Le 18 juillet, lorsque l’attaque massive via la vulnérabilité du logiciel SharePoint a été détectée, parmi les centaines de victimes, il y avait la National Nuclear Security Administration (NNSA). Il s’agit de l’agence semi-autonome du gouvernement, qui gère le stock d’armes nucléaires des États-Unis. Une belle proie pour les hackers et une vulnérabilité plutôt anxiogène pour tout le monde en raison des mots-clés « armes nucléaires ».
L’agence, qui est également en charge des urgences en cas de catastrophes nucléaires et radiologiques, dépend du ministère de l’ÉnergieÉnergie. Interrogé par le média américain Bleeping Computer, son porteporte-parole a confirmé que le ministère et la NNSA ont été impactés par la cyberattaque.
En revanche, il s’est montré rassurant en expliquant qu’elle n’a eu que peu de conséquence. La raison : des systèmes de cybersécurité solidessolides et aussi l’usage généralisé de MicrosoftMicrosoft M365, autrement dit les services cloud de Microsoft. Rappelons que l’attaque SharePoint visait effectivement les serveurs locaux des organisations qui utilisaient le logiciel et non pas les services cloud de Microsoft.
D’après Bloomberg, aucune information sensible de la NNSA n’aurait été compromise durant cette attaque… Circulez, il n’y a donc rien à voir ! Malgré tout, cet incident a de quoi inquiéter étant donné les activités de l’agence. Ce n’est d’ailleurs pas la première fois que la NNSA est cyberattaquée. En 2019, elle avait subi la vaguevague d’attaques SolarWinds attribuée au groupe de hackers russes issu du service de renseignement extérieur (SVR) : APT29.
L’une des missions principales de la NNSA est de garantir que les États-Unis maintiennent un arsenal nucléaire sûr, sécurisé et fiable. Ces armes y sont entretenues et stockées. © NNSA
La Chine à la cyberoffensive
Dans cette affaire « SharePoint », c’est la Chine qui semble être à la manœuvre. C’est en tout cas ce qu’affirmait hier soir Microsoft en pointant l’attribution de l’exploitation de la vulnérabilité à trois groupes chinois : Linen Typhoon, Violet Typhoon et un acteur basé en Chine, Storm-2603. Dans son communiqué, Microsoft explique que Storm-2603 a désormais passé la vitessevitesse supérieure en déployant des ransomwares sur les serveurs piratés et dont la sécurité n’a pas été renforcée par ses correctifs.
Après tout, puisque ces acteurs ont été démasqués, pourquoi ne pas en profiter pour rançonner, même si l’opération initiale consistait certainement à réaliser un discret cyberespionnage avec de l’exfiltration de données ? Cela a également l’avantage de brouiller les pistes et de faire passer l’attaque pour un acte de piratage opportuniste qui ne serait pas lié à Pékin.
Cyber retour de bâton
Dans tous les cas, comme Futura l’expliquait mardi, les vulnérabilités des produits Microsoft sont inéluctables. Il reste étonnant que les grandes organisations persistent à exploiter ces solutions qui resteront de toute façon structurellement insécurisables. La recherche de failles reste toujours un passe-temps souvent gagnant pour les hackers. Quant aux solutions de sécurité les plus évoluées, elles auront toujours du mal à combler les brèches inconnues de telles « usines à gazgaz ».
Il faut également souligner que les récentes prises de position de l’administration Trump, qui a décidé de financer des opérations de cyber offensives contre la Chine tout en coupant les ressources budgétaires des agences de cyberdéfense, n’aident pas. Un pari risqué qui a sans doute incité les attaquants à mener ce type d’opération d’ampleur. C’est en tout cas ce que Futura pressentait, il y a une dizaine de jours.