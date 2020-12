Une cyberattaque dévastatrice, soupçonnée d’être liée à la Russie, continue de présenter un «risque grave» pour les réseaux gouvernementaux et le secteur privé, selon un avertissement inquiétant publié jeudi par le Département de la sécurité intérieure.

Le bulletin de la Cybersecurity and Infrastructure Security Agency (CISA) du DHS représentait l’évaluation la plus frappante à ce jour d’une menace en cascade pour les réseaux fédéraux, étatiques et locaux.

«La CISA a déterminé que cette menace présente un risque grave pour le gouvernement fédéral et les gouvernements des États, locaux, tribaux et territoriaux, ainsi que pour les infrastructures essentielles et d’autres organisations du secteur privé», indique le bulletin.

« Cet … acteur a fait preuve de patience, de sécurité opérationnelle et de savoir-faire complexe dans ces intrusions », a déclaré CISA à propos des pirates, ajoutant que l’effort en cours pour éliminer la menace serait « extrêmement complexe et difficile ».

Les réseaux du ministère de l’Énergie et de la National Nuclear Security Administration, qui gère le stock d’armes nucléaires du pays, peuvent également avoir été compromis selon les rapports du Washington Post et de Politico.

Les attaquants ont pénétré les systèmes informatiques fédéraux via un logiciel serveur populaire proposé par une société appelée SolarWinds.

La menace provenait apparemment de la même campagne de cyberespionnage qui a affligé la société de cybersécurité FireEye, les gouvernements étrangers et les grandes entreprises.

Le système est utilisé par des centaines de milliers d’organisations dans le monde, y compris la plupart des sociétés Fortune 500 et plusieurs agences fédérales américaines, qui se démènent maintenant pour réparer leurs réseaux.

L’attaque sophistiquée a violé les départements du Trésor et du Commerce et potentiellement d’autres agences. Le département du Commerce a déclaré dans un communiqué qu’il avait demandé à la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security et au FBI d’enquêter.

Le département de la Sécurité intérieure examine également une éventuelle violation de l’agence, a déclaré le porte-parole Alexei Woltornist.

Cyberattaque en cours d’enquête:Quand une grande entreprise de cybersécurité est piratée, quel est le point à retenir pour l’internaute moyen?

Des agences gouvernementales américaines piratées:La Russie, un possible coupable

Mais l’ampleur des dégâts n’est pas encore claire.

«Pensez-y comme un virus de la santé qui parvient à pénétrer dans votre corps», a déclaré Mathieu Gorge, expert en cybersécurité et auteur du prochain livre «The Cyber ​​Elephant in the Boardroom». «Une fois qu’il est dans votre corps, il se multiplie, utilisant tous les organes et toutes les artères et tous les liquides de votre corps. Tout est interconnecté. »

Voici ce que vous devez savoir jusqu’à présent.

Quelles informations ont été potentiellement recueillies?

Il est trop tôt pour le dire puisque l’attaque n’a été découverte que récemment, mais semble avoir exploité ce que SolarWinds a appelé une «vulnérabilité potentielle» liée aux mises à jour publiées entre mars et juin pour Orion, qui permet de surveiller les réseaux pour les problèmes.

Mais les premières indications suggèrent que les attaquants cherchaient des informations sur les capacités de piratage et les défenses américaines. Appelez cela la dernière phase de ce qui pourrait être une guerre froide de la cyber-ère.

«Il semble que les attaquants aient utilisé nos propres outils pour trouver des vulnérabilités dans les réseaux étrangers», a déclaré Matthew Schmidt, professeur au département de la sécurité nationale du Henry C. Lee College of Criminal Justice and Forensic Sciences de l’Université de New Haven. «Ils ont piraté notre capacité de piratage. Il est très tôt, mais le niveau de réaction immédiate suggère une intrusion très, très grave.

Le porte-parole du Conseil de sécurité nationale, John Ullyot, a déclaré que les autorités travaillaient avec les cyber-unités du DHS et du FBI pour « coordonner une reprise rapide et efficace de l’ensemble du gouvernement et une réponse au récent compromis ».

Vos informations personnelles pourraient-elles être en danger?

Oui. Les agences fédérales ciblées dans l’attaque ont bien sûr une réserve d’informations personnelles sur les Américains. Mais les détails complets sur les motivations des attaquants restent flous.

«Le sentiment initial est que l’attaque a laissé le système de mise à jour de nombreux systèmes de sécurité clés ouverts à l’exploitation, ce qui signifie qu’il est possible qu’ils aient pu accéder à la racine des systèmes de nombreuses agences», a déclaré Schmidt dans une interview par e-mail. «Si c’est vrai, et nous ne le savons pas encore, cela pourrait signifier que les systèmes les plus importants sont compromis – les données du personnel, y compris les agents étrangers, la planification, les opérations, etc. Si quelque chose de proche du pire est vrai, cela signifiera des mois de travail pour déterminer s’il est sûr d’utiliser ces systèmes. »

Que pouvez-vous faire pour vous protéger?

Les Américains, tout comme les agences visées par l’attaque, devraient adopter une approche cohérente pour se protéger.

Utilisez des mots de passe complexes et différents pour vos comptes numériques. Surveillez de près vos finances. Utilisez l’authentification à deux facteurs pour les comptes critiques tels que les e-mails et les réseaux sociaux. Ne cliquez pas sur les liens d’une source que vous n’avez pas authentifiée comme légitime.

«Les gens doivent changer tous les mots de passe qu’ils ont utilisés sur des sites (du gouvernement américain) comme la sécurité sociale, l’IRS, la Small Business Administration», a déclaré Schmidt.

Malheureusement, personne ne peut faire grand-chose pour se protéger lorsque les gouvernements, les entreprises et les organisations qui détiennent leurs informations personnelles sont la cible d’attaques.

«Le défi est que les criminels n’ont besoin de bien faire les choses qu’une seule fois, alors que le gouvernement et les entreprises doivent tout le temps faire les choses correctement», a déclaré Gorge.

Gorge a exhorté les Américains à rechercher les notifications des agences gouvernementales ou des entreprises indiquant que leurs informations ont été compromises. Dans de nombreuses cyber-violations précédentes, les consommateurs concernés se voient proposer gratuitement des services de surveillance du vol d’identité.

Que doit faire le gouvernement?

Le premier objectif du gouvernement devrait être d’évincer les intrus, a déclaré Gorge.

«Vous devez être dans le mode qui vous permet de contenir le piratage autant que possible pendant que vous enquêtez», a-t-il déclaré.

Les attaquants ont probablement violé d’autres agences ou organisations en plus de celles déjà identifiées, ce qui rend simplement plus urgent d’extirper les infiltrés. Mandia de FireEye a déclaré que les attaques semblent avoir commencé au printemps.

«Cela pourrait être un effet domino», a déclaré Gorge. «C’est une attaque coordonnée. C’est une attaque sophistiquée et je ne pense pas que nous en ayons vu la fin.

Le gouvernement organise sa réponse à l’intrusion sans son haut responsable de la protection de la cybersécurité. Le mois dernier, le président Donald Trump a limogé Christopher Krebs, directeur de la CISA du DHS, après avoir déclaré que l’élection était la plus sûre de l’histoire américaine.

« Les Russes ont eu accès à un nombre considérable de réseaux importants et sensibles pendant six à neuf mois », a déclaré Bossert dans une chronique publiée dans le New York Times, ajoutant que les responsables du renseignement russe avaient probablement acquis « le contrôle administratif des réseaux qu’ils considéraient comme prioritaires. cibles. «

« Pour ces cibles, les pirates auront depuis longtemps dépassé leur point d’entrée, couvert leurs traces et obtenu ce que les experts appellent un ‘accès persistant’, c’est-à-dire la capacité d’infiltrer et de contrôler les réseaux d’une manière difficile à détecter ou à supprimer. »

Bossert a déclaré que cela pourrait prendre des années pour connaître la profondeur des dégâts.

Était-ce inévitable?

Lorsqu’il s’agit d’attaques de cybersécurité, il y a un degré d’inévitabilité dans l’air, malgré les meilleures tentatives de chacun pour se protéger – en particulier lorsqu’un État-nation motivé et sophistiqué constitue une menace.

«Il y a un dicton dans l’industrie selon lequel il n’y a que deux types d’entreprises – celles qui ont été violées et celles qui ne savent pas qu’elles ont été violées», a déclaré Gorge. «Tout le monde a des incidents de sécurité. La manière dont ils gèrent la violation déterminera si le public leur fait confiance ou non. »

Ilia Sotnikov, vice-présidente de la gestion des produits chez le fournisseur de logiciels de cybersécurité Netwrix, a déclaré que les équipes de cybersécurité des entreprises devraient «immédiatement profiter des contre-mesures proposées par FireEye» et être à l’affût des mises à jour de sécurité supplémentaires.

« Cette attaque est une autre preuve qu’un pirate informatique motivé sera en mesure de compromettre n’importe quelle organisation, quelle que soit sa protection », a déclaré Sotnikov. « Notre nouvelle norme en ce moment est d’être ouvert au sujet d’une violation de données et de s’approprier le message en tant que FireEye fait. »

Gorge a convenu que FireEye avait pris les bonnes mesures en fournissant des mises à jour régulières au public et était largement respecté dans le secteur de la cybersécurité.

«FireEye est extrêmement doué dans ce qu’ils font et ce sont des pionniers», a-t-il déclaré. «Ils sont en tête du peloton.»

Contribution: Mike Snider et Associated Press

Suivez le journaliste d’USA TODAY Nathan Bomey sur Twitter @NathanBomey.