Des articles de presse récents ont tous parlé de la cyberattaque massive de la Russie contre les États-Unis, mais c’est faux à deux égards. Ce n’était pas une cyberattaque en termes de relations internationales, c’était de l’espionnage. Et la victime n’était pas seulement les États-Unis, c’était le monde entier. Mais c’était énorme et c’est dangereux.

L’espionnage est autorisé internationalement en temps de paix. Le problème est que l’espionnage et les cyber-attaques nécessitent les mêmes intrusions informatiques et réseau, et la différence n’est que de quelques touches. Et comme cette opération russe n’est pas du tout ciblée, le monde entier est en danger – et pas seulement la Russie. De nombreux pays mènent ce genre d’opérations, pas plus intensivement que les États-Unis. La solution est de donner la priorité à la sécurité et à la défense par rapport à l’espionnage et aux attaques.

Voici ce que nous savons: Orion est un produit de gestion de réseau d’une société nommée SolarWinds, qui compte plus de 300 000 clients dans le monde. Quelque temps avant mars, des pirates travaillant pour le SVR russe – anciennement connu sous le nom de KGB – ont piraté SolarWinds et ont glissé une porte dérobée dans une mise à jour du logiciel Orion. (Nous ne savons pas comment, mais l’année dernière, le serveur de mise à jour de l’entreprise était protégé par le mot de passe «solarwinds123» – ce qui témoigne d’un manque de culture de sécurité.) Les utilisateurs qui ont téléchargé et installé cette mise à jour corrompue entre mars et juin ont involontairement donné SVR les pirates accèdent à leurs réseaux.

C’est ce qu’on appelle une attaque de la chaîne d’approvisionnement, car elle cible un fournisseur d’une organisation plutôt qu’une organisation elle-même – et peut affecter tous les clients d’un fournisseur. C’est un moyen de plus en plus courant d’attaquer les réseaux. D’autres exemples de ce type d’attaque incluent de fausses applications dans le Google Play Store et des écrans de remplacement piratés pour votre smartphone.

SolarWinds a supprimé sa liste de clients de son site Web, mais les archives Internet l’ont sauvegardée: les cinq branches de l’armée américaine, le département d’État, la Maison Blanche, la NSA, 425 des entreprises du Fortune 500, toutes les cinq des cinq premières comptables. entreprises et des centaines d’universités et de collèges. Dans un dépôt auprès de la SEC, SolarWinds a déclaré qu’il pensait que «moins de 18 000» de ces clients avaient installé cette mise à jour malveillante, une autre façon de dire que plus de 17 000 l’ont fait.

Cela fait beaucoup de réseaux vulnérables, et il est inconcevable que le SVR les ait tous pénétrés. Au lieu de cela, il a choisi avec soin de sa corne d’abondance de cibles. L’analyse de Microsoft a identifié 40 clients infiltrés grâce à cette vulnérabilité. La grande majorité d’entre eux se trouvaient aux États-Unis, mais des réseaux au Canada, au Mexique, en Belgique, en Espagne, au Royaume-Uni, en Israël et aux Émirats arabes unis ont également été visés. Cette liste comprend les gouvernements, les sous-traitants gouvernementaux, les entreprises informatiques, les groupes de réflexion et les ONG… et elle augmentera certainement.

Une fois à l’intérieur d’un réseau, les pirates SVR ont suivi un playbook standard: établir un accès persistant qui restera même si la vulnérabilité initiale est corrigée; se déplacer latéralement sur le réseau en compromettant des systèmes et des comptes supplémentaires; puis exfiltrer les données. Ne pas être client SolarWinds n’est pas une garantie de sécurité; cette opération SVR utilisait également d’autres vecteurs et techniques d’infection initiale. Ce sont des hackers sophistiqués et patients, et nous ne faisons qu’apprendre certaines des techniques impliquées ici.

Se remettre de cette attaque n’est pas facile. Étant donné que tous les pirates SVR établiraient un accès persistant, le seul moyen de garantir que votre réseau n’est pas compromis est de le graver au sol et de le reconstruire, de la même manière que de réinstaller le système d’exploitation de votre ordinateur pour récupérer d’un mauvais piratage. C’est ainsi que beaucoup d’administrateurs système vont passer leurs vacances de Noël, et même dans ce cas, ils ne peuvent pas être sûrs. Il existe de nombreuses façons d’établir un accès permanent qui survivent à la reconstruction d’ordinateurs et de réseaux individuels. Nous connaissons, par exemple, un exploit NSA qui reste sur un disque dur même après avoir été reformaté. Le code de cet exploit faisait partie des outils du groupe Equation que les Shadow Brokers – encore une fois considérés comme la Russie – ont volé à la NSA et publiés en 2016. Le SVR a probablement les mêmes types d’outils.

Même sans cette mise en garde, de nombreux administrateurs réseau ne passeront pas par le processus de reconstruction long, pénible et potentiellement coûteux. Ils espèrent juste le meilleur.

Il est difficile d’exagérer à quel point c’est grave. Nous en apprenons toujours sur les organisations gouvernementales américaines qui ont été violées: le département d’État, le département du Trésor, la sécurité intérieure, les laboratoires nationaux de Los Alamos et Sandia (où les armes nucléaires sont développées), la National Nuclear Security Administration, les National Institutes of Health et de nombreux plus. À ce stade, rien n’indique que des réseaux classifiés aient été pénétrés, bien que cela puisse changer facilement. Il faudra des années pour savoir quels réseaux le SVR a pénétré et où il a encore accès. Une grande partie de cela sera probablement classée, ce qui signifie que nous, le public, ne le saurons jamais.

Et maintenant que la vulnérabilité d’Orion est publique, d’autres gouvernements et cybercriminels l’utiliseront pour pénétrer les réseaux vulnérables. Je peux vous garantir que la NSA utilise le piratage du SVR pour infiltrer d’autres réseaux; pourquoi pas? (Des organisations russes utilisent-elles Orion? Probablement.)

S’il s’agit d’un échec sécuritaire aux proportions énormes, ce n’est pas, comme l’a dit le sénateur Richard Durban, «pratiquement une déclaration de guerre de la Russie aux États-Unis». Alors que le président élu Biden a déclaré qu’il en ferait une priorité absolue, il est peu probable qu’il fasse beaucoup pour riposter.

La raison en est que, selon les normes internationales, la Russie n’a rien fait de mal. C’est la situation normale. Les pays s’espionnent tout le temps. Il n’y a pas de règles ni même de normes, et c’est fondamentalement «Attention l’acheteur». Les États-Unis échouent régulièrement à riposter contre les opérations d’espionnage – telles que le piratage par la Chine de l’Office of Personal Management (OPM) et les précédents hacks russes – parce que nous le faisons aussi. Parlant du piratage de l’OPM, le directeur du renseignement national de l’époque, James Clapper, a déclaré: «Vous devez en quelque sorte saluer les Chinois pour ce qu’ils ont fait. Si nous avions l’occasion de le faire, je ne pense pas que nous hésiterions une minute.

Nous ne le faisons pas, et je suis sûr que les employés de la NSA sont à contrecœur impressionnés par le SVR. Les États-Unis ont de loin l’opération de renseignement la plus étendue et la plus agressive au monde. Le budget de la NSA est le plus important de tous les services de renseignement. Il exploite de manière agressive la position des États-Unis contrôlant la plupart du réseau fédérateur Internet et la plupart des grandes sociétés Internet. Edward Snowden a dévoilé de nombreux objectifs de ses efforts autour de 2014, qui comprenaient alors 193 pays, la Banque mondiale, le FMI et l’Agence internationale de l’énergie atomique. Nous menons sans aucun doute une opération offensive à l’échelle de cette opération SVR en ce moment, et elle ne sera probablement jamais rendue publique. En 2016, le président Obama s’est vanté que nous avions «plus de capacités que quiconque à la fois offensivement et défensivement».

Il était peut-être trop optimiste quant à notre capacité défensive. Les États-Unis accordent la priorité et dépensent beaucoup plus en attaque qu’en cybersécurité défensive. Ces dernières années, la NSA a adopté une stratégie d ‘«engagement persistant», parfois appelée «défendre en avant». L’idée est qu’au lieu d’attendre passivement que l’ennemi attaque nos réseaux et nos infrastructures, nous passons à l’offensive et interrompons les attaques avant qu’elles ne nous atteignent. Cette stratégie a été reconnue pour avoir déjoué un complot de l’Agence russe de recherche sur Internet pour perturber les élections de 2018.

Mais si un engagement persistant est si efficace, comment aurait-il pu manquer cette opération SVR massive? Il semble que pratiquement tout le gouvernement américain renvoyait sans le savoir des informations à Moscou. Si nous avait observaient tout ce que faisaient les Russes, nous en aurions vu des preuves. Le succès des Russes sous l’œil vigilant de la NSA et du Cyber ​​Command américain montre que cette approche a échoué.

Si quoi que ce soit, la priorité accordée par les États-Unis à l’attaque à la défense nous rend moins sûrs

Et comment la capacité défensive américaine a-t-elle manqué cela? La seule raison pour laquelle nous connaissons cette faille est que, plus tôt ce mois-ci, la société de sécurité FireEye a découvert qu’elle avait été piratée. Lors de son propre audit de son réseau, il a découvert la vulnérabilité d’Orion et alerté le gouvernement américain. Pourquoi des organisations comme les départements d’État, du Trésor et de la sécurité intérieure ne procèdent-elles pas régulièrement à ce niveau d’audit sur leurs propres systèmes? Le système de détection d’intrusion du gouvernement, Einstein 3, a échoué ici car il ne détecte pas de nouvelles attaques sophistiquées – une lacune soulignée en 2018 mais jamais corrigée. Nous ne devrions pas avoir à compter sur une entreprise de cybersécurité privée pour nous alerter d’une attaque majeure d’un État-nation.

En fait, la priorité accordée par les États-Unis à l’attaque plutôt qu’à la défense nous rend moins sûrs. Dans l’intérêt de la surveillance, la NSA a fait pression pour une norme de cryptage des téléphones portables non sécurisée et une porte dérobée dans les générateurs de nombres aléatoires (important pour le cryptage sécurisé). Le DoJ n’a jamais cédé à son insistance pour que les systèmes de cryptage populaires du monde soient rendus non sécurisés par des portes dérobées – un autre point chaud où l’attaque et la défense sont en conflit. En d’autres termes, nous autorisons des normes et des systèmes non sécurisés, car nous pouvons les utiliser pour espionner les autres.

Nous devons adopter une stratégie de défense dominante. Alors que les ordinateurs et Internet deviennent de plus en plus essentiels à la société, les cyberattaques sont susceptibles d’être le précurseur d’une guerre réelle. Nous sommes tout simplement trop vulnérables lorsque nous accordons la priorité à l’attaque, même si nous devons renoncer à utiliser ces insécurités pour espionner les autres.

Notre vulnérabilité est amplifiée car l’écoute clandestine peut se transformer en une attaque directe. L’accès du SVR leur permet non seulement d’écouter, mais aussi de modifier les données, de dégrader les performances du réseau ou d’effacer des réseaux entiers. Le premier pourrait être un espionnage normal, mais le second pourrait certainement être considéré comme un acte de guerre. La Russie est presque certainement en train de préparer le terrain pour une attaque future.

Cette préparation ne serait pas sans précédent. Il y a beaucoup d’attaques en cours dans le monde. En 2010, les États-Unis et Israël ont attaqué le programme nucléaire iranien. En 2012, l’Iran a attaqué la compagnie pétrolière nationale saoudienne. La Corée du Nord a attaqué Sony en 2014. La Russie a attaqué le réseau électrique ukrainien en 2015 et 2016. La Russie pirate le réseau électrique américain, et les États-Unis piratent le réseau électrique russe – juste au cas où la capacité serait un jour nécessaire. Toutes ces attaques ont commencé comme une opération d’espionnage. Les vulnérabilités de sécurité ont des conséquences dans le monde réel.

Nous ne serons pas en mesure de sécuriser nos réseaux et nos systèmes dans ce monde sans règles, gratuit pour tous, chaque réseau pour lui-même. Les États-Unis doivent volontairement renoncer à une partie de leur avantage offensif dans le cyberespace en échange d’un cyberespace mondial beaucoup plus sûr. Nous devons investir pour sécuriser les chaînes d’approvisionnement mondiales contre ce type d’attaque et faire pression pour que des normes et accords internationaux donnent la priorité à la cybersécurité, comme l’appel de Paris 2018 pour la confiance et la sécurité dans le cyberespace ou la Commission mondiale sur la stabilité du cyberespace. Le renforcement des logiciels largement utilisés comme Orion (ou les protocoles Internet de base) aide tout le monde. Nous devons freiner cette course offensive aux armements plutôt que de l’aggraver, et œuvrer pour la cyber-paix. Sinon, critiquer hypocritement les Russes pour faire la même chose que nous faisons tous les jours ne contribuera pas à créer le monde plus sûr dans lequel nous voulons tous vivre.