Les États-Unis sont-ils victimes d’une gigantesque compagne de cyberespionnage ?
Récemment, l’espace cybernétique des États-Unis a beaucoup été éprouvé par un ensemble de cyberattaques assez puissante et aux conséquences dramatiques.
L’une des entreprises les plus puissantes au monde, d’ailleurs l’une des plus rentables, fait des frais de l’ensemble de failles de sécurité dont les pirates informatiques profitent bon et malgré. La situation semble délicate et il semblerait bien que bon nombre d’organisations américaine ait été espionnée sur le plan informatique pendant près de 1 ans.
Cet article va aussi vous intéresser : 8 choses sur la cybersécurité depuis COVID-19
Cette campagne de cyberespionnage aurait débuté depuis le mois de mars 2020. Elle a été mise à nu par une société de sécurité informatique, elle-même américaine du nom de FireEye, le 13 décembre 2020. La même entreprise a été elle même victime d’une attaque informatique perpétré par d’un groupe de cybercriminel classé dans la catégorie des APT, pour « Advanced Persistent Threat » (une menace persistante avancée). En d’autres termes en des pirates informatiques soutenus m matériellement et financièrement par des états nation. Ce type de piratage informatique s’avère être très efficace. Grâce aux moyens dont dispose les cybercriminels, il leur est facile d’être très discrets voir furtifs, même pendant très longtemps et opérer dans l’ombre de manière décisive.
Selon l’agence responsable de l’alerte des menaces informatiques en France, à savoir le Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques (CERT-FR), ce genre d’attaques sont classées généralement principalement la chaîne d’approvisionnement. En d’autres termes, au lieu de s’en prendre à une grosse entreprise, ou aux systèmes d’information d’une organisation importante, les cybercriminels dans ce cas de figure vont s’attaquer à un organisme en secondaire, agissant souvent comme sous traitant. Pour la plupart du temps est vulnérable. Dans le contexte américain, les cybercriminels ont ciblé une société Texane du nom de SolarWinds et des sociétés revendeurs de programmes informatiques cloud de Microsoft.
SolarWinds est une entreprise réputée qui fournit dans le monde professionnel des logiciels de gestion centralisé et un ensemble de programmes informatiques très prisés à près de 330 000 organisations à travers le monde entier parmi lesquels on peut compter des agences fédérales américaines ou des sociétés faisant partie du top 500 des plus puissantes et riches au monde, sans oublier les 10 meilleurs opérateurs de télécommunication aux États-Unis. Une belle brochette de clientèle.
L’opération dirigée contre l’entreprise Texane a consisté à faire entrer un programme malveillant connu sous la dénomination de « Sunburst », qui est constitué d’un ensemble de lignes de coude assez malveillant pour mettre en mal le système de mise à jour du célèbre logiciel Orion développé par la société américaine et qui est utilisé par près de ses 33 000 organisations clientes à travers le monde. Conclusion, 18 000 organisations ayant effectué cette mise à jour se trouve alors piégé par une attaque informatique en suspend. Selon la configuration du logiciel malveillant, ce dernier était censé rester inactif pendant près de 2 semaines pour être sûr de ne pas être détecté par un quelconque programme de sécurité informatique. Ensuite il pouvait envoyer certaines informations opérateur à travers un domaine qui se présente comme suit avsvmcloud.com, ce qui leur permet d’identifier une victime potentielle et décider si celle-ci méritait leur attention ou non.
Selon Brandon Wales, le responsable intérimaire de l’agence américaine de sécurité informatique et de sécurité des infrastructures, « environ 30 % des victimes du secteur privé et du gouvernement lié à la campagne [d’espionnage] n’avaient aucun lien direct avec SolarWinds ». Et lorsque la pirate informatique ne passait pas par le programme informatique Orion corrompu par la mise à jour, les enquêteurs ont estimé que les cybercriminels ont « pénétré dans ces systèmes en exploitant des bogues connus dans les logiciels, en devinant des mots de passe en ligne et en tirant parti d’une variété de problèmes dans la façon dont le logiciel de Microsoft est configuré ».
Dans le cas de Microsoft aussi, l’attaque informatique ne s’est pas directement dirigée vers la société américaine. Les cybercriminels se sont contentés de cibler les revendeurs de logiciels de Microsoft en particulier celui d’office 365, des entreprises qui sont chargées d’assurer la maintenance des programmes informatiques fournis par la société de Redmond auprès d’entreprises clientes de cette dernière.
« les entreprises peuvent traquer les attaques de phishing (hameçonnage) et les logiciels malveillants autant qu’elles le souhaitent, mais tant qu’elles feront aveuglément confiance aux fournisseurs et aux services de cloud computing comme Microsoft, Salesforce Google’s G-Suite, Zoom, Slack, SolarWinds et d’autres – et qu’elles leur donneront un large accès au courrier électronique des employés et aux réseaux d’entreprise –, elles ne seront jamais en sécurité », explique un spécialiste de la sécurité informatique.
Pour le moment, les hypothèses estiment que le gouvernement américain est indirectement ciblé parce ces cyberattaques quoiqu’il n’est pas visée tout directement. Plusieurs suspects ont été envisagés et des actions sont menées de grande envergure pour mettre à nu les commanditaires de cette opération de grande envergure.
Accédez maintenant à un nombre illimité de mot de passe :
