Joe Biden sous pression des cyberespions russes et chinois
Des failles dans la célèbre messagerie Outlook de Microsoft ont permis à des pirates informatiques qui seraient à la solde de Pékin d’espionner les intérêts américains depuis le début de l’année. Avant eux, ce sont des Russes qui ont réussi à mettre des ministères américains sur cyberécoute. Une multiplication des opérations d’envergure dans le cyberespace pour mettre la pression sur le nouveau président américain Joe Biden ?
Au moins 30 000 victimes aux États-Unis. Une attaque informatique, attribuée à des cybercriminels chinois agissant pour le compte de Pékin, a affecté un large éventail d’organisations, dont des écoles, des petites entreprises, des agences gouvernementales locales, des cabinets d’avocats, des associations ou encore des commissariats, ont rapporté plusieurs médias américains depuis vendredi 5 mars.
« C’est massif. On parle de milliers d’ordinateurs compromis chaque jour », a affirmé un ancien membre de la Sécurité nationale américaine, interrogé par le site Wired. « C’est un piratage absolument gigantesque », a ajouté Chris Krebs, l’ex-patron de l’Agence américaine de la cybersécurité, sur Twitter.
Thoughts on the Hafnium Exchange hack: (1) it's going to disproportionately impact those that can least afford it (SMBs, Edu, States, locals), (2) incident response teams are BURNED OUT & this is at a really bad time, (3) few orgs should be running exchange servers these days. https://t.co/bc5yutThve
— Chris Krebs (@C_C_Krebs) March 6, 2021
Cyberespionnage et plus si affinités
L’opération aurait commencé début janvier 2021, selon Volexity, l’une des premières sociétés américaines spécialisées dans la cybersécurité à identifier la menace. Les cybercriminels ont exploité des failles jusqu’alors inconnues du serveur d’échanges d’Outlook, le service de messagerie de Microsoft.
Les pirates informatiques ont tout d’abord cherché à agir discrètement puis ont attaqué tous azimuts lorsque Microsoft a fait savoir, mardi 3 mars, que des correctifs allaient être appliqués pour mieux protéger Outlook. Les cybercriminels ont alors attaqué les serveurs e-mails un peu partout dans le monde, ne se contentant plus de cibler uniquement les États-Unis. C’est ainsi qu’ils ont aussi eu accès aux boîtes de courrier électronique de l’Autorité bancaire européenne.
Si le géant du logiciel a réussi à renforcer la sécurité de son très populaire service de messagerie, le mal avait déjà en grande partie été fait. « Les Chinois contrôlent déjà tout ce qui les intéresse », résume un expert en cybersécurité, interrogé par Wired. En effet, les patchs déployés par Microsoft servent à protéger contre les intrusions futures. En revanche, le groupe de pirates chinois – appelé Hafnium par Microsoft – peut faire ce qu’il veut sur les plus de 30 000 ordinateurs qui ont déjà été infectés aux États-Unis.
Et que veulent-ils ? « A priori, il s’agit d’une opération de cyberespionnage classique visant les États-Unis », note Guillaume Tissier, associé au cabinet d’intelligence économique et cybersécurité Avisa Partners, contacté par France 24. « Ils ont accès à tous les messages échangés au sein d’un très important nombre d’organisations, et on sait que c’est là qu’on trouve la plupart des données sensibles, comme les pièces jointes, ou encore les listes complètes de contacts », précise Gérôme Billois, expert en cybersécurité pour la société de sécurité informatique Wavestone, contacté par France 24.
Mais ces cybercriminels peuvent aller plus loin. « Rien ne les empêche d’utiliser les informations qu’ils vont récupérer pour faire chanter les victimes », ajoute Gérôme Billois. Ce type d’attaque a en outre un effet déstabilisant important. « Les équipes cyber des entreprises et toutes les sociétés de sécurité informatique du pays vont être à pied d’œuvre pour identifier toutes les victimes et nettoyer toutes les traces de cette opération », indique Guillaume Tissier. « Le risque est que pendant ce temps, la vigilance baisse sur d’autres fronts », ajoute Gérôme Billois. La Maison Blanche va d’ailleurs organiser une réunion d’urgence des agences gouvernementales pour réfléchir à la meilleure manière de faire face à cette situation de crise, affirme le Washington Post.
« Cette opération souligne le risque systémique de la menace cyber car elle démontre la très forte dépendance des entreprises et autres structures à un petit nombre de logiciels », souligne Gérôme Billois. Autrement dit, le bon fonctionnement de dizaines de milliers d’entreprises est menacé par des failles dans un seul et très populaire logiciel : Outlook.
Les Chinois après les Russes
Mais c’est aussi la deuxième attaque informatique de grande ampleur contre les États-Unis depuis la victoire du démocrate Joe Biden lors de l’élection présidentielle américaine de novembre 2020. Avant l’affaire Outlook Exchange, il y avait eu, en janvier 2021, le scandale Solarwinds, du nom d’un fournisseur de logiciels qui travaille avec un grand nombre d’administrations américaines. Le piratage de l’un de leurs programmes avait permis à des pirates informatiques, probablement russes, d’espionner des ministères américains pendant plusieurs semaines.
« La dernière fois que les États-Unis ont subi presque simultanément des attaques d’envergure à la fois de la Russie et de la Chine remonte au début du second mandat de Barack Obama, en 2012 », rappelle Gérôme Billois. La menace cyber chinoise avait même été l’un des points centraux au menu d’un sommet américano-chinois en 2015.
« Qu’est-ce qui se passe ? Est-ce que les autres puissances testent la détermination de Joe Biden dans le domaine cyber ? », s’est interrogé Chris Krebs, l’ancien directeur de l’Agence américaine de la cybersécurité.
Pour Gérôme Billois, l’expert de Wavestone, il se peut très bien que Russes et Chinois cherchent à récupérer un maximum d’informations sur la nouvelle administration afin de partir du bon pied diplomatique avec les États-Unis de l’ère Biden.
Surtout que les tensions géopolitiques entre Washington et les deux autres grandes puissances sont au plus fort. Moscou se doute que Joe Biden se montrera moins conciliant que son prédécesseur Donald Trump, tandis que le nouveau président américain a signalé qu’il comptait continuer à mener la vie dure à Pékin sur le plan commercial et technologique. En ce sens, les cyberattaques sont aussi « utilisées comme des armes diplomatiques et politiques », résume Guillaume Tissier. En démontrant ostensiblement qu’ils peuvent mener des attaques contre les intérêts américains, ils indiquent qu’ils connaissent les points faibles américains et qu’ils n’ont pas peur d’un cyber-bras de fer.
Par France 24