Une cyberattaque d'envergure contre plusieurs ministères découverte le week-end dernier aux Etats-Unis est toujours en cours et le gouvernement tente de mesurer l'étendue des dégâts, selon les agences américaines de renseignement.
L'étendue de la gigantesque cyberattaque qui frappe l'Etat américain ne cesse de s'élargir à mesure que l'on découvre de nouvelles victimes, au-delà des Etats-Unis, ravivant les craintes face aux risques d'espionnage et la méfiance à l'égard de la Russie, clairement montrée du doigt.
COVID-19 Belgique : où en est l’épidémie ce samedi 19 décembre ?
"C'est une attaque majeure. Je dirais qu'elle est probablement encore en cours" et "sans précédent", a dit vendredi sur la chaîne Fox News l'élu républicain Marco Rubio, président de la commission du Renseignement au Sénat américain. Il a évoqué, comme le gouvernement la veille, "une grave menace pour l'Etat fédéral, les collectivités locales, les infrastructures cruciales et le secteur privé".
Microsoft a indiqué jeudi soir avoir informé plus de 40 clients touchés par le logiciel utilisé par les pirates, qui pourrait leur permettre un accès sans entraves aux réseaux des victimes.
Ce n'est pas de l'espionnage ordinaire
"Environ 80% de ces clients se trouvent aux Etats-Unis, mais notre travail a aussi permis d'identifier à ce stade des victimes dans plusieurs autres pays", a déclaré le président de Microsoft Brad Smith sur le blog du géant informatique. Les pays concernés sont le Canada, le Mexique, la Belgique, l'Espagne, le Royaume-Uni, Israël et les Emirats arabes unis.
"Le nombre de victimes et les pays touchés vont continuer à augmenter, c'est certain", "créant une vulnérabilité technologique grave pour les Etats-Unis et le monde", a prévenu Brad Smith. "Ce n'est pas de l'espionnage ordinaire, même à l'ère numérique."
Le gouvernement américain, qui n'a découvert que la semaine dernière cette attaque lancée dès mars, sinon plus tôt, n'a officiellement pas désigné de responsable.
Ce qu'il s'est passé
Selon le groupe de sécurité informatique FireEye, lui-même victime de cyberattaques la semaine dernière, des gouvernements et des entreprises du domaine du conseil, de la tech et de l'énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient. Aux Etats-Unis, en plus du DHS, les départements du Trésor et du Commerce ainsi que plusieurs agences fédérales auraient été touchés, selon des informations de presse.
Les pirates ont infiltré les systèmes informatiques de ces différentes entités, profitant d'une mise à jour d'un logiciel de surveillance développé par l'entreprise SolarWinds et utilisé par des dizaines de milliers d'entreprises et d'administrations dans le monde.
"Cette campagne a possiblement débuté dès le printemps 2020 et se poursuit à l'heure actuelle", a indiqué FireEye dans un article de blog, qui précise que les cybercriminels ont tenté d'infiltrer l'ensemble des réseaux de leurs cibles et de voler des données. Les contenus que les pirates ont cherché à dérober et l'éventuel succès de leurs tentatives ne sont pas connus à ce jour.
La Russie soupçonnée
Les méthodes employées portent en revanche la marque d'un acteur étatique, croit savoir Microsoft, qui mène également l'enquête sur ces attaques.
"Nous pensons qu'il s'agit d'une opération menée à large échelle par un Etat-nation, visant à la fois le gouvernement et le secteur privé", a estimé le géant informatique dans un article de blog.
Si Microsoft s'est gardé de nommer un pays, plusieurs médias américains ont pointé du doigt le groupe russe "APT29", également connu sous le nom de "Cozy Bear". Selon le Washington Post, ce groupe fait partie des services de renseignement de Moscou et a déjà piraté l'administration américaine pendant la présidence de Barack Obama.
Dans un communiqué diffusé sur Facebook, l'ambassade de Russie aux Etats-Unis a démenti catégoriquement ces accusations, assurant que "la Russie ne mène pas d'opérations offensives dans le cyberespace".
Pour Hank Schless, de l'entreprise californienne de cybersécurité Lookout, la sphère publique comme la sphère privée doivent de plus en plus se méfier des piratages orchestrés depuis l'étranger.
"Des Etats-nations hostiles reconnaissent l'intérêt de cibler les deux secteurs, ce qui signifie qu'aucun n'est préservé de ce genre d'attaques, soutenues par des ressources gouvernementales", explique l'expert.
Des recommandations
Face à cette menace grandissante, Cisa a ordonné à l'ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds.
FireEye et Microsoft ont également énuméré une série de recommandations, dont le renouvellement des mots de passe, l'utilisation d'antivirus et le passage en revue des appareils utilisant le logiciel piraté.
Selon Matt Walmsley de Vectra, un fournisseur californien de services de détection de cyberattaques, des piratages comme celui révélé dimanche sont appelés à se multiplier, présentant de nouveaux défis pour les entreprises comme pour les gouvernements.
"Les équipes en charge de la sécurité doivent radicalement réduire le risque d'intrusion en repérant et en comprenant immédiatement qui accède à leurs données ou modifie leurs configurations, indépendamment de la façon dont ces acteurs opèrent et de leur localisation", préconise M. Walmsley.
Vos commentaires