La récente attaque contre le gouvernement

américain peut-elle déjà être considérée comme l’une des plus grandes opérations de cyberespionnage ? Dimanche 13 décembre, Reuters révélait que des hackers de haut niveau étaient parvenus à épier les conversations électroniques de deux branches du gouvernement américain : le Trésor et le département du Commerce. Le lendemain, l’agence de presse, le Washington Post et le New York Times ont présenté d’autres victimes au sein du gouvernement américain : le ministère des Affaires étrangères, le ministère de la Défense, une agence du Ministère de la Santé, et surtout le Department of Homeland Security (DHS, équivalent du ministère de l’Intérieur) lui-même responsable de la lutte contre la cybercriminalité.

iphone(1).jpg

Les hackers doivent exploiter manuellement l’accès offert par le cheval de Troie, ce qui limite la portée de l’attaque. // Source : Louise Audry pour Numerama

Le DHS ne s’est pas étendu sur l’ampleur de l’incident, et a simplement précisé que l’infrastructure de surveillance de l’élection présidentielle n’a pas été touchée. Mais son champ d’action s’étend à de nombreux autres domaines critiques, comme la protection de la campagne de vaccination contre le Covid-19. Cette attaque d’importance contre l’exécutif apparaît alors que dirigeant de la sous-branche du DHS dédié à la cybersécurité a été récemment éjecté de ses fonctions par Donald Trump. Mais l’attaque ne cible pas que le gouvernement américain : l’entreprise de cybersécurité FireEye, elle-même victime de l’attaque, a indiqué qu’elle a identifié des victimes en Asie, en Europe et au Moyen-Orient.

Pour aller plus loin
Sunspot a servi à installer Sunburst dans les mises à jours d'Orion. // Source : Pixabay (photo recadrée)
Ce que l'on sait sur Sunburst

Pour mettre leur opération d’espionnage en place, les pirates ont injecté un cheval de Troie dans Orion, un logiciel édité par SolarWinds que les agences utilisent pour gérer et surveiller leur réseau. Les victimes ont donc téléchargé le programme malveillant en même temps que leurs mises à jour officielles, effectuées entre mars et juin 2020. Deux semaines après installation, le malware (nommé Sunburst par l FireEye) déploie une porte dérobée chez la victime. À partir de là, les hackers peuvent exfiltrer des données et envoyer toutes sortes d’ attaques depuis leur centre de commande à distance.

18 000 portes dérobées installées, mais la plupart n’ont pas été utilisées

Dans une déclaration à la SEC (Securities and Exchange Commission), l’organisme américain de régulation des marchés financiers, SolarWinds précise l’ampleur de l’incident. Sur ses 300 000 clients, 33 000 utilisent Orion et parmi eux, 18 000 ont installé la version vérolée. Concrètement, ces 18 000 entreprises ont fait rentrer le cheval de Troie dans leur réseau. En revanche, d’après les premières conclusions des différentes enquêtes, les hackers n’auraient utilisé qu’une petite partie de ces accès internes : ils ont sélectionné les cibles d’intérêt, comme les gouvernements et les grandes entreprises, qu’ils ont ensuite attaqués et espionnés manuellement. Puisque l’exploitation de la porte dérobée n’est pas automatique, l’attaque n’est pas virale, et ne se propage pas. Reste que des dizaines de victimes pourraient se déclarer dans les jours à venir.

Pour l’instance, l’opération de nettoyage du malware bat son plein : Microsoft a publié une mise à jour de Windows Defender, tandis que FireEye a mis en ligne des contre-mesures à Sunburst. SolarWinds a de son côté précisé à la SEC qu’il déploierait, dans sa mise à jour de ce mardi 15 décembre, du code capable de supprimer toutes traces de Sunburst chez ses clients. Problème : si l’extermination du cheval de Troie empêche les hackers d’exfiltrer plus de données et d’installer de nouveaux programmes malveillants, les malwares qu’ils ont déjà déployés restent actifs. Les organisations concernées doivent donc également les traquer pour les éradiquer, sans forcément savoir exactement où chercher. Autrement dit, s’il est possible que seules quelques dizaines d’organisations soient réellement touchées par l’attaque, les 18 000 qui ont téléchargé la version d’Orion infectée doivent tout de même passer leur réseau au peigne fin.

Les comptes emails de SolarWinds étaient compromis

Malgré la déclaration à la SEC, quelques questions n’ont pas été levées. D’abord, SolarWinds n’a pas précisé comment les hackers sont parvenus à entrer sur son système. L’entreprise indique simplement que Microsoft l’a informée que son compte Office 365 a été compromis, et qu’elle enquête pour savoir si les pirates s’en sont servis pour dérober des données clients. En revanche, comme le remarque ZDNet, elle ne s’est pas exprimée sur un éventuel lien entre la compromission des emails et l’accès à l’infrastructure responsable des mises à jour d’Orion.

Si l’attaque représente un véritable danger pour les clients de SolarWinds, elle menace aussi la survie de l’entreprise américaine. Le chiffre d’affaires d’Orion représente près de la moitié de son revenu global. Autant dire que si l’attaque détourne les clients de son produit, le groupe connaîtrait un désastre financier. En France, le Cert (Centre gouvernemental de veille, d’alertes et de réponse aux attaques informatiques) a émis un bulletin d’alerte, et les entreprises concernées travaillent déjà à la résolution de l’incident.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !