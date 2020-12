Des pirates informatiques russes présumés ont infiltré des dizaines de comptes de messagerie au département du Trésor et ont pénétré par effraction dans des systèmes utilisés par les plus hauts fonctionnaires du département, a déclaré lundi un sénateur informé à ce sujet.

Le sénateur démocrate Ron Wyden, de l’Oregon, a fourni de nouveaux détails sur le piratage à la suite d’un exposé au Comité des finances du Sénat par l’IRS et le département du Trésor.

Wyden, le démocrate de rang de la commission des finances du Sénat, a déclaré que le département du Trésor ne savait pas toutes les activités des pirates informatiques ni précisément quelles informations avaient été volées.

Bien que rien n’indique que les données des contribuables aient été compromises, le piratage « semble être important », a poursuivi Wyden.

Wyden a déclaré que les pirates ont fait irruption dans les systèmes de la division des bureaux départementaux du département du Trésor, qui abrite les plus hauts fonctionnaires, et ont infiltré des dizaines de comptes de messagerie de département.

En outre, la violation semble impliquer le vol de clés de cryptage, a déclaré Wyden.

« Cozy Bear »: la cellule de pirate informatique russe soupçonnée d’attaque La Russie nie toute implication dans l’attaque SUNBURST, mais les responsables américains affirment que la nation est derrière la «menace persistante avancée» (APT) qui a commis cette audacieuse brèche. Selon certaines sources, l’un des principaux suspects est APT29, le groupe lié au Kremlin, également connu sous le nom de Cosy Bear. Cozy Bear est surtout connu comme le groupe qui serait responsable de la violation en 2016 des serveurs du Comité national démocrate. Les experts estiment que Cozy Bear fait partie de l’une des agences de renseignement russes. Certains doutent de l’attribution de SUNBURST à Cozy Bear, à travers, notant que les outils utilisés dans l’attaque n’ont jamais été vus auparavant.

« Le Trésor ne connaît toujours pas toutes les mesures prises par les pirates informatiques, ni précisément quelles informations ont été volées », a déclaré Wyden dans un communiqué.

On ne sait pas non plus ce que les pirates informatiques russes ont l’intention de faire avec les e-mails auxquels ils ont pu accéder, mais Wyden a qualifié la violation de « mine d’or pour les adversaires étrangers qui cherchent à espionner ou à faire chanter les fonctionnaires du gouvernement ».

Un assistant de Wyden a déclaré au New York Times que les responsables du département avaient indiqué que le compte de messagerie du secrétaire au Trésor Steve Mnuchin n’avait pas été piraté.

Une porte-parole du département du Trésor a refusé de commenter la déclaration de Wyden.

Mnuchin a abordé le piratage plus tôt lundi et a déclaré que les systèmes classifiés du ministère n’avaient pas été violés.

« À ce stade, nous ne voyons aucune effraction dans nos systèmes classifiés », a-t-il déclaré à CNBC. «Nos systèmes non classés avaient un certain accès.

Mnuchin a ajouté que le piratage était lié à un logiciel tiers. Il a cherché à s’assurer qu’il n’y avait pas eu de dommages ou de grandes quantités d’informations déplacées à la suite de l’attaque et que l’agence disposait des ressources nécessaires pour protéger le secteur financier.

« Je peux vous assurer que nous sommes complètement au courant de cela », a-t-il déclaré, refusant de préciser comment les prétendus hacks russes ont pu ne pas être détectés pendant plusieurs mois.

Le président Donald Trump (photographié avec Poutine) a cherché à minimiser la gravité du piratage la semaine dernière, tweetant sans aucune preuve que la Chine était peut-être responsable au lieu de la Russie

Chronologie de SolarWinds: actions de l’entreprise et quand ils ont découvert une attaque Mars: Les versions mises à jour du produit phare de SolarWinds, Orion, sont infiltrées par un « État-nation extérieur » Les clients de SolarWinds qui ont installé des mises à jour de leur logiciel Orion ont accueilli sans le savoir un code malveillant caché qui pourrait donner aux intrus la même vue de leur réseau d’entreprise que les équipes informatiques internes. 18 et 19 novembre: Le PDG sortant, Kevin Thompson, vend 15 millions de dollars en actions 7 décembre: Les principaux investisseurs Silver Lake et Thoma Bravo vendent 280 millions de dollars d’actions de SolarWinds 7 décembre: Le PDG Kevin Thompson démissionne. Sa transition avait déjà été annoncée mais aucune date fixe n’a été donnée 8 décembre: FireEye annonce que des pirates ont fait irruption dans ses serveurs 9 décembre: Le nouveau PDG Sudhakar Ramakrishna a annoncé qu’il succéderait à Thompson en 2021 11 décembre: FireEye affirme avoir appris que les mises à jour de SolarWinds avaient été corrompues et a contacté la société 13 décembre: L’infiltration d’Orion devient publique Les États-Unis émettent un avertissement d’urgence, ordonnant aux utilisateurs du gouvernement de déconnecter le logiciel SolarWinds qui, selon eux, avait été compromis par des « acteurs malveillants » Le Pentagone, le Département d’État et les National Institutes of Health, ainsi que les départements du Trésor, du Commerce et de la Sécurité intérieure révèlent qu’ils ont été ciblés

Le Trésor a été parmi les premières agences connues qui auraient été touchées par une brèche liée à l’agence de renseignement SVR russe qui englobe désormais un large éventail de départements gouvernementaux américains.

Les effets et les conséquences du piratage sont toujours en cours d’évaluation, bien que la branche de cybersécurité du département de la Sécurité intérieure ait déclaré dans un communiqué que l’intrusion posait un risque « grave » pour le gouvernement et les réseaux privés.

Wyden a déclaré que la violation du département du Trésor avait commencé en juillet. Mais les experts estiment que l’opération globale de piratage a commencé des mois plus tôt lorsque du code malveillant a été glissé dans des mises à jour de logiciels populaires qui surveillent les réseaux informatiques des entreprises et des gouvernements.

Le malware, affectant un produit fabriqué par la société américaine SolarWinds, a permis à des pirates d’élite d’accéder à distance aux réseaux de l’organisation afin qu’ils puissent voler des informations.

Il n’a été découvert que lorsque la société de cybersécurité FireEye a déterminé qu’il avait été piraté.

Dans le cas du département du Trésor, Wyden a déclaré qu’une fois que les pirates russes ont utilisé la mise à jour du logiciel SolarWinds pour infiltrer les systèmes de l’agence, ils ont effectué une « étape compliquée à l’intérieur » du système Office 365 de Microsoft pour créer un « jeton » crypté qui identifie un ordinateur au plus grand. réseau.

Le jeton contrefait a permis aux pirates de tromper le système en lui faisant croire qu’ils étaient des utilisateurs légitimes du système – leur permettant de se connecter sans avoir à deviner les noms d’utilisateur et les mots de passe.

« Après des années de responsables gouvernementaux qui ont plaidé pour des portes dérobées de cryptage et ignoré les avertissements des experts en cybersécurité qui ont déclaré que les clés de cryptage devenaient des cibles irrésistibles pour les pirates informatiques, le [US Government] USG a maintenant subi une violation qui semble impliquer des pirates informatiques qualifiés volant des clés de cryptage à des serveurs USG », a déclaré Wyden.

Les détails partagés par Wyden sont parmi les premiers à décrire spécifiquement ce que les enquêteurs savent de ce qui a été compromis dans l’opération présumée de cyberespionnage russe.

Microsoft a déclaré la semaine dernière avoir depuis corrigé la faille exploitée par les Russes. Le géant de la technologie, qui a contribué à répondre à la brèche, a également révélé qu’il avait identifié plus de 40 agences gouvernementales, groupes de réflexion, organisations non gouvernementales et sociétés informatiques infiltrées par les pirates.

Microsoft a informé le département du Trésor que des dizaines de comptes de messagerie ont été compromis.

Le président Donald Trump a cherché à minimiser la gravité du piratage la semaine dernière, tweetant sans aucune preuve que la Chine était peut-être responsable.

Au moins deux membres du Cabinet, le secrétaire d’État Mike Pompeo et le procureur général William Barr, ont déclaré publiquement qu’ils pensaient que la Russie était responsable, le consensus des autres membres du gouvernement américain et de la communauté de la cybersécurité.

« D’après les informations dont je dispose … il semble que ce soit les Russes », a déclaré Barr lors d’une conférence de presse lundi.

Le porte-parole du président russe Vladimir Poutine a démenti l’implication du Kremlin, et l’ambassade de Russie a déclaré dans un communiqué que le pays «ne mène pas d’opérations offensives dans le domaine cybernétique».

La brèche est qualifiée de plus grande cyberattaque de l’histoire américaine, le whip de la minorité au Sénat Dick Durbin, un démocrate de l’Illinois, exigeant la semaine dernière une « réponse en nature ».

« Lorsque des adversaires comme la Russie nous tourmentent, nous tentent, violent la sécurité de notre nation, nous devons réagir en nature », a déclaré Durbin, tout en notant qu’il n’appelait pas à une « guerre totale ».

Le président élu Joe Biden a également promis une réponse ferme, déclarant dans un communiqué: « Nos adversaires doivent savoir qu’en tant que président, je ne resterai pas les bras croisés face aux cyberattaques contre notre nation. »

Biden a promis de « perturber et de dissuader » les futures cyberattaques en « imposant des coûts substantiels aux responsables de ces attaques malveillantes, y compris en coordination avec nos alliés et partenaires ».