Texte par Cadfael

SolarWinds (les vents solaires), ce nom poétique est devenu synonyme du plus important des actes de piraterie informatique des temps récents. L’aristocratie des entreprises et administrations américaines y est passée.

Des mises à jour empoisonnées

La société texane SolarWinds développe des logiciels qui permettent de gérer des systèmes informatiques complexes, des réseaux et des infrastructures numériques et hautement technologiques et sécurisées. Ils sont censés aider les ingénieurs réseau à gérer des ensembles complexes. Ils sont là pour détecter des dysfonctionnements, les résoudre et réduire les pannes. Avec 940 millions de dollars de chiffre d’affaires en 2019, elle est une des leaders du marché.

Selon le site spécialisé américain « Dark Reading » des pirates ont placé un virus extrêmement sophistiqué, très difficile à détecter dans une mise à jour d’ « Orion » leur logiciel phare. Il a ainsi infecté 18 000 parcs informatiques privés et publics. Les hackeurs ont ainsi accès aux systèmes informatiques de même manière que les informaticiens maison. Cette attaque est prise extrêmement au sérieux et est considérée comme une atteinte majeure à l’intégrité de la souveraineté américaine.

Des hackeurs très haut de gamme

Les spécialistes ont détecté au moins trois “malware” différentes. Il s’agit de portes d’entrée développées soigneusement et implantées avec grand soin, subrepticement par les attaquants et protégées de telle manière qu’elles demeuraient cachées aux développeurs d’Orion ainsi qu’aux responsables sécurité informatique des comptes qui utilisaient Orion. La première infiltration aurait eu lieu en 2019 afin de pratiquer une reconnaissance du terrain. Ensuite les attaquants ont installé différents virus qui en contenaient d’autres pouvant être activés à distance en fonction de diverses cibles et le tout soigneusement furtifs « C’est une attaque complexe et impeccablement exécutée » commentait un des responsables du CISA, l’administration fédérale de cybersécurité américaine, le grand gardien numérique de l’État américain, lui-même infecté.

Entretemps SolarWinds a recruté e.a. et le directeur de CISA et le responsable en charge de la sécurité chez Facebook afin de sortir de l’impasse.

Microsoft n’y a vu que du feu

Selon le site spécialisé « ZDnet.com » du 15 février dernier, c’est la société californienne hautement spécialisée de sécurité informatique « FireEye » qui a sonné l’alarme en décembre dernier pour en informer Microsoft. Selon le président de Microsoft c’est « probablement la plus sophistiquée et l’importante attaque informatique que le monde ait connues. » Tous les signes pointent vers la Russie. Il estimait que ceux qui ont monté l’opération ont eu besoin d’au moins un millier d’ingénieurs et informaticiens. Ce qui constitue une prouesse non seulement en termes d’informatique, mais également en termes de management. Il a précisé que les pirates ont « juste » modifié 4032 lignes de code dans un ensemble logiciel qui en comporte plusieurs millions. Ce qui serait le plus troublant est que les hackers n’ont absolument laissé aucune empreinte, rendant très difficile une identification ou une détection. « Du grand art » selon Joseph Menn, journaliste spécialisé chez Reuters, qui souligne qu’ils ont très probablement eu accès aux codes sources de Microsoft et d’autres grandes infrastructures. 

D’après lui tout donnerait à penser qu’ils auraient probablement réussi à pénétrer les sociétés fabricant les F 35, la dernière génération d’avions de combat.

L’élite des administrations de l’État touchée

Microsoft qui a également été infecté a mis plus de 500 informaticiens sur l’affaire. Parmi les agences fédérales touchées, on note le Département du trésor, l’Agence de cybersécurité et des infrastructures, le Département de la sécurité intérieure, le Département d’état et le Département de l’énergie, ainsi que l’Administration nationale de Sécurité nucléaire qui gère l’armement nucléaire. Cité par « Deutsche Welle » le sénateur républicain présidant le sous-comité responsable des armements nucléaires informait que la sécurité des armes nucléaires d’outre-mer n’a jamais été mise en cause. 

La distribution de l’eau potable visée

Le 9 janvier dernier, selon « NBCnews », la Floride a eu l’une des plus grandes frayeurs de son histoire. Des hackers avaient réussi à pénétrer le système d’épuration et de distribution d’eau potable. Avec quelques clics ils ont tenté d’augmenter les niveaux d’hydroxyde de sodium, substance utilisée à des quantités infinitésimales dans le traitement de l’eau, ce qui aurait causé de gros problèmes de santé à des milliers de consommateurs. La société de traitement des eaux a réussi in extremis à bloquer l’intrusion.

En Europe également

La France également est touchée, selon le même schéma que le piratage américain et très probablement par le même groupe avec, selon l’ANSII, l’agence de protection informatique de la République française, des virus dormants ayant mis plus de trois ans à être détectés.

Elle a mis en ligne le 27 janvier dernier un important document d’analyse et de réparation sur l’intrusion « Sandworm ».

Et nous ?

Selon des sources bien informées, notre pays aurait investi ces dernières années beaucoup et de manière sophistiquée dans la sécurité informatique et la protection de ses infrastructures. Mais est-on bien protégé contre ce genre d’agression d’un état versus un autre état. Puisque nous n’avons rien à cacher, risquerait-on quelque chose ? On n’est pas dans « pirates des Caraïbes », dans ce nouveau type de guerre il y a aucune morale, juste des intérêts. 

À LIRE AUSSI