Ce samedi, un Conseil national de sécurité américain s’est réuni en urgence. Non pas à cause du coronavirus, mais pour évoquer la cyberattaque massive dont le pays a été semble-t-il victime depuis des mois. Une attaque si importante que l’Amérique n’en mesure pas encore toutes les conséquences.
Ce qui est certain pour le moment, c’est qu’a minima les données du Trésor américain et le département du Commerce ont été « observées ». Ces deux administrations, aux données déjà ultrasensibles, pourraient bien ne constituer que la partie émergée de l’iceberg de cette cyberattaque.
C’est en effet peu ou prou l’ensemble des agences américaines, mais également d’autres pays, qui ont ainsi pu potentiellement être surveillés. De quoi donner des sueurs froides aux Etats-Unis.
Un cheval de Troie plus qu’une attaque frontale
Comment une surveillance massive de données sensibles a-t-elle été possible ? Cela est dû à une cyberattaque bien particulière, une « attaque par la chaîne d’approvisionnement » ou « attaque par rebond ». Loïc Guézo, expert en cybersécurité et secrétaire général du Club de la sécurité de l’information français, se charge des explications :
« Plutôt que de tenter de faire une intrusion informatique frontale directement sur le réseau hyperprotégé de telle agence gouvernementale, on va pirater un sous-traitant ou un partenaire, en l’occurrence là un fournisseur de logiciels technologiques, qu’on utilise comme cheval de Troie pour entrer dans les autres réseaux. »
Aucune agence gouvernementale n’a ainsi été frontalement piratée. C’est SolarWinds qui a subi l’attaque, entreprise spécialisée dans la gestion informatique de très haut niveau et qui fournit des logiciels aux agences gouvernementales. Or, l’un de ces logiciels a été piraté et modifié discrètement dans ces mises à jour informatiques, afin d’y intégrer des outils de contrôle à distance et de surveillance. Lorsque les agences gouvernementales exploitant ce logiciel l’ont mis en jour, elles ont pu être suivies ni vu ni connu.
Une attaque furtive
Car il faut aussi changer l’image quelque peu hollywoodienne qu’on a d’une cyberattaque. Il ne s’agit pas de logiciel qui plante ou d’ordinateurs qui crashent ou rendent des écrans noirs. « Le but de ce genre d’attaque, ce n’est pas de détruire des données, mais de les récolter, appuie Loïc Guézo. Il s’agit donc d’être furtif au maximum. »
Et furtive, cette cyberattaque a su l’être. Au point que Gérôme Billois, expert du Cercle européen de la sécurité informatique indique que l’« on sait désormais que le piratage de SolarWinds a eu lieu en mars. Depuis quand les agences sont-elles infectées ? Cela dépend de leur date de mise à jour du logiciel, mais on peut estimer à environ avril mai ».
Pendant des mois donc, les données ont pu être récupérées sans que personne ne s’en rende compte. C’est finalement la firme de cybersécurité FireEye qui remarquera le problème et comprenant son origine et l’ampleur qu’il pouvait avoir sonnera (enfin) l’alerte.
L’exemple ukrainien
Un tel procédé interroge néanmoins. Loin d’être expert en cybersécurité, on se pose des questions sur le fait que toutes les agences américaines utilisent le même logiciel, et donc que son piratage puisse toucher toutes les agences. N’est-ce pas un poil risqué ? Gérôme Billois à la défense :
« C’est tout le problème, mais lorsqu’un logiciel est très bon, pourquoi y renoncer ? Effectivement le monopole est toujours dangereux, et encore dans le cadre de SolarWinds c’est quand même quelque chose de très référencée. Imaginez une cyberattaque autour d’une mise à jour de Windows ». Il suffit de voir le simple bug de Google ce lundi pour voir comme un monopole peut devenir problématique.
Une attaque d’une telle ampleur est néanmoins extrêmement rare. « C’est quasiment inédit », souligne Loïc Guézo. Le seul point de comparaison qu’il trouve est la cyberattaque massive en Ukraine en 2017 par un virus NotPetya, là aussi infiltré dans un logiciel commun et mis à jour, qui avait contaminé une trentaine de banques, mais également des distributeurs de billets, des stations-service, des supermarchés.
Pour l’anecdote, même les capteurs automatiques de radioactivité de Tchernobyl avaient lâché. Au total, 10 % des ordinateurs du pays ont été détruits et le coût de ce virus est estimé à 10 milliards de dollars de dégâts dans le monde. Mais justement, comme on l’a dit précédemment, là où l’attaque aux Etats-Unis est encore plus développée, « c’est qu’elle est plus subtile et agit furtivement, au lieu de juste tout faire planter. C’est beaucoup plus technique, et beaucoup plus dangereux », appuie l’expert.
Une telle complexité, sophistication et réussite éliminent bien des coupables potentiels. Gérôme Billois : « Au vu de la préparation demandée, du niveau de l’attaque et de la préméditation de celle-ci, on n’est pas face à des attaques de groupes cybercriminels classiques ou de simples activistes. » Tous les soupçons se tournent déjà vers la Russie, et notamment un groupe de hackers affilié au gouvernement russe, connu sous les noms d’APT29 ou Cozy Bear. Aux Etats-Unis, avant d’identifier clairement le coupable, l’heure est encore à estimer les dégâts et les conséquences.
20minutes