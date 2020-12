LONDRES / WASHINGTON: Le département américain de la Sécurité intérieure et des milliers d’entreprises se sont précipités lundi pour enquêter et répondre à une vaste campagne de piratage informatique que les responsables soupçonnent d’être dirigée par le gouvernement russe.

Les e-mails envoyés par des responsables du DHS, qui supervise la sécurité des frontières et la défense contre le piratage, ont été surveillés par les pirates dans le cadre de la série sophistiquée de violations, ont déclaré lundi à Reuters trois personnes proches du dossier.

Les attaques, révélées pour la première fois dimanche, ont également frappé les départements américains du Trésor et du Commerce.

La société de technologie SolarWinds, qui était le tremplin clé utilisé par les pirates, a déclaré que jusqu’à 18000 de ses clients avaient téléchargé une mise à jour logicielle compromise qui a permis aux pirates d’espionner inaperçus les entreprises et les agences pendant près de neuf mois.

Les États-Unis ont émis un avertissement d’urgence dimanche, ordonnant aux utilisateurs du gouvernement de déconnecter le logiciel SolarWinds qui, selon eux, avait été compromis par des «acteurs malveillants».

Cet avertissement est intervenu après que Reuters a signalé que des pirates informatiques russes présumés avaient utilisé des mises à jour logicielles détournées de SolarWinds pour pénétrer dans plusieurs agences gouvernementales américaines, y compris les départements du Trésor et du Commerce. Moscou a nié avoir aucun lien avec les attaques.

L’une des personnes familiarisées avec la campagne de piratage informatique a déclaré que le réseau critique utilisé par la division de cybersécurité du DHS pour protéger les infrastructures, y compris les récentes élections, n’avait pas été violé.

Le DHS a déclaré qu’il était au courant des rapports, sans les confirmer directement ni dire à quel point il était affecté.

Le DHS est une bureaucratie massive, entre autres, chargée d’assurer la distribution des COVID-19[feminine vaccin.

L’unité de cybersécurité là-bas, connue sous le nom de CISA, a été bouleversée par le limogeage du président Donald Trump du chef Chris Krebs après que Krebs ait qualifié l’élection présidentielle la plus sûre de l’histoire américaine. Son adjoint et le chef des élections sont également partis.

Le Pentagone a déclaré lundi qu’il était au courant des rapports, mais qu’il n’était pas en mesure de commenter « des mesures d’atténuation spécifiques ou de spécifier des systèmes qui pourraient avoir été touchés ».

L’Agence de sécurité nationale et les commandants du quartier général de la force interarmées ont publié des orientations et des directives pour protéger les réseaux et les systèmes informatiques du DoD.

SolarWinds a déclaré dans une divulgation réglementaire qu’il croyait que l’attaque était l’œuvre d’un «État-nation extérieur» qui a inséré un code malveillant dans les mises à jour de son logiciel de gestion de réseau Orion publiées entre mars et juin de cette année.

«SolarWinds estime actuellement que le nombre réel de clients qui peuvent avoir eu une installation des produits Orion contenant cette vulnérabilité est inférieur à 18 000», a-t-il déclaré.

La société n’a pas répondu aux demandes de commentaires sur le nombre exact de clients compromis ou sur l’étendue des violations dans ces organisations.

Il a déclaré qu’il n’était au courant des vulnérabilités dans aucun de ses autres produits et qu’il enquêtait maintenant avec l’aide des forces de l’ordre américaines et d’experts extérieurs en cybersécurité.

SolarWinds compte 300 000 clients dans le monde, dont la majorité des entreprises du Fortune 500 des États-Unis et certaines des parties les plus sensibles des gouvernements américain et britannique – comme la Maison Blanche, les départements de la défense et les agences de renseignement électromagnétique des deux pays.

Les enquêteurs du monde entier se démènent maintenant pour savoir qui a été touché.

Un porte-parole du gouvernement britannique a déclaré que le Royaume-Uni n’était actuellement pas au courant de l’impact du piratage, mais enquêtait toujours.

Trois personnes familières avec l’enquête sur le piratage ont déclaré à Reuters que toute organisation exécutant une version compromise du logiciel Orion aurait eu une «porte dérobée» installée dans leurs systèmes informatiques par les attaquants.

«Après cela, il s’agit simplement de savoir si les attaquants décident d’exploiter davantage cet accès», a déclaré l’une des sources.

Les premières indications suggèrent que les pirates ont fait de la discrimination sur les personnes dans lesquelles ils ont choisi de s’introduire, selon deux personnes proches de la vague d’enquêtes sur la cybersécurité des entreprises lancées lundi matin.

«Ce que nous voyons est bien moins que toutes les possibilités», a déclaré une personne. «Ils l’utilisent comme un scalpel.»

FireEye, une société de cybersécurité de premier plan qui a été violée dans le cadre de l’incident, a déclaré dans un article de blog que d’autres cibles comprenaient «les entités gouvernementales, de conseil, de technologie, de télécommunications et d’extraction en Amérique du Nord, en Europe, en Asie et au Moyen-Orient».

«S’il s’agit de cyberespionnage, alors c’est l’une des campagnes de cyberespionnage les plus efficaces que nous ayons vues depuis un certain temps», a déclaré John Hultquist, directeur de l’analyse des renseignements de FireEye.

Parce que les attaquants pourraient utiliser SolarWinds pour pénétrer dans un réseau puis créer une nouvelle porte dérobée, il ne suffit pas de déconnecter le programme de gestion du réseau pour démarrer les pirates, ont déclaré les experts.

Pour cette raison, des milliers de clients recherchent des signes de la présence des pirates et tentent de traquer et de désactiver ces outils supplémentaires.