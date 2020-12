Par Christopher Bing, Joseph Menn, Raphael Satter et Jack Stubbs

19 décembre (.) – Lors d’un dîner privé pour les responsables de la sécurité technologique à l’hôtel St. Regis de San Francisco fin février, le principal chef de la cyberdéfense américain s’est vanté de la protection du pays par ses organisations. d’espions.

Les équipes américaines “comprenaient mieux l’adversaire que l’adversaire ne se comprend lui-même”, a déclaré le général Paul Nakasone, chef de la National Security Agency (NSA) et du US Cyber ​​Command, selon un journaliste. de . présents au dîner du 26 février. Le discours n’avait pas été rapporté auparavant.

Pourtant, alors qu’il parlait, des pirates informatiques intégraient du code malveillant sur le réseau d’une société de logiciels du Texas appelée SolarWinds Corp, selon une chronologie publiée par Microsoft et plus d’une douzaine de cyber-chercheurs gouvernementaux et d’entreprises.

Un peu plus de trois semaines après ce dîner, des pirates ont lancé une opération de renseignement à grande échelle qui a pénétré le cœur du gouvernement américain et de nombreuses entreprises et autres institutions à travers le monde.

Les résultats de cette opération ont été révélés le 13 décembre, lorsque . a signalé que des pirates russes présumés avaient eu accès aux e-mails des départements du Trésor et du Commerce des États-Unis. Depuis lors, des responsables et des chercheurs disent croire qu’au moins une demi-douzaine d’agences gouvernementales ont été infiltrées et des milliers d’entreprises infectées par des logiciels malveillants, dans ce qui semble être l’une des plus grandes intrusions informatiques jamais découvertes.

Le secrétaire d’État Mike Pompeo a déclaré vendredi que la Russie était derrière l’attaque, la qualifiant de “risque grave” pour les États-Unis. La Russie a nié avoir participé.

Les révélations de l’attaque surviennent à un moment vulnérable, lorsque le gouvernement américain est confronté à une transition présidentielle controversée et à une crise de santé publique croissante. En outre, cela reflète un nouveau niveau de sophistication et d’échelle, avec des attaques contre de nombreuses agences fédérales et la menace d’infliger davantage de dommages à la confiance du public dans l’infrastructure de cybersécurité américaine.

Beaucoup reste inconnu, y compris le motif ou l’objectif final.

Sept responsables gouvernementaux ont déclaré à . qu’ils ignoraient en grande partie quelles informations auraient pu être volées ou falsifiées, ou ce qui serait nécessaire pour réparer les dommages. La dernière violation connue des systèmes fédéraux américains par des services de renseignements russes présumés – lorsque des pirates ont eu accès aux systèmes de messagerie sans réserve de la Maison Blanche, du département d’État et des chefs d’état-major 2014 et 2015 – ont mis des années à s’éclaircir.

Le président américain Donald Trump a minimisé samedi le piratage informatique et l’implication de la Russie, affirmant qu’il était “sous contrôle” et que la Chine pouvait être responsable. Il a accusé les médias «frauduleux» d’en exagérer la portée.

Le NSC, cependant, a reconnu qu’un «cyber-incident important» avait eu lieu. “Il y aura une réponse appropriée aux acteurs derrière cette conduite”, a déclaré le porte-parole du NSC, John Ullyot. Il n’a pas répondu à la question de savoir si Trump avait des preuves de l’implication chinoise dans l’attaque.

Plusieurs agences gouvernementales, dont la NSA et le Department of Homeland Security, ont publié des avis techniques sur la situation. Nakasone et la NSA ont refusé de commenter ce rapport.

Les législateurs des deux parties ont déclaré qu’ils essayaient d’obtenir des réponses des départements qu’ils supervisent, y compris le Trésor. Un employé du Sénat a déclaré que son patron en savait plus sur l’attaque des médias que du gouvernement.

‘UN SAVOIR PUISSANT’

L’attaque a été rendue publique pour la première fois la semaine dernière lorsque la société américaine de cybersécurité FireEye Inc. a révélé qu’elle avait été victime du même type d’attaque que les clients paient pour les protéger.

Publiquement, l’incident a d’abord semblé plus embarrassant pour FireEye. Mais les pirates informatiques ciblant les entreprises de sécurité sont particulièrement dangereux car leurs outils pénètrent souvent profondément dans les systèmes informatiques de leurs clients.

Quelques jours avant la révélation de l’intrusion, les enquêteurs de FireEye savaient que quelque chose d’inquiétant se passait et ont contacté Microsoft Corp et le FBI, ont déclaré à . trois personnes impliquées dans ces communications. Microsoft et le FBI ont refusé de commenter.

Son message: FireEye a été frappé par une campagne de cyberespionnage extrêmement sophistiquée menée par un État-nation, et ses propres problèmes n’étaient probablement que la pointe de l’iceberg.

Environ une demi-douzaine de chercheurs FireEye et Microsoft ont entrepris d’enquêter, ont déclaré deux sources familières avec les efforts de réponse. Ils ont constaté que la racine du problème était quelque chose que les professionnels de la cybersécurité redoutaient: les soi-disant compromis de la chaîne d’approvisionnement, qui dans ce cas impliquaient l’utilisation de mises à jour logicielles pour installer des logiciels malveillants capables d’espionner les systèmes, d’extraire des informations. et éventuellement causer d’autres types de ravages.

En 2017, des agents russes ont utilisé cette technique pour sévir contre les systèmes informatiques privés et gouvernementaux à travers l’Ukraine, après avoir caché un logiciel malveillant connu sous le nom de NotPetya dans un programme de comptabilité largement utilisé. La Russie a nié avoir participé. Le malware a rapidement infecté des ordinateurs dans des dizaines d’autres pays, paralysant les entreprises et causant des centaines de millions de dollars de dommages.

L’attaque la plus récente aux États-Unis a utilisé une technique similaire: SolarWinds a déclaré que ses mises à jour logicielles avaient été compromises et utilisées pour installer subrepticement un code malveillant sur près de 18 000 systèmes clients. Son logiciel de gestion de réseau Orion est utilisé par des centaines de milliers d’organisations.

Une fois téléchargé, le programme a indiqué à ses opérateurs où il avait été installé. Dans certains cas où l’accès était particulièrement précieux, les pirates l’utilisaient pour déployer des logiciels malveillants plus actifs à travers leur hôte.

Dans certaines des attaques, les intrus ont combiné les privilèges d’administrateur accordés à SolarWinds avec la plate-forme cloud Azure de Microsoft – qui stocke les données des clients en ligne – pour forger des «jetons» d’authentification. Ceux-ci leur ont donné un accès beaucoup plus étendu et prolongé aux e-mails et aux documents que de nombreuses organisations ne le croyaient possible.

Les pirates pourraient alors voler des documents via Office 365 de Microsoft, la version en ligne de son logiciel d’entreprise le plus populaire, a déclaré jeudi la NSA dans une rare annonce publique. Jeudi également, Microsoft a annoncé avoir trouvé du code malveillant sur ses systèmes.

Un autre avis publié par l’Agence américaine pour l’infrastructure et la cybersécurité le 17 décembre a déclaré que le logiciel SolarWinds n’était pas le seul véhicule utilisé dans les attaques et que le même groupe avait probablement utilisé d’autres méthodes pour implanter des logiciels malveillants. .

“Il s’agit d’une connaissance puissante et doit être comprise pour défendre des réseaux importants”, a déclaré Rob Joyce, conseiller en cybersécurité de la NSA, sur Twitter.

Comment et quand SolarWinds a été compromis pour la première fois est inconnu. Selon des chercheurs de Microsoft et d’autres entreprises qui ont enquêté sur l’attaque, les intrus ont commencé à manipuler le code de SolarWinds dès octobre 2019, quelques mois avant qu’il ne soit en mesure de lancer un assaut.

“RENFORCER NOS RÉSEAUX”

La pression sur la Maison Blanche pour qu’elle agisse s’intensifie.

Le sénateur républicain Marco Rubio a déclaré: “Les États-Unis doivent riposter, et pas seulement avec des sanctions.” Mitt Romney, également républicain, a comparé l’attaque à l’autorisation répétée de bombardiers russes de survoler le pays sans être détectés. Le sénateur Dick Durbin, un démocrate, l’a appelé «pratiquement une déclaration de guerre».

Les législateurs démocrates ont déclaré qu’ils avaient reçu peu d’informations de l’administration Trump au-delà de ce qui était dans les médias. “Leurs rapports étaient obtus, manquaient de détails et ressemblaient vraiment à une tentative de nous fournir le minimum d’informations qu’ils avaient à nous donner”, a déclaré la représentante démocrate Debbie Wasserman Schultz aux journalistes après une réunion confidentielle.

Ullyot, le porte-parole du Conseil national de sécurité, a refusé de commenter les briefings du Congrès. La Maison Blanche “se concentre sur l’enquête sur les circonstances entourant cet incident et travaille avec nos partenaires d’autres agences pour atténuer la situation”, a-t-il déclaré dans un communiqué à ..

Le président élu Joe Biden a averti que son administration imposerait des “coûts importants” aux responsables. Le président de la commission du renseignement de la Chambre, Adam Schiff, également démocrate, a déclaré que Biden “doit faire du renforcement de nos réseaux, tant publics que privés, une priorité”.

L’attaque met en évidence ces cyberdéfenses, ravivant les critiques selon lesquelles les agences de renseignement américaines sont plus intéressées par les cyberopérations offensives que par la protection des infrastructures gouvernementales.

“L’attaquant a le dessus sur les défenseurs. Des décennies d’argent, de brevets et d’efforts n’ont rien fait pour changer cela”, a déclaré Jason Healey, chercheur en cyberconflit à l’Université Columbia et ancien responsable de la sécurité à la Maison Blanche Administration George W. Bush.

"L'attaquant a le dessus sur les défenseurs. Des décennies d'argent, de brevets et d'efforts n'ont rien fait pour changer cela", a déclaré Jason Healey, chercheur en cyberconflit à l'Université Columbia et ancien responsable de la sécurité à la Maison Blanche Administration George W. Bush.

"Maintenant, nous nous rendons compte avec l'attaque de SolarWinds que, si quoi que ce soit, les défenseurs sont à la traîne. La priorité absolue devrait être de renverser la situation, pour faciliter la tâche des défenseurs."