Les auteurs d’une gigantesque cyberattaque ayant visé près de 18.000 sociétés aux Etats-Unis en 2020 étaient « disciplinés et concentrés », ont estimé mardi des experts en sécurité informatique, pointant la nécessité du partage d’informations sur les menaces existantes.
L’attaque a débuté en mars, les pirates profitant d’une mise à jour d’un logiciel de surveillance développé par une entreprise du Texas, SolarWinds, utilisé par des dizaines de milliers d’entreprises et d’administrations dans le monde.
Des systèmes informatiques d’agences du gouvernement américain, parmi lesquelles les départements d’Etat, du Commerce, le Trésor, la Sécurité intérieure et les Instituts nationaux de la Santé ont été aussi visés.
L’attaque a été découverte en décembre par le groupe de sécurité informatique FireEye, lui-même victime de cyberattaques.
Les pirates « étaient disciplinés et concentrés », a affirmé devant la commission du renseignement au Sénat le patron de FireEye, Kevin Mandia. « Ils visaient des cibles spécifiques, ils avaient un plan et un programme de collecte de données », a-t-il précisé.
« Nous avons des indices substantiels qui pointent vers l’Agence du renseignement extérieur russe, et aucun indice ne nous mène autre part », a pour sa part estimé le président de Microsoft Brad Smith.
Les autorités américaines ont déjà désigné la Russie comme le principal suspect de cette attaque et le Washington Post a indiqué mardi que le gouvernement étudiait la possibilité d’imposer des sanctions à Moscou.
Microsoft avait révélé en décembre que les pirates avaient au accès à une partie du code informatique de l’entreprise en piratant le compte d’un salarié.
Selon Brad Smith, « au moins 1.000 ingénieurs, très qualifiés et capables » ont participé à l’attaque « la plus sophistiquée que nous ayons jamais vu jusqu’ici » qui a aussi visé des sociétés au Mexique, au Canada, en Grande-Bretagne, en Belgique, en Espagne et aux Emirats arabes unis.
Autre faille utilisée par les pirates, l’absence d’une autorité centralisant les informations sur les cyberattaques alors que les contrats de Microsoft avec les agences gouvernementales interdisent à la société de communiquer sur des attaques avec d’autres agences, a ajouté Brad Smith.
Parmi les pistes à explorer, le président de Microsoft a émis l’idée d’obliger une société victime de cyberattaque de faire une « notification confidentielle » à une entité gouvernementale qui serait chargée du partage de renseignement.
Le patron de FireEye a lui insisté sur la nécessité de protection juridique pour les entreprises comme SolarWinds face à d’éventuelles poursuites de ses clients victimes de cyberattaque.
GIPHY App Key not set. Please check settings