Les pires prédictions en matière de cybersécurité prennent désormais forme. Les Etats-Unis font face à l’une des plus vastes campagnes d’espionnage informatique observées ces dernières années.
L’opération révélée ce 13 décembre et préparée de longue date brasse très large. Elle représente un « risque grave » et les mesures pour la contrecarrer seront « extrêmement complexes et difficiles », a prévenu jeudi l’agence américaine en charge de la cybersécurité et de la sécurité des infrastructures (Cisa). Si les auteurs de l’attaque n’ont pas été clairement identifiés, la Russie, et l’un de ses plus renommés groupes de hackers, sont déjà pointés du doigt.
En quoi consiste la cyberattaque ?
Pour atteindre leurs cibles, les auteurs de l’attaque ont avancé masqués. Ils sont notamment parvenus à insérer Sunburst, un logiciel malveillant de leur cru, dans certaines versions de la plate-forme Orion, un outil de supervision des réseaux informatiques commercialisé par l’entreprise américaine SolarWinds et prisé de dizaines de milliers d’entreprises et administrations dans le monde. Autant de bombes à retardement.
L’opération qui porte ses fruits aujourd’hui a été enclenchée dès le mois de mars, date d’une mise à jour opérée par SolarWinds. Elle n’aura été découverte que la semaine dernière par le groupe de sécurité informatique FireEye, lui-même touché. L’ampleur des dégâts est encore difficile à évaluer. Mais l’attaque implique des vols de données sur le long terme, et, dans certains cas, leur pure et simple destruction.
Qui est visé ?
Le département du Commerce, le département du Trésor, le Pentagone, plusieurs agences fédérales… la liste des administrations américaines victimes de l’attaque, révélée par le média américain Politico, s’allonge de jour en jour.
Elle comprend également l’agence du ministère de l’énergie chargée de gérer le stock d’armes nucléaires, bien que l’enquête n’ait pour l’heure pas montré d’impact sur ses activités les plus sensibles.
La Cisa a indiqué dans un communiqué avoir « déterminé que cette menace représentait un risque grave pour le gouvernement fédéral et les administrations locales (…) ainsi que pour les infrastructures essentielles et le secteur privé ».
De grandes entreprises privées, dont Microsoft, sont elles aussi sous le coup de l’attaque. L’Agence de sécurité nationale américaine a émis un avis de cybersécurité détaillant comment certains services du cloud Microsoft Azure avaient pu être compromis.
La Commission européenne a indiqué mercredi se pencher les répercussions de cette attaque en Europe, sans donner pour l’heure plus de précisions. Microsoft indique avoir indentifié des victimes en Belgique, en Espagne et au Royaume-Uni. La France a pour sa part émis un bulletin d’alerte le 14 décembre, plusieurs sociétés du CAC 40 étant clientes de SolarWinds.
Qui se cache derrière cette opération ?
L’attribution d’une cyberattaque, qui plus est quand elle prend de telles proportions, reste une opération délicate. Les soupçons de la Cisa portent néanmoins sur un « adversaire patient, concentré et aux ressources financières importantes, qui a mené des activités pendant une longue période sur les réseaux victimes ».
Microsoft voit pour sa part dans les méthodes employées pour mener cette vaste opération d’espionnage la marque d’un acteur étatique, sans désigner spécifiquement de pays.
Le sénateur républicain Mitt Romney pointe d’ores et déjà la Russie du doigt et a rappelé lundi que le gouvernement russe avait tenté, à plusieurs reprises déjà, de pénétrer dans les réseaux du gouvernement américain.
L’ambassade de Russie aux États-Unis se contente de démentir fermement ces accusations. « La Russie ne mène pas d’opérations offensives dans le cyberespace », a-t-elle indiqué.
Qu’est-ce que SolarWinds ?
Solarwinds est un éditeur américain de logiciels, basé au Texas, dont la plateforme Orion est utilisée par de très grandes institutions publiques et par 450 des 500 plus grosses entreprises mondiales. Orion leur permet en l’occurrence de centraliser la surveillance, l’analyse et la gestion de leur informatique.
Aux États-Unis, elle est prisée de plusieurs administrations dont le Département du Trésor, de la Sécurité intérieure, du Commerce et plusieurs agences fédérales. Parmi ses clients aussi, de nombreuses entreprises dont certains gros acteurs dans des secteurs stratégiques, dont l’énergie, l’industrie ou encore la cybersécurité.
Comment contrer la cyberattaque ?
Les agences américaines tatônnent à la recherche d’une solution fiable et durable. La Cisa a dans un premier temps ordonné à l’ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds, pour limiter les dégâts.
Une riposte est en cours d’élaboration, par le biais d’une unité de coordination formée par le FBI (police fédérale), le directeur du Renseignement et la Cisa, qui dépend du ministère de la Sécurité intérieure (DHS).
SolarWinds devait pour sa part publier ce mardi une mise à jour d’Orion contenant un code pour supprimer toute trace du logiciel malveillant dans les systèmes de ses clients.
En France, le CERT-FR (le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) donne plusieurs recommandations pour sécuriser les systèmes des utilisateurs d’Orion potentiellement affectés par ce piratage. Dans l’attente de recommandations plus détaillées.
Bfmtv