Cyberattaque géante: ce que nous savons de ce piratage sans précédent

Ministères américains et entreprises du CAC 40 touchés, plusieurs pays visés: la cyberattaque dont l’existence a été révélée le 13 décembre par les États-Unis – toujours en cours – continue de se développer. D’autant plus que les accusations de Washington, qui pointaient du doigt ce vendredi la Russie, accusée d’être dans la manœuvre, même si Donald Trump a minimisé son rôle de géant de la piraterie samedi. Explications.

Dévoilée au grand public il y a quelques jours par la société de cybersécurité FireEye, l’affaire a commencé il y a plusieurs mois. Plus exactement en mars dernier, lorsque des hackers ont réussi à compromettre le logiciel Orion de la firme américaine SolarWinds. Signe particulier de ce dernier? Il est utilisé pour la gestion et la supervision des réseaux informatiques de grandes entreprises ou administrations.

Concrètement, l’attaque est passée par des mises à jour logicielles: les hackers ont réussi à faire émettre à SolarWinds des mises à jour délicates qui ont ouvert une brèche dans les réseaux de la victime, permettant l’exfiltration de données, par exemple des e-mails. Les hackers ont pu atteindre les serveurs de compilation de SolarWinds, c’est-à-dire les machines qui transforment le code produit par les développeurs – et donc par les humains – en code qui peut être exécuté par des ordinateurs.

Selon SolarWinds, ils sont (très) nombreux: potentiellement 18 000 utilisateurs Orion. N’importe qui peut avoir une brèche dans ses réseaux, tant qu’il n’a pas téléchargé les mises à jour de toute urgence préparées pour contrer l’attaque. Pour l’instant, selon les experts, il semble que les pirates aient principalement utilisé cette faille – appelée Sunburst – pour s’introduire dans les réseaux des agences gouvernementales américaines et accéder à leurs données, à des fins d’espionnage. Selon les informations connues à ce stade, les pirates ont réussi à pénétrer les courriels internes du Trésor américain et du Département du commerce.

Quelles sont les autres cibles? Parmi les clients de SolarWinds, on sait qu’il y a plus de 425 des 500 entreprises américaines les plus riches, mais aussi de grandes entreprises françaises. Il existe également des centaines d’universités dans le monde et plusieurs multinationales, dont Microsoft. Ce dernier a déclaré jeudi soir avoir informé plus de 40 clients concernés: «Environ 80% de ces clients se trouvent aux États-Unis, mais notre travail a également permis d’identifier des victimes dans plusieurs autres pays à ce stade.Le président de Microsoft, Brad Smith, a déclaré sur le blog du géant de l’informatique. Les pays concernés sont le Canada, le Mexique, la Belgique, l’Espagne, le Royaume-Uni, Israël et les Émirats arabes unis.

D’un point de vue informatique, difficile à dire pour le moment. « C’est tellement important que tout le monde évalue les dégâts en ce moment », John Dickson de la société de sécurité Denim Group a déclaré à l’AFP. Ce dernier a ajouté que de nombreuses entreprises privées potentiellement vulnérables se démènent pour renforcer leurs protections, allant jusqu’à envisager de reconstruire complètement leurs serveurs.

Seule certitude: l’impact diplomatique est bien réel. Les Etats-Unis ont en effet accusé vendredi la Russie d’être à l’origine de la cyberattaque. «C’était une entreprise très importante, et je pense que nous pouvons maintenant dire très clairement que ce sont les Russes qui se sont livrés à cette activité»., a admis le secrétaire d’État Mike Pompeo. La Russie a fermement nié être impliquée dans cette affaire. « La Russie ne mène pas d’opérations offensives dans le cyberespace »a déclaré l’ambassade de Russie à Washington. « C’est comme si des bombardiers russes avaient survolé tout notre pays à plusieurs reprises sans être repérés », a commenté jeudi le sénateur républicain Mitt Romney, déplorant « le silence et l’inaction inexcusables de la Maison Blanche » de Donald Trump.

Un président sortant qui a fini par s’exprimer ce samedi, comme souvent à contre-courant. « La cyberattaque est bien plus importante dans les médias des « Fake News » que dans la réalité « , un tweeté de Donald Trump. « Tout est sous contrôle. Russie, Russie, Russie, c’est le slogan prioritaire quand quelque chose se passe« , bien que, selon lui, »ça pourrait être la Chine (c’est possible!)« .