Cyber criminalité ou cyber actes de guerre ? Ce qui se cache vraiment derrière le piratage de ministères et d’agences officielles américaines

Atlantico.fr :  Le Trésor américain et le Département du commerce ont été la cible d'une cyberattaque de grande ampleur. Les hackeurs ont utilisé SolarWinds, un logiciel prestataire du gouvernement américain, pour s'introduire dans les systèmes informatiques. Comment les hackeurs ont-ils procédé ?

Loïc Guézo : On a eu depuis quelques jours des éléments qui permettent de reconstituer une intrusion informatique d’une très grande ampleur, difficile à comparer avec quelque chose qui a pu se produire avant. On ne parle pas simplement d’une intrusion informatique dans le Trésor américain, mais de 18 000 clients de la société SolarWinds qui sont possiblement victimes d’une intrusion informatique grâce à un détournement d’une fonctionnalité de mise à jour d’un module de la gamme Orion de Solarwinds. Parmi ses clients, on trouve des agences gouvernementales américaines, militaires, opérateurs télécoms, grandes marques du secteur privé... Concomitamment à cette intrusion qui a été mise en place en mars 2020, a été détecté il y a 3 ou 4 jours une attaque par la société FireEye, société de premier plan experte de cyber-sécurité informatique elle-même utilisatrice de ces logiciels détournés et donc quelque part victime. C’est comme ça que ça a commencé. Cette société a annoncé publiquement avoir été attaquée (c'est la règle aux Etats-Unis). Cette société cotée en bourse, leader de son secteur, est à l'origine un spin-off technologique de la CIA pour assurer une prédominance technologique aux agences américaines qui a financé cette société de cyber-défense pour apporter un bon niveau de sécurité aux agences gouvernementales. Deux grandes agences américaines, sur la base des déclarations de FireEye et de la proximité de leurs éco-systèmes informatiques, ont vérifié dans leur système d’information si il n’y avait pas eu des traces d’intrusion telles que documentées par FireEye. Lorsqu’il y a une intrusion, on documente ce qu’on appelle des Indicateurs de Compromission, des indicateurs techniques qui sont des reflets de l’intrusion informatique. Cela peut-être des fichiers échangés, des adresses IP où il y a eu des connexions... L'empreinte numérique de l'intrusion est ensuite diffusée. Et chacun est libre de rechercher dans ses propres infrastructures s’il y a des traces. Tout a été mis en parallèle avec SolarWinds qui a fait publication auprès de la SEC (Securities and Exchange Commission. SolarWinds a aussi annoncé avoir constaté un piratage de leur système de messagerie Microsoft Office 365. Il pourrait peut-être y avoir aussi un lien dans la mesure où le piratage de SolarWinds a pu démarrer par un piratage du type message électronique piégé.

Atlantico.fr : L’objectif était de récupérer des données ?

Loïc Guézo : Dans le cas de SolarWinds précisément, l'objectif était de piéger un logiciel tiers pour attaquer par rebond ses clients ("supply chain attack"). Mais on ne connaît pas l’objectif de l’attaquant par rapport à ses cibles finales.

Nous pouvons imaginer 2 cas. Il peut s’agir d’un cybercriminel qui va essayer d’aller assez vite et être efficace pour voler des données et placer éventuellement des rançongiciels et faire un chantage à la divulgation données. Si ce n’est pas criminel mais davantage de l’ordre du « nation-state », l'objectif est différent. Il est surtout de rester le plus longtemps furtif et non détecté. Il est de garantir un accès au système d’information et de créer d'autres portes d'accès au cas où, SolarWinds par exemple, aurait détecté et bouché la brèche. Dans ce laps de temps, l’attaquant déroule son plan : voler de l’information avec un objectif d’espionnage classique, piéger de l'information en interne... ou faire de la cyber coercition. Sur certains clients de SolarWinds qui peuvent être des opérateurs d’importance critique ou vitale, le pirate peut poser des charges informatiques à l'avance (comme on poserait des barils d'explosifs sous un pont) pour préparer le terrain à une attaque d’ampleur décidée un jour J.

Atlantico.fr : On soupçonne le groupe de hackers russe APT29, alias Cozy Bear. Est-ce crédible ?

Loïc Guézo : Aujourd’hui, on ne peut pas savoir si ce sont eux mais il y a beaucoup d’indications qui sont compatibles avec cette hypothèse. Mais cela pourrait être aussi une des multiples nations identifiées par les Etats-Unis comme capable de réaliser ce genre d’opérations : la Chine, la Corée du Nord, l'Iran, etc. 

Mais aujourd’hui, vu l’ampleur du sujet, il y aura sans doute dans les semaines qui viennent des déclarations d’attribution politique qui seront faites. Il faut aussi faire attention aux pays qui maquillent leurs traces d'intrusion informatique pour se faire passer pour un autre pays (false flags), les Américains sont très forts à ce jeu d'ailleurs. Ceci étant dit, tout converge vers la Russie pour le moment.

En 2017, il y a eu une grosse opération qui s’appelait NotPetya qui vient juste d’être attribué par le FBI à des officiers russes. Donc, malgré l’ampleur de cette opération en 2017, il s’est passé 3 ans entre la déflagration numérique mondiale et la publication du FBI de l’acte d’accusation. Donc ça va prendre du temps. Une attribution rapide du piratage à la Russie serait surtout politique.