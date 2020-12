Les gouvernements et les grandes entreprises du monde entier se bousculent pour voir s’ils ont également été victimes d’une campagne mondiale de cyberespionnage qui a pénétré plusieurs agences gouvernementales américaines et impliquait un logiciel commun utilisé par des milliers d’organisations.

La Russie, principal suspect, nie toute implication. Les enquêteurs sur la cybersécurité ont déclaré que l’impact du piratage allait au-delà des agences américaines touchées, qui comprennent les départements du Trésor et du Commerce, bien qu’ils n’aient pas révélé quelles entreprises ou quels autres gouvernements étaient visés.

___

QU’EST-IL ARRIVÉ?

Le piratage a commencé dès mars, lorsque des logiciels malveillants ont été introduits dans des mises à jour de logiciels populaires qui surveillent les entreprises et les réseaux informatiques gouvernementaux. Le malware, affectant un produit fabriqué par la société américaine SolarWinds, a donné à l’attaquant un accès à distance aux réseaux d’une organisation afin qu’il puisse voler des informations. Il n’a été découvert que lorsque l’éminente société de cybersécurité FireEye a appris qu’elle avait été piratée. Quiconque a pénétré par effraction dans FireEye cherchait des données sur ses clients gouvernementaux, a déclaré la société – et s’est enfui avec des outils de piratage qu’elle utilise pour sonder les défenses de ses clients.

«Il n’y a aucune preuve que cela était censé être destructeur», a déclaré Ben Buchanan, expert en cyberespionnage à l’Université de Georgetown et auteur de «The Hacker and The State». Il a qualifié la portée de la campagne de «impressionnante, surprenante et alarmante».

Son chronologie apparente de plusieurs mois a donné aux hackers suffisamment de temps pour extraire des informations de nombreuses cibles différentes. Buchanan a déclaré que l’impact serait probablement significatif et a comparé son ampleur au piratage chinois de 2015 du Bureau américain de la gestion du personnel, dans lequel les dossiers de 22 millions d’employés fédéraux et de candidats à un emploi du gouvernement ont été volés.

___

QU’EST-CE QUE SOLARWINDS?

SolarWinds, d’Austin, au Texas, fournit des services de surveillance du réseau et d’autres services techniques à des centaines de milliers d’organisations à travers le monde, y compris la plupart des entreprises Fortune 500 et des agences gouvernementales en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.

L’histoire continue

Son produit compromis, appelé Orion, représente près de la moitié du chiffre d’affaires annuel de SolarWinds. Les revenus de la société ont totalisé 753,9 millions de dollars au cours des neuf premiers mois de cette année. Sa surveillance centralisée recherche les problèmes dans les réseaux informatiques d’une organisation, ce qui signifie qu’une intrusion pourrait donner à un attaquant une «vision divine» de ces réseaux.

SolarWinds a déclaré dans un dossier financier lundi qu’il avait envoyé un avis à environ 33000 de ses clients Orion qui auraient pu être affectés, bien qu’il estime qu’un plus petit nombre de clients – moins de 18000 – avait effectivement installé la mise à jour du produit compromis plus tôt cette année.

___

MON LIEU DE TRAVAIL A-T-IL ÉTÉ AFFECTÉ?

Ni SolarWinds ni les autorités américaines de cybersécurité n’ont identifié publiquement quelles organisations ont été violées. Le simple fait qu’une entreprise ou une agence utilise SolarWinds en tant que fournisseur ne signifie pas nécessairement qu’elle était vulnérable au piratage. Le logiciel malveillant qui a ouvert des portes dérobées d’accès à distance a été injecté dans les mises à jour du produit Orion de SolarWinds publiées entre mars et juin, mais tous les clients ne les ont pas installés.

Les hackers auraient également dû vouloir cibler l’organisation.

La méthode dite de la chaîne d’approvisionnement utilisée pour distribuer le malware via le logiciel de SolarWinds a rappelé la technique utilisée par les pirates militaires russes en 2016 pour infecter les entreprises qui font des affaires en Ukraine avec le virus NotPetya qui efface le disque dur – la cyberattaque la plus dommageable à ce jour. Dans ce cas, les pirates ont inséré un ver auto-propagateur dans les mises à jour d’une société de logiciels de préparation de déclarations pour infecter ses clients. Dans ce cas, toute infiltration réelle d’une organisation infectée nécessitait «une planification méticuleuse et une interaction manuelle», selon FireEye.

___

QUI EST RESPONSABLE?

SolarWinds a déclaré qu’il avait été informé qu’un «État-nation extérieur» avait infiltré ses systèmes avec des logiciels malveillants. Ni le gouvernement américain ni les entreprises concernées n’ont déclaré publiquement quel État-nation ils pensaient être responsable. La Russie, principal suspect selon de nombreux experts en sécurité, a déclaré lundi qu’elle n’avait «rien à voir avec» le piratage.

« Une fois de plus, je peux rejeter ces accusations », a déclaré le porte-parole du Kremlin, Dmitri Peskov, aux journalistes. «Si pendant de nombreux mois les Américains ne pouvaient rien y faire, alors il ne faudrait probablement pas blâmer sans fondement les Russes pour tout.

Buchanan, l’expert de Georgetown, a déclaré que le «métier opérationnel» – comment le piratage a été effectué – semble extrêmement bon. Les hackers étaient «expérimentés et capables, capables de trouver une faiblesse systémique et de l’exploiter tranquillement pendant des mois». Cela, disent les experts en cybersécurité, rend la campagne cohérente avec les pirates informatiques russes d’élite soutenus par l’État.

Les tactiques, techniques et procédures utilisées par les pirates, qui portent leurs empreintes digitales numériques, soutiennent également le consensus de la communauté d’analyse des cybermenaces selon lequel les Russes étaient derrière le piratage de SolarWinds, a déclaré Brandon Valeriano, chercheur en technologie de la Marine Corps University.

___

QUE PEUT-ON FAIRE POUR PRÉVENIR ET CONTRE DE TELS HACKS?

L’espionnage est aussi vieux que l’humanité et la collecte de renseignements ne viole pas le droit international – et une cyberdéfense efficace est très difficile. Mais des représailles contre les gouvernements responsables de cyberespionnage flagrant se produisent. Les diplomates peuvent être expulsés. Des sanctions peuvent être imposées. L’administration Obama a expulsé des diplomates russes en représailles à l’ingérence de pirates militaires du Kremlin en faveur de Donald Trump lors des élections de 2016. La cybersécurité «n’a pas été une priorité présidentielle» sous l’administration Trump et le président sortant n’a pas pu ou n’a pas voulu tenir la Russie pour responsable des actions agressives dans le cyberespace, a déclaré Chris Painter, qui a coordonné la cyberpolitique au département d’État sous l’administration Obama.

«Je pense que cela contribue à la bravade de la Russie», a-t-il déclaré. La nouvelle équipe de sécurité nationale de Biden a indiqué qu’elle serait moins tolérante et devrait rétablir le poste de coordinateur de la cybersécurité de la Maison Blanche éliminé par Trump.