Des pirates informatiques chinois présumés ont exploité une faille dans un logiciel fabriqué par SolarWinds Corp pour s’introduire dans les ordinateurs du gouvernement américain l’année dernière, ont déclaré à Reuters cinq personnes connaissant bien le sujet, marquant ainsi un nouveau tournant dans une violation tentaculaire de la cybersécurité que les législateurs américains ont qualifiée d’urgence de sécurité nationale.
Selon deux personnes informées de l’affaire, les enquêteurs du FBI ont récemment découvert que le National Finance Center, un organisme fédéral chargé de la gestion des salaires au sein du ministère américain de l’agriculture, faisait partie des organisations concernées, ce qui fait craindre que les données de milliers d’employés du gouvernement aient été compromises.
La faille logicielle exploitée par le groupe chinois présumé est distincte de celle que les États-Unis ont accusé les agents du gouvernement russe d’utiliser pour compromettre jusqu’à 18 000 clients de SolarWinds, y compris des agences fédérales sensibles, en détournant le logiciel de surveillance du réseau Orion de la société.
Les chercheurs en sécurité ont déjà déclaré qu’un deuxième groupe de pirates informatiques abusait du logiciel de SolarWinds en même temps que le piratage russe présumé, mais la connexion présumée avec la Chine et la violation du gouvernement américain qui s’en est suivie n’ont pas été signalées auparavant.
Reuters n’a pas été en mesure d’établir combien d’organisations ont été compromises par l’opération chinoise présumée. Les sources, qui se sont exprimées sous le couvert de l’anonymat pour discuter des enquêtes en cours, ont déclaré que les cybercriminels ont utilisé des infrastructures informatiques et des outils de piratage précédemment déployés par des cyberespions chinois soutenus par l’État.
Un porte-parole de l’USDA a déclaré dans un courriel que « l’USDA a notifié tous les clients (y compris les individus et les organisations) dont les données ont été affectées par le compromis sur le code Orion de SolarWinds ».
Dans une déclaration de suivi après la publication de l’article, un autre porte-parole de l’USDA a déclaré que le NFC (Centre National des Finances) n’avait pas été piraté et qu’il n’y avait « aucune violation des données liées à Solar Winds » à l’agence. Il n’a pas fourni d’autres explications.
Le ministère chinois des affaires étrangères a déclaré que l’attribution des cyberattaques était une « question technique complexe » et que toute allégation devait être étayée par des preuves. « La Chine s’oppose et combat résolument toute forme de cyberattaque et de vol informatique », a-t-il déclaré dans un communiqué.
SolarWinds a déclaré qu’il avait connaissance d’un seul client qui a été compromis par la deuxième série de pirates mais qu’il n’avait « rien découvert de concluant » pour montrer qui était responsable. La société a ajouté que les cybercriminels n’avaient pas eu accès à ses propres systèmes internes et qu’elle avait publié une mise à jour pour corriger le bug en décembre.
Dans le cas du seul client dont elle avait connaissance, SolarWinds a déclaré que les pirates n’avaient abusé de son logiciel qu’une fois à l’intérieur du réseau du client. SolarWinds n’a pas dit comment les pirates étaient entrés, sauf pour dire que c’était « d’une manière qui n’était pas liée à SolarWinds ».
Le FBI a refusé de commenter.
Bien que les deux tentatives d’espionnage se chevauchent et qu’elles aient toutes deux visé le gouvernement américain, il s’agissait d’opérations distinctes et très différentes, selon les quatre personnes qui ont enquêté sur les attaques et les experts extérieurs qui ont examiné le code utilisé par les deux groupes de pirates.
Alors que les pirates russes présumés ont pénétré profondément dans le réseau SolarWinds et ont caché une « porte dérobée » dans les mises à jour du logiciel Orion qui ont ensuite été envoyées aux clients, le groupe chinois présumé a exploité un bug distinct dans le code d’Orion pour aider à se propager sur des réseaux qu’ils avaient déjà compromis, selon les sources.
UNE BRÈCHE EXTRÊMEMENT GRAVE
Les missions parallèles montrent comment les pirates se concentrent sur les faiblesses de logiciels obscurs mais essentiels qui sont largement utilisés par les grandes entreprises et les agences gouvernementales.
« Apparemment, SolarWinds était une cible de grande valeur pour plus d’un groupe », a déclaré Jen Miller-Osborn, directrice adjointe des renseignements sur les menaces à l’unité 42 de Palo Alto Networks.
L’ancien directeur de la sécurité de l’information des États-Unis, Gregory Touhill, a déclaré qu’il n’était pas inhabituel que des groupes distincts de pirates informatiques ciblent le même logiciel. Ce ne serait pas la première fois que nous voyons un protagoniste d’un État-nation surfer derrière quelqu’un d’autre, c’est comme le « Drafting » (technique d’aspiration) dans la NASCAR », a-t-il dit, où une voiture de course obtient un avantage en suivant de près l’avance d’une autre.
Le lien entre la deuxième série d’attaques contre les clients de SolarWinds et les pirates informatiques chinois présumés n’a été découvert que ces dernières semaines, selon les analystes de la sécurité qui enquêtent aux côtés du gouvernement américain.
Reuters n’a pas pu déterminer quelles informations les cybercriminels ont pu voler au Centre national des finances (NFC) ni à quelle profondeur ils ont creusé dans ses systèmes. Mais l’impact potentiel pourrait être « massif », ont déclaré à Reuters d’anciens responsables du gouvernement américain.
Le NFC est responsable de la gestion des salaires de plusieurs agences gouvernementales, dont plusieurs sont impliquées dans la sécurité nationale, comme le FBI, le Département d’Etat, le Département de la sécurité intérieure et le Département du Trésor, ont déclaré les anciens fonctionnaires.
Les dossiers détenus par le NFC comprennent les numéros de sécurité sociale des employés fédéraux, les numéros de téléphone et les adresses électroniques personnelles ainsi que les informations bancaires. Sur son site web, le NFC déclare qu’il « dessert plus de 160 agences diverses, fournissant des services de paie à plus de 600 000 employés fédéraux ».
« Selon les données qui ont été compromises, cela pourrait constituer une violation extrêmement grave de la sécurité », a déclaré Tom Warrick, un ancien haut fonctionnaire du ministère américain de la sécurité intérieure. « Cela pourrait permettre aux adversaires d’en savoir plus sur les fonctionnaires américains, améliorant ainsi leur capacité à collecter des renseignements. »