Une attaque informatique qualifiée par certains de “sans précédent”, en cours depuis plusieurs mois, fait aujourd’hui trembler des dizaines de milliers d’entreprises, l’administration américaine et même bien au-delà. Selon certains responsables américains, on serait même face à la plus grande cyberattaque jamais réalisée contre des cibles publiques et privées aux États-Unis.
Que se passe-t-il exactement ? Qui est touché ? Qui est impliqué ? Ce que nous savons sur cette cyberattaque baptisée “Sunburst”.
FireEye révèle l’histoire
C’est un célèbre groupe californien de sécurité informatique, FireEye, qui a révélé au monde l’existence de cette cyberattaque. La semaine dernière, des pirates informatiques se sont immiscés dans les systèmes de cette société qui, ironie de l’histoire, est spécialisée dans la chasse aux hackeurs. Et à la vue du premier communiqué de presse de FireEye, on comprend que l’attaque semble très sérieuse. “Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un Etat “.
La porte d’entrée des pirates : “SolarWinds”
Quelques jours plus tard, FireEye donne des détails sur l’attaque et révèle la “porte d’entrée” par laquelle les hackers ont pénétré les systèmes. Son nom “SolarWinds”, un logiciel de surveillance développé par une entreprise texane et utilisé par des dizaines de milliers d’entreprises et d’administration dans le monde. C’est plus exactement les mises à jour de la plateforme de gestion Orion de SolarWinds qui ont permis aux hackers d’introduire leur “cheval de Troie”.
Un mot de passe trop simple ?
Au-delà, selon Olivier Bogaert, commissaire à la Computer Crime Unit de la police fédérale, les pirates auraient eu accès à au moins un mot de passe stratégique. “Par rapport à des informations qui étaient disponibles dans le dark web (Internet clandestin), il y avait notamment un mot de passe qui était utilisé dans l’entreprise en question. Ce mot de passe permettait l’accès aux serveurs qui hébergeaient les mises à jour. Les auteurs ont pu, à ce moment-là, y injecter leur logiciel malveillant […] Le mot de passe était assez simple et, semble-t-il, disponible car quelqu’un l’avait sans doute laissé fuiter via un accès à son système informatique personnel. La personne avait peut-être noté ce mot de passe quelque part. Grâce à cela en tout cas, les auteurs ont pu entrer dans les serveurs”.
Selon l’agence Reuters, qui relate les propos du chercheur en sécurité informatique Vinoth Kumar, le mot de passe en question était même simplissime puisqu’il s’agissait de “solarwinds123”.
La Belgique et la France lancent un “Bulletin d’alerte”
Le 14 décembre, en Belgique, le CERT (Computer Emergency Response Team), le centre d’alerte et de réaction aux attaques informatiques, publie une alerte sur son site Internet pour mettre en garde les entreprises et les administrations de l’existence de cette attaque en cours.
En France, leur Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatique lance, le même jour, un “Bulletin d’alerte” pour également mettre en garde les administrations et les entreprises. Le bulletin précise que cette attaque se fait “par le biais d’une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d’approvisionnement. Les mises à jour ont été altérées afin d’inclure un maliciel appelé SUNBURST. Le code malveillant permet à l’attaquant d’exécuter du code à distance et d’exfiltrer des données”.
Une attaque qui représente “un risque grave”
L’affaire prend encore une dimension supplémentaire quand, le 16 décembre, un communiqué de presse pas comme les autres révèle au grand public que cette cyberattaque représente un “risque grave” et que les mesures pour la contrecarrer seront “extrêmement complexes et difficiles.
Ce communiqué commun a été rédigé à la fois par le FBI (police judiciaire américaine et renseignement intérieur), par l’agence Cisa (l’agence de cybersécurité et de sécurité des infrastructures) qui dépend du ministère de la Sécurité intérieure (DHS) et par le bureau du directeur du renseignement national (ODNI).
Ces organes révèlent aussi que le gouvernement fédéral des Etats-Unis a été touché. “Il s’agit d’une situation évolutive et nous continuons à travailler pour prendre toute la mesure de cette campagne tout en sachant que des réseaux ont été affectés à l’intérieur du gouvernement fédéral” poursuit le communiqué. Les entreprises ne sont donc pas les seules affectées.
L’administration américaine en première ligne des hackers
Dans le communiqué, les agences américaines précisent que plusieurs sites du gouvernement fédéral américain sont touchés par cette attaque. Les hackers auraient pu accéder notamment à des courriels internes des départements du Trésor et du Commerce, selon des sources proches interrogées par l’agence de presse Reuters cette semaine, en estimant qu’il ne s’agissait que de la partie émergée de l’iceberg.
Les pirates informatiques ont aussi réussi à entrer dans des réseaux du Pentagone et du département d’État.
Microsoft victime de “Sunburst”
Le géant américain de l’informatique Microsoft est une des victimes de la cyberattaque. “Comme d’autres clients de SolarWinds, nous pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants, que nous avons isolés et supprimés”, a déclaré un porte-parole de Microsoft.
Combien de victimes de cette cyberattaque ?
Impossible pour l’instant de déterminer exactement combien d’entreprises, d’administrations ou d’entités ont été victimes des hackers.
D’après l’entreprise Solarwinds, la mise à jour de logiciel utilisé par les hackers a été déployée par plus de 18.000 clients, partout dans le monde. Mais Solarwinds précise aussi que parmi ses 300.000 clients, seuls 33.000 utilisent la plateforme Orion. Tous ont été prévenus de l’attaque en cours.
Malgré tout, les services de renseignement américains semblent évoquer le fait que Solarwinds ne serait pas le seul vecteur de cette attaque. Des sources proches interrogées par l’agence Reuters ont aussi indiqué que certains produits de Microsoft ont par la suite été utilisés pour étendre cette cyberattaque à d’autres cibles.
Cette attaque a-t-elle touché des entités en Belgique ?
Nous avons contacté le “Centre pour la cybersécurité Belgique” (CCB), l’autorité nationale en charge de la cybersécurité en Belgique qui supervise, coordonne et veille à la mise en œuvre de la stratégie belge en matière de cybersécurité. Le centre nous indique qu’il suit l’affaire de très près.
“On sait que Microsoft a essayé de retrouver qui sont les clients impactés et Microsoft a pu détecter un peu plus de 40 clients, dont 80% se situent aux Etats-Unis ajoute Katrien Eggers, la porte-parole du CBB. Les autres clients se situent dans d’autres pays dont la Belgique (ndlr : les autres pays sont le Canada, le Mexique, l’Espagne, le Royaume-Uni, Israël et les Émirats arabes unis). Si un client touché en Belgique désire se manifester, il peut toujours compter sur nos services pour une assistance. Mais peut-être qu’ils savent déjà ce qu’ils doivent faire […]”. Pour l’instant, aucun client potentiellement touché en Belgique n’a contacté le CCB. On ignore si une administration a été touchée ou non.
Dans quelle mesure cette attaque est-elle exceptionnelle ?
Au micro de CNN, l’ancien directeur du FBI, Andrew McCabe, a déclaré : “Il s’agit d’une attaque fondamentalement différente de toutes celles que nous avons vues dans la cybersphère à ce jour. Ce qui est vraiment l’aspect génial de cette attaque, c’est le moyen trouvé pour entrer pratiquement partout à partir d’un produit largement utilisé”.
Le président de Microsoft, Brad Smith, a lui déclaré que l’attaque était “remarquable” par “son ampleur, sa sophistication et son impact”.
Selon certains responsables américains, on serait même face à la plus grande cyberattaque jamais réalisée contre des cibles publiques et privées aux États-Unis.
Qui est derrière cette attaque ?
Aux Etats-Unis en tout cas, certains politiciens orientent leurs soupçons vers la Russie. “Il s’agit pratiquement d’une déclaration de guerre de la Russie contre les États-Unis, et nous devons la prendre au sérieux” a déclaré Dick Durbin, sénateur démocrate de l’Illinois. Mitt Romney, sénateur républicain de l’Utah mais connu pour être un opposant à Donald Trump, va un pas plus loin en déclarant : “une cyber-attaque de cette nature est vraiment l’équivalent moderne de bombardiers russes qui auraient survolé tout le pays de façon répétée sans être détectés”.
Le secrétaire d’État américain Mike Pompeo a aussi semblé viser Moscou. Lundi, il a annoncé que le gouvernement russe avait effectué des tentatives répétées pour pénétrer dans les réseaux du gouvernement américain.
L’agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) ne va pas jusque-là. Dans un communiqué, l’agence évoque simplement “adversaire patient, focalisé et aux ressources financières importantes qui a mené des activités pendant une longue période sur les réseaux victimes”. Ses experts ajoutent “qu’extraire les pirates des environnements compromis sera extrêmement complexe et difficile pour les organisations”.
La Russie a réagi officiellement. L’ambassade russe aux Etats-Unis a rédigé une déclaration indiquant que “des activités malveillantes dans le domaine de l’information contredisent les principes de la politique étrangère de la Russie, ses intérêts nationaux et notre conception des relations inter-étatiques. La Russie ne mène pas d’opérations offensives dans le cyberespace”.
Guerre politique sur fond de cyberattaque
“Il y a encore beaucoup de choses que nous ne savons pas, mais ce que nous savons est très préoccupant”, a indiqué Joe Biden, le président élu des Etats-Unis, dans un communiqué. Il ajoute : “mon administration fera de la cybersécurité une priorité à tous les niveaux du gouvernement et nous ferons de la réponse à cette cyberattaque une priorité dès notre prise de fonctions”. En ajoutant que son administration imposerait “des coûts conséquents” aux responsables de ce type d’attaques malveillantes.
L’attaque aurait débuté au mois de mars, c’est-à-dire il y a plus de neuf mois, or le président sortant, Donald Trump, est lui resté pour l’instant silencieux face à ces révélations. Ce qui lui vaut une salve de critiques. Comme celle du sénateur républicain de l’Utah, Mitt Romney, qui évoque “le silence et l’inaction inexcusables de la Maison-Blanche ” dans ce dossier.
Même si le conseiller à la sécurité nationale de la Maison-Blanche, Robert O’Brien, a, lui, renoncé à poursuivre son voyage au Proche-Orient et en Europe. Il est revenu à Washington mardi prendre le dossier en main.
Pour en savoir plus
https://www.rtbf.be/info/monde/detail_sunburst-que-sait-on-sur-cette-cyberattaque-qui-fait-trembler-les-entreprises-et-les-administrations?id=10656917