Tout en préparant des représailles contre la Russie, les États-Unis font maintenant face au piratage informatique de la Chine

Comme des hamsters en cage
10 mars 2021
L’enquête de John Durham sur les poursuites du FBI contre Trump touche à sa fin
11 mars 2021

Article original datant du 07/03/21

La prolifération des cyberattaques par des rivaux constitue un défi pour l’administration Biden, qui cherche à décourager les intrusions dans les systèmes du gouvernement et des entreprises.

Jake Sullivan, conseiller à la sécurité nationale du président Biden, le mois dernier. Il a déclaré jeudi que la Maison Blanche « suivait de près » les informations selon lesquelles les vulnérabilités exploitées dans le piratage de Microsoft étaient utilisées dans « des compromissions potentielles de groupes de réflexion américains et d’entités de la base industrielle de défense ».

Alors qu’elle envisage de prendre des mesures de rétorsion à l’encontre de la Russie pour le piratage à grande échelle d’agences gouvernementales et d’entreprises américaines découvert à la fin de l’année dernière, l’administration Biden est confrontée à une nouvelle cyberattaque qui soulève la question de savoir si elle devra riposter à un autre adversaire majeur : la Chine.

L’ensemble de ces réponses commencera à définir la façon dont le président Biden façonnera la réponse de sa nouvelle administration à l’escalade du cyberconflit et s’il pourra découvrir un moyen d’imposer une sanction plus sévère aux rivaux qui exploitent régulièrement les vulnérabilités des défenses des gouvernements et des entreprises pour espionner, voler des informations et potentiellement endommager les composants critiques de l’infrastructure de la nation.

Selon les responsables, la première mesure importante devrait être prise au cours des trois prochaines semaines, avec une série d’actions clandestines sur les réseaux russes, qui devraient être visibles pour le président Vladimir V. Poutine, ses services de renseignement et son armée, mais pas pour le reste du monde.

Les responsables ont indiqué que ces actions seraient combinées à des sanctions économiques – bien qu’il reste peu de sanctions réellement efficaces à imposer – et à un décret de M. Biden visant à accélérer le renforcement des réseaux du gouvernement fédéral après le piratage russe, qui est passé inaperçu pendant des mois jusqu’à ce qu’il soit découvert par une société privée de cybersécurité.

La question est devenue encore plus urgente à la Maison-Blanche, au Pentagone et dans les agences de renseignement ces derniers jours, après la révélation publique d’une violation majeure des systèmes de messagerie électronique de Microsoft utilisés par des petites entreprises, des collectivités locales et, selon certains témoignages, par d’importants entrepreneurs militaires.

Microsoft a identifié les intrus comme étant un groupe chinois soutenu par l’État et a rapidement publié un correctif pour permettre aux utilisateurs de son logiciel de combler la vulnérabilité.

Mais cela a déclenché une course entre les responsables de la correction des systèmes et une série de nouveaux attaquants – dont plusieurs autres groupes de pirates chinois, selon Microsoft – qui ont commencé à utiliser le même exploit (fragment de code qui exploite la vulnérabilité d’un système) cette semaine.

Le gouvernement des États-Unis n’a pas déterminé officiellement qui était responsable du piratage, mais à la Maison Blanche et sur le campus de Microsoft à Redmond, dans l’État de Washington, on craint que l’espionnage et le vol ne soient le prélude à une activité beaucoup plus destructrice, comme la modification ou l’effacement des données.

La Maison Blanche a souligné la gravité de la situation dans une déclaration du Conseil national de sécurité, dimanche.

« La Maison Blanche entreprend une réponse de l’ensemble du gouvernement pour évaluer et traiter l’impact » de l’intrusion de Microsoft, indique le communiqué. La réponse est dirigée par Anne Neuberger, un ancien haut fonctionnaire de la National Security Agency, qui est le premier occupant d’un poste nouvellement créé : conseiller adjoint à la sécurité nationale pour les technologies cybernétiques et émergentes.

Le communiqué précise que les responsables de la sécurité nationale ont travaillé tout au long du week-end pour faire face au piratage et que « c’est une menace active qui continue de se développer, et nous demandons instamment aux opérateurs de réseau de la prendre très au sérieux. »

Jake Sullivan, conseiller de M. Biden pour la sécurité nationale, a déclaré jeudi sur Twitter que la Maison-Blanche « suivait de près » les informations selon lesquelles les vulnérabilités de Microsoft Exchange étaient utilisées dans « des compromissions potentielles de groupes de réflexion et d’entités de la base industrielle de la défense des États-Unis ».

@JakeSullivan46

Nous suivons de près le correctif d’urgence de Microsoft pour des vulnérabilités jusqu’alors inconnues dans le logiciel Exchange Server et les rapports sur les compromissions potentielles de groupes de réflexion et d’entités de la base industrielle de la défense des États-Unis. Nous encourageons les propriétaires de réseaux à appliquer le correctif dès que possible :
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Cette découverte est intervenue alors que l’équipe de M. Biden chargée de la sécurité nationale, dirigée par M. Sullivan et Mme Neuberger, a placé en tête de ses priorités la dissuasion des attaques, qu’il s’agisse de vol, de modification de données ou de fermeture complète de réseaux. Pour le président, qui a promis que l’attaque russe ne resterait pas « sans réponse », les réactions de l’administration dans les semaines à venir seront un test de sa capacité à affirmer la puissance américaine dans une bataille souvent invisible, mais dont les enjeux sont de plus en plus élevés entre les grandes puissances du cyberespace.

Un mélange de sanctions publiques et d’actions privées est la combinaison la plus probable pour forcer une « large discussion stratégique avec les Russes », a déclaré M. Sullivan dans une interview jeudi, avant que la portée de l’attaque chinoise ne soit claire.

« Je pense en fait qu’un ensemble de mesures comprises par les Russes, mais qui ne sont peut-être pas visibles pour le reste du monde, sont susceptibles d’être les mesures les plus efficaces pour clarifier ce que les États-Unis estiment être dans les limites et hors limites, et ce que nous sommes prêts à faire en réponse », a-t-il ajouté.

Dès le premier jour de la nouvelle administration, M. Sullivan a réorganisé la Maison Blanche afin d’élaborer de telles réponses. Le même ordre qu’il a émis le 20 janvier, exigeant que l’armée informe la Maison Blanche avant de procéder à des frappes de drones en dehors des zones de guerre, contenait un paragraphe avec des instructions distinctes pour faire face à des cyberopérations majeures qui risquent d’aggraver le conflit.

L’ordre a toutefois laissé en place un document encore secret signé par le président Donald J. Trump en août 2018, donnant au United States Cyber Command (USCYBERCOM) des pouvoirs plus larges que ceux dont il disposait sous l’administration Obama pour mener des escarmouches quotidiennes et de courte durée dans le cyberespace, souvent sans autorisation présidentielle explicite.

En vertu du nouvel ordre, le Cyber Command devra présenter les opérations de taille et de portée importantes à la Maison Blanche et permettre au Conseil de sécurité nationale d’examiner ou d’ajuster ces opérations, selon des responsables informés du mémo. L’opération à venir contre la Russie, ainsi que toute réponse potentielle à la Chine, entreront probablement dans cette catégorie.

Le piratage que Microsoft a attribué à la Chine pose un grand nombre des mêmes problèmes que l’attaque SolarWinds menée par les Russes et découverte à la fin de l’année dernière.

Les responsables américains continuent d’essayer de mieux comprendre l’ampleur et les dommages causés par l’attaque chinoise, mais chaque jour depuis sa révélation suggère qu’elle est plus importante, et potentiellement plus nuisible, qu’on ne le pensait au départ.

« C’est un hack d’une ampleur folle », a écrit vendredi sur Twitter Christopher C. Krebs, l’ancien directeur de la Cybersecurity and Infrastructure Security Agency (CISA).

@C_C_Krebs

En réponse à @C_C_Krebs

Alors, que faites-vous maintenant ? (1) appliquer un correctif (si ce n’est pas déjà fait), (2) supposer que vous êtes piraté, rechercher de l’activité, (3) si vous n’êtes pas capable de les chasser ou si vous ne pouvez pas trouver une équipe pour vous aider, déconnectez-vous et reconstruisez, (4) migrer vers le cloud, (5) faire une croix sur les équipes de RI, elles ont eu une (des) année(s) difficile(s).

@C_C_Krebs
C’est un énorme hack. Les chiffres que j’ai entendus dépassent de loin ceux rapportés ici et par mon frère d’une autre mère (@briankrebs). Mais pourquoi ? S’agit-il d’une manœuvre au début de l’administration Biden pour tester sa détermination ? S’agit-il d’une bande de cybercriminels hors de contrôle ? Des entrepreneurs devenus fous ?

Selon les premières estimations, quelque 30 000 systèmes ont été touchés, principalement ceux exploités par des entreprises ou des agences gouvernementales qui utilisent des logiciels Microsoft et gèrent leurs systèmes de messagerie en interne. (Les systèmes de messagerie et autres systèmes exécutés sur le cloud de Microsoft n’ont pas été touchés).

Mais l’ampleur de l’intrusion et l’identité des victimes ne sont toujours pas claires. Et si les Chinois ont déployé l’attaque à grande échelle, il se peut qu’ils n’aient cherché qu’à prendre des informations auprès d’un groupe restreint de cibles auxquelles ils s’intéressent au plus haut point.

Il ne fait guère de doute que l’ampleur de l’attaque amène les responsables américains à se demander s’ils ne devront pas eux aussi prendre des mesures de rétorsion contre la Chine. Cela les mettrait dans la position de s’engager dans un conflit qui pourrait s’intensifier avec deux pays qui sont aussi leurs plus grands adversaires dotés de l’arme nucléaire.

Ces derniers jours, il est apparu de plus en plus clairement que le piratage que Microsoft a attribué à Pékin pose un grand nombre de problèmes similaires à ceux de l’attaque SolarWinds menée par les Russes, bien que les cibles et la méthodologie soient sensiblement différentes.

Comme les Russes, les attaquants chinois ont lancé leur campagne contre Microsoft à partir de serveurs informatiques – essentiellement des services en cloud – qu’ils ont loués sous des identités fictives aux États-Unis. Les deux pays savent que la loi américaine interdit aux agences de renseignement de chercher dans les systèmes basés aux États-Unis, et ils exploitent cette restriction légale.

« Les pirates chinois ont apparemment pris le temps de faire des recherches sur les autorités légales et ont réalisé que s’ils pouvaient opérer depuis l’intérieur des États-Unis, cela écarte du terrain certains des meilleurs chasseurs de menaces du gouvernement », a déclaré vendredi Tom Burt, le cadre de Microsoft qui a supervisé l’enquête.

Le résultat est que, tant dans le cas de SolarWinds que dans celui, plus récent, du piratage chinois, les services de renseignement américains semblent être passés à côté des preuves de ce qui se passait, jusqu’à ce qu’une entreprise privée les voie et alerte les autorités.

Le débat qui préoccupe la Maison Blanche est de savoir comment réagir. M. Sullivan a été le conseiller à la sécurité nationale de M. Biden lorsqu’il était vice-président, au moment où l’administration Obama s’efforçait de répondre à une série d’attaques.

Celles-ci comprenaient l’attaque chinoise qui a volé 22,5 millions de dossiers d’habilitation de sécurité de l’Office of Personnel Management (OPM) en 2014 et l’attaque russe sur l’élection présidentielle de 2016.

Dans ses écrits et ses entretiens de ces quatre dernières années, M. Sullivan a clairement indiqué qu’il pensait que les sanctions traditionnelles ne suffiraient pas à elles seules à peser dans la balance pour forcer des puissances comme la Russie ou la Chine à commencer à discuter de nouvelles règles pour le cyberespace.

Mais les responsables gouvernementaux craignent souvent qu’une réponse trop forte ne provoque une escalade.

C’est une préoccupation particulière dans le cas des attaques russes et chinoises, où les deux pays ont clairement implanté des « portes dérobées » dans les systèmes américains qui pourraient être utilisées à des fins plus destructrices.

Les responsables américains déclarent publiquement que les preuves actuelles suggèrent que l’intention des Russes dans l’attaque de SolarWinds était simplement le vol de données. Cependant, plusieurs hauts fonctionnaires, s’exprimant à titre confidentiel, ont déclaré que l’ampleur, la portée et le coût de l’opération laissaient penser que les Russes pouvaient avoir des motivations beaucoup plus larges.

« Je suis frappé de voir à quel point le nombre de ces attaques sapent la confiance dans nos systèmes », a déclaré M. Burt, « tout comme il y a des efforts pour que le pays se méfie de l’infrastructure de vote, qui est un élément central de notre démocratie. »

En 2016, la Russie s’est introduite dans le Comité National Démocrate et dans les systèmes d’inscription des électeurs des États en devinant ou en obtenant des mots de passe. Mais ils ont utilisé une méthode beaucoup plus sophistiquée dans le piratage de SolarWinds, en insérant du code dans les mises à jour logicielles de l’entreprise, ce qui les a conduits profondément dans environ 18 000 systèmes qui utilisaient le logiciel de gestion de réseau. Une fois à l’intérieur, les Russes ont eu un accès de haut niveau aux systèmes, sans avoir besoin de mots de passe.

De même, il y a quatre ans, la grande majorité des actes de piratage du gouvernement chinois étaient réalisés par le biais de campagnes de « hameçonnage » par courrier électronique. Mais ces dernières années, les divisions militaires chinoises chargées du piratage se sont regroupées en une nouvelle force de soutien stratégique, semblable au Cyber Command du Pentagone. Certaines des opérations de piratage les plus importantes sont dirigées par le ministère de la Sécurité d’État, la principale agence de renseignement chinoise, qui entretient un réseau satellite de sous-traitants.

Pékin a également commencé à thésauriser ce qu’on appelle les zero-days, des failles dans le code inconnues des fournisseurs de logiciels et pour lesquelles il n’existe pas de correctif.

En août 2019, des chercheurs en sécurité ont eu un premier aperçu de la façon dont ces failles zero-days non divulguées étaient utilisées : des chercheurs en sécurité du « Projet Zéro » de Google et de Volexity – la même entreprise de Reston, en Virginie, qui a découvert l’attaque de Microsoft – ont découvert que des pirates chinois utilisaient une vulnérabilité logicielle pour espionner toute personne qui visitait un site Web lu par des Ouïghours, un groupe ethnique minoritaire dont la persécution a suscité une condamnation internationale.

Pendant deux ans, jusqu’à ce que la campagne soit découverte, toute personne qui visitait ces sites téléchargeait à son insu des implants chinois sur son smartphone, permettant à Pékin de surveiller ses communications.

Kevin Mandia de FireEye, Sudhakar Ramakrishna de SolarWinds et Brad Smith de Microsoft ont témoigné le mois dernier lors d’une audience de la commission sénatoriale du renseignement sur le piratage russe.

L’attaque chinoise sur les serveurs de Microsoft a utilisé quatre failles de type « zero-day » dans le logiciel de messagerie. Les experts en sécurité ont estimé vendredi que pas moins de 30 000 organisations ont été touchées par le piratage, un détail rapporté pour la première fois par le rédacteur en sécurité Brian Krebs. Mais certains éléments indiquent que le nombre pourrait être bien plus élevé.


David E. Sanger est correspondant à la Maison Blanche et à la sécurité nationale. Au cours d’une carrière de 38 ans de reportages pour le Times, il a fait partie de trois équipes qui ont remporté des prix Pulitzer, le plus récemment en 2017 pour des reportages internationaux. Son dernier livre est « L’arme parfaite : guerre, sabotage et peur à l’ère du cyberespace ». @SangerNYT – Facebook

Julian E. Barnes est un journaliste spécialiste de la sécurité nationale basé à Washington, couvrant les agences de renseignement. Avant de rejoindre le Times en 2018, il écrivait sur les questions de sécurité pour le Wall Street Journal. @julianbarnes – Facebook

Nicole Perlroth est une journaliste spécialisée dans la cybersécurité. Son premier livre, « This Is How They Tell Me The World Ends », sur la course mondiale aux cyber-armes, sera publié en février 2021. @nicoleperlroth

Preparing for Retaliation Against Russia, U.S. Confronts Hacking by China
The proliferation of cyberattacks by rivals is presenting a challenge to the Biden administration as it seeks to deter intrusions on government and corporate systems.