Paris, France | AFP | jeudi 17/12/2020 - Sur toute la planète, des milliers de sociétés et institutions doivent vérifier si elles utilisent une version piégée du logiciel de l'entreprise texane SolarWinds, au coeur d'une cyberattaque contre plusieurs agences du gouvernement des Etats-Unis.
Voici ce que l'on sait de cette attaque sophistiquée.
Comment ont procédé les pirates?
Les hackers ont réussi à compromettre le logiciel Orion de la firme américaine SolarWinds, utilisé pour la gestion et la supervision de réseaux informatiques de grandes entreprises ou d'administrations.
Ce logiciel a connu un grand succès commercial grâce notamment à une ergonomie réputée très attractive.
L'attaque est passée par des mises à jour du logiciel. Les pirates ont réussi à faire émettre par SolarWinds des mises à jour piégées qui ouvraient une brèche dans les réseaux de la victime, permettant d'exfiltrer des données, par exemple des courriers électroniques.
L'offensive a commencé au printemps 2020 et se poursuit depuis, selon la société spécialisée FireEye.
Les pirates ont pu atteindre les serveurs de compilation de SolarWinds, c'est à dire les machines qui transforment le code produit par les développeurs - donc par des humains - en code exécutable par les ordinateurs.
Qui sont les victimes de ces attaques?
Selon SolarWinds, 18.000 utilisateurs d'Orion ont potentiellement une brèche dans leurs réseaux, tant qu'ils n'ont pas téléchargé les mises à jour préparées en urgence pour contrer l'attaque.
Pour l'instant, il semble selon les experts que les hackers aient surtout utilisé cette faille - baptisée Sunburst - pour s'introduire dans les réseaux d'agences gouvernementales américaines et avoir accès à leurs données, à des fins d'espionnage.
Le ministère de la Sécurité intérieure (DHS), les départements du Trésor et du Commerce ont été touchés, selon les autorités et la presse américaine.
FireEye, société de cybersécurité américaine mondialement connue, a découvert la faille car elle utilisait elle-même SolarWinds et a été affectée sur certains des outils qu'elle utilise pour tester la sécurité informatique de ses clients. Selon cette société, des gouvernements et des entreprises du domaine du conseil, de la technologie et de l'énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
Selon Jacques de la Rivière, qui dirige la société de cybersécurité française Gatewatcher, il est encore "trop tôt" pour savoir si d'autres entreprises ou institutions à travers le monde ont été attaquées. Les contenus que les pirates ont cherché à dérober et l'éventuel succès de leurs tentatives ne sont pas connus à ce jour.
Tous les outils de cybersécurité ont été mis à jour à travers le monde pour détecter des activités suspectes signalant la présence d'une compromission via SolarWinds.
L'Anssi, l'agence chargée de la sécurité informatique française a publié une mise en garde le 14 décembre.
Les entreprises ou institutions qui ont utilisé les mises à jour piégées sont invitées à déconnecter leurs serveurs, puis à chercher les "marqueurs" d'une compromission éventuelle avec leurs outils de cybersécurité.
Qui sont les auteurs?
FireEye et Microsoft ont estimé qu'il s'agissait d'une attaque venant d'un Etat. Les regards d'experts ou commentateurs se sont immédiatement tournés vers la Russie, réputée abriter un véritable écosystème de pirates informatiques directement ou indirectement au service du gouvernement.
La Russie est mise en cause par des sources anonymes des services de sécurité américains, relayées par la presse américaine, mais il n'y a pas eu pour l'instant de mise en cause officielle de la part de Washington.
Ces sources anonymes américaines désignent le groupe "APT29" ou "Cozy Bear", qui selon le Washington Post fait partie des services de renseignement russes et qui a déjà piraté l'administration américaine pendant la présidence Obama.
Quelles leçons en tirer?
Sur un plan pratique, Jacques de la Rivière indique qu'il a encore renforcé la protection de ses propres serveurs de compilation.
D'une manière générale, il espère que l'attaque rendra entreprises et institutions plus exigeantes sur les certifications de sécurité des logiciels, qui n'étaient pas très élevées dans le cas d'Orion.
"Cette affaire peut être un tournant, où plein de clients vont se mettre à dire +je ne veux plus acheter de logiciel qui ne soit pas certifié par une tierce partie+", espère-t-il.
Voici ce que l'on sait de cette attaque sophistiquée.
Comment ont procédé les pirates?
Les hackers ont réussi à compromettre le logiciel Orion de la firme américaine SolarWinds, utilisé pour la gestion et la supervision de réseaux informatiques de grandes entreprises ou d'administrations.
Ce logiciel a connu un grand succès commercial grâce notamment à une ergonomie réputée très attractive.
L'attaque est passée par des mises à jour du logiciel. Les pirates ont réussi à faire émettre par SolarWinds des mises à jour piégées qui ouvraient une brèche dans les réseaux de la victime, permettant d'exfiltrer des données, par exemple des courriers électroniques.
L'offensive a commencé au printemps 2020 et se poursuit depuis, selon la société spécialisée FireEye.
Les pirates ont pu atteindre les serveurs de compilation de SolarWinds, c'est à dire les machines qui transforment le code produit par les développeurs - donc par des humains - en code exécutable par les ordinateurs.
Qui sont les victimes de ces attaques?
Selon SolarWinds, 18.000 utilisateurs d'Orion ont potentiellement une brèche dans leurs réseaux, tant qu'ils n'ont pas téléchargé les mises à jour préparées en urgence pour contrer l'attaque.
Pour l'instant, il semble selon les experts que les hackers aient surtout utilisé cette faille - baptisée Sunburst - pour s'introduire dans les réseaux d'agences gouvernementales américaines et avoir accès à leurs données, à des fins d'espionnage.
Le ministère de la Sécurité intérieure (DHS), les départements du Trésor et du Commerce ont été touchés, selon les autorités et la presse américaine.
FireEye, société de cybersécurité américaine mondialement connue, a découvert la faille car elle utilisait elle-même SolarWinds et a été affectée sur certains des outils qu'elle utilise pour tester la sécurité informatique de ses clients. Selon cette société, des gouvernements et des entreprises du domaine du conseil, de la technologie et de l'énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
Selon Jacques de la Rivière, qui dirige la société de cybersécurité française Gatewatcher, il est encore "trop tôt" pour savoir si d'autres entreprises ou institutions à travers le monde ont été attaquées. Les contenus que les pirates ont cherché à dérober et l'éventuel succès de leurs tentatives ne sont pas connus à ce jour.
Tous les outils de cybersécurité ont été mis à jour à travers le monde pour détecter des activités suspectes signalant la présence d'une compromission via SolarWinds.
L'Anssi, l'agence chargée de la sécurité informatique française a publié une mise en garde le 14 décembre.
Les entreprises ou institutions qui ont utilisé les mises à jour piégées sont invitées à déconnecter leurs serveurs, puis à chercher les "marqueurs" d'une compromission éventuelle avec leurs outils de cybersécurité.
Qui sont les auteurs?
FireEye et Microsoft ont estimé qu'il s'agissait d'une attaque venant d'un Etat. Les regards d'experts ou commentateurs se sont immédiatement tournés vers la Russie, réputée abriter un véritable écosystème de pirates informatiques directement ou indirectement au service du gouvernement.
La Russie est mise en cause par des sources anonymes des services de sécurité américains, relayées par la presse américaine, mais il n'y a pas eu pour l'instant de mise en cause officielle de la part de Washington.
Ces sources anonymes américaines désignent le groupe "APT29" ou "Cozy Bear", qui selon le Washington Post fait partie des services de renseignement russes et qui a déjà piraté l'administration américaine pendant la présidence Obama.
Quelles leçons en tirer?
Sur un plan pratique, Jacques de la Rivière indique qu'il a encore renforcé la protection de ses propres serveurs de compilation.
D'une manière générale, il espère que l'attaque rendra entreprises et institutions plus exigeantes sur les certifications de sécurité des logiciels, qui n'étaient pas très élevées dans le cas d'Orion.
"Cette affaire peut être un tournant, où plein de clients vont se mettre à dire +je ne veux plus acheter de logiciel qui ne soit pas certifié par une tierce partie+", espère-t-il.
La cyberattaque aux Etats-Unis pose un "risque grave"
La cyberattaque d'envergure qui frappe plusieurs ministères aux Etats-Unis représente un "risque grave" et les mesures pour la contrecarrer seront "extrêmement complexes et difficiles", a prévenu jeudi l'agence américaine en charge de la cybersécurité et de la sécurité des infrastructures (Cisa).
Le président élu Joe Biden s'est déclaré "très préoccupé" par cette cyberattaque découverte le week-end dernier, et le sénateur républicain Mitt Romney a montré la Russie du doigt tout en dénonçant le "silence inexcusable" de la Maison Blanche sur cette affaire.
L'attaque a débuté en mars, les pirates profitant d'une mise à jour d'un logiciel de surveillance développé par une entreprise du Texas, SolarWinds, utilisé par des dizaines de milliers d'entreprises et d'administrations dans le monde. Elle s'est poursuivie durant des mois avant d'être découverte par le groupe de sécurité informatique FireEye, lui-même victime de cyberattaques la semaine dernière.
La Cisa a indiqué dans un communiqué avoir "déterminé que cette menace représentait un risque grave pour le gouvernement fédéral et les administrations locales (...) ainsi que pour les infrastructures essentielles et le secteur privé".
La Cisa ne désigne pas les auteurs de cette attaque mais elle précise qu'il s'agit d'un "adversaire patient, concentré et aux ressources financières importantes qui a mené des activités pendant une longue période sur les réseaux victimes".
Ses experts estiment "qu'extraire les pirates des environnements compromis sera extrêmement complexe et difficile pour les organisations" concernées, précise le communiqué, notant que "SolarWinds n'est pas le seul vecteur" utilisé par les auteurs de cette intrusion.
Dans un premier temps, la Cisa a ordonné à l'ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds.
Encore beaucoup d'inconnues
A un mois de sa prise de fonctions, Joe Biden a indiqué que son équipe de transition avait été informée des développements par le gouvernement.
"Il y a encore beaucoup de choses que nous ne savons pas, mais ce que nous savons est très préoccupant", a indiqué le président élu démocrate dans un communiqué.
"Mon administration fera de la cybersécurité une priorité à tous les niveaux du gouvernement et nous ferons de la réponse à cette cyberattaque une priorité dès notre prise de fonctions", a-t-il assuré, prévenant que les Etats-Unis imposeraient "des coûts conséquents aux responsables de ces attaques malveillantes".
Dans un tweet, Mitt Romney a noté que cette cyberattaque était le signe d'une "vulnérabilité alarmante des Etats-Unis".
"C'est comme si des bombardiers russes avaient survolé notre pays tout entier de façon répétée sans être repérés", a-t-il noté, dénonçant "le silence et l'inaction inexcusables de la Maison Blanche" du président Donald Trump.
Les méthodes employées portent la marque d'un acteur étatique, selon Microsoft qui n'a pas désigné de pays.
Le secrétaire d'Etat américain Mike Pompeo avait rappelé lundi que le gouvernement russe avait effectué des tentatives répétées pour pénétrer dans les réseaux du gouvernement américain.
"La Russie ne mène pas d'opérations offensives dans le cyberespace", a assuré son ambassade aux Etats-Unis.
Le FBI (police fédérale), le directeur du Renseignement et la Cisa, qui dépend du ministère de la Sécurité intérieure (DHS), ont formé une unité de coordination et des réunions se tiennent quotidiennement à la Maison Blanche pour élaborer la riposte du gouvernement américain, lequel avait confirmé dimanche soir avoir été victime d'une cyberattaque.
Le conseiller à la sécurité nationale de la Maison Blanche, Robert O'Brien, a coupé court à un voyage au Proche-Orient et en Europe pour revenir mardi à Washington s'occuper des retombées de cette attaque d'envergure.
Outre le DHS, les départements du Trésor et du Commerce ainsi que plusieurs agences fédérales auraient été touchés, selon des informations de presse.
Selon FireEye, des gouvernements et des entreprises du domaine du conseil, de la technologie et de l'énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
SolarWinds a indiqué que jusqu'à 18.000 clients, dont de grosses entreprises et des agences gouvernementales américaines, avaient téléchargé les mises à jour du logiciel, permettant aux pirates d'avoir accès aux échanges de courriels.
Le président élu Joe Biden s'est déclaré "très préoccupé" par cette cyberattaque découverte le week-end dernier, et le sénateur républicain Mitt Romney a montré la Russie du doigt tout en dénonçant le "silence inexcusable" de la Maison Blanche sur cette affaire.
L'attaque a débuté en mars, les pirates profitant d'une mise à jour d'un logiciel de surveillance développé par une entreprise du Texas, SolarWinds, utilisé par des dizaines de milliers d'entreprises et d'administrations dans le monde. Elle s'est poursuivie durant des mois avant d'être découverte par le groupe de sécurité informatique FireEye, lui-même victime de cyberattaques la semaine dernière.
La Cisa a indiqué dans un communiqué avoir "déterminé que cette menace représentait un risque grave pour le gouvernement fédéral et les administrations locales (...) ainsi que pour les infrastructures essentielles et le secteur privé".
La Cisa ne désigne pas les auteurs de cette attaque mais elle précise qu'il s'agit d'un "adversaire patient, concentré et aux ressources financières importantes qui a mené des activités pendant une longue période sur les réseaux victimes".
Ses experts estiment "qu'extraire les pirates des environnements compromis sera extrêmement complexe et difficile pour les organisations" concernées, précise le communiqué, notant que "SolarWinds n'est pas le seul vecteur" utilisé par les auteurs de cette intrusion.
Dans un premier temps, la Cisa a ordonné à l'ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds.
Encore beaucoup d'inconnues
A un mois de sa prise de fonctions, Joe Biden a indiqué que son équipe de transition avait été informée des développements par le gouvernement.
"Il y a encore beaucoup de choses que nous ne savons pas, mais ce que nous savons est très préoccupant", a indiqué le président élu démocrate dans un communiqué.
"Mon administration fera de la cybersécurité une priorité à tous les niveaux du gouvernement et nous ferons de la réponse à cette cyberattaque une priorité dès notre prise de fonctions", a-t-il assuré, prévenant que les Etats-Unis imposeraient "des coûts conséquents aux responsables de ces attaques malveillantes".
Dans un tweet, Mitt Romney a noté que cette cyberattaque était le signe d'une "vulnérabilité alarmante des Etats-Unis".
"C'est comme si des bombardiers russes avaient survolé notre pays tout entier de façon répétée sans être repérés", a-t-il noté, dénonçant "le silence et l'inaction inexcusables de la Maison Blanche" du président Donald Trump.
Les méthodes employées portent la marque d'un acteur étatique, selon Microsoft qui n'a pas désigné de pays.
Le secrétaire d'Etat américain Mike Pompeo avait rappelé lundi que le gouvernement russe avait effectué des tentatives répétées pour pénétrer dans les réseaux du gouvernement américain.
"La Russie ne mène pas d'opérations offensives dans le cyberespace", a assuré son ambassade aux Etats-Unis.
Le FBI (police fédérale), le directeur du Renseignement et la Cisa, qui dépend du ministère de la Sécurité intérieure (DHS), ont formé une unité de coordination et des réunions se tiennent quotidiennement à la Maison Blanche pour élaborer la riposte du gouvernement américain, lequel avait confirmé dimanche soir avoir été victime d'une cyberattaque.
Le conseiller à la sécurité nationale de la Maison Blanche, Robert O'Brien, a coupé court à un voyage au Proche-Orient et en Europe pour revenir mardi à Washington s'occuper des retombées de cette attaque d'envergure.
Outre le DHS, les départements du Trésor et du Commerce ainsi que plusieurs agences fédérales auraient été touchés, selon des informations de presse.
Selon FireEye, des gouvernements et des entreprises du domaine du conseil, de la technologie et de l'énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
SolarWinds a indiqué que jusqu'à 18.000 clients, dont de grosses entreprises et des agences gouvernementales américaines, avaient téléchargé les mises à jour du logiciel, permettant aux pirates d'avoir accès aux échanges de courriels.