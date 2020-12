WASHINGTON – Au cours des dernières années, le gouvernement américain a dépensé des dizaines de milliards de dollars en capacités cyberoffensives, construisant une salle de guerre géante à Fort Meade, Maryland, pour le US Cyber ​​Command, tout en installant des capteurs défensifs dans tout le pays – un système nommé Einstein pour lui donner un air de génie – pour dissuader les ennemis de la nation de nettoyer à nouveau ses réseaux.

Il est maintenant clair que la vaste attaque d’espionnage russe contre le gouvernement américain et les entreprises privées, en cours depuis le printemps et détectée par le secteur privé il y a seulement quelques semaines, compte parmi les plus grandes échecs du renseignement des temps modernes.

Einstein l’a raté – parce que les pirates russes ont brillamment conçu leur attaque pour éviter de la déclencher. La National Security Agency et le Department of Homeland Security cherchaient ailleurs, se concentrant naturellement sur la protection des élections de 2020.

La nouvelle stratégie américaine consistant à «défendre en avant» – essentiellement, placer des «balises» américaines dans les réseaux de ses adversaires qui avertiraient des attaques imminentes et fourniraient une plate-forme pour les contre-attaques – n’a guère ou pas dissuadé les Russes, qui ont amélioré leur jeu. significativement depuis les années 1990, quand ils ont lancé une attaque contre le département de la Défense appelée Moonlight Maze.

Quelque chose d’autre n’a pas changé non plus: une allergie au sein du gouvernement américain à dire clairement ce qui s’est passé.

Le conseiller à la sécurité nationale, Robert C.O’Brien, a interrompu mardi un voyage au Moyen-Orient et en Europe et est retourné à Washington pour organiser des réunions de crise afin d’évaluer la situation, mais lui et ses collègues ont fait tout ce qu’ils pouvaient pour minimiser. les dégâts.

Interrogé mardi sur la question de savoir si le ministère de la Défense avait vu des preuves de compromis, le secrétaire à la Défense par intérim, Christopher C. Miller, a répondu: «Non, pas encore, mais en y regardant évidemment de près. D’autres responsables gouvernementaux affirment que cela tente de transformer l’ignorance sur ce qui s’est passé en une tournure heureuse – il est clair que le ministère de la Défense est l’une des nombreuses agences gouvernementales qui ont largement utilisé le logiciel dans lequel la Russie s’est ennuyée.

Au cours des derniers jours, le FBI, la Cybersecurity and Infrastructure Security Agency et le Bureau du directeur du renseignement national ont formé un groupe d’intervention d’urgence, le Cyber ​​Unified Coordination Group, pour coordonner les réponses du gouvernement à ce que les agences ont qualifié de campagne de cybersécurité en cours. »

Au moment même de septembre où le président russe Vladimir Poutine réclamait une trêve dans «la confrontation à grande échelle dans la sphère numérique», où se déroule le nouveau conflit quotidien le plus dommageable, l’une de ses principales agences de renseignement avait réussi une attaque sophistiquée qui impliquait de s’engager dans la longue et complexe chaîne d’approvisionnement de logiciels dont dépend désormais toute la nation.

« Superbe », a écrit mardi soir le sénateur Richard Blumenthal, D-Conn. « Le briefing confidentiel d’aujourd’hui sur la cyberattaque russe m’a laissé profondément alarmé, en fait carrément effrayé.

Il a demandé au gouvernement de déclassifier ce qu’il sait et ce qu’il ne sait pas.

Jusqu’à présent, et il est encore trop tôt, le piratage semble se limiter à l’espionnage classique, selon une personne informée à ce sujet.

Des séances d’information sur l’intrusion, y compris aux membres du Congrès, ont discuté de l’étendue de la pénétration de la Russie mais n’ont pas précisé quelles informations ont été volées – ou si l’accès que les pirates ont obtenu pourrait leur permettre de mener des attaques destructrices ou de modifier des données à l’intérieur des systèmes gouvernementaux, un peur qui plane au-dessus du simple espionnage.

Les enquêteurs n’ont découvert aucune faille dans aucun système classifié, seulement des systèmes non classifiés connectés à Internet. Pourtant, l’intrusion semble être l’une des plus importantes jamais réalisées, la quantité d’informations mises en danger éclipsant les autres intrusions sur le réseau.

Mercredi matin, le sénateur Dick Durbin, D-Ill., A qualifié la cyberattaque russe de «pratiquement une déclaration de guerre». Il avait tort – toutes les nations s’espionnent et les États-Unis utilisent également la cyberinfiltration pour voler des secrets – mais des unités de renseignement russes disparates ont, lors d’attaques précédentes, utilisé un accès similaire pour fermer les systèmes, détruire des données et, dans le cas de l’Ukraine. , coupez l’alimentation.

Les Russes ont nié toute implication. L’ambassadeur de Russie aux États-Unis, Anatoly I. Antonov, a déclaré qu’il y avait eu «des tentatives non fondées de la part des médias américains de blâmer la Russie» pour les récentes cyberattaques, lors d’une discussion organisée mercredi par l’Université de Georgetown.

Jusqu’à présent, cependant, le président Donald Trump n’a rien dit, sachant peut-être que son mandat touche à sa fin comme il a commencé, avec des questions sur ce qu’il savait des cyberopérations russes et quand. L’Agence nationale de sécurité a été en grande partie silencieuse, se cachant derrière la classification des renseignements. Même l’Agence pour la cybersécurité et la sécurité des infrastructures, le groupe du département de la sécurité intérieure chargé de défendre les réseaux critiques, a été visiblement silencieux sur le méga piratage russe.

Le message de Blumenthal sur Twitter était la première reconnaissance officielle que la Russie était derrière l’intrusion.

Curieusement, l’attaque russe a à peine figuré en note de bas de page lors d’une audition mercredi de la commission de la sécurité intérieure et des affaires gouvernementales du Sénat, qui comprenait le témoignage de Christopher Krebs, le chef de la cybersécurité qui a été limogé le mois dernier après avoir refusé de soutenir les allégations sans fondement de Trump de fraude électorale. Le piratage a eu lieu pendant le mandat de Krebs en tant que directeur de l’Agence pour la cybersécurité et la sécurité des infrastructures, mais les sénateurs ne l’ont pas interrogé à l’audience, se concentrant plutôt sur le piratage qui n’était pas: des allégations de fraude sans fondement lors des élections de novembre.

Les responsables de l’administration Trump ont reconnu que plusieurs agences fédérales – le département d’État, le département de la sécurité intérieure, certaines parties du Pentagone ainsi que le Trésor et le département du commerce – avaient été compromis dans le piratage russe. Mais les enquêteurs ont encore du mal à déterminer dans quelle mesure l’armée, la communauté du renseignement et les laboratoires nucléaires ont été affectés.

Le piratage est qualitativement différent des intrusions très médiatisées de piratage et de fuite que le GRU, la division du renseignement militaire russe, a menées ces dernières années. Ces intrusions du GRU, comme le piratage du Comité national démocrate en 2016, étaient destinées à être à court terme – pour s’introduire, voler des informations et les rendre publiques pour un impact géopolitique.

Le SVR, un voleur de secrets plus furtif censé être à l’origine du nouveau piratage, a également pénétré les systèmes DNC et ceux du département d’État en 2015, mais l’intention n’était pas de divulguer les informations trouvées ou d’endommager les systèmes dans lesquels ils étaient entrés. Au lieu de cela, il espérait un accès à long terme, capable de suivre lentement les délibérations non classifiées, mais sensibles, du gouvernement sur une gamme de sujets.

Au sein des banques et des sociétés Fortune 500, les dirigeants tentent également de comprendre l’impact de la brèche. Beaucoup utilisent l’outil de gestion de réseau dans lequel les pirates se sont tranquillement ennuyés pour mener à bien leurs intrusions, appelé Orion et fabriqué par la société SolarWinds, basée à Austin, au Texas. Le Laboratoire national de Los Alamos, où les armes nucléaires sont conçues, l’utilise également, tout comme les principaux entrepreneurs militaires.

«Comment n’est-ce pas un échec massif du renseignement, d’autant plus que nous étions censés être partout des acteurs de la menace russes avant les élections», a demandé mercredi Robert Knake, haut responsable de la cybersécurité de l’administration Obama, sur Twitter. «La NSA est-elle tombée dans un pot de miel géant pendant que la SVR» – l’agence d’espionnage la plus sophistiquée de Russie – «pillait discrètement» le gouvernement et l’industrie privée?

Bien sûr, la NSA ne voit pas tout, même après avoir placé ses sondes et ses balises dans des réseaux du monde entier. Mais s’il y a une enquête majeure – et il est difficile d’imaginer comment on pourrait l’éviter – la responsabilité de l’agence, dirigée par le général Paul Nakasone, l’un des cyber-guerriers les plus expérimentés du pays, sera au premier plan.

Les hackers SVR ont pris d’immenses efforts pour cacher leurs traces, a déclaré la personne informée de l’intrusion. Ils ont utilisé des adresses Internet américaines, ce qui leur a permis de mener des attaques à partir d’ordinateurs dans la ville même – ou en apparence – dans laquelle leurs victimes étaient basées. Ils ont créé des morceaux de code spéciaux destinés à éviter la détection par les systèmes d’alerte américains et ont chronométré leurs intrusions pour ne pas éveiller les soupçons – les heures de travail, par exemple – et ont utilisé d’autres techniques artisanales prudentes pour éviter la découverte.

L’intrusion, a déclaré la personne informée sur le sujet, montre que le point faible des réseaux informatiques du gouvernement américain reste les systèmes administratifs, en particulier ceux qui ont un certain nombre d’entreprises privées travaillant sous contrat. Les espions russes ont découvert qu’en accédant à ces systèmes périphériques, ils pouvaient se frayer un chemin vers des parties plus centrales des réseaux gouvernementaux.

SolarWinds était une cible mûre, disent d’anciens employés et conseillers, non seulement pour l’ampleur et la profondeur de son logiciel, mais pour ses propres précautions de sécurité douteuses.

La société n’avait pas de responsable de la sécurité de l’information, et les courriels internes partagés avec le New York Times montraient que les mots de passe des employés fuyaient sur GitHub l’année dernière. Reuters avait rapporté plus tôt qu’un chercheur avait informé la société l’année dernière qu’il avait découvert le mot de passe du mécanisme de mise à jour de SolarWinds – le véhicule par lequel 18000 de ses clients avaient été compromis. Le mot de passe était «solarwinds123».

Même si les Russes n’ont pas enfreint les systèmes classifiés, l’expérience montre qu’il existe de nombreuses données très sensibles dans des endroits qui n’ont pas de couches de classification. Telle a été la leçon du piratage chinois du Bureau de la gestion du personnel il y a cinq ans, sous l’administration Obama, quand il s’est avéré que les dossiers d’habilitation de sécurité de 22,5 millions d’Américains et 5,6 millions de jeux d’empreintes digitales étaient stockés à la légère. systèmes informatiques protégés dans, de tous les lieux, le ministère de l’Intérieur.

Ils sont maintenant tous à Pékin, après que les dossiers se soient déroulés sans déclencher d’alarmes.

«Une telle intrusion donne aux Russes un riche ensemble de cibles», a déclaré Adam Darrah, un ancien analyste du renseignement gouvernemental, maintenant directeur du renseignement chez Vigilante, une société de sécurité. «Le SVR s’attaque à ces cibles comme point de départ vers des cibles plus souhaitables comme la CIA et la NSA.»

