Mardi 8 décembre, l’entreprise de sécurité FireEye a publié un communiqué inattendu : des hackers sont parvenus à pirater son système. La nouvelle a de quoi surprendre, car FireEyes est un des groupes les plus respectés du secteur. Il intervient sur des cas de piratage parmi les plus complexes et a construit sa renommée sur ses recherches et mises en garde contre les APT (Advanced Persistant Threat).
Ces groupes de pirates d’élite financés par des États visent non pas le gain financier, mais la récolte d’informations stratégiques. Et pour y parvenir, ils disposent d’une force de frappe particulièrement avancée. La Russie a popularisé ce mode de fonctionnement, mais la Chine, la Corée du Nord ou encore l’Iran font aussi partie de la liste de pays qui l’ont adopté.
Justement, FireEye suspecte le responsable de l’incident d’être soutenu par un État, sans préciser lequel. Dans son communiqué, le CEO Kevin Mandia insiste lourdement sur la complexité des techniques utilisées : « L’attaque est différente des dizaines de milliers d’incidents auxquels nous avons répondu au cours des 25 dernières années (…). Les attaquants ont utilisé une nouvelle combinaison de techniques que ni nous ni nos partenaires n’avons observées par le passé. »
Dépêchés au chevet de FireEye, Microsoft (autre géant du secteur) et les autorités publiques (dont le FBI) en viennent à la même conclusion : l’entreprise serait victime d’une attaque sur mesure, ce qui expliquerait qu’elle ne l’ait pas détectée. L’enquête ne fait que débuter, et d’autres détails pourraient être rendus publics dans les prochains jours. En attendant, l’exercice de transparence de FireEye devrait limiter en partie les conséquences de l’attaque.
L’arsenal offensif dérobé, mais le pire est évité
D’après les premiers résultats de son enquête interne, FireEye a trouvé que les attaquants ont ciblé et accédé à certains outils utilisés par sa Red Team. Lorsque les clients des entreprises de cybersécurité commandent des tests de pénétration pour évaluer la sécurité de leurs systèmes, la Red Team, l’équipe offensive, endosse le rôle des hackers malveillants. Son objectif : trouver tout ce qu’un attaquant pourrait exploiter ou casser pour causer du tort au client. Ensuite, charge à l’équipe défensive, la Blue Team, de trouver des parades.
Les logiciels de la Red Team de FireEye comportent donc des méthodes de détection et d’exploitation de nombreuses vulnérabilités. Mais Kevin Mandian rassure : « aucun des outils ne contient d’exploitation de zero-day ». Ce détail est d’une grande importance : les zero-day sont des failles logicielles qui n’ont pas été corrigées, et dont presque personne ne connaît l’existence. Autrement dit, ce sont des failles pour lesquelles il n’existe aucune protection, qui permettent de lancer des attaques avec un très haut taux de réussite.
FireEye publie des protections contre ses propres outils
En 2016, le groupe ShadowBrokers avait dérobé des outils de piratages de la NSA (le renseignement américain), et découvert que l’agence exploitait une faille zero-day sur Windows 7 à l’aide d’un outil nommé Eternal Blue. Rendu public, cet outil a mené à la création du ver WannaCry, qui a fait des milliers de victimes, et causé d’énormes pertes financières aux quatre coins du monde. La précision du CEO de FireEye est donc importante, puisqu’elle signifie que les conséquences du vol seront moindres, car les outils de la Red Team ne permettraient que d’exploiter des vulnérabilités déjà réparées.
D’ailleurs, certains acteurs se posent des questions sur l’utilité de la manœuvre pour les cybercriminels : il est probable qu’ils disposent déjà d’outils similaires, puisque l’objectif de FireEye est de simplement reproduire leurs modes opératoires. Le New York Times évoque une piste intéressante : des pirates pourraient utiliser les outils de l’entreprise pour couvrir les traces parfois laissées dans le code de leurs propres logiciels.
« Nous ne sommes pas certains que l’attaquant a l’intention d’utiliser les outils de notre RedTeam ou s’il souhaite les publier », écrit Kevin Mandian. Mais par prévention, l’entreprise a publié gratuitement sur GitHub une série de protections (plus de 300) à mettre en place pour contrecarrer l’utilisation des outils de sa Red Team. FireEye les a déjà intégrées à ses logiciels, et appelle ses concurrents à faire de même, pour minimiser les conséquences éventuelles du vol. Le groupe a également mis en place des outils pour détecter l’utilisation de ses logiciels offensifs, et agir en conséquence.
Les clients épargnés ?
Dans le communiqué, FireEye précise que si les pirates ont bien obtenu un accès à ses systèmes, l’entreprise n’a pour l’instant « pas trouvé de preuve qu’un attaquant aurait exfiltré des données clients ». FireEye intervient sur des incidents, mais aussi en tant que consultante auprès de plus de 9 000 clients, dans des secteurs très sensibles pour certains. « Si nous découvrons que des données clients ont été dérobées, nous les contacterons directement », précise le communiqué.
Cet incident, bien que marquant, n’est pas le premier du genre comme le rappelle ZDNet : Kaspersky avait rendu publique une intrusion similaire en 2015, tandis que Avast s’est fait piraté deux fois en 2017 et 2019, tout comme Symantec, McAfee, ou encore Trend Micro auparavant.
Pour l’instant, les autorités, comme FireEye, restent prudentes sur l’attribution de l’attaque (souvent difficile à établir). Mais le New York Times et le Washington Post suggèrent l’implication de APT 29, un groupe de hacker lié au SRV, une agence du renseignement russe. Elle aurait profité de l’intention concentrée sur la protection de l’élection présidentielle américaine pour accomplir son méfait. Ces informations devraient se préciser dans les semaines à venir.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !