L’entreprise américaine a rendu publique cette attaque menée par « un acteur hautement sophistiqué » probablement soutenu « par un Etat ». L’armurier s’est fait dévaliser : l’entreprise FireEye, poids lourd américain de la cybersécurité et l’un des leaders mondiaux dans la chasse aux hackeurs d’Etat, a vu une partie au moins de ses outils offensifs se faire dérober par des pirates informatiques. Un événement d’une ampleur rare dans le monde de la cybersécurité.

 

La manière dont les pirates ont opéré pour pénétrer ce fleuron de la sécurité informatique n’a pas été rendue publique, pas plus que la date exacte de l’attaque. « Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un Etat », a écrit dans un communiqué le PDG et fondateur de l’entreprise, Kevin Mandia, mardi 8 décembre.

 

Enquête du FBI en cours

FireEye, proche des services de renseignement américains, propose notamment aux entreprises de lucratifs services de conseil pour muscler leurs réseaux informatiques. La société développe à cette fin des outils d’attaques informatiques afin d’éprouver les défenses de ses clients et de s’assurer que ces derniers sont susceptibles de résister à toutes les attaques, y compris les plus évoluées. Ce sont au moins une partie de ces outils qui ont été subtilisés par les pirates.

 

FireEye s’est aussi fait un nom, depuis le début des années 2010, en analysant des attaques informatiques de haut niveau et en exposant les techniques et les outils des pirates. Ce faisant, elle a mis au jour de nombreuses opérations d’espionnage, notamment russes.

 

L’attaque est prise très au sérieux par les autorités. La police fédérale américaine, le FBI, a pris la rare initiative de confirmer qu’une enquête était en cours et a fourni de premiers éléments sur les suspects. « Les premières indications montrent un acteur avec un haut niveau de sophistication, cohérent avec un Etat-nation », a déclaré Matt Gorham, le directeur adjoint de la division du service de police chargée des attaques informatiques.

 

Pas de failles « zero day »

L’impact de l’attaque est cependant encore délicat à évaluer. Son principal risque : que les outils offensifs de FireEye soient désormais utilisés par des pirates pour mener des attaques.

 

L’annonce de ce piratage a immédiatement fait resurgir le spectre des Shadow Brokers, ce groupe de pirates inconnus qui a publié, en 2016, certains outils dérobés à la National Security Agency (NSA), l’agence américaine chargée du renseignement numérique. Ils avaient ensuite été incorporés en mai et juin 2017 par des pirates affiliés à la Corée du Nord et à la Russie dans deux attaques informatiques de grande ampleur : WannaCry et NotPetya, causant des dégâts considérables dans le monde entier.

 

FireEye a mis en libre accès des éléments techniques permettant aux entreprises de détecter l’utilisation de ces outils et d’en parer les effets

 

Il est peu probable que le vol des outils de FireEye produise des effets aussi dramatiques. A ce stade, l’entreprise explique ne pas avoir détecté l’utilisation de ses outils volés contre d’autres cibles. Par ailleurs, FireEye a mis en libre accès des éléments techniques permettant aux entreprises de détecter l’utilisation de ces outils et d’en parer les effets. L’entreprise a aussi précisé que, parmi les outils dérobés ne figuraient pas des logiciels exploitant des « zero day », ces failles informatiques inconnues et pas encore comblées.

 

L’objectif des pirates est flou. Voulaient-ils acquérir de nouvelles armes numériques ? Vont-ils les garder pour eux ou les publier en ligne ? S’agissait-il d’une mesure de rétorsion vis-à-vis de l’entreprise, connue pour régulièrement perturber l’activité des espions dans le cyberespace ? Les outils offensifs étant censés répliquer l’activité de vrais pirates, ces derniers voulaient-ils jauger les capacités réelles de FireEye à les détecter ? Leur objectif principal était-il simplement d’obtenir des informations sur certains des clients les plus sensibles de FireEye ? Ou bien de piller les précieux renseignements accumulés au fil du temps par l’entreprise concernant les groupes de cyberespionnage les plus sophistiqués ?

 

Il est, à ce stade, trop tôt pour le dire. Kevin Mandia, le patron de FireEye, a cependant affirmé « ne pas avoir de preuve » que des données de ses clients avaient été exfiltrées lors de l’attaque. Ceci alors que FireEye conseille et intervient auprès de dizaines de ministères et d’administrations des principaux pays occidentaux, et collecte, dans le cadre de ses activités de réponse, d’analyse et de préparation aux cyberattaques, de grandes quantités d’informations sensibles.

 

Lire la suite sur Lemonde…