Main Menu

Ignorant les sanctions, la Russie renouvelle une vaste opération de cybersurveillance

Cette nouvelle campagne intervient quelques mois seulement après que le président Biden a imposé des sanctions à Moscou en réponse à une série d’opérations d’espionnage qu’elle a menées dans le monde entier.
La principale agence de renseignement russe a lancé une nouvelle campagne visant à percer des milliers de réseaux informatiques de gouvernements, d’entreprises et de groupes de réflexion américains, ont averti dimanche des responsables de Microsoft et des experts en cybersécurité, quelques mois seulement après que le président Biden ait imposé des sanctions à Moscou en réponse à une série d’opérations d’espionnage sophistiquées qu’elle avait menées dans le monde entier.

Le nouvel effort est « très important, et il est en cours », a déclaré Tom Burt, l’un des principaux responsables de la sécurité de Microsoft, dans une interview. Des responsables gouvernementaux ont confirmé que l’opération, qui visait apparemment à acquérir des données stockées dans le cloud, semblait provenir du S.V.R., l’agence de renseignement russe qui a été la première à pénétrer dans les réseaux du Comité national démocrate pendant l’élection de 2016.

Si Microsoft a insisté sur le fait que le pourcentage de brèches réussies était faible, il n’a pas fourni suffisamment d’informations pour mesurer avec précision la gravité du vol.

Plus tôt cette année, la Maison Blanche a blâmé le S.V.R. pour le soi-disant piratage de SolarWinds, un effort très sophistiqué pour modifier un logiciel utilisé par les agences gouvernementales et les plus grandes entreprises du pays, donnant aux Russes un large accès à 18 000 utilisateurs. M. Biden a déclaré que l’attaque avait sapé la confiance dans les systèmes de base du gouvernement et a promis des représailles à la fois pour l’intrusion et pour l’ingérence électorale. Mais lorsqu’il a annoncé des sanctions contre les institutions financières et les entreprises technologiques russes en avril, il a atténué les peines.

« J’ai clairement indiqué au président Poutine que nous aurions pu aller plus loin, mais j’ai choisi de ne pas le faire », a déclaré M. Biden à l’époque, après avoir appelé le dirigeant russe. « Le moment est venu de procéder à une désescalade ».

Les responsables américains insistent sur le fait que le type d’attaque rapporté par Microsoft entre dans la catégorie du genre d’espionnage que les grandes puissances mènent régulièrement les unes contre les autres. Néanmoins, l’opération suggère que, même si les deux gouvernements affirment se rencontrer régulièrement pour lutter contre les ransomwares et autres maladies de l’ère Internet, le travail de sape des réseaux se poursuit à un rythme soutenu dans une course aux armements qui s’est accélérée lorsque les pays ont cherché à obtenir des données sur les vaccins Covid-19 et toute une série de secrets industriels et gouvernementaux.

« Les espions vont continuer à espionner », a déclaré dimanche John Hultquist, vice-président chargé de l’analyse des renseignements chez Mandiant, la société qui a été la première à détecter l’attaque de SolarWinds, lors de la Cipher Brief Threat Conference à Sea Island, où se sont réunis de nombreux cyberexperts et responsables du renseignement. « Mais ce que nous avons appris de tout cela, c’est que le S.V.R., qui est très bon, ne ralentit pas ».

On ne sait pas exactement quel a été le succès de la dernière campagne. Microsoft a déclaré avoir récemment informé plus de 600 organisations qu’elles avaient été la cible d’environ 23 000 tentatives d’intrusion dans leurs systèmes. En comparaison, l’entreprise a déclaré n’avoir détecté que 20 500 attaques ciblées provenant de « tous les acteurs étatiques » au cours des trois dernières années. Microsoft a déclaré qu’un petit pourcentage des dernières tentatives a réussi, mais n’a pas fourni de détails ni indiqué combien d’organisations ont été compromises.

Les responsables américains ont confirmé que l’opération, qu’ils considèrent comme un espionnage de routine, était en cours. Mais ils ont insisté sur le fait que, en cas de succès, c’est Microsoft et d’autres fournisseurs de services en nuage similaires qui sont en grande partie responsables.

Un haut responsable de l’administration a qualifié les dernières attaques d' »opérations peu sophistiquées et banales qui auraient pu être évitées si les fournisseurs de services en nuage avaient mis en œuvre des pratiques de cybersécurité de base ».

« Nous pouvons faire beaucoup de choses », a déclaré le fonctionnaire, « mais la responsabilité de mettre en œuvre des pratiques de cybersécurité simples pour verrouiller leurs – et par extension, nos – portes numériques incombe au secteur privé. »
S’inscrire à On Politics Un guide du cycle des nouvelles politiques, coupant à travers le spin et délivrant la clarté du chaos. Recevez-le dans votre boîte de réception.

Les responsables gouvernementaux ont fait pression pour que davantage de données soient placées dans le nuage, car il est beaucoup plus facile d’y protéger les informations. (Amazon gère le contrat de cloud de la C.I.A. ; sous l’administration Trump, Microsoft a remporté un énorme contrat pour transférer le Pentagone vers le cloud, bien que le programme ait été récemment abandonné par l’administration Biden au milieu d’un long litige juridique sur la façon dont il a été attribué).

Mais l’attaque la plus récente des Russes, selon les experts, est un rappel que le passage au cloud n’est pas une solution – surtout si ceux qui administrent les opérations de cloud utilisent une sécurité insuffisante.

Microsoft a déclaré que l’attaque visait ses « revendeurs », c’est-à-dire des entreprises qui personnalisent l’utilisation du cloud pour des sociétés ou des établissements universitaires. Les pirates russes ont apparemment calculé que s’ils parvenaient à infiltrer les revendeurs, ces entreprises auraient un accès de haut niveau aux données qu’ils voulaient – qu’il s’agisse de courriels gouvernementaux, de technologies de défense ou de recherches sur les vaccins.

L’agence de renseignement russe « tente de reproduire l’approche qu’elle a utilisée lors d’attaques passées en ciblant des organisations faisant partie intégrante de la chaîne d’approvisionnement mondiale en technologies de l’information », a déclaré M. Burt.

Cette chaîne d’approvisionnement est la principale cible des pirates informatiques du gouvernement russe et, de plus en plus, des pirates chinois qui tentent de reproduire les techniques les plus efficaces de la Russie.

Dans le cas de SolarWinds, à la fin de l’année dernière, le fait de cibler la chaîne d’approvisionnement signifiait que les pirates russes modifiaient subtilement le code informatique du logiciel de gestion de réseau utilisé par les entreprises et les agences gouvernementales, en insérant subrepticement le code corrompu au moment où il était expédié à 18 000 utilisateurs.

Une fois que ces utilisateurs ont effectué la mise à jour du logiciel – un peu comme des dizaines de millions de personnes mettent à jour leur iPhone toutes les quelques semaines – les Russes ont soudainement eu accès à l’ensemble de leur réseau.

Dans la dernière attaque, le S.V.R., connu comme un opérateur furtif dans le cybermonde, a utilisé des techniques plus proches de la force brute. Comme le décrit Microsoft, l’incursion a principalement consisté à déployer une énorme base de données de mots de passe volés dans des attaques automatisées destinées à faire pénétrer les pirates du gouvernement russe dans les services en nuage de Microsoft. Il s’agit d’une opération plus désordonnée et moins efficace – et elle ne fonctionnerait que si certains des revendeurs des services en nuage de Microsoft n’avaient pas imposé certaines des pratiques de cybersécurité que la société leur a imposées l’année dernière.

Dans un billet de blog qui devrait être rendu public lundi, Microsoft a déclaré qu’il ferait davantage pour faire respecter les obligations contractuelles de ses revendeurs de mettre en place des mesures de sécurité.

« Ce que les Russes recherchent, c’est un accès systémique », a déclaré Christopher Krebs, qui a dirigé l’Agence de cybersécurité et de sécurité des infrastructures au ministère de la Sécurité intérieure jusqu’à ce qu’il soit licencié par le président Donald J. Trump l’année dernière pour avoir déclaré que l’élection de 2020 avait été menée honnêtement et sans fraude significative. « Ils ne veulent pas essayer d’entrer dans les comptes un par un ».

Les responsables fédéraux disent qu’ils utilisent agressivement les nouvelles autorités de M. Biden pour protéger le pays contre les cybermenaces, notant en particulier un nouvel effort international de grande envergure pour perturber les gangs de ransomware, dont beaucoup sont basés en Russie. Avec une nouvelle équipe de hauts fonctionnaires, beaucoup plus nombreuse, chargée de superviser les cyberopérations du gouvernement, M. Biden a essayé d’imposer des changements en matière de sécurité qui devraient rendre des attaques comme la plus récente beaucoup plus difficiles à réaliser.

En réponse à SolarWinds, la Maison Blanche a annoncé une série d’échéances pour les agences gouvernementales, et tous les entrepreneurs travaillant avec le gouvernement fédéral, afin de mettre en œuvre une nouvelle série de pratiques de sécurité qui en feraient des cibles plus difficiles pour les pirates russes, chinois, iraniens et nord-coréens. Il s’agit notamment de mesures de base telles qu’une deuxième méthode d’authentification de la personne qui accède à un compte, à l’instar des banques ou des sociétés de cartes de crédit qui envoient un code à un téléphone portable ou à un autre appareil pour s’assurer qu’un mot de passe volé n’est pas utilisé.

Mais l’adhésion aux nouvelles normes, bien qu’améliorée, reste inégale. Les entreprises résistent souvent aux mandats gouvernementaux ou affirment qu’aucune réglementation unique ne peut relever le défi que représente le verrouillage de différents types de réseaux informatiques. Une initiative de l’administration visant à obliger les entreprises à signaler au gouvernement les violations de leurs systèmes dans les 24 heures, sous peine d’amendes, s’est heurtée à une vive opposition de la part des lobbyistes des entreprises.