Après la cyberattaque que le gouvernement US vient de subir, ses systèmes informatiques ne reviendront à la normale que dans 12 à 18 mois, estime le directeur du Cisa, Brandon Wales. Et le dirigeant sait de quoi il parle,  puisque c’est le Cisa qui pilote le projet de reconstruction de Washington, en tant qu’agence gouvernementale spécialisée sur les questions de cybersécurité.

Revenons rapidement sur le contexte de cette déclaration. En décembre, le gouvernement US découvrait que près d’une dizaine de branches de l’administration étaient infiltrées par un groupe de hackers particulièrement discret. La Maison-Blanche, comme plusieurs entreprises privées, soupçonne aujourd’hui ce groupe d’être affilié au renseignement militaire russe.

  • En retard sur l’Affaire SolarWinds ? Mettez-vous à jour avec notre vidéo  

Cette campagne d’espionnage est symbolisée par la compromission de SolarWinds, mais elle s’étend encore au-delà : les hackers ont aussi utilisé d’autres techniques, moins sophistiquées, pour s’en prendre au gouvernement. Pendant plus d’un an, entre septembre 2019 et décembre 2020 ils ont collecté des informations dans l’ombre, sans que le renseignement américain ne détecte quoi que ce soit. Clou de l’humiliation, ce sont deux entreprises privées, FireEye et Microsoft, qui ont prévenu le gouvernement de l’attaque, avant que les spécialistes de l’administration de la détecte.

Le gouvernement US ne connait pas l’étendue des dégâts

Le gouvernement américain vient donc de subir la plus grande campagne de cyberespionnage de son histoire, et même «  bien plus qu’un incident de cyberespionnage » pour l’administration Biden. Son réseau informatique est endommagé, et il doit se redresser.  « Il y a deux phases dans la réponse à cet incident », a expliqué Brandon Wales au MIT Technology Review, le 2 mars. La première est déjà en cours : «  il y a un effort de remédiation à court terme, pendant lequel nous cherchons à supprimer la présence de notre adversaire sur le réseau, en fermant les comptes qu’ils contrôlent, ainsi qu’en obstruant leurs points d’entrées sur nos réseaux. » La deuxième phase ne sera quant à elle finie qu’à l’horizon 2022  : « étant donné la durée qu’ils ont passée à l’intérieur de ses réseaux — des mois — le rétablissement stratégique prendra du temps ».

Plus de deux mois après la découverte de l’attaque, le gouvernement ne connait toujours pas l’étendue des dégâts. Encore le 23 février, le Washington Post apprenait que la Nasa et la fédération américaine de l’aviation faisaient partie de la liste des victimes. Et ce genre d’information tombe à un rythme hebdomadaire depuis le mois de décembre. Pour comprendre le délai annoncé, il faut avoir conscience que les réseaux informatiques du gouvernement américain sont gigantesques, et que les autorités doivent passer au peigne fin chaque recoin à la recherche de traces laissées par les hackers.

La cyberattaque implique donc une remise en cause de la chaîne de confiance au sein du réseau : confiance dans les outils, mais aussi confiance dans les personnes puisque les cyberespions ont usurpé des identités. Pour couronner le tout, les hackers ont montré qu’ils étaient particulièrement doués pour dissimuler leurs mouvements sur les réseaux, ce qui complique encore le travail de détection et de réparation aujourd’hui à l’œuvre. Dans certains cas, l’équipe de cybersécurité n’aura d’autre choix que de détruire tout un pan du réseau pour mieux le reconstruire.Interrogé par le Congrès, Brad Smith, le président de Microsoft a résumé la situation : «  actuellement, seuls les attaquants connaissent l’étendue de ce qu’ils ont fait ». Charge au gouvernement américain de rétablir cette asymétrie d’information.