Des pirates informatiques russes ont accédé au courrier électronique du responsable de la sécurité intérieure des États-Unis et du personnel de cybersécurité
Des pirates informatiques russes présumés ont eu accès à des comptes de messagerie appartenant au chef du département américain de la sécurité intérieure de l’administration Trump et à des membres du personnel de cybersécurité du département dont les tâches consistaient à chasser les menaces de pays étrangers, a appris l’Associated Press.
La valeur du renseignement du piratage du secrétaire par intérim de l’époque Chad Wolf et de son personnel n’est pas publiquement connue, mais le symbolisme est frappant. Leurs comptes ont été consultés dans le cadre de ce que l’on appelle l’intrusion SolarWinds, et cela remet en question la manière dont le gouvernement américain peut protéger les individus, les entreprises et les institutions à travers le pays s’il ne peut pas se protéger.
La réponse courte pour de nombreux experts en sécurité et fonctionnaires fédéraux est qu’il ne peut pas – du moins pas sans quelques changements importants.
« Le piratage de SolarWinds a été une victoire pour nos adversaires étrangers et un échec pour le DHS », a déclaré le sénateur Rob Portman de l’Ohio, haut républicain du comité sénatorial sur la sécurité intérieure et les affaires gouvernementales. « Nous parlons des joyaux de la couronne du DHS. »
L’administration Biden a tenté de garder un œil sur la portée de l’attaque de SolarWinds alors qu’elle évalue les mesures de rétorsion contre la Russie. Mais une enquête de l’AP a trouvé de nouveaux détails sur la violation au DHS et dans d’autres agences, y compris le département de l’énergie, où les pirates ont accédé aux horaires des hauts fonctionnaires.
Pirater les vulnérabilités exposées, les risques d’attaque supplémentaire
L’AP a interrogé plus d’une douzaine de fonctionnaires actuels et anciens du gouvernement américain, qui ont parlé sous couvert d’anonymat en raison de la nature confidentielle de l’enquête en cours sur le piratage.
Les vulnérabilités de Homeland Security, en particulier, intensifient les inquiétudes suite à l’attaque SolarWinds et à un piratage encore plus répandu affectant le programme de messagerie de Microsoft Exchange – d’autant plus que dans les deux cas, les pirates ont été détectés non pas par le gouvernement mais par une entreprise privée.
En décembre, les responsables ont découvert ce qu’ils décrivent comme un effort de cyberespionnage tentaculaire de plusieurs mois, réalisé en grande partie grâce au piratage d’un logiciel largement utilisé de SolarWinds, basé au Texas. Au moins neuf agences fédérales ont été piratées, ainsi que des dizaines d’entreprises du secteur privé.
‘Dans le noir’
Les autorités américaines ont déclaré que la violation semblait être l’œuvre de pirates informatiques russes. Le général Paul Nakasone, qui dirige la cyber-force du Pentagone, a déclaré la semaine dernière que l’administration Biden envisageait une « gamme d’options » en réponse. La Russie a nié tout rôle dans le piratage.
Depuis lors, une série de hacks qui ont fait la une des journaux a mis en évidence les vulnérabilités des secteurs public et privé aux États-Unis. Un pirate informatique a tenté en vain d’empoisonner l’approvisionnement en eau d’une petite ville de Floride en février, et ce mois-ci, une nouvelle faille a été annoncée impliquant des milliers de serveurs de messagerie Microsoft Exchange qui, selon la société, ont été menées par des pirates chinois. La Chine a nié toute implication dans la brèche Microsoft.
Le sénateur Mark Warner, démocrate de Virginie et chef du comité du renseignement du Sénat, a déclaré que la réponse initiale du gouvernement à la découverte du piratage de SolarWinds était décousue.
« Ce qui m’a frappé, c’est à quel point nous sommes restés dans le noir aussi longtemps que nous étions dans le noir », a déclaré Warner lors d’une récente conférence sur la cybersécurité.
Wolf et d’autres hauts responsables de la sécurité intérieure ont utilisé de nouveaux téléphones qui avaient été nettoyés, ainsi que le système de messagerie cryptée populaire Signal pour communiquer dans les jours qui ont suivi le piratage, ont déclaré des responsables actuels et anciens.
Un ancien responsable de l’administration, qui a confirmé que la Federal Aviation Administration faisait partie des agences touchées par la violation, a déclaré que l’agence avait été entravée dans sa réponse par une technologie obsolète et avait eu du mal pendant des semaines à identifier le nombre de serveurs exécutant le logiciel SolarWinds.
La FAA a d’abord déclaré à l’AP à la mi-février qu’elle n’avait pas été affectée par le piratage de SolarWinds, pour émettre une deuxième déclaration quelques jours plus tard selon laquelle elle poursuivait son enquête.
Au moins un autre membre du cabinet en plus de Wolf a été touché. Les pirates ont pu obtenir les horaires des responsables du département de l’énergie, dont le secrétaire de l’époque, Dan Brouillette, a déclaré un ancien haut responsable de l’administration. Les horaires n’étaient pas confidentiels et sont soumis aux lois sur les registres ouverts.
Le porte-parole du département de l’énergie, Kevin Liao, a déclaré qu’il « n’a trouvé aucune preuve que le réseau qui maintient les horaires des hauts fonctionnaires a été compromis ».
« Nous devons élever notre jeu »: expert en cybersécurité
Les nouvelles divulgations fournissent une image plus complète du type de données prises lors du piratage de SolarWinds. Plusieurs auditions du Congrès ont eu lieu sur le sujet, mais elles ont manqué de détails.
L’administration Biden s’est engagée à publier prochainement un décret pour combler «des lacunes importantes en matière de modernisation et de technologie de cybersécurité dans l’ensemble du gouvernement fédéral».
Mais la liste des obstacles auxquels le gouvernement fédéral est confronté est longue: des pirates informatiques étrangers hautement compétents soutenus par des gouvernements qui n’ont pas peur des représailles américaines, une technologie obsolète, une pénurie de professionnels de la cybersécurité formés et une structure de leadership et de surveillance complexe.
Le plan de relance récemment approuvé comprend 650 millions de dollars américains d’argent frais pour la Cybersecurity and Infrastructure Security Agency afin de renforcer les cyberdéfenses du pays. Les responsables fédéraux ont déclaré que ce montant n’était qu’un acompte sur des dépenses beaucoup plus importantes prévues pour améliorer la détection des menaces.
« Nous devons améliorer notre jeu », a déclaré Brandon Wales, qui dirige l’agence de cybersécurité, lors d’une récente audience du comité de la Chambre.
L’agence exploite un système de détection des menaces appelé Einstein. Son incapacité à détecter la faille SolarWinds avant qu’elle ne soit découverte par une société de sécurité privée a alarmé les responsables. Eric Goldstein, directeur adjoint exécutif de l’agence pour la cybersécurité, a déclaré au Congrès que la technologie d’Einstein a été conçue il y a dix ans et qu’elle «est devenue quelque peu obsolète».
Un problème qui est déconcerté par les décideurs politiques est que les pirates des États étrangers utilisent de plus en plus les réseaux privés virtuels américains, ou VPN, pour échapper à la détection par les agences de renseignement américaines, qui sont légalement contraintes de surveiller les infrastructures nationales. Les services d’hébergement d’Amazon Web Services et de GoDaddy ont été utilisés par les pirates de SolarWinds pour échapper à la détection, ont récemment déclaré des responsables.