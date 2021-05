Des pirates informatiques liés à la principale agence de renseignement russe ont saisi subrepticement un système de courrier électronique utilisé par l’agence d’aide internationale du département d’État pour s’infiltrer dans les réseaux informatiques de groupes de défense des droits de l’homme et d’autres organisations du genre qui ont critiqué le président Vladimir V. Poutine, a révélé Microsoft Corporation. jeudi.

La découverte de la brèche intervient seulement trois semaines avant que le président Biden ne rencontre M. Poutine à Genève, et à un moment de tension accrue entre les deux pays, en partie à cause d’une série de cyberattaques de plus en plus sophistiquées émanant de Russie. L’attaque récemment divulguée était également particulièrement audacieuse : en pénétrant les systèmes d’un fournisseur utilisé par le gouvernement fédéral, les pirates ont envoyé des e-mails pas plus tard que cette semaine à partir de plus de 3 000 comptes d’apparence authentique, adressés à plus de 150 organisations qui reçoivent régulièrement communications de l’Agence des États-Unis pour le développement international. L’e-mail a été implanté avec un code qui donnerait aux pirates un accès illimité aux systèmes informatiques des destinataires, du « vol de données à l’infection d’autres ordinateurs sur un réseau ». Tom Burt, vice-président de Microsoft, a écrit jeudi soir.

Le mois dernier, M. Biden a annoncé une série de nouvelles sanctions contre la Russie et l’expulsion de diplomates pour une opération de piratage sophistiquée, appelée SolarWinds, qui a utilisé de nouvelles méthodes pour violer au moins sept agences gouvernementales et des centaines de grandes entreprises américaines. Cette attaque n’a pas été détectée par le gouvernement américain pendant neuf mois, jusqu’à ce qu’elle soit découverte par une entreprise de cybersécurité. En avril, M. Biden a déclaré qu’il aurait pu réagir beaucoup plus fermement, mais qu’il avait « choisi d’être proportionné » car il ne voulait pas « déclencher un cycle d’escalade et de conflit avec la Russie ». La réponse russe semble néanmoins avoir été l’escalade. L’activité malveillante était en cours pas plus tard que la semaine dernière. Cela suggère que les sanctions et toutes les actions secrètes supplémentaires menées par la Maison Blanche – dans le cadre d’une stratégie visant à créer des coûts « visibles et invisibles » pour Moscou – n’ont pas étouffé l’appétit du gouvernement russe pour les perturbations. Un porte-parole de la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security a déclaré jeudi soir que l’agence était « consciente du compromis potentiel » de l’Agence pour le développement international et qu’elle « travaillait avec le FBI et l’USAID pour mieux comprendre le l’étendue du compromis et aider les victimes potentielles. Microsoft a identifié le groupe russe à l’origine de l’attaque comme étant Nobelium et a déclaré qu’il s’agissait du même groupe responsable du piratage de SolarWinds. Le mois dernier, le gouvernement américain a explicitement déclaré que SolarWinds était l’œuvre du SVR, l’une des retombées les plus réussies du KGB de l’ère soviétique.

La même agence a été impliquée dans le piratage du Comité national démocrate en 2016, et avant cela, dans des attaques contre le Pentagone, le système de messagerie de la Maison Blanche et les communications non classifiées du Département d'État. Il est devenu de plus en plus agressif et créatif, selon des responsables fédéraux et des experts. L'attaque SolarWinds n'a jamais été détectée par le gouvernement des États-Unis et a été réalisée grâce à un code implanté dans un logiciel de gestion de réseau que le gouvernement et les entreprises privées utilisent largement. Lorsque les clients ont mis à jour le logiciel SolarWinds, un peu comme mettre à jour un iPhone du jour au lendemain, ils ont laissé entrer un envahisseur sans le savoir. Parmi les victimes l'année dernière figuraient les départements de la Sécurité intérieure et de l'Énergie, ainsi que des laboratoires nucléaires. Lorsque M. Biden est arrivé au pouvoir, il a commandé une étude du cas SolarWinds, et les responsables se sont efforcés d'empêcher de futures attaques de « chaîne d'approvisionnement », dans lesquelles des adversaires infectent les logiciels utilisés par les agences fédérales. C'est similaire à ce qui s'est passé dans ce cas, lorsque l'équipe de sécurité de Microsoft a surpris les pirates en utilisant un service de messagerie largement utilisé, fourni par une société appelée Constant Contact, pour envoyer des e-mails malveillants qui semblaient provenir d'adresses authentiques de l'Agence pour le développement international.

Mais le contenu était parfois à peine subtil. Dans un e-mail envoyé mardi via le service de Constant Contact, les pirates ont mis en évidence un message affirmant que « Donald Trump a publié de nouveaux e-mails sur la fraude électorale ». L'e-mail contenait un lien qui, une fois cliqué, dépose des fichiers malveillants sur les ordinateurs des destinataires. Microsoft a noté que l'attaque différait « considérablement » du piratage de SolarWinds, en utilisant de nouveaux outils et de nouveaux outils commerciaux dans un effort apparent pour éviter la détection. Il a déclaré que l'attaque était toujours en cours et que les pirates continuaient d'envoyer des e-mails de harponnage, avec une vitesse et une portée croissantes. C'est pourquoi Microsoft a pris la décision inhabituelle de nommer l'agence dont les adresses e-mail étaient utilisées et de publier des échantillons du faux e-mail. Essentiellement, les Russes sont entrés dans le système de courrier électronique de l'Agence pour le développement international en faisant le tour de l'agence et en s'attaquant directement à ses fournisseurs de logiciels. Constant Contact gère les e-mails de masse et autres communications au nom de l'agence d'aide.

« Nobelium a lancé les attaques de cette semaine en accédant au compte Constant Contact de l’USAID », a écrit M. Burt de Microsoft. Constant Contact n’a pas pu être contacté pour commenter. Microsoft, comme d’autres grandes entreprises impliquées dans la cybersécurité, maintient un vaste réseau de capteurs pour rechercher des activités malveillantes sur Internet, et est souvent une cible elle-même. Il a été profondément impliqué dans la révélation de l’attaque SolarWinds. Dans ce cas, a rapporté Microsoft, l’objectif des pirates n’était pas de s’en prendre au département d’État ou à l’agence d’aide, mais d’utiliser leurs relations pour pénétrer dans des groupes qui travaillent sur le terrain – et dans de nombreux cas figurent parmi les plus importants de M. Poutine. critiques puissants. « Au moins un quart des organisations ciblées étaient impliquées dans le développement international, le travail humanitaire et les droits de l’homme », a écrit M. Burt. Bien qu’il ne les ait pas nommés, de nombreux groupes de ce type ont révélé l’action de la Russie contre des dissidents ou ont protesté contre l’empoisonnement, la condamnation et l’emprisonnement du chef de l’opposition le plus connu de Russie, Alexei A. Navalny. L’attaque suggère que les agences de renseignement russes intensifient leur campagne, peut-être pour démontrer que le pays ne reculerait pas face aux sanctions, à l’expulsion de diplomates et à d’autres pressions. M. Biden a évoqué l’attaque de SolarWinds avec M. Poutine lors d’un appel téléphonique le mois dernier, lui disant que les sanctions et les expulsions montraient que son administration ne tolérerait plus un rythme accru de cyberopérations. M. Poutine a nié l’implication de la Russie et certains organes de presse russes ont affirmé que les États-Unis avaient lancé l’attaque contre eux-mêmes.

À l’époque, la Maison Blanche a également imposé une série de nouvelles sanctions aux individus et aux actifs russes, y compris de nouvelles restrictions sur l’achat de la dette souveraine de la Russie, ce qui rendra plus difficile pour la Russie de lever des fonds et de soutenir sa monnaie. « C’est le début d’une nouvelle campagne américaine contre le comportement malveillant de la Russie », avait alors déclaré la secrétaire au Trésor Janet L. Yellen. Les tensions concernant l’hébergement de cybercriminels par la Russie se sont considérablement intensifiées ce mois-ci après qu’un groupe de ransomware a pris en otage les réseaux commerciaux de Colonial Pipeline. L’attaque a forcé l’entreprise à fermer un pipeline qui achemine près de la moitié du gaz, du diesel et du carburéacteur vers la côte est, provoquant une flambée des prix du gaz et des achats de panique à la pompe. M. Biden a déclaré il y a deux semaines que « nous ont été en communication directe avec Moscou au sujet de l’impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomware.