Piratage informatique : comment plusieurs ministères américains ont été infiltrés

Publié le 18 décembre 2020 à 17h30
Piratage informatique : comment plusieurs ministères américains ont été infiltrés
Source : GUNTHER/SIPA

CHEVAL DE TROIE - Très forte inquiétude aux États-Unis, où plusieurs administrations fédérales et des entreprises de premier plan ont été exposées à un piratage de haut niveau. La réplique de Microsoft est massive, mais on ignore ce que les pirates ont pu subtiliser… ou laisser derrière eux.

Le président-élu Joe Biden s’est dit "très préoccupé", tandis que plusieurs responsables politiques parlent déjà d’une "attaque russe". Certains citent même explicitement les hackers connus sous les pseudonymes d’APT 29 ou de Cozy Bear, une entité dépendant des renseignements militaires russes. Pourtant, ni les auteurs de ce piratage de haut vol, ni leurs objectifs, n’ont officiellement été identifiés. Les services de renseignement américains s’en tiennent pour l’heure à une communication minimale sur le sujet.

Le ministère de la Sécurité intérieure (DHS) aurait ainsi été touché. Dans la foulée, les départements américains du Trésor et du Commerce ont eux aussi constaté et annoncé avoir été piratés. Ont suivi dans la semaine le Département de la Sécurité Intérieure, celui de la Santé, et partiellement le Pentagone. La liste des victimes potentielles, mais pour l’heure non déclarées, contient aussi des firmes de tout premier plan- dont des entreprises françaises cotées au CAC40.

Le dénominateur commun à tous les organismes visés : ils sont clients de la société texane SolarWinds, et utilisateurs de son logiciel de gestion des réseaux informatiques, Orion. C’est au cours des mises à jour effectuées par ces clients de mars à juin dernier que le "cheval de Troie" des pirates a pu pénétrer les systèmes. Plutôt que d’attaquer frontalement leurs cibles, ils se sont donc appuyés sur un fournisseur tiers, SolarWinds en l'occurrence, dont près de 18.000 clients ont téléchargé la version corrompue du logiciel.

Ils sont entrés par une porte dérobée dans le module Orion
Loïc Guézo, secrétaire-général de Clusif

De mars à décembre, les pirates ont ainsi disposé d’un temps considérable pour agir à leur aise dans les organismes infiltrés, et pour l’instant, on ne sait pas comment ils l’ont utilisé. Pour Loïc Guézo, Secrétaire Général du CLUSIF (Association de promotion de la cybersécurité), "aujourd’hui on ne sait pas trop. Il n’y a pas eu d’arrêt ou de destruction majeure visible, donc ce n’était pas l’objectif à court terme. Ça durait déjà depuis mars, donc il s’agit peut-être de vol d’information. Et peut-être que depuis l’intrusion, les pirates ont étendu leur contrôle. Ils sont entrés par une porte dérobée dans le module Orion, il n’y a rien de mieux que de l’utiliser pour installer d’autres portes dérobées, d’autres systèmes sous le contrôle de l’attaquant. Une fois que la porte Orion est refermée, l’attaquant maintient un accès dans le système d’information de la victime."

Réplique rapide et massive de Microsoft

En résumé, même en refermant les chemins d’accès, on ne peut pas être sûr que les pirates ont vraiment été chassés des systèmes. C’est d’abord un risque majeur pour la confiance : les institutions infiltrées vont mettre des mois à se sentir en sécurité. Outre le vol de données, mais qui suppose désormais que les pirates puissent les exfiltrer, il reste la possibilité que les pirates activent des "charges" déposées lors de leur intrusion : "Au jour J, vous envoyez par exemple un ordre d’effacement général à ces charges, poursuit Loïc Guézo. C’est comme une action militaire consistant à déposer des charges explosives sous des ponts. Et ensuite, vous faites tout exploser en même temps : vous déstabilisez complètement la région ou le pays où vous l’avez fait."

La réplique de Microsoft a été rapide, massive, et en elle-même sans précédent. Pour identifier les victimes réellement visées, et priver les pirates de leurs points d’entrée. Microsoft a ainsi déjà repris le contrôle des sites qui communiquaient avec le logiciel infiltré des "attaquants". Les seuils de sécurité des antivirus de Windows ont été poussés à un tel niveau que les systèmes pourraient même dans certains cas être bloqués par leur propre défense. 

Reste désormais à identifier l’empreinte des pirates, ce qui ne va pas de soi. Loïc Guézo rappelle qu’on ne trouve que ce que l’on cherche : "On connaît tel mode opératoire, qui laisse des traces numériques. Mais ici, on n’est pas certain que ce mode opératoire soit le seul pris par les attaquants. Donc ce qui n’est pas documenté, on ne peut pas le rechercher".

On peut imaginer que l’attention générale sur le Covid (...) a pu donner un bon brouillard pour passer discrètement
Loïc Guézo, secrétaire-général de Clusif

Faute d’identifier les commanditaires, il est encore difficile d’imaginer à quoi s’attendre. Tous les experts s’accordent sur un point : une telle opération de piratage relève d’un État ou d’une organisation appuyée par un État. La date propice de lancement des hostilités pourrait même avoir été choisie : au mois de mars, les États-Unis faisaient face à l’arrivée de la pandémie, et les élections primaires battaient leur plein. Or, rappelle le secrétaire-général de Clusif, "s’ils ont activé des mises à jour vérolées en mars, ça veut dire qu’ils étaient prêts depuis longtemps, et qu’ils attendaient le jour pour le faire. On peut imaginer que l’attention générale sur le Covid et le dérèglement, un peu partout, de tous les sujets ont convergé pour donner un bon brouillard pour passer discrètement".


Frédéric SENNEVILLE

Tout
TF1 Info