Le programme nucléaire militaire américain visé par la cyberattaque « Sunburst »

En mars, soit durant le premier épisode de la pandémie de covid-19, la société américaine Solarwinds a procédé à la mise à jour de sa plateforme « Orion », qu’utilisent de nombreuses administrations et grandes entreprises pour superviser leurs réseaux informatiques. Sauf que des pirates en ont profité pour y indroduire « Sunburst », un logiciel malveillant de type « cheval de troie ». Ce dernier était passé inaperçu jusqu’à l’annonce de sa découverte, le 8 décembre, par FireEye, un acteur de la cybersécurité qui en a été la victime.

« Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un État », a en effet indiqué Kevin Mandia, le président-fondateur de FireEye.

Concrètement, « Sunburst » a créé une porte dérobée sur les systèmes infectés, ce qui ensuite permis aux pirates d’exfiltrer toutes les données susceptibles de les intéresser [voire d’en détruire] et d’installer d’autres logiciels malveillants. Depuis le temps que dure cette cyberattaque, les dégâts sont potentiellement considérables. Même certains services, comme Microsoft Azure, utilisé dans les « cloud de défense », pourraient être compromis.

Pour le moment, la réponse consiste à corriger la faille introduite lors de la mise à jour d’Orion, de fermer les portes dérobées créées et de neutraliser le(s) serveur(s) de commandes utilisé par les assaillants. Seulement, au vu de la gravité de l’attaque, la parade est compliquée à mettre en oeuvre, comme l’a admis, ce 18 décembre, la Cybersecurity and Infrastructure Security Agency [CISA] américaine.

En effet, l’agence a dit avoir « déterminé que cette menace représentait un risque grave pour le gouvernement fédéral et les administrations locales […] ainsi que pour les infrastructures essentielles et le secteur privé. » Effectivement, plusieurs agences fédérales et départements américains, dont ceux du Trésor et de la Sécurité intérieure sont affectés. De même que le département d’État [diplomatie].

Et, se gardant de donner la moindre indication sur l’identité des assaillants [une précaution dont certains journaux américains, comme le ashington Post, se sont affranchis en accusant le groupe APT29, lié au renseignement russe], la CISA a fait état d’un « adversaire patient, concentré et aux ressources financières importantes, qui a mené des activités pendant une longue période sur les réseaux victimes. » Et de prévenir « qu’extraire les pirates des environnements compromis sera extrêmement complexe et difficile pour les organisations » concernées.

Le futur locataire de la Maison Blanche, Joe Biden, a fait part de son inquiétude. « Il y a encore beaucoup de choses que nous ne savons pas, mais ce que nous savons est très préoccupant. Mon administration fera de la cybersécurité une priorité à tous les niveaux du gouvernement et nous ferons de la réponse à cette cyberattaque une priorité dès notre prise de fonctions », a-t-il fait savoir, via un communiqué, assurant que les États-Unis infligeront des « coûts substantiels aux responsables de ces attaques malveillantes. »

Et M. Biden a des raisons de s’inquiéter. Car, au fil des investigations, la liste des agences et administrations impactées par cette attaque ne cesse de s’allonger. Ainsi, selon Politico, le département de l’Énergie [DoE] et la Nuclear Security Administration, qui gère l’arsenal nucléaire américain, ont la preuve que leurs réseaux informatiques ont été compromis.

Ainsi, des activités « suspectes » ont été repérées dans ceux de la Federal Energy Regulatory Commission [FERC / Commission fédérale de régulation de l’énergie] et de plusieurs laboratoires dédiés à la recherche sur les armes nucléaires [Sandia National Laboraties et le Los Alamos Scientific Laboratory, ndlr].

Les Sandia Labs développent et testent les composants non-nucléaires des armes américaines. Ils sont également spécialisés dans la mise au point de nouvelles technologies à vocation militaire [robotique, détecteurs, etc]. Quant au Los Alamos Scientific Laboratory, il est le laboratoire historique de la force de frappe américaine puisque, sous la direction de Robert Oppenheimer, il conduisit le projet Manhattan.

La porte-parole du DoE a expliqué que lorsque un logiciel vulnérable est identifié, des mesures immédiates sont prises pour « atténuer le risque », c’est à dire qu’ils sont « déconnectés du réseau. »

En tout cas, si elle précisé que le logiciel malveillant « n’a pas eu d’impact sur les fonctions essentielles de sécurité nationale » du DoE, les enquêteurs ne sont toujours pas en mesure de déterminer les données auxquelles les pirates ont pu accéder. « L’enquête est en cours et on ne connaîtra pas l’étendue des dégâts pendant des semaines », rapporte Politico.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]