Cyberattaque de 2020 contre les États-Unis

Quelques institutions américaines attaquées
Dans le sens de la lecture : (1) Défense[1], (2) Énergie[2], (3) Agriculture[3], (4) d'État[1], (5) Trésor[3], (6) NIH[3], (7) Sécurité intérieure[3], (8) Commerce[3]

La cyberattaque de 2020 contre les États-Unis vise plusieurs institutions du gouvernement fédéral des États-Unis, plusieurs institutions publiques américaines, plusieurs organisations privées américaines et plusieurs institutions étrangères. La cyberattaque, probablement menée par le groupe Cozy Bear avec le soutien du SVR, est révélée le 13 décembre 2020, mais elle aurait commencé en mars 2020. Les dégâts seraient si grands que des entreprises envisagent « de rebâtir totalement leurs serveurs »^[4] ; de même pour plusieurs institutions gouvernementales.

Description

Cette cyberattaque, qualifiée de majeure et de type Advanced Persistent Threat, est menée par un groupe soutenu par un gouvernement étranger qui a pénétré différents parties du gouvernement fédéral des États-Unis, ce qui a permis une violation de données^[1],[5].

La cyberattaque a été effectué par la compromission du système de mise à jour du logiciel Orion de SolarWinds par un hack nommé « Sunburst », ce qui a permis l'accès aux données des organisations utilisatrices de ce logiciel^[6],[7],[8].

Histoire

La cyberattaque était menée depuis plusieurs mois — elle aurait commencé en mars 2020^[8] — sur des systèmes plus difficiles à surveiller par leurs utilisateurs : courriels et informations sur les transactions courantes (business records). Lorsque les attaquants ont tenté de pénétrer d'autres systèmes informatiques, ils avaient probablement pris le risque calculé d'être exposés^[9]. Les premières brèches ont été révélées le 13 décembre 2020^[10],[11] par la société FireEye qui a découvert la compromission de certains de ses outils^[12],[7].

Le 13 décembre, seuls le département du Trésor des États-Unis et le National Telecommunications and Information Administration (NTIA), partie du département du Commerce des États-Unis, ont déclaré être touchés^{[13],[14],[15],[16]}. À partir du 14 décembre 2020, d'autres départements du gouvernement fédéral américain ont déclaré être la cible de cyberattaques^{[1],[17],[18]}. À la fin décembre 2020, les institutions fédérales visées ont commencé à reconstruire leurs serveurs, ce qui devrait mettre un terme à l'attaque^[9].

En janvier 2021, l'Administrative Office of the United States Courts (en) suppose que les pirates ont mis la main sur des centaines de documents confidentiels, y compris des documents under seal, en lien avec des poursuites judiciaires menées dans le système judiciaire fédéral américain, ce qui risque de perturber plusieurs poursuites en cours^[19].

Cibles

Elle touche notamment le département du Commerce des États-Unis, le département du Trésor des États-Unis, le département de l'Intérieur des États-Unis, le département de l'Énergie des États-Unis, le département de la Défense des États-Unis, le département de la Santé et des Services sociaux des États-Unis et la National Telecommunications and Information Administration (NTIA)^[8],[7]. Au total, l'attaque a touché 18 000 institutions ou entreprises, dont une grande partie des entreprises listées dans le Fortune 500, notamment Microsoft^[7] et plusieurs universités américaines^[6].

Dans la foulée de cette cyberattaque, la Commission européenne et l'OTAN ont déclaré procéder à des vérifications de leurs systèmes informatiques. D'autres pays seraient visés indirectement par la cyberattaque : Belgique, Canada et Royaume-Uni, puisque l'OTAN y maintient des installations^[4].

Auteurs

Les États-Unis, par la voix de son secrétaire d’État Mike Pompeo, accusent publiquement la Russie d'avoir mené cette cyberattaque, malgré les déclarations contradictoires de Donald Trump^[20],[6]. En parallèle, le département d'État des États-Unis annonce la fermeture des deux derniers consulats en Russie, situées à Vladivostok et à Iekaterinbourg, ne gardant que l'ambassade à Moscou comme point d'appui diplomatique en Russie^[21],[22].

Cozy Bear (APT29), groupe soutenu par le Service des renseignements extérieurs de la fédération de Russie (SVR), serait le cyberattaquant^{[23],[11],[24]}.

En janvier 2021, le FBI, la NSA, la Cybersecurity and Infrastructure Security Agency (CISA) et le Directeur du renseignement national annoncent qu'un groupe russe est certainement l'auteur de cette cyberattaque^[25]. Le FBI étudie également la possibilité que le logiciel SolarWinds ait été infecté à la suite de l'usage d'une version piratée de JetBrains, utilisé à large échelle par l'industrie informatique^[26]. En avril 2021, les autorités américaines confirment leur accusation et sanctionnent la Russie par une expulsion de 10 diplomates et une série de sanctions économiques ciblant notamment la dette publique russe ou encore des entreprises technologiques russes^[27].

Notes et Références

1. (en) David E. Sanger, Nicole Perlroth et Eric Schmitt, « Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit », The New York Times,‎ 15 décembre 2020 (lire en ligne [archive du 18 décembre 2020], consulté le 15 décembre 2020)
2. (en) « Hackers Tied to Russia Hit Nuclear Agency; Microsoft Is Exposed » [archive du 18 décembre 2020], Bloomberg L.P., 17 décembre 2020 (consulté le 17 décembre 2020)
3. (en) David E. Sanger, Nicole Perlroth et Julian E. Barnes, « Billions Spent on U.S. Defenses Failed to Detect Giant Russian Hack », The New York Times,‎ 16 décembre 2020 (lire en ligne [archive du 16 décembre 2020], consulté le 16 décembre 2020)
4. Agence France-Presse, « Cyberattaque : l'OTAN et la Commission européenne vérifient leurs systèmes », Ici.Radio-Canada,‎ 19 décembre 2020 (lire en ligne)
5. (en) « US cyber-attack: Russia 'clearly' behind SolarWinds operation, says Pompeo », BBC News, 19 décembre 2020 (consulté le 19 décembre 2020)
6. « Cyberattaque géante : ce que l'on sait de ce piratage sans précédent », sur LCI, 19 décembre 2020
7. Ingrid Vergara, « SolarWinds : que sait-on de la cyberattaque massive «Sunburst» ? », sur Le Figaro, 17 décembre 2020
8. « SolarWinds : ce que l'on sait sur la cyberattaque massive qui touche notamment Microsoft et des agences fédérales américaines », sur France Info, 18 décembre 2020
9. (en) « 'Unforced Error' in Suspected Russian Data Breach May Have Led to Its Discovery », sur Slashdot.org, 26 décembre 2020
10. (en) Christopher Bing, « U.S. Treasury breached by hackers backed by foreign government – sources », Reuters,‎ 13 décembre 2020 (lire en ligne [archive du 14 décembre 2020], consulté le 14 décembre 2020)
11. (en) Ellen Nakashima, « Russian government spies are behind a broad hacking campaign that has breached U.S. agencies and a top cyber firm » [archive du 13 décembre 2020], sur The Washington Post, 13 décembre 2020 (consulté le 14 décembre 2020)
12. (en) Kari Paul, « What you need to know about the biggest hack of the US government in years », sur The Guardian, 15 décembre 2020
13. (en) Amanda Macias, « White House acknowledges reports of cyberattack on U.S. Treasury by foreign government » [archive du 14 décembre 2020], CNBC, 13 décembre 2020 (consulté le 14 décembre 2020)
14. (en) David E. Sanger, « Russian Hackers Broke Into Federal Agencies, U.S. Officials Suspect », The New York Times,‎ 13 décembre 2020 (lire en ligne [archive du 14 décembre 2020], consulté le 14 décembre 2020)
15. (en) Adam Rosenberg, « Russian government-backed hackers breached the U.S. Treasury, Commerce departments » [archive du 14 décembre 2020], sur Mashable (consulté le 14 décembre 2020)
16. (en) Peter Wade, « Treasury, Commerce, Other Agencies Hacked by Russian Government Spies, Report Says » [archive du 14 décembre 2020], sur Rolling Stone, 13 décembre 2020 (consulté le 14 décembre 2020)
17. (en) Jack Stubbs, Raphael Satter et Joseph Menn, « U.S. Homeland Security, thousands of businesses scramble after suspected Russian hack », Reuters,‎ 15 décembre 2020 (lire en ligne [archive du 15 décembre 2020], consulté le 15 décembre 2020)
18. (en) « U.K. Government, NATO Join U.S. in Monitoring Risk From Hack » [archive du 15 décembre 2020], Bloomberg L.P., 14 décembre 2020 (consulté le 16 décembre 2020)
19. (en) « Sealed U.S. Court Records Exposed in SolarWinds Breach », Krebs on Security, 7 janvier 2021
20. « Washington accuse la Russie d’être derrière une opération d’espionnage informatique », sur Le Monde, 19 décembre 2020
21. « Les Etats-Unis vont fermer leurs consulats en Russie », sur Le Monde, 19 décembre 2020
22. (en) Christopher Bing et Jonathan Landay, « Trump downplays impact of massive hacking, questions Russia involvement », sur Reuters, 19 décembre 2020
23. (en) « Federal government breached by Russian hackers who targeted FireEye » [archive du 14 décembre 2020], NBC News (consulté le 14 décembre 2020)
24. Jean-Loup Delmas, « Etats-Unis : C'est quoi cette histoire de cyberattaque qui a touché le gouvernement ? », sur 20minutes.fr, 14 décembre 2020 (consulté le 22 décembre 2020)
25. « Les Etats-Unis estiment la Russie « probablement » à l’origine de la cyberattaque dont ils ont été victimes », sur Le Monde, 7 janvier 2021
26. (en) Joseph Menn et Jack Stubbs, « FBI probe of major hack includes project-management software from JetBrains: sources », Reuters, 6 janvier 2021
27. « Affaire SolarWinds : Washington annonce des sanctions financières contre la Russie et expulse dix diplomates », sur Le Monde, 15 avril 2021

Liens externes

• Florian Delorme, « Hackers, sous-traitants de la cyber-guerre » [audio], sur France Culture.fr, émission Cultures Monde, 18 janvier 2021.
• Martin Untersinger, « L’affaire SolarWinds, une des opérations de cyberespionnage « les plus sophistiquées de la décennie » », Le Monde,‎ 27 janvier 2021 (lire en ligne)

•   Portail du renseignement
•   Portail de la sécurité informatique
•   Portail des États-Unis