Cyberattaque de 2020 contre les États-Unis
La cyberattaque de 2020 contre les États-Unis vise plusieurs institutions du gouvernement fédéral des États-Unis, plusieurs institutions publiques américaines, plusieurs organisations privées américaines et plusieurs institutions étrangères. La cyberattaque, probablement menée par le groupe Cozy Bear avec le soutien du SVR, est révélée le , mais elle aurait commencé en . Les dégâts seraient si grands que des entreprises envisagent « de rebâtir totalement leurs serveurs »[4] ; de même pour plusieurs institutions gouvernementales.
Description
Cette cyberattaque, qualifiée de majeure et de type Advanced Persistent Threat, est menée par un groupe soutenu par un gouvernement étranger qui a pénétré différents parties du gouvernement fédéral des États-Unis, ce qui a permis une violation de données[1] - [5].
La cyberattaque a été effectué par la compromission du système de mise à jour du logiciel Orion de SolarWinds par un hack nommé « Sunburst », ce qui a permis l'accès aux données des organisations utilisatrices de ce logiciel[6] - [7] - [8].
Histoire
La cyberattaque était menée depuis plusieurs mois — elle aurait commencé en [8] — sur des systèmes plus difficiles à surveiller par leurs utilisateurs : courriels et informations sur les transactions courantes (business records). Lorsque les attaquants ont tenté de pénétrer d'autres systèmes informatiques, ils avaient probablement pris le risque calculé d'être exposés[9]. Les premières brèches ont été révélées le [10] - [11] par la société FireEye qui a découvert la compromission de certains de ses outils[12] - [7].
Le 13 décembre, seuls le département du Trésor des États-Unis et le National Telecommunications and Information Administration (NTIA), partie du département du Commerce des États-Unis, ont déclaré être touchés[13] - [14] - [15] - [16]. À partir du , d'autres départements du gouvernement fédéral américain ont déclaré être la cible de cyberattaques[1] - [17] - [18]. À la fin décembre 2020, les institutions fédérales visées ont commencé à reconstruire leurs serveurs, ce qui devrait mettre un terme à l'attaque[9].
En janvier 2021, l'Administrative Office of the United States Courts (en) suppose que les pirates ont mis la main sur des centaines de documents confidentiels, y compris des documents under seal, en lien avec des poursuites judiciaires menées dans le système judiciaire fédéral américain, ce qui risque de perturber plusieurs poursuites en cours[19].
Cibles
Elle touche notamment le département du Commerce des États-Unis, le département du Trésor des États-Unis, le département de l'Intérieur des États-Unis, le département de l'Énergie des États-Unis, le département de la Défense des États-Unis, le département de la Santé et des Services sociaux des États-Unis et la National Telecommunications and Information Administration (NTIA)[8] - [7]. Au total, l'attaque a touché 18 000 institutions ou entreprises, dont une grande partie des entreprises listées dans le Fortune 500, notamment Microsoft[7] et plusieurs universités américaines[6].
Dans la foulée de cette cyberattaque, la Commission européenne et l'OTAN ont déclaré procéder à des vérifications de leurs systèmes informatiques. D'autres pays seraient visés indirectement par la cyberattaque : Belgique, Canada et Royaume-Uni, puisque l'OTAN y maintient des installations[4].
Auteurs
Les États-Unis, par la voix de son secrétaire d’État Mike Pompeo, accusent publiquement la Russie d'avoir mené cette cyberattaque, malgré les déclarations contradictoires de Donald Trump[20] - [6]. En parallèle, le département d'État des États-Unis annonce la fermeture des deux derniers consulats en Russie, situées à Vladivostok et à Iekaterinbourg, ne gardant que l'ambassade à Moscou comme point d'appui diplomatique en Russie[21] - [22].
Cozy Bear (APT29), groupe soutenu par le Service des renseignements extérieurs de la fédération de Russie (SVR), serait le cyberattaquant[23] - [11] - [24].
En janvier 2021, le FBI, la NSA, la Cybersecurity and Infrastructure Security Agency (CISA) et le Directeur du renseignement national annoncent qu'un groupe russe est certainement l'auteur de cette cyberattaque[25]. Le FBI étudie également la possibilité que le logiciel SolarWinds ait été infecté à la suite de l'usage d'une version piratée de JetBrains, utilisé à large échelle par l'industrie informatique[26]. En avril 2021, les autorités américaines confirment leur accusation et sanctionnent la Russie par une expulsion de 10 diplomates et une série de sanctions économiques ciblant notamment la dette publique russe ou encore des entreprises technologiques russes[27].
Notes et Références
- (en) David E. Sanger, Nicole Perlroth et Eric Schmitt, « Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit », The New York Times,‎ (lire en ligne [archive du ], consulté le )
- (en) « Hackers Tied to Russia Hit Nuclear Agency; Microsoft Is Exposed » [archive du ], Bloomberg L.P., (consulté le )
- (en) David E. Sanger, Nicole Perlroth et Julian E. Barnes, « Billions Spent on U.S. Defenses Failed to Detect Giant Russian Hack », The New York Times,‎ (lire en ligne [archive du ], consulté le )
- Agence France-Presse, « Cyberattaque : l'OTAN et la Commission européenne vérifient leurs systèmes », Ici.Radio-Canada,‎ (lire en ligne)
- (en) « US cyber-attack: Russia 'clearly' behind SolarWinds operation, says Pompeo », BBC News, (consulté le )
- « Cyberattaque géante : ce que l'on sait de ce piratage sans précédent », sur LCI,
- Ingrid Vergara, « SolarWinds : que sait-on de la cyberattaque massive «Sunburst» ? », sur Le Figaro,
- « SolarWinds : ce que l'on sait sur la cyberattaque massive qui touche notamment Microsoft et des agences fédérales américaines », sur France Info,
- (en) « 'Unforced Error' in Suspected Russian Data Breach May Have Led to Its Discovery », sur Slashdot.org,
- (en) Christopher Bing, « U.S. Treasury breached by hackers backed by foreign government – sources », Reuters,‎ (lire en ligne [archive du ], consulté le )
- (en) Ellen Nakashima, « Russian government spies are behind a broad hacking campaign that has breached U.S. agencies and a top cyber firm » [archive du ], sur The Washington Post, (consulté le )
- (en) Kari Paul, « What you need to know about the biggest hack of the US government in years », sur The Guardian,
- (en) Amanda Macias, « White House acknowledges reports of cyberattack on U.S. Treasury by foreign government » [archive du ], CNBC, (consulté le )
- (en) David E. Sanger, « Russian Hackers Broke Into Federal Agencies, U.S. Officials Suspect », The New York Times,‎ (lire en ligne [archive du ], consulté le )
- (en) Adam Rosenberg, « Russian government-backed hackers breached the U.S. Treasury, Commerce departments » [archive du ], sur Mashable (consulté le )
- (en) Peter Wade, « Treasury, Commerce, Other Agencies Hacked by Russian Government Spies, Report Says » [archive du ], sur Rolling Stone, (consulté le )
- (en) Jack Stubbs, Raphael Satter et Joseph Menn, « U.S. Homeland Security, thousands of businesses scramble after suspected Russian hack », Reuters,‎ (lire en ligne [archive du ], consulté le )
- (en) « U.K. Government, NATO Join U.S. in Monitoring Risk From Hack » [archive du ], Bloomberg L.P., (consulté le )
- (en) « Sealed U.S. Court Records Exposed in SolarWinds Breach », Krebs on Security,
- « Washington accuse la Russie d’être derrière une opération d’espionnage informatique », sur Le Monde,
- « Les Etats-Unis vont fermer leurs consulats en Russie », sur Le Monde,
- (en) Christopher Bing et Jonathan Landay, « Trump downplays impact of massive hacking, questions Russia involvement », sur Reuters,
- (en) « Federal government breached by Russian hackers who targeted FireEye » [archive du ], NBC News (consulté le )
- Jean-Loup Delmas, « Etats-Unis : C'est quoi cette histoire de cyberattaque qui a touché le gouvernement ? », sur 20minutes.fr, (consulté le )
- « Les Etats-Unis estiment la Russie « probablement » à l’origine de la cyberattaque dont ils ont été victimes », sur Le Monde,
- (en) Joseph Menn et Jack Stubbs, « FBI probe of major hack includes project-management software from JetBrains: sources », Reuters,
- « Affaire SolarWinds : Washington annonce des sanctions financières contre la Russie et expulse dix diplomates », sur Le Monde,
Liens externes
- Florian Delorme, « Hackers, sous-traitants de la cyber-guerre » [audio], sur France Culture.fr, émission Cultures Monde, .
- Martin Untersinger, « L’affaire SolarWinds, une des opérations de cyberespionnage « les plus sophistiquées de la décennie » », Le Monde,‎ (lire en ligne)