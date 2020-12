Image de fichier d’illustration d’un homme cagoulé tenant un ordinateur portable lors de la projection de code informatique derrière lui, prise le 13 mai 2017. REUTERS / Kacper Pempel / Illustration / Archive

Par Jack Stubbs, Raphael Satter et Joseph Menn

LONDRES / WASHINGTON, 14 décembre (.) – Le département américain de la Sécurité intérieure (DHS) et des milliers d’entreprises ont tenté lundi d’enquêter et de répondre à une vaste campagne de piratage informatique que les responsables soupçonnent d’avoir été menée par le gouvernement russe. .

Les e-mails envoyés par des responsables du DHS, qui supervise la sécurité aux frontières et la défense contre le piratage, ont été suivis par des pirates dans le cadre d’une série sophistiquée de violations, ont déclaré lundi à . trois personnes au courant de la violation. affaire.

Les attaques, révélées pour la première fois dimanche, ont également frappé les départements du Trésor et du Commerce des États-Unis.

La société américaine de technologie de l’information SolarWinds, qui a été la principale passerelle utilisée par les pirates, a déclaré que jusqu’à 18000 de ses clients avaient téléchargé une mise à jour logicielle qui permettait aux intrus d’espionner les entreprises et les bureaux publics sans être vus pendant neuf ans. mois.

Les États-Unis ont émis un avertissement d’urgence dimanche, ordonnant aux utilisateurs de déconnecter et de désactiver le logiciel SolarWinds qui, selon eux, avait été compromis par des “agents malveillants”.

L’avertissement est intervenu après que . a rapporté que des pirates informatiques russes présumés avaient utilisé des mises à jour logicielles pour pénétrer dans plusieurs agences gouvernementales américaines, y compris les départements du Trésor et du Commerce.

La Russie a nié avoir aucun lien avec les attaques.

L’une des sources a fait valoir que le courrier électronique du DHS avait été compromis, mais pas le réseau critique utilisé par la division de cybersécurité pour protéger l’infrastructure.

Le département de la Sécurité intérieure a déclaré qu’il était au courant des rapports, sans confirmer directement les attaques ni leur gravité.

Le DHS est un énorme appareil bureaucratique responsable de la sécurité aux frontières, de la cybersécurité et, plus récemment, de la distribution sûre du vaccin COVID-19.

L’unité de cybersécurité de l’agence, connue sous le nom de CISA, a été affaiblie par le limogeage de son patron Chris Krebs, par le président Donald Trump, après que le responsable a déclaré que les élections présidentielles avaient été les plus sûres de l’histoire des États-Unis. Uni. Son second et le chef électoral sont également partis.

PORTE DE DERRIÈRE

SolarWinds, qui affirme que ses clients incluent la majorité des sociétés américaines du Fortune 500, a indiqué qu’il «estime actuellement que le nombre réel de clients qui peuvent avoir eu une installation de produits Orion contenant la vulnérabilité est inférieur à 18 000. “.

Deux personnes au courant de l’enquête ont déclaré à . que toute organisation qui disposait d’une version mise à jour du logiciel de gestion de réseau Orion de l’entreprise aurait eu une «porte dérobée» installée par les attaquants sur leurs systèmes informatiques.

“Après cela, il s’agit simplement de savoir si les attaquants décident de profiter davantage de cet accès”, a déclaré l’une des sources.

FireEye, une société de cybersécurité de premier plan qui a été violée dans le cadre de l’incident, a déclaré dans un article de blog que d’autres cibles incluaient «les entités gouvernementales, de conseil, de technologie, de télécommunications et minières en Amérique du Nord, en Europe et en Asie. et le Moyen-Orient “.

«S’il s’agit de cyberespionnage, alors c’est l’une des campagnes les plus efficaces que nous ayons vues depuis un certain temps», a déclaré John Hultquist, directeur de l’analyse des renseignements de FireEye.

Parce que les attaquants peuvent utiliser SolarWinds pour pénétrer dans un réseau puis créer une nouvelle porte dérobée, il ne suffit pas de se déconnecter du programme de gestion de réseau pour supprimer les pirates, ont déclaré les experts.

