« Quand il y a une compromission de cette ampleur et de cette échelle […], c’est bien plus qu’un simple incident d’espionnage ». Le 17 février, Anne Neuberger, conseillère à la Maison-Blanche, a livré un bilan provisoire de l’enquête du gouvernement sur l’affaire SolarWinds.
D’après elle, la cyberattaque a fait plus de 100 victimes parmi les entreprises privées américaines, pour la plupart dans le secteur technologique. Les hackers ne les ont pas sélectionnés au hasard : « Les produits de ces entreprises peuvent être utilisés pour lancer des intrusions supplémentaires », insiste la représentante de l’administration.
Autrement dit, ils auraient essayé de reproduire leur manipulation de SolarWinds sur les outils d’autres entreprises. Côté public, la porte-parole a confirmé que les attaquants ont compromis 9 organes du gouvernement américain, du Trésor, à l’Intérieur, en passant par le ministère des Affaires étrangères et celui de l’Énergie.
Ce nouveau compte de victime dépasse les précédentes estimations. Il faut dire que si une petite dizaine d’entreprises ont communiqué sur le sujet, à commencer par FireEye et Microsoft, la plupart se terrent dans le silence. En tout, le cheval de Troie Sunburst a été distribué à plus de 18 000 utilisateurs d’Orion, la plateforme de gestion réseau de SolarWinds. Les hackers pouvaient s’engouffrer manuellement dans chacun de ces accès, mais ils n’ont frappé que des cibles stratégiques, triées sur le volet. Questionné par CBS, le président de Microsoft Brad Smith n’a pas lésiné sur le diagnostic : « c’est probablement juste de dire qu’il s’agit de l’attaque la plus étendue et sophistiquée que le monde ait jamais vue ».
Le renseignement piégé par une attaque venue de l’intérieur
Les hackers, supposément russes, ont opéré pendant près d’un an avant que ce soit une entreprise privée, FireEye, qui découvre leurs agissements. Si la compromission de SolarWinds est centrale dans l’opération d’espionnage, elle n’est qu’un des biais utilisés par les attaquants : ils ont aussi utilisé des techniques d’attaques bien plus communes comme le phishing.
La réussite de la campagne d’espionnage est donc un véritable constat d’échec pour les autorités américaines, et notamment le renseignement, incapable de découvrir que le gouvernement et plusieurs entreprises privées ont été infiltrés. « Les hackers ont lancé l’attaque depuis l’intérieur des États-Unis, de sorte que leurs activités étaient difficilement observables par le gouvernement américain » justifie Anne Neuberger.
La NSA n’a pas le droit de surveiller les réseaux informatiques américains, et elle se contente donc (du moins, en principe) d’observer les réseaux étrangers et notamment ceux des Russes et des Chinois. Pour abuser de ce talon d’Achille, les cyberespions à l’origine de l’attaque ont donc contourné les défenses en lançant leur attaque depuis le territoire américain. Mais cette ruse ne suffit pas à expliquer l’échec cuisant des autorités. Comme le relève Security Affairs, les systèmes de détection du gouvernement ont été pris par défaut, alors qu’ils auraient dû servir de dernier rempart. C’est la preuve de la sophistication de l’attaque, mais aussi d’une vraie faiblesse des cyberdéfenses américaines.
La Russie a fait appel à plus de 1 000 développeurs, d’après Microsoft
De son côté, Microsoft a livré ses dernières conclusions sur la compromission de son réseau, et heureusement, la catastrophe a été évitée. Pendant plusieurs mois, et même après que l’entreprise a commencé son enquête interne, les hackers ont tenté de se déplacer sur son réseau, dans l’objectif final de corrompre les outils de Microsoft utilisés par des centaines de millions de clients.
D’après l’entreprise, les infiltrés ne sont parvenus qu’à mettre la main sur des morceaux de codes sources de Azure, Intune et Exchange, trois de ses services. Mieux, ces lignes de codes ne contiendraient « aucun élément secret ». À CBS, Brad Smith a expliqué que Microsft a dépêché 500 ingénieurs sur l’enquête, afin de s’assurer de ne manquer aucun détail.
Le dirigeant est allé plus loin, en donnant une estimation de la force de travail des hackers : « Nous nous sommes demandé combien d’ingénieurs ont probablement travaillé sur ces attaques. Et la réponse que nous avons trouvée, c’est qu’ils seraient certainement plus de 1 000 ». Plusieurs experts du milieu mettent en doute cette estimation extrêmement élevée. En temps normal, les groupes de hackers n’opèrent que très rarement à plus d’une dizaine. D’autant plus, quand ce sont des espions, censés rester discrets. Reste que l’attaque contre SolarWinds sort de la norme.
Peut-être que les futures révélations sur l’affaire éclairciront ce point. Comme l’a rappelé Anne Neuberger, la Maison-Blanche n’a pas fini son enquête, qui pourrait s’étaler sur plusieurs mois supplémentaires.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.