La première évaluation des dommages d’une cyberattaque tentaculaire liée à la Russie a été suffisamment effrayante.

Avec des intrusions signalées dans une grande partie du gouvernement – y compris à la National Nuclear Security Administration du ministère de l’Énergie – les responsables fédéraux signalent déjà que le pire est peut-être encore à venir.

L’unité de cybersécurité du Department of Homeland Security a reconnu que la portée complète de l’attaque n’est pas encore connue, avec un nombre incalculable de systèmes de gouvernement local et du secteur privé à «de graves risques».

Le secrétaire d’État Mike Pompeo a déclaré que les responsables américains «déballaient toujours» la cyber-intrusion, mais il a publiquement blâmé le Kremlin.

« C’était un effort très important, et je pense que c’est le cas que maintenant nous pouvons dire assez clairement que ce sont les Russes qui se sont engagés dans cette activité », a déclaré Pompeo dans une interview au Mark Levin Show, une émission de radio conservatrice.

Le président Donald Trump, cependant, a exprimé des doutes sur le fait que la Russie était à l’origine de l’attaque dans un tweet samedi – son premier commentaire public sur la faille de sécurité depuis qu’elle a été signalée pour la première fois.

Le président a affirmé, sans preuves et en contradiction avec le consensus général, que les médias accusaient par réflexe la Russie et n’exploraient pas si la Chine pouvait être impliquée.

« La Russie, la Russie et la Russie sont le chant prioritaire quand quelque chose arrive », a tweeté Trump.

Et, contrairement aux terribles avertissements du DHS et des experts privés, le président a minimisé la menace posée par la cyberattaque et a affirmé que les agences de presse exagéraient le danger.

« Le Cyber ​​Hack est bien plus important dans les Fake News Media qu’en réalité. J’ai été pleinement informé et tout est bien sous contrôle », a déclaré Trump.

Bien que les autorités fédérales aient jusqu’à présent retracé le lancement de l’attaque en mars, on ne sait toujours pas depuis combien de temps des agents se cachent dans certaines des agences les plus critiques du gouvernement – y compris les départements d’État, la sécurité intérieure, le Trésor et le commerce – et ce qui pourrait avoir été perdu ou compromis.

Parce que les attaques ont utilisé des tactiques sophistiquées invisibles lors d’intrusions passées, selon la Cybersecurity and Infrastructure Security Agency (CISA) de Homeland Security, éliminer la menace devrait être encore plus difficile.

Où est la Maison Blanche?

Le plus frappant, peut-être, a été le silence relatif de la Maison Blanche alors que d’autres parties du gouvernement ont sonné l’alarme sur la menace en cascade et le risque incertain, soulevant des questions sur la façon dont les États-Unis devraient réagir.

Le sénateur Mitt Romney, R-Utah, a qualifié vendredi le manque de réponse de Trump «d’extraordinaire» alors que le pays fait face à l’équivalent moderne de «bombardiers russes volant sans être détectés sur tout le pays».

« Ils avaient la capacité de montrer que notre défense est extraordinairement insuffisante; que notre état de préparation à la cyberguerre est extraordinairement faible », a déclaré Romney dans un entretien avec Sirius XM, ajoutant que le Kremlin avait agi en « impunité ».

« Et dans ce contexte, ne pas voir la Maison Blanche s’exprimer de manière agressive, protester et prendre des mesures punitives est vraiment, vraiment extraordinaire », a-t-il ajouté.

Michael Chertoff, ancien secrétaire à la Sécurité intérieure de l’administration George W. Bush, a déclaré vendredi que les violations soulignaient la nécessité d’une «stratégie de dissuasion en période de cyber conflit».

« Je pense que nous devrons peut-être améliorer notre jeu », a déclaré Chertoff.

Le vice-président de la commission du renseignement du Sénat, Mark Warner, D-Va., A qualifié le piratage de vendredi de « brèche dévastatrice » qui requiert l’attention du président.

«Un incident de cette ampleur et d’un impact durable nécessite une réponse publique et engagée de la part du gouvernement américain, dirigé par un président qui comprend l’importance de cette intrusion et qui organise activement une stratégie de remédiation nationale et une réponse internationale», a déclaré Warner. « Il est extrêmement troublant que le président ne semble pas reconnaître, et encore moins agir sur, la gravité de cette situation. »

Pompeo a défendu le silence du président après que Levin, l’animateur de l’émission, ait suggéré que l’administration Trump pourrait travailler «en coulisse» pour aborder le rôle de la Russie dans l’attaque.

« C’est absolument vrai », a déclaré Pompeo, bien qu’il n’ait pas précisé ce que le président pourrait faire, le cas échéant, pour affronter Moscou.

« Il y a beaucoup de choses que vous aimeriez beaucoup dire, ‘Boy, je vais l’appeler,’ mais une ligne de conduite plus sage pour protéger le peuple américain est de vaquer calmement à vos affaires et de défendre la liberté, « Dit Pompeo.

Yohannes Abraham, directeur exécutif de la transition du président élu Joe Biden, a réitéré l’avertissement de Biden jeudi selon lequel il y aurait des conséquences pour ceux qui attaqueraient les États-Unis avec des cyberopérations malveillantes.

«Il y aura des coûts substantiels», a déclaré Abraham vendredi. «Bien que nos adversaires ne devraient pas s’attendre à ce que nous télégraphions nos coups de poing, ils devraient s’attendre à ce que le président élu soit un homme de parole.»

Il a ajouté que si beaucoup de choses sont inconnues, « ce que nous savons est très préoccupant. »

Bien que le département de l’énergie ait reconnu que ses systèmes ont été affectés, y compris l’agence qui maintient le stock d’armes nucléaires du pays, cela ne signifie pas que les pirates ont accès aux armes et aux codes nucléaires. C’est parce que les systèmes d’armes sont généralement isolés de l’Internet traditionnel, explique Dvir Sasson, responsable de la recherche chez CyberInt, une société de sécurité basée à Tel Aviv, en Israël.

La porte-parole du DOE, Shaylyn Hynes, a déclaré jeudi soir que son examen était en cours, mais avait jusqu’à présent déterminé que le malware a été « isolé des réseaux commerciaux uniquement ». La brèche ne s’était pas étendue, a déclaré Hynes, aux «fonctions essentielles de sécurité nationale de la mission du département, y compris la National Nuclear Security Administration».

«Lorsque le DOE a identifié un logiciel vulnérable, des mesures immédiates ont été prises pour atténuer le risque, et tous les logiciels identifiés comme vulnérables à cette attaque ont été déconnectés du réseau du DOE», a déclaré Hynes.

Ce que nous ne savons pas peut nous blesser

Une grande partie de ce que le gouvernement a jusqu’à présent divulgué publiquement est remplie d’inconnu.

Une déclaration conjointe publiée cette semaine par le FBI, la CISA et le directeur du renseignement national a qualifié «d’incident informatique important» de «situation en développement», suggérant que des intrusions sont en cours.

Dans un bulletin séparé, CISA a déclaré que l’attaque continuait à poser « un risque grave », non seulement pour les réseaux fédéraux, mais aussi pour les gouvernements des États, locaux et tribaux ainsi que des entités d’infrastructure critique et des organisations privées.

L’agence a également reconnu que des compromis supplémentaires soupçonnés «n’ont pas encore été découverts».

« Cet … acteur a fait preuve de patience, de sécurité opérationnelle et de savoir-faire complexe dans ces intrusions », a déclaré CISA à propos des pirates, ajoutant que l’effort en cours pour éliminer la menace « sera extrêmement complexe et difficile ».

Comprendre toute l’étendue de cette campagne de piratage « prendra beaucoup de temps », a déclaré M. Sasson. En moins d’une semaine, cela est passé d’un fournisseur de sécurité piraté … à une attaque majeure contre d’importantes agences gouvernementales et entreprises à travers le monde. »

‘Capacités offensives de premier plan’

Les attaquants ont pénétré les systèmes informatiques fédéraux via un logiciel serveur populaire proposé par une société appelée SolarWinds.

La menace provenait apparemment de la même campagne de cyberespionnage qui a affligé la société de cybersécurité FireEye, les gouvernements étrangers et les grandes entreprises.

Le système est utilisé par des centaines de milliers d’organisations dans le monde, y compris la plupart des entreprises Fortune 500 et plusieurs agences fédérales américaines, qui s’efforcent maintenant de patcher leurs réseaux.

L’alerte initiale du DHS est survenue quelques jours après que FireEye a annoncé qu’il avait été violé « par une nation dotée de capacités offensives de premier plan », a déclaré Kevin Mandia, PDG de FireEye.

FireEye a découvert qu’un code malveillant était inclus dans les mises à jour logicielles normales des produits SolarWind. La soi-disant «attaque de la chaîne d’approvisionnement» vient d’un fournisseur de confiance, en particulier une société de logiciels de gestion informatique, de sorte que les mauvais acteurs «viennent de la porte dérobée, l’endroit le moins attendu pour être infecté», a déclaré Sasson.

Une fois dans un réseau, le code a attaqué les produits Microsoft Office 365. Une telle attaque via les produits de Microsoft «pourrait avoir des conséquences majeures. Les produits Microsoft sont utilisés dans le monde entier, touchant les systèmes d’exploitation individuels, les services de jeux vidéo, l’infrastructure cloud, etc. », a déclaré Sivan Tehila, directeur de l’architecture des solutions chez Perimeter 81, une société de sécurité logicielle cloud également basée à Tel Aviv, en Israël.

Microsoft, qui a publié une mise à jour pour bloquer le code malveillant, a noté que le code, une fois dans le réseau, cherchait à collecter des informations d’identification pour obtenir un accès supplémentaire.

Une telle attaque «est assez rare», a déclaré Sasson. «La façon dont le logiciel malveillant agit (comme si c’était le cas) est en train de s’arrêter. Il essaie d’être très secret et de communiquer lentement et lentement, ce que nous appelons dans l’industrie, pour s’assurer qu’il n’est pas détecté. «

Tehila a exhorté les organisations à mettre à jour leurs logiciels Microsoft et à suivre les recommandations du DHS pour arrêter le logiciel SolarWinds et mettre en quarantaine les parties des réseaux où le logiciel est installé.

Microsoft, qui affirme que ses propres réseaux n’ont pas été violés, a été en mesure de constater que ses produits ont été compromis «parce qu’ils ont des capacités de classe mondiale pour découvrir ce type de problèmes», a déclaré Eric Noonan, PDG de CyberSheath, un Reston, Va.- société de cybersécurité basée. «Mais la réalité est que la plupart des organisations violées n’ont pas les capacités ou les ressources nécessaires pour enquêter sur cette question et découvriront plus tard qu’elles ont été piratées par des tiers.»

Noonan a comparé la situation à «sentir de la fumée dans votre maison et faire sortir tout le monde, comparé au fait de se réveiller aux camions de pompiers à trois heures du matin».

Cette cyberattaque « sera probablement l’une des pires (très probablement la pire de tous les temps) de la dernière décennie étant donné la nature ciblée et le cyberespionnage de cette attaque », a déclaré Daniel Ives, analyste chez Wedbush Securities, dans une note aux investisseurs. Vendredi.

L’escalade de ses répercussions est peut-être que les employeurs aux États-Unis pour les agences privées et fédérales ont des millions d’employés travaillant à domicile.

« Cette faille n’aurait pas pu arriver à un pire moment avec presque toutes les agences gouvernementales ainsi que les entreprises ayant des employés travaillant à domicile probablement jusqu’à au moins mi 2021 et accédant aux applications / données à partir de points de terminaison omniprésents dans le monde », a déclaré Ives

Contribution: Bart Jansen et Jessica Guynn