En l'espace d'une semaine, le gouvernement américain et la firme de
cybersécurité FireEye ont été victimes d'une opération de cyberespionnage gargantuesque. Un malware « extrêmement sophistiqué » nommé Sunburst a été déployé durant plusieurs mois par des hackers de très haut niveau. Il menace plus de 18 000 organisations dans le monde utilisant le logiciel Orion.
Si, au vendredi 18 novembre, le cheval de Troie a été scellé et ne semble plus pouvoir se diffuser, on ne connaît pas ses ramifications dans le monde. L'ampleur des dégâts, des deux côtés de l'Atlantique, reste encore inconnue. Retour en détail sur cette opération de cyberespionnage dont on n'a pas fini d'entendre parler.
Rappel des faits : le gouvernement américain visé par une cyberattaque
C'est ce dimanche 13 décembre que Reuters a révélé l'existence de cette
cyberattaque d'ampleur. Selon l'agence de presse, deux branches du
gouvernement américain, le Trésor et le département du Commerce, ont été victimes il y a plusieurs mois d'une opération de cyberespionnage ayant permis aux pirates d'observer tous les échanges d'e-mails, notamment confidentiels. Un événement qui a conduit à la réunion d'un Conseil de sécurité à la Maison Blanche.
Selon les sources de Reuters, cette attaque n'était pas sans rapport avec une autre agression numérique, découverte quelques jours plus tôt : celle de FireEye, fleuron américain de la cybersécurité spécialisée dans la chasse aux hackers d'État. Dans un communiqué, la firme révélait en début de semaine dernière s'être fait dérober une partie de ses outils offensifs par des pirates informatiques « probablement soutenus par un État ». Un événement à lui seul exceptionnel dans le monde de la cybersécurité.
Dès le lendemain, lundi 14 décembre, plusieurs médias américains comme le New York Times ont révélé la contamination d'autres branches du gouvernement américain. En vrac : le ministère des Affaires étrangères, celui de la Défense, et même le Department of Homeland Security, qui lutte contre la cybercriminalité. La France, de son côté, a émis ce même jour un bulletin d'alerte à l'attention des administrations et des entreprises.
Un cheval de Troie dans Orion, un logiciel de SolarWinds
L'origine de la faille logicielle est rapidement découverte. Dans une déclaration à la Security and Exchange Commission, organisme de régulation des marchés financiers, l'entreprise SolarWinds précise ce qu'il s'est passé.
SolarWinds est un fournisseur de logiciels américain qui compte plus de 350 000 clients dans le monde et a produit notamment la plateforme Orion. Celle-ci est utilisée par de grandes institutions publiques à travers le monde, et par 450 des 500 plus grandes entreprises mondiales.
C'est à partir d'Orion que les pirates informatiques ont mené leur
assaut. Ils ont infecté le logiciel à partir mars dernier en profitant d'une mise à jour de la plateforme. Une attaque via la chaîne d'approvisionnement, qui consiste à infecter un produit en altérant son processus même de fabrication en ciblant des éléments moins sécurisés de celui-ci. Ils y ont introduit une backdoor qui a transformé le logiciel en cheval de Troie, permettant aux pirates, après deux semaines de sommeil du malware, de faire les manipulations qu'ils voulaient à distance.
Le programme malveillant Sunburst, comme l'a nommé la firme FireEye,
aurait touché 18 000 clients de SolarWinds, sur les 33 000 qui utilisent Orion.
Qui est à l'origine de cette cyberattaque ?
Depuis la découverte de Sunburst, Microsoft, SolarWinds et FireEye font tout ce qu'ils peuvent pour se débarrasser du logiciel malveillant.
Un patch a été déployé par SolarWinds ce mardi 15 décembre pour supprimer toutes traces du logiciel malveillant. FireEye, de son côté, explique traquer le logiciel pour comprendre son origine et son fonctionnement précis. Microsoft, enfin, a publié un guide pour ses utilisateurs afin de de traquer l'activité de Sunburst dans leurs réseaux, mais a aussi déployé une mise à jour de l'antivirus Defender qui met automatiquement Orion en quarantaine si une activité suspecte est détectée.
Si Sunburst ne devrait plus pouvoir se diffuser, il reste à connaître l'étendue de ses dégâts et son origine. SolarWinds, FireEye et Microsoft pointent tous du doigt l'implication d'un acteur étatique, étant donné le haut niveau de sophistication nécessaire à la manœuvre. « Cette campagne fait montre d'un artisanat opérationnel et de ressources de haut niveau qui sont cohérentes avec [la présence] d'acteurs sponsorisés
par des États » explique FireEye dans un communiqué récent. « Chacune des attaques requiert un niveau méticuleux de planification et d'interactions manuelles. »
Dès le dimanche 13 décembre, les sources de Reuters pointaient du doigt
la Russie. De son côté, le Washington Post accuse le groupe Cozy Bear, aussi connu sous le nom APT29, qui ferait partie des services de renseignement de Moscou.
Des informations qui ne peuvent pas être confirmées pour le moment. Le
ministère des Affaires étrangères Russe a d'ailleurs réagi dans un communiqué partagé sur Facebook, affirmant que les accusations sont sans fondement.
Les suites de la cyberattaque
Comme nous l'avons dit, l'étendue des dégâts causés par Sunburst n'est pas encore connue. Ce matin du vendredi 18 novembre, le département de l'Énergie des États-Unis a confirmé avoir été visée par l'opération. Alors que le FBI, la CIA et la CISA enquêtent sur l'affaire, le président-élu américain Joe Biden s'est dit « très préoccupé » par l'affaire qui cause déjà de nouvelles tensions avec la Russie.
De son côté, les actions du groupe SolarWinds ont chuté de 22 % depuis la semaine dernière et la Security and Exchange Commission a annoncé qu'une enquête serait ouverte à propos d'un sujet tout aussi épineux. En effet, selon le Washington Post, deux des plus importants investisseurs de l'entreprise ont vendu pour 280 millions de dollars d'actions au début du mois, quelques jours à peine avant que FireEye rende publique la menace.
