L’armurier s’est fait dévaliser : l’entreprise FireEye, poids lourd américain de la cybersécurité et l’un des leaders mondiaux dans la chasse aux hackeurs d’Etat, a vu une partie au moins de ses outils offensifs se faire dérober par des pirates informatiques. Un événement d’une ampleur rare dans le monde de la cybersécurité.
La manière dont les pirates ont opéré pour pénétrer ce fleuron de la sécurité informatique n’a pas été rendue publique, pas plus que la date exacte de l’attaque. « Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un Etat », a écrit dans un communiqué le PDG et fondateur de l’entreprise, Kevin Mandia, mardi 8 décembre.
Enquête du FBI en cours
FireEye, proche des services de renseignement américains, propose notamment aux entreprises de lucratifs services de conseil pour muscler leurs réseaux informatiques. La société développe à cette fin des outils d’attaques informatiques afin d’éprouver les défenses de ses clients et de s’assurer que ces derniers sont susceptibles de résister à toutes les attaques, y compris les plus évoluées. Ce sont au moins une partie de ces outils qui ont été subtilisés par les pirates.
FireEye s’est aussi fait un nom, depuis le début des années 2010, en analysant des attaques informatiques de haut niveau et en exposant les techniques et les outils des pirates. Ce faisant, elle a mis au jour de nombreuses opérations d’espionnage, notamment russes.
L’attaque est prise très au sérieux par les autorités. La police fédérale américaine, le FBI, a pris la rare initiative de confirmer qu’une enquête était en cours et a fourni de premiers éléments sur les suspects. « Les premières indications montrent un acteur avec un haut niveau de sophistication, cohérent avec un Etat-nation », a déclaré Matt Gorham, le directeur adjoint de la division du service de police chargée des attaques informatiques.
Pas de failles « zero day »
L’impact de l’attaque est cependant encore délicat à évaluer. Son principal risque : que les outils offensifs de FireEye soient désormais utilisés par des pirates pour mener des attaques.
L’annonce de ce piratage a immédiatement fait resurgir le spectre des Shadow Brokers, ce groupe de pirates inconnus qui a publié, en 2016, certains outils dérobés à la National Security Agency (NSA), l’agence américaine chargée du renseignement numérique. Ils avaient ensuite été incorporés en mai et juin 2017 par des pirates affiliés à la Corée du Nord et à la Russie dans deux attaques informatiques de grande ampleur : WannaCry et NotPetya, causant des dégâts considérables dans le monde entier.
Il est peu probable que le vol des outils de FireEye produise des effets aussi dramatiques. A ce stade, l’entreprise explique ne pas avoir détecté l’utilisation de ses outils volés contre d’autres cibles. Par ailleurs, FireEye a mis en libre accès des éléments techniques permettant aux entreprises de détecter l’utilisation de ces outils et d’en parer les effets. L’entreprise a aussi précisé que, parmi les outils dérobés ne figuraient pas des logiciels exploitant des « zero day », ces failles informatiques inconnues et pas encore comblées.
L’objectif des pirates est flou. Voulaient-ils acquérir de nouvelles armes numériques ? Vont-ils les garder pour eux ou les publier en ligne ? S’agissait-il d’une mesure de rétorsion vis-à-vis de l’entreprise, connue pour régulièrement perturber l’activité des espions dans le cyberespace ? Les outils offensifs étant censés répliquer l’activité de vrais pirates, ces derniers voulaient-ils jauger les capacités réelles de FireEye à les détecter ? Leur objectif principal était-il simplement d’obtenir des informations sur certains des clients les plus sensibles de FireEye ? Ou bien de piller les précieux renseignements accumulés au fil du temps par l’entreprise concernant les groupes de cyberespionnage les plus sophistiqués ?
Il est, à ce stade, trop tôt pour le dire. Kevin Mandia, le patron de FireEye, a cependant affirmé « ne pas avoir de preuve » que des données de ses clients avaient été exfiltrées lors de l’attaque. Ceci alors que FireEye conseille et intervient auprès de dizaines de ministères et d’administrations des principaux pays occidentaux, et collecte, dans le cadre de ses activités de réponse, d’analyse et de préparation aux cyberattaques, de grandes quantités d’informations sensibles.
« Une nation dotée de capacités de haut niveau »
La presse américaine, se faisant l’écho de sources anonymes, pointait mardi la responsabilité du Service des renseignements extérieurs russe, le SVR, dont les pirates informatiques sont plus connus des experts en cybersécurité sous le pseudonyme de Cozy Bear ou APT29. Pendant discret et efficace de Fancy Bear, rattaché lui au renseignement militaire russe (GRU), le groupe de hackeurs Cozy Bear est spécialisé dans l’espionnage de haut niveau, avec un intérêt prononcé pour les gouvernements occidentaux : il avait par exemple pris pour cible la campagne d’Hillary Clinton en 2016, sans pour autant, après cette opération d’espionnage, rendre publiques les informations obtenues.
Pour FireEye, il ne fait guère de doute que l’attaque dont elle a été victime est l’œuvre d’« une nation dotée de capacités offensives de haut niveau ». « L’attaque est différente des dizaines de milliers sur lesquelles nous sommes intervenus pendant des années. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour viser et attaquer FireEye. Ils sont parfaitement entraînés et ont opéré avec discipline et concentration. Ils ont agi clandestinement, utilisant des méthodes échappant aux outils de détection et plusieurs techniques que nous n’avions jamais vues par le passé », a détaillé Kevin Mandia sur le site de l’entreprise.
Les entreprises comme FireEye ont beau être spécialisées en sécurité informatique, elles sont elles aussi des cibles de choix pour les pirates. L’homologue d’origine russe de FireEye, Kaspersky, avait ainsi été pénétrée par des hackeurs, sans doute israéliens, en 2017. Ces entreprises sont doublement intéressantes pour les pirates. Elles abritent d’abord des informations sur leurs clients, parfois extrêmement détaillées et portant notamment sur leurs mécanismes de défense. Ensuite, elles mènent de facto des opérations de contre-espionnage dans le cyberespace en y exposant les activités des services de renseignement les plus sophistiquées. De quoi faire grincer quelques dents.
Bagikan Berita Ini
0 Response to "FireEye, un des leaders dans la chasse aux hackeurs d'Etat, dépouillé par une attaque informatique « de haut niveau » - Le Monde"
Post a Comment