FireEye, un géant de la cybersécurité de 3,5 milliards de dollars, a révélé qu’il avait récemment été la cible d’une cyberattaque massive, spécialisée et hautement sophistiquée. L’attaque aurait été spécifiquement conçue pour briser les propres défenses de FireEye et incluait des techniques hautement sophistiquées qui, selon FireEye, n’avaient jusqu’à présent pas été vues auparavant dans l’essaim habituel de cyberattaques qui se produisent chaque jour. Étant donné que FireEye est l’une des plus grandes entreprises de cybersécurité au monde, cette conclusion est préoccupante.

Ce que le hack a pris

Ajoutant à la menace, le PDG de FireEye, Kevin Mandia, déclare en outre qu’après avoir étudié la criminalistique du piratage, la société a conclu que cette activité était appliquée par des pirates informatiques soutenus par un État-nation, qui étaient très spécifiques, très avancés et déterminés dans leur attaque. «Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et exécutés avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et les examens médico-légaux. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n’avons pas été témoins dans le passé », ajoute Mandia.

Le piratage visait les outils de piratage FireEye Red Team, qui sont généralement utilisés en conjonction avec un pot de miel pour évaluer les menaces de sécurité en évolution et zero-day. De tels outils sont souvent conçus pour tester la sécurité de l’entreprise et, compte tenu de la vaste clientèle de FireEye, suscitent des inquiétudes importantes. Sur cette note, ajoute Mandia, «nous publions de manière proactive des méthodes et des moyens pour détecter l’utilisation de nos outils volés de la Red Team.

«Nous ne savons pas si l’attaquant a l’intention d’utiliser nos outils Red Team ou de les divulguer publiquement. Néanmoins, par prudence, nous avons développé plus de 300 contre-mesures pour nos clients, et la communauté dans son ensemble, à utiliser afin de minimiser l’impact potentiel du vol de ces outils. Nous n’avons vu à ce jour aucune preuve qu’un attaquant ait utilisé les outils volés de la Red Team. Nous, ainsi que d’autres membres de la communauté de la sécurité, continuerons de surveiller toute activité de ce type », résume-t-il.

Le véritable impact d’une telle attaque

Comme de nombreuses fois auparavant, ce piratage particulier souligne encore une fois la gravité des campagnes de cyberattaques orchestrées. Ces campagnes de hackers soutenues par l’État ne sont généralement pas alignées sur des gains financiers. Dans la plupart des cas, de telles campagnes fonctionnent comme des brûleurs lents, où des attaquants soutenus par la nation infiltrent des systèmes d’infrastructure sensibles pour retirer des informations secrètes ou, au pire, prendre le contrôle d’un système critique. Dans d’autres, comme celui-ci, les campagnes visent à tirer des gains sous la forme d’outils avancés de cyberguerre. Les outils de sécurité FireEye, par exemple, auraient été essentiels pour protéger les grandes entreprises mondiales contre les menaces persistantes de logiciels malveillants, les attaques à distance et d’autres formes innombrables de cybermenaces.

Alors que Mandia soutient qu’aucun impact direct de l’attaque n’a été observé immédiatement, la nature évolutive de la cyberguerre est en effet une sous-entendu alarmante. Compte tenu du barrage constant d’exploits zero-day et des outils de cybersurveillance et d’infiltration inconnus développés par les nations ainsi que par la pègre, des hacks tels que le dernier incident FireEye peuvent devenir des points cruciaux pour la communauté mondiale de la sécurité.