La semaine dernière, Futura expliquait que le géant de la cybersécurité FireEye avait été la victime d'une cyberattaque redoutable. Le butin des hackers : les puissants outils de piratage de la société prévus pour tester la résistance des réseaux aux menaces. Ce week-end, c'est une autre attaque inédite dans son ampleur qui a été détectée. Elle touche cette fois des administrations américaines, comme le Département du Commerce et celui du Trésor. Dans tous les cas et même dans celui de FireEye, la brèche proviendrait de mises à jour logicielles corrompues par les hackers, d'un outil de surveillance du réseau appelé Orion et commercialisé par SolarWinds.
Le gros souci, c'est que cette technologie est déployée dans les plus grandes entreprises de la Planète et exploitée par de nombreuses organisations et administrations américaines, et internationales. En tout, 300.000 clients l'utilisent, dont l'armée américaine, la Nasa et le Pentagone. C'est ce qui fait dire que cette attaque est sans doute l'une des campagnes les plus puissantes. Dans une publication, FireEye explique son déroulement et précise que la brèche a été réalisée en usurpant des mises à jour de sécurité de SolarWinds. L'ensemble des clients de SolarWinds et de FireEye a été prévenu et les équipes font le nécessaire pour sauver ce qui peut l'être. Dans le cas de FireEye, comme pour SolarWinds, les attaques sont clairement identifiées comme provenant d'un État-nation étant donné leur niveau de sophistication. Sans trop l'évoquer, tous les spécialistes et acteurs de la cybersécurité voient l'œuvre de hackers à la solde de Moscou.
Le groupe APT29 serait à l’œuvre
Le Washington Post va plus loin et annonce même le nom du groupe coupable de ces intrusions. Il s'agirait, selon ses sources, du fameux APT29, autrement appelé Cozy Bear. Un groupe connu pour avoir été impliqué dans le piratage du parti démocrate aux États-Unis, ce qui a engendré les accusations d'Ingérence de l'État russe dans l'élection présidentielle américaine de 2016. Dernièrement, la signature de ce groupe a été identifiée lors d'intrusions dans les serveurs des organismes internationaux chargés de la recherche sur la réalisation d'un vaccin contre la Covid 19.
Ces attaques ont conduit à une réunion en urgence du Conseil de sécurité nationale (NSC) à la Maison Blanche ce samedi. Un porte-parole du NSC a expliqué qu'il ne savait pas quelles informations ont pu être volées ou quel gouvernement étranger était impliqué. En revanche, ce que les autorités savent déjà, c'est que les pirates ont pu tromper les contrôles d'authentification des messageries Outlook du personnel du Département du Commerce et les consulter durant sans doute plus d'un mois. Coïncidence du calendrier ou pas, le président Donald Trump avait limogé le mois dernier Chris Krebs, le directeur de l'Agence fédérale de sécurité des réseaux américains (Cisa, Cybersecurity and Infrastructure Security Agency), après qu'il eut contesté les allégations de Trump de fraude électorale généralisée.
Faut-il y voir une incitation à passer à l'action pour les hackers ? Pour le moment, si les autorités ne peuvent pas se permettre d'accuser directement et précisément la Russie, plusieurs organismes fédéraux, dont le FBI, enquêtent sur cette campagne massive de cyberespionnage. De son côté, la Russie affirme sur la page Facebook de son ambassade aux États-Unis, que ces accusations sont non-fondées.