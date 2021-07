Le président Biden est sorti mercredi d’une réunion de la salle de situation avec ses principaux conseillers en cybersécurité pour déclarer qu’il « apportera » une réponse au président russe Vladimir V. Poutine pour la vague d’attaques de ransomwares frappant les entreprises américaines, après avoir entendu une série d’options sur comment il pourrait perturber les efforts d’extorsion. La vague déclaration de M. Biden, prononcée alors qu’il partait pour un voyage, ne permettait pas de savoir s’il prévoyait un autre avertissement verbal à M. Poutine – similaire à celui qu’il avait lancé il y a trois semaines lors d’un sommet en tête-à-tête à Genève – ou irait de l’avant avec des options plus agressives pour démanteler l’infrastructure utilisée par les groupes criminels russophones. Chaque option court un risque important, car la Russie est capable d’intensifier son propre comportement. Et comme l’a montré le déluge de ransomwares, de nombreuses entreprises du secteur privé et des agences gouvernementales fédérales et étatiques restent en proie à des vulnérabilités que les acteurs russes peuvent trouver et exploiter. Après plus de trois décennies au gouvernement, M. Biden semble comparativement moins préoccupé par les opérations de piratage axées sur l’espionnage, activité que mènent tous les pays et que les États-Unis mènent chaque jour contre leurs rivaux géopolitiques. Mais il a été alarmé par la perturbation économique des ransomwares, d’autant plus que les pénuries d’essence, de carburéacteur et de diesel ont frappé la côte est après une attaque de ransomware sur Colonial Pipeline il y a deux mois.

Les attaques utilisant un ransomware, une forme de malware qui crypte les données jusqu’à ce que la victime paie, sont devenues de plus en plus perturbatrices et coûteuses. L’argument de la Maison Blanche est que les attaques émanent du territoire russe, il est donc de la responsabilité de M. Poutine de les éliminer – et que les États-Unis agiront s’il ne le fait pas. Les assistants de M. Biden ont fourni peu de détails sur la réunion de mercredi matin, qui comprenait des dirigeants clés du département d’État, du département de la Justice et du département de la Sécurité intérieure, ainsi que d’autres membres de la communauté du renseignement. Mais ils ont déclaré qu’il se concentrait sur les options immédiates – et non sur la politique à plus long terme de traitement des ransomwares qui est attendue dans les semaines à venir.

M. Biden subit une pression croissante pour prendre une sorte d’action visible – peut-être une grève contre les serveurs ou les banques russes qui les font fonctionner – après avoir adressé plusieurs avertissements sévères à Moscou qu’il répondrait aux cyberattaques contre les États-Unis avec ce qu’il a. appelée action « en nature » contre la Russie. Le dernier avertissement du président est intervenu juste après la rencontre avec M. Poutine dans un domaine au bord d’un lac aux abords de Genève, où M. Biden lui a remis la liste du ministère de la Sécurité intérieure des 16 zones d’«infrastructures critiques» que les États-Unis considèrent comme exclues. limites et mériterait une réponse en cas d’attaque. L’attaque la plus récente, le 4 juillet, a été lancée par un groupe de langue russe qui s’appelle REvil, une abréviation de « ransomware evil ». La victime immédiate était une entreprise de Floride, Kaseya, qui fournit des logiciels à des entreprises qui gèrent la technologie pour des milliers de petites entreprises, qui ne disposent généralement pas de la technologie ou du personnel pour gérer leurs propres systèmes. En entrant dans la chaîne d’approvisionnement de logiciels de Kaseya, REvil a pu prendre en otage jusqu’à 1 500 entreprises, y compris des chaînes d’épicerie, des pharmacies et même des chemins de fer en Suède.

Aux États-Unis, le gouvernement municipal de North Beach, dans le Maryland, et plusieurs petites entreprises ont été touchés, mais les collaborateurs de M. Biden ont déclaré que les effets les plus importants étaient relativement atténués. « Nous avons eu de la chance », a déclaré un haut responsable impliqué dans les cyberdéfenses, notant que le groupe de ransomware semblait avoir emprunté certaines techniques à l'agence de renseignement russe qui avait manipulé l'année dernière le code logiciel vendu par une société appelée SolarWinds qui maintenait un large accès au gouvernement et réseaux d'entreprise. Un examen préliminaire par des responsables de l'administration a déterminé que l'attaque de ransomware au cours du week-end n'avait pas affecté le type d'infrastructure critique – réseaux électriques, systèmes de distribution d'eau, le fonctionnement d'Internet lui-même – que M. Biden avait averti que M. Poutine marquerait un rouge ligne. M. Biden a déclaré mercredi soir qu'il attendait un rapport du FBI indiquant si le Comité national républicain avait été délibérément pris pour cible la semaine dernière lorsqu'un de ses sous-traitants a été touché par une cyberattaque qui semblait être l'œuvre du SVR, le renseignement le plus compétent. -opération de cueillette en Russie.

« Le FBI travaille avec le RNC pour déterminer les faits », a déclaré M. Biden. « Quand nous connaîtrons les faits, je saurai ce que je vais faire. » (Les responsables du RNC ont déclaré que l'accès avait été rapidement coupé et que rien n'avait été volé.) Mais c'était la nature sophistiquée de l'attaque de Kaseya qui inquiétait les experts. Il a utilisé un « jour zéro » – une faille inconnue dans la technologie de Kaseya – puis a propagé le ransomware aux clients de l'entreprise et à des centaines de leurs clients. Ces techniques sont considérées comme inhabituellement sophistiquées pour les cybercriminels et aident à contrecarrer les défenses traditionnelles, comme le logiciel antivirus qui s'exécute sur la plupart des réseaux commerciaux et des ordinateurs individuels. Pendant des mois, le Conseil national de sécurité a pesé les options pour arrêter le ransomware qui a affaibli les gazoducs, les usines de transformation de la viande, les hôpitaux et les écoles. Un groupe de travail du ministère de la Justice, de concert avec le FBI, s'est efforcé d'empêcher les opérateurs de ransomware d'accéder à certains des portefeuilles de crypto-monnaie où les rançons sont déposées ou déplacées. L'année dernière, le United States Cyber ​​Command, qui gère des cyberopérations pour l'armée, a désactivé les serveurs d'un autre groupe russophone que les États-Unis craignaient que Moscou n'utilise pour s'immiscer dans l'élection présidentielle de 2020.

Toute combinaison de ces techniques pourrait être utilisée à nouveau. Dmitri Alperovitch, fondateur de la société de cybersécurité CrowdStrike, et maintenant fondateur du groupe de réflexion Silverado Policy Accelerator, a fait valoir que tant que M. Biden ne procéderait pas à une réduction significative des revenus pétroliers de la Russie, il n’attirerait pas l’attention de M. Poutine. Mais jusqu’à présent, ces mesures se sont avérées insuffisantes pour dissuader de nouvelles attaques. La question pour la Maison Blanche est maintenant de savoir si les récentes attaques de REvil se rapprochent suffisamment de la ligne rouge fixée par M. Biden à Genève pour qu’il ne puisse pas laisser passer le moment, même si les dommages aux intérêts américains ont été limités. « Si c’est le cas, nous devons donner suite, et nous n’avons pas été très bons dans le passé », a déclaré Chris Painter, qui a servi au département d’État en tant que plus haut diplomate négociant les règles de la route pour le cyberespace avec d’autres nations. « Nous ne pouvons pas établir de ligne rouge et ne rien faire à ce sujet lorsque nous sommes continuellement enfreints », a-t-il déclaré. « Je ne pense pas que nous puissions nous permettre de rester assis là et d’attendre que la prochaine attaque se produise et la prochaine attaque après cela, car il est clair qu’ils ne s’arrêtent pas. » Chaque fois que des contre-attaques sont débattues à la Maison Blanche, notent les vétérans de ces débats, un air de prudence s’installe finalement. Les États-Unis peuvent posséder ce que M. Biden appelle « une cybercapacité importante » – ce qui a été clairement indiqué il y a plus de dix ans lorsque, en tant que vice-président , il a participé aux réunions sur les cyberattaques Stuxnet contre les centrifugeuses nucléaires iraniennes. Mais il est également plus vulnérable aux cyberattaques que la plupart des pays car il est tellement numérisé et la plupart de ses infrastructures critiques appartiennent à des entreprises qui n’ont pas suffisamment investi dans leur défense numérique. Ainsi, toute escalade risque un retour de flamme. Ces derniers jours, cependant, un nombre croissant d’experts ont fait valoir que les États-Unis sont désormais confrontés à un tel barrage d’attaques qu’ils doivent riposter avec plus de force, même s’ils ne peuvent pas contrôler la riposte. « Vous ne voulez pas que l’escalade devienne incontrôlable, mais nous ne pouvons pas en avoir peur au point de nous lier les mains », a déclaré M. Painter.

William Evanina, qui a récemment quitté un poste de haut niveau dans le contre-espionnage du gouvernement américain et conseille désormais les entreprises, a déclaré qu’il conseillerait à M. Biden « d’être audacieux ». « Nous devons donner à Poutine de quoi réfléchir », a-t-il déclaré. « Et même si je sais que des membres du gouvernement aiment l’idée d’avoir des cyberopérations » invisibles « , nous devons montrer au peuple américain et au secteur privé que nous faisons quelque chose à ce sujet. » M. Poutine a nié que bon nombre des attaques venaient de Russie et a fait valoir que les États-Unis, avec leurs cyberopérations dans le monde entier, sont la force perturbatrice la plus active sur Internet. Mais il est clair qu’un grand nombre des demandes de ransomware proviennent de Russie, et le code du ransomware est souvent écrit pour éviter de toucher des cibles russophones. Si Moscou voulait empêcher les cybercriminels russes de pirater des cibles américaines, selon les experts, il le ferait. C’est pourquoi, selon certains experts russes, les États-Unis doivent s’attaquer à la kleptocratie russe, soit en divulguant les détails des finances de M. Poutine, soit en gelant les comptes bancaires des oligarques. « La seule langue que Poutine comprend est le pouvoir, et son pouvoir est son argent », a déclaré Garry Kasparov, le grand maître d’échecs russe et critique de Poutine. « Il ne s’agit pas de chars ; il s’agit des banques. Les États-Unis devraient effacer les comptes des oligarques, un par un, jusqu’à ce que le message soit transmis. » Pour l’instant, REvil n’a montré aucun signe de diminution de ses opérations. Ces derniers jours, ses cybercriminels ont continué à détourner les réseaux des entreprises américaines. Mercredi, REvil a atteint une nouvelle cible : un entrepreneur de défense de Floride, HX5, qui vend des technologies de lancement d’armes et d’espace à l’armée, la marine, l’armée de l’air et la NASA. REvil a publié des documents piratés sur son site Web de naming and shaming, « The Happy Blog ». Aucun ne semblait avoir de conséquence vitale, mais HX5 n’est que le dernier entrepreneur à être touché.