus de 18 000 entreprises, principalement aux États-Unis. En privé, les responsables américains testent déjà l’argument selon lequel la Russie doit être punie pour le piratage «aveugle», tandis que les États-Unis utilisent des outils similaires à des fins uniquement ciblées. Il n’est pas certain que cet argument convaincra les autres de se joindre aux mesures visant à faire payer la Russie.
Les actions à venir de M. Biden semblent susceptibles d’inclure des décrets sur l’amélioration de la résilience des agences gouvernementales et des entreprises aux attaques et aux propositions de divulgation obligatoire des piratages. De nombreuses entreprises qui ont perdu des données au profit des Russes ne l’ont pas admise, soit par embarras, soit parce qu’il n’y a aucune obligation légale de divulguer même une violation majeure.
Mais le sous-texte de la plupart des témoignages était que les services de renseignement russes auraient peut-être lié les réseaux américains avec un accès «par porte dérobée». Et cette possibilité – juste la peur – pourrait limiter le type de punition infligée par M. Biden. Alors qu’il avait promis pendant la transition présidentielle d’imposer des «coûts substantiels», les promesses précédentes de tenir la Russie pour responsable n’ont pas créé suffisamment de dissuasion pour les préoccuper de la sanction s’ils étaient pris dans le piratage de la chaîne d’approvisionnement le plus sophistiqué de l’histoire.
«La réalité est qu’ils vont revenir, et ils vont être une infraction omniprésente», a déclaré Kevin Mandia, directeur général de FireEye, la société de cybersécurité qui a découvert l’intrusion après que les Russes aient volé ses outils de lutte. les pirates. M. Mandia, un ancien officier du renseignement de l’armée de l’air, a noté que «depuis que la porte d’entrée était verrouillée», les pirates se sont tournés vers des vulnérabilités connues mais peu traitées. Dans ce cas, ils sont entrés dans le système de mise à jour du logiciel de gestion de réseau créé par une société appelée SolarWinds. Lorsque les utilisateurs du logiciel SolarWinds Orion ont téléchargé les versions mises à jour du code, les Russes étaient là.
Parmi ceux qui ont témoigné à l’audience, il y avait Sudhakar Ramakrishna, le nouveau directeur général de SolarWinds, qui a repris plusieurs semaines après la découverte de la brèche et a depuis enlevé les couches de l’intrusion. Il a déclaré au comité sénatorial que le code avait été éradiqué des produits de l’entreprise. Mais cela ne sert guère aux agences gouvernementales et aux entreprises qui ont déjà été violées, car une fois que les pirates sont à l’intérieur de leurs réseaux informatiques ciblés, ils sont libres de se déplacer.
M. Ramakrishna a également déclaré que SolarWinds ne savait toujours pas comment les pirates russes étaient entrés dans le logiciel qu’il développait, s’y intégrant dès l’automne 2019. Interrogé sur la possibilité que les outils logiciels créés par JetBrains, ce qui accélère le développement et les tests du code, était la voie, M. Ramakrishna a dit qu’il n’y avait toujours aucune preuve. Le New York Times a rapporté en janvier que JetBrains faisait l’objet d’une enquête, mais les hauts dirigeants de la société, dont certains sont russes, ont déclaré qu’il n’y avait aucune preuve.
M. Smith, qui a appelé à une «convention de Genève numérique» qui commencerait à créer des normes interdisant certains types d’attaques, a estimé qu ‘«au moins un millier d’ingénieurs très qualifiés et capables» étaient impliqués dans le piratage.
«C’était un acte d’insouciance, à mon avis», a-t-il dit, car il a infecté des milliers de systèmes auxquels les Russes n’avaient aucun intérêt pour ne leur donner accès qu’à quelques-uns. «Cela a été fait de manière très aveugle.»
M. Warner, le sénateur Marco Rubio de Floride, le républicain de rang au sein du comité, et d’autres ont noté à plusieurs reprises qu’Amazon – qui gère les services cloud du réseau de la CIA et recherche d’autres contrats fédéraux importants – était la seule entreprise à avoir refusé d’envoyer un cadre supérieur. pour expliquer son rôle dans le piratage. Amazon n’a rien dit publiquement sur ce qu’il savait de l’opération de commande et de contrôle exécutée à partir de ses serveurs aux États-Unis.
C’est une question cruciale, car les pirates semblent comprendre que les agences de renseignement américaines n’ont pas le droit d’examiner l’activité du réseau aux États-Unis. Ainsi, en lançant l’attaque à l’intérieur des frontières américaines, ils profitaient des protections nationales de la vie privée pour éviter d’être détectés.
Plusieurs sénateurs ont dit qu’ils craignaient qu’une telle technique, une fois connue, ne soit largement utilisée par d’autres. «La question fondamentale est de savoir comment avons-nous manqué cela, et que nous manque-t-il encore?» M. Rubio a dit.
Dans une interview, Ellen M. Lord, un ancien haut responsable du Pentagone dans l’administration Trump, a déclaré que le défi serait maintenant d’amener les forces de l’ordre, l’Agence de sécurité nationale, le Pentagone et d’autres à se coordonner plus rapidement sur des cyberintrusions spécifiques.
Certaines lois destinées à protéger les données ont rendu le partage d’informations plus difficile, a-t-elle déclaré.
«Après le 11 septembre, tout le monde a dit: ‘Oh mon Dieu, tous ces différents groupes avaient des informations’, mais ils ne partageaient pas», a déclaré Mme Lord. «C’est exactement la même situation dans mon esprit, avec toutes ces cyberintrusions sur la base industrielle de la défense. Il doit y avoir un examen complet des réglementations et des politiques interdisant le partage d’informations entre les gouvernements locaux, étatiques et fédéraux, afin que nous n’ayons pas tous ces tuyaux de poêle.
Julian Barnes contribution aux rapports.
