Début décembre 2020, l’entreprise de cybersécurité FireEye a déclaré publiquement que des hackers s’étaient introduits sur son système. C’était le prélude de l’affaire SolarWinds, qui s’est déclenchée pour de bon une semaine plus tard, à la suite d’une réunion de crise au sein de la Maison-Blanche.
Fin 2019, des hackers russes ont infiltré le moteur de production du logiciel Orion de SolarWinds. Ils ont ainsi discrètement déposé un malware dans le code du logiciel. Entre mars et juillet 2020, SolarWinds a involontairement diffusé ce malware à plus de 18 000 de ses clients par le biais de ses mises à jour. Ensuite, les hackers avaient la possibilité d’utiliser manuellement chaque version vérolée du logiciel pour s’introduire sur le réseau des victimes. Ils ont donc visé des cibles stratégiques.
Le gouvernement américain s’est rapidement retrouvé au coeur de l’affaire. Il semblait que chaque semaine, le nom d’une nouvelle branche du gouvernement touchée par la campagne de cyberespionnage apparaissait dans la presse. En tout, plus d’une dizaine d’institutions et agences de l’administration américaine ont été touchés, dont le Department of Homeland Security, censé protéger les États-Unis contre les cyberattaques.
Malgré les différentes enquêtes publiques comme privées, le nombre total de victimes de la campagne russe est toujours resté flou : certains évoquent plus d’une centaine de victimes, d’autres en estiment une quarantaine. D’ailleurs, seule une poignée d’entreprises, toutes américaines, ont admis publiquement être victime de l’attaque.
Résultat : l’affaire SolarWinds a pris l’apparence d’un incident américanocentré, alors qu’il s’agit bien d’une campagne internationale. Le 13 avril, Johannes Hahn, commissaire européen au Budget et à l’Administration a fait part des conclusions d’une enquête du Cert européen (l’équipe en charge de la veille et de la réponse aux cyberattaques). Bilan : au moins 6 « institutions, corps et agences » de l’Union européenne ont été touchés par la cyberattaque, sur les 14 qui utilisaient le logiciel de SolarWinds. L’UE annonce donc qu’elle est victime de la campagne de cyberespionnage ciblée 4 mois après sa découverte, et plus de 1 an après les faits.
L’Europe avare en détails sur la cyberattaque
Non seulement cette information ne devient publique que maintenant, mais elle aurait pu ne jamais sortir. Le communiqué de Johannes Hahn, qui parle au nom de la Commission européenne, est une réponse à une question émise en février 2021 par un parlementaire européen, qui s’inquiétait de l’incident. Sans cette question, l’Europe n’aurait tout simplement pas communiqué.
Pourtant, Hahn précise que l’attaque n’a pas été sans conséquence : « dans certains cas, les réseaux et systèmes informatiques ont été touchés de façon significative, et quelques fuites de données personnelles ont eu lieu ». Selon la gravité des situations, les contre-mesures sont allées du changement des mots de passe à des reconfigurations du réseau et des réinstallations des serveurs où le logiciel Orion était utilisé.
L’enquête européenne restera floue
En plus d’être tardif, ce premier bilan reste particulièrement flou. Le Cert-EU explique qu’il est contraint de « garder secret » l’identité des institutions touchées tant qu’elles ne l’autorisent pas à communiquer sur le sujet. À The Record Media, Johannes Hahn déclare même « qu’évaluer l’ampleur des dégâts pourrait être une tâche impossible ».
Pour cause : les agences européennes n’ont pas l’obligation de remonter les incidents de sécurité au Cert européen. Non seulement toutes les agences ne communiquent pas, mais celles qui le font n’envoient parfois que des informations partielles. En bout de chaîne, il devient difficile pour le Cert de lancer une enquête efficace, car il manque d’éléments techniques, et notamment de logs (l’historique de connexion au réseau) complets. Résultat : même le Cert n’a qu’une vision limitée de l’étendue de l’incident à l’échelle de l’Union européenne.
Ce communiqué de l’Union européenne est arrivé deux jours avant que l’administration Biden décide de confronter formellement le renseignement russe pour cette campagne de cyberattaque. L’UE, l’OTAN, le Royaume-Uni et le Canada ont affirmé leur soutien au gouvernement américain, et exigé des comptes à la Russie.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !