L’agence américaine en charge de la cybersécurité et de la sécurité des infrastructures (Cisa), rattachée au ministère de la Sécurité intérieure (DHS), a émis dimanche soir une consigne d’urgence après la révélation de ces piratages.
« La directive de ce soir a pour but de réduire les risques potentiels au sein des réseaux de l’administration fédérale. Nous exhortons l’ensemble de nos partenaires – dans la sphère publique et privée – à évaluer leur exposition à ce risque et à sécuriser leurs réseaux contre toute exploitation », a imploré Brandon Wales, le patron de Cisa.
Le responsable des relations avec la presse du DHS, Alexei Woltornist, a confirmé lundi dans un communiqué être au courant de ces attaques informatiques qui, selon le Washington Post, auraient notamment ciblé son ministère.
« Si quiconque a des informations supplémentaires liées aux cyber-intrusions, merci de contacter Cisa à [email protected] », a ajouté M. Woltornist.
Ce qu’il s’est passé
Selon le groupe de sécurité informatique FireEye, lui-même victime de cyberattaques la semaine dernière, des gouvernements et des entreprises du domaine du conseil, de la tech et de l’énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
Aux Etats-Unis, en plus du DHS, les départements du Trésor et du Commerce ainsi que plusieurs agences fédérales auraient été touchés, selon des informations de presse.
Les pirates ont infiltré les systèmes informatiques de ces différentes entités, profitant d’une mise à jour d’un logiciel de surveillance développé par l’entreprise SolarWinds et utilisé par des dizaines de milliers d’entreprises et d’administrations dans le monde.
« Cette campagne a possiblement débuté dès le printemps 2020 et se poursuit à l’heure actuelle », a indiqué FireEye dans un article de blog, qui précise que les cybercriminels ont tenté d’infiltrer l’ensemble des réseaux de leurs cibles et de voler des données.
Les contenus que les pirates ont cherché à dérober et l’éventuel succès de leurs tentatives ne sont pas connus à ce jour.
La Russie soupçonnée
Les méthodes employées portent en revanche la marque d’un acteur étatique, croit savoir Microsoft, qui mène également l’enquête sur ces attaques.
« Nous pensons qu’il s’agit d’une opération menée à large échelle par un Etat-nation, visant à la fois le gouvernement et le secteur privé », a estimé le géant informatique dans un article de blog.
Si Microsoft s’est gardé de nommer un pays, plusieurs médias américains ont pointé du doigt le groupe russe « APT29 », également connu sous le nom de « Cozy Bear ».
Selon le Washington Post, ce groupe fait partie des services de renseignement de Moscou et a déjà piraté l’administration américaine pendant la présidence de Barack Obama.
Dans un communiqué diffusé sur Facebook, l’ambassade de Russie aux Etats-Unis a démenti catégoriquement ces accusations, assurant que « la Russie ne mène pas d’opérations offensives dans le cyberespace ».
Pour Hank Schless, de l’entreprise californienne de cybersécurité Lookout, la sphère publique comme la sphère privée doivent de plus en plus se méfier des piratages orchestrés depuis l’étranger.
« Des Etats-nations hostiles reconnaissent l’intérêt de cibler les deux secteurs, ce qui signifie qu’aucun n’est préservé de ce genre d’attaques, soutenues par des ressources gouvernementales », explique l’expert.
Recommandations
Face à cette menace grandissante, Cisa a ordonné à l’ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds.
FireEye et Microsoft ont également énuméré une série de recommandations, dont le renouvellement des mots de passe, l’utilisation d’antivirus et le passage en revue des appareils utilisant le logiciel piraté.
Selon Matt Walmsley de Vectra, un fournisseur californien de services de détection de cyberattaques, des piratages comme celui révélé dimanche sont appelés à se multiplier, présentant de nouveaux défis pour les entreprises comme pour les gouvernements.
« Les équipes en charge de la sécurité doivent radicalement réduire le risque d’intrusion en repérant et en comprenant immédiatement qui accède à leurs données ou modifie leurs configurations, indépendamment de la façon dont ces acteurs opèrent et de leur localisation », préconise M. Walmsley.