Fil d'Ariane
Le 13 décembre, les Etats-Unis découvraient être la cible d’une attaque informatique en cascade, touchant aussi bien des multinationales que des ministères fédéraux. Tout laisse à penser que les révélations n’en sont qu’à leur début.
« L’une des cyber-attaques les plus graves de la décennie », « une offensive dévastatrice », « un cauchemar »… les expressions ne manquent pas pour qualifier la cyber-attaque que subissent les Etats-Unis depuis quelques jours, et dont l’ampleur et les dégâts s’étendent de plus en plus. TV5 Monde fait le point avec Julien Nocetti, chercheur associé à l’Institut français des relations internationales (IFRI), spécialiste de la Russie et des questions liées à la gouvernance du Web.
« Ces derniers jours, le FBI, l’Agence de Cyber sécurité et de Sécurité des Infrastructures (CISA) et le Bureau du Directeur de l’Intelligence Nationale ont été informé de l’ampleur et du déroulé d’une campagne de cyber-attaque ». Dans un communiqué commun du 16 décembre, les principales autorités de sécurité informatique des Etats-Unis annoncent sans détour être la cible d’une attaque virulente, touchant aussi bien des acteurs privés que publics.
Le point commun entre les victimes : être client d’une seule et même entreprise, SolarWinds. Cette entreprise de gestion informatique, implantée au Texas, vend ses services auprès de grandes multinationales comme Microsoft, McDonald’s, FedEx ou Procter&Gamble, mais compte aussi parmi ses clients des institutions publiques de la plus haute sphère, tels que des ministères fédéraux américains. Tous ces acteurs se sont retrouvés à utiliser la plateforme Orion, commune à tous les clients de Solarwinds : « une plate-forme puissante et évolutive de gestion et de surveillance de l’infrastructure qui simplifie la gestion informatique » selon le site français de l’entreprise.
Par cet usage globalisé d’une même plateforme, tous les clients ont formé ce qu’on appelle une « chaîne d’approvisionnement » que les hackeurs ont pu remonter en infectant la dernière version de la mise à jour d’Orion. Ainsi, 18 000 clients l’ont téléchargée et ont été touchés par la « back door » contenue dans la mise à jour : une « porte dérobée » qui peut être utilisée pour espionner un utilisateur, gérer ses fichiers voire surveiller l'ensemble du système du PC.
« D'après les éléments que l'on a, cette intrusion a débuté probablement lors du premier confinement mondial, en mars », explique Julien Nocetti. « C’est une véritable opération de renseignement pour espionner des cibles haut placées » parmi lesquelles on compte les ministères de la Sécurité Intérieure, du Commerce, du Trésor, de la Santé ou encore de l’Energie et plus directement l’Autorité de Sureté Nucléaire.
Les autorités fédérales ont annoncé que « le pire était à prévoir » peut-on lire sur le quotidien USA Today. Le département cyber de la Sécurité intérieure a fait savoir que « l’étendue de l’attaque est encore inconnue » tout comme « le nombre de réseaux gravement touchés appartenant à des administrations locales et au secteur privé ». « Ça peut aller de subtiliser des brevets à usage militaire, à ceux de nouvelles technologies » explique le chercheur.
Voir aussi : SolarWinds : plus une opération d'espionnage qu'une cyberattaque
Les hackeurs auraient cependant attaqué plus significativement la Commission Fédérale de Régulation de l’Énergie (FERC) selon Politico : « Les enquêteurs fédéraux passent les réseaux informatiques au peigne fin depuis plusieurs jours afin de déterminer ce que à quoi les hackeurs ont eu accès ou ce qu’ils ont pu voler ». Pour le média spécialisé dans la politique américaine, « cette attaque au Département de l’Energie est le signe clair que les hackers ont eu accès à des réseaux appartenant à la mission centrale de sécurité de l’agence fédérale ». Shaylyn Hynes, porte-parole du Département de l’Énergie, tente tout de même de rassurer : « À ce stade, l’enquête a montré que la cyber attaque a touché seulement des réseaux commerciaux, mais n’a en aucun cas pénétré dans des dossiers de sécurité nationale. »
Dans le privé, l’entreprise de sécurité Fireeye a été la première à alerter de la cyber attaque après en avoir été victime. Le géant Microsoft a aussi été touché. Son PDG Brad Smith a appelé à des accords internationaux « afin de limiter le développement des outils de piratages qui affaiblissent la cyber-sécurité mondiale ». « Il ne s’agit pas d’une attaque envers des cibles spécifiques », estime le dirigeant, « mais envers la confiance et la fiabilité d’une infrastructure mondiale de façon à améliorer l’intelligence informatique d’un Etat ».
Tous les yeux se tournent vers la Russie. Mike Pompeo a été jusqu’à présent le seul représentant de l’administration Trump (toujours en place), à prendre la parole en accusant directement le Kremlin. Une attaque dont Moscou s’est rapidement défendue sur Facebook : « Les activités malveillantes dans le cyber-espace contredisent les principes de la politique étrangère de Russie, les intérêts nationaux et notre vision des relations entre Etats. Le Russie ne conduit pas d'opérations offensives dans le cyber-espace. »
Une réponse qui fait sourire Julien Nocetti, mais qui n’est pas surprenante au vu des tensions politiques entre la Russie et l’Occident, notamment depuis 2014 où la Russie s’était livrée à une grande activité de sabotage contre l’Ukraine : « Depuis cet épisode, la stratégie russe repose sur ce qu’on peut qualifier de déni plausible, c’est à dire de nier toutes les accusations pouvant aller de l'ingérence de l'espace politique au Royaume-Uni à certains événements en Syrie », développe le chercheur. « Même si ce déni n’est pas crédible du tout, les autorités russes s'en moquent, car si ce sont bien eux derrière l’attaque, ils n'auront pas de coût majeur à supporter. D’une part parce que ce type d'attaque est beaucoup moins coûteux à mettre en place qu'une opération militaire classique. D’autre part, diplomatiquement les coûts ne seront pas très lourds non plus, car il n’y aura jamais de certitude à 100% que ce sont eux.
L'arme cyber est très intéressante en ce sens car elle jette un flou constant sur les responsabilités. Au mieux, il y aura un faisceau d'indices concordant qui nous renverra à la Russie.
Julien Nocetti, chercheur à l'IFRI (Institut Français des Relations Internationales)
Pendant la campagne présidentielle de 2016, le piratage des serveurs du Comité National Démocrate (DNC) par des groupes de hackeurs fortement soupçonnés d’être rattaché aux renseignements russes avaient déjà marqué les esprits. Les hackeurs avaient alors profité du contexte de transition politique pour frapper, tout comme cette année. « J’ai tendance à penser que ce n’est pas un hasard que ce soit produit entre fin novembre et début janvier » reconnait le chercheur de l’IFRI, « ce moment de la politique américaine est systématiquement propice à ce genre de problème, au sens large, ce n’est pas très surprenant ».
6 jours après la découverte de l’attaque, le président Donald Trump a enfin pris la parole sur Twitter, qualifiant sa prétendue ampleur de « Fake News » et soupçonnant… la Chine comme responsable.
The Cyber Hack is far greater in the Fake News Media than in actuality. I have been fully briefed and everything is well under control. Russia, Russia, Russia is the priority chant when anything happens because Lamestream is, for mostly financial reasons, petrified of....
— Donald J. Trump (@realDonaldTrump) December 19, 2020
Alors que Mike Pompeo, secrétaire d’Etat, préfère défendre le travail dans l’ombre de l’administration tout en admettant le rôle clair de la Russie, le sénateur républicain Mitt Romney reconnait que l’attaque « a permis de montrer que notre défense est particulièrement inefficace et que notre préparation à toute guerre cyber est extraordinairement faible ».
La cybersécurité était loin d’être une priorité du gouvernement Trump. Dernièrement, le limogeage de l’ancien directeur de l'Agence de cybersécurité et de sécurité des infrastructures (Cisa) Christopher Krebs avait fait grand bruit. Ce dernier avait été accusé de fraudes électorales par l’équipe de campagne du président sortant, et a décidé de porter plainte pour diffamation.
« Que l’un des responsables les plus en pointe sur ces enjeux [de cybersécurité] ait été remercié sous un prétexte complètement fallacieux a envoyé un très mauvais signal à l’extérieur » analyse Julien Nocetti. « C’est très symbolique parce que ces acteurs ont été sous-financés depuis quatre ans, et que Trump n'y prêtait aucune attention ».
En réponse, Joe Biden a promis dans un communiqué du 17 décembre de « développer les investissements dans les infrastructures et le personnel dont nous avons besoin pour nous défendre contre ces attaques malveillantes », et de faire de la cybersécurité « l’une des priorités à tous les niveaux du gouvernement» durant son mandat.