Dans un rapport rendu public, le département de la sécurité intérieure américaine (DHS) et le FBI évoquent une campagne de hacking menée depuis plusieurs mois contre des sites industriels américains, du secteur de l’énergie, du nucléaire ou encore de l’aviation. Des attaques déjà signalées par l’entreprise de cybersécurité Symantec début septembre.

À en croire le FBI et le département de la sécurité intérieure américaine (Department of Homeland Security, DHS), plusieurs entreprises des secteurs du nucléaire, de l’énergie ou encore de l’aviation sont la cible de hackeurs. Et ce depuis au moins mai 2017.

La menace est visiblement jugée assez sérieuse pour justifier à leurs yeux d’un tel avertissement public, qui prend la forme d’un rapport publié ce vendredi 20 octobre. Pour s’infiltrer dans le réseau interne de leurs cibles, les hackeurs recourent à une campagne de phishing sur les boîtes mail des salariés concernés. Le FBI et le DHS affirment que certaines attaques auraient réussi, notamment sur une infrastructure du secteur de l’énergie, sans toutefois en dire plus sur l’identité des victimes.

Les autorités américaines, qui suivent de près ces attaques depuis plusieurs mois, avaient déjà envoyé un premier document d’avertissement aux entreprises à risque en juin 2017, pour les alerter de cette menace. Le DHS estime pour sa part que les attaques sont «  toujours en cours et que les [hackeurs] continuent de poursuivre leurs objectifs tout au long d’une campagne à long terme. »

réacteur nucléaire

Une campagne déjà signalée par Symantec en septembre

Pour Scott McConnell, porte-parole du département de la sécurité intérieure, la publication du rapport du 20 octobre s’avérait nécessaire : « Cette alerte technique fournit des conseils pour éviter et limiter les cyberactivités malveillantes ciblant plusieurs secteurs et réaffirme notre volonté de rester vigilant vis-à-vis de nouvelles menaces. »

Selon le rapport, les hackeurs seraient les mêmes que ceux signalés début septembre par l’entreprise de cybersécurité Symantec, qui alertait déjà d’une campagne de hacking en cours contre de telles infrastructures, en Europe mais aussi aux États-Unis. Elle soupçonnait alors le groupe de hackeurs DragonFly et s’interrogeait sur sa nationalité, le code utilisé recourant à la fois au français et au russe — probablement pour brouiller les pistes.

L’entreprise de cybersécurité CrowdStrike, elle, estime, d’après les éléments techniques contenus dans le rapport, que les attaques seraient signées du groupe de hackeurs Berserk Bear, proche de la Russie. Sans toutefois pouvoir étayer cette piste.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.