Violation des emails du gouvernement américain grâce à une attaque très sophistiquée en plusieurs étapes, qui pourrait avoir été menée pour le compte d'un État étranger
Une attaque de pirates d'une gravité absolue a été menée ces derniers jours contre le gouvernement américain, qui est convaincu qu'un État-nation est derrière cette opération. Selon les experts en cybersécurité, l'attaque a été menée par le même groupe qui a également attaqué FireEye, et le scénario le plus probable est que les pirates ont pu "entrer" en exploitant une faille de sécurité dans Microsoft Office 365.
L'attaque a été si grave qu'elle a nécessité une réunion d'urgence du Conseil national de sécurité à la Maison Blanche samedi, car les cybercriminels ont pu mettre la main sur des données des départements du Trésor et du Commerce. En particulier, les emails des employés des deux ministères. Le porte-parole du Conseil national de sécurité, John Ullyot, a déclaré à l'agence de presse Reuters qu'"ils prennent toutes les mesures nécessaires pour identifier et remédier à tout problème lié à cette situation". L'attaque, et sa gravité, est donc officiellement confirmée.
Quelles données les pirates ont-ils volées
Il semblerait que la cible principale de ce piratage soit les emails du personnel des départements du Trésor et du Commerce. En particulier, celles des employés de l'Agence nationale des télécommunications et de l'information (NTIA), l'agence qui fait partie du ministère du Commerce et qui est chargée de réglementer les télécommunications.
Selon Reuters, les pirates ont pu pénétrer dans le logiciel utilisé par le personnel de la NTIA, à savoir Microsoft Office 365, et surveiller les e-mails de l'agence pendant des mois. Peut-être dès l'été. Microsoft n'a pas encore publié de déclaration officielle sur l'incident. L'attaque a également été rendue possible par l'altération d'un autre logiciel, fourni par SolarWinds.
Comment l'attaque a été menée
Apparemment, le mécanisme qui a rendu l'attaque possible est la technique du "Supply Chan" : les systèmes d'un fournisseur sont piratés, afin d'atteindre la cible finale. Le fournisseur dans ce cas serait la société informatique SolarWinds, basée au Texas, qui compte parmi ses clients le gouvernement, l'armée et les services de renseignement.
SolarWinds a confirmé que les mises à jour de son logiciel de surveillance publiées entre mars et juin de cette année ont pu être modifiées pour inclure du code étranger par ce qu'elle a décrit comme une "attaque de la chaîne d'approvisionnement manuelle, ciblée et hautement sophistiquée, menée par un État-nation".
C'était les Russes ?
Le gouvernement américain n'a pas identifié publiquement qui pouvait être derrière l'attaque, mais selon les rumeurs, la Russie serait actuellement le coupable le plus probable. Cette attaque serait liée à une vaste campagne qui a déjà visé FireEye, une importante société américaine de cybersécurité ayant des contrats avec le gouvernement.
Dans une déclaration publiée ici sur Facebook, le ministère russe des Affaires étrangères a qualifié ces accusations de tentative infondée des médias américains de blâmer la Russie.