FireEye, l’un des leaders de la chasse aux hackers d’État, dépouillé par une attaque informatique de «haut niveau»

Au siège de FireEye à Milpitas, Silicon Valley, Californie.

L’armurier a été volé: la société FireEye, poids lourd américain de la cybersécurité et l’un des leaders mondiaux de la chasse aux hackers d’État, a vu au moins certains de ses outils offensifs volés par des hackers. Un événement d’une ampleur rare dans le monde de la cybersécurité.

La manière dont les hackers ont opéré pour pénétrer ce fleuron de la sécurité informatique n’a pas été rendue publique, ni la date exacte de l’attaque. “Nous avons été récemment attaqués par un acteur très sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous portent à croire qu’il était soutenu par un État”, PDG et fondateur de l’entreprise, Kevin Mandia a écrit dans un communiqué., Mardi 8 décembre.

L’enquête du FBI en cours

FireEye, proche des services de renseignement américains, propose notamment aux entreprises des services de conseil lucratifs pour renforcer leurs réseaux informatiques. A cet effet, la société développe des outils d’attaque informatique afin de tester les défenses de ses clients et de s’assurer qu’ils sont susceptibles de résister à toutes les attaques, y compris les plus avancées. Au moins certains de ces outils ont été volés par des pirates.

FireEye s’est également fait un nom depuis le début des années 2010, en analysant les attaques informatiques de haut niveau et en exposant les techniques et les outils des hackers. Ce faisant, elle a découvert de nombreuses opérations d’espionnage, notamment russes.

L’attaque est prise très au sérieux par les autorités. La police fédérale américaine, le FBI, a pris la rare initiative de confirmer qu’une enquête était en cours et a fourni des preuves initiales sur les suspects. “Les premières indications montrent un acteur avec un haut niveau de sophistication, cohérent avec un État-nation”, m’a dit Matt Gorham, le directeur adjoint de la division des attaques informatiques du département de police.

READ  5G: un risque sanitaire qui reste à prouver

Pas de défauts «jour zéro»

L’impact de l’attaque reste cependant difficile à évaluer. Son principal risque: que les outils offensifs de FireEye soient désormais utilisés par des hackers pour mener des attaques.

L’annonce de ce hack a immédiatement soulevé le spectre des Shadow Brokers, ce groupe de hackers inconnus. qui a publié, en 2016, des outils volés à la National Security Agency (NSA), l’agence américaine chargée de l’intelligence numérique. Ils ont ensuite été incorporés en mai et juin 2017 par des hackers affiliés à la Corée du Nord et à la Russie dans deux attaques informatiques à grande échelle: WannaCry et NotPetya, causant d’importants dégâts partout dans le monde.

FireEye a rendu libre accès aux éléments techniques permettant aux entreprises de détecter l’utilisation de ces outils et de contrer leurs effets.

Il est peu probable que le vol des outils de FireEye produise des effets aussi dramatiques. A ce stade, l’entreprise explique qu’elle n’a pas détecté l’utilisation de ses outils volés contre d’autres cibles. De plus, FireEye a rendu libre accès aux éléments techniques permettant aux entreprises de détecter l’utilisation de ces outils et de contrer leurs effets. La société a également précisé que, parmi les outils volés n’incluait pas l’exploitation de logiciels «Jour zéro», ces vulnérabilités informatiques inconnues et non encore résolues.

L’objectif des pirates n’est pas clair. Voulaient-ils acquérir de nouvelles armes numériques? Vont-ils les garder pour eux ou les publier en ligne? S’agissait-il d’une mesure de représailles contre l’entreprise, connue pour perturber régulièrement l’activité des espions dans le cyberespace? Puisque les outils offensifs sont censés reproduire l’activité de vrais hackers, ces derniers ont-ils voulu jauger les capacités réelles de FireEye à les détecter? Leur objectif principal était-il simplement d’obtenir des informations sur certains des clients les plus sensibles de FireEye?

READ  Les lits suisses pour patients ne manqueront pas!

Il est, à ce stade, trop tôt pour le dire. Kevin Mandia, le patron de FireEye, a cependant affirmé “Pour n’avoir aucune preuve” que les données des clients ont été divulguées pendant l’attaque. Ceci tandis que FireEye conseille et intervient auprès de dizaines de ministères et administrations dans les principaux pays occidentaux, et collecte, dans le cadre de ses activités de réponse, d’analyse et de préparation aux cyberattaques, de grandes quantités d’informations sensibles.

“Une nation dotée de capacités de haut niveau”

La presse américaine, faisant écho à des sources anonymes, pointu Mardi sous la responsabilité du service russe de renseignement extérieur, le SVR, dont les hackers sont surtout connus des experts en cybersécurité sous le pseudonyme de Cozy Bear ou APT29. Homologue discret et efficace de Fancy Bear, rattaché au Russian Military Intelligence (GRU), le groupe de hackers Cozy Bear est spécialisé dans l’espionnage de haut niveau, avec un fort intérêt pour les gouvernements occidentaux: il avait par exemple ciblé la campagne d’Hillary Clinton en 2016, sans toutefois, après cette opération d’espionnage, rendre publiques les informations obtenues.

«Les attaquants sont parfaitement entraînés et opérés avec discipline et concentration», déclare Mandia

Pour FireEye, il ne fait aucun doute que l’attaque qu’elle a subie était l’œuvre de“Une nation dotée de capacités offensives de haut niveau”. «L’attaque est différente des dizaines de milliers de personnes sur lesquelles nous avons travaillé pendant des années. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour viser et attaquer FireEye. Ils sont bien formés et exploités avec discipline et concentration. Ils ont agi dans la clandestinité, utilisant des méthodes échappant aux outils de détection et plusieurs techniques que nous n’avions jamais vues dans le passé » Kevin Mandia a détaillé sur le site Web de l’entreprise.

READ  Google dévoile Nest Audio, l'enceinte connectée pour ceux qui aiment le son puissant

Bien que des entreprises comme FireEye se spécialisent dans la sécurité informatique, elles sont également des cibles de choix pour les pirates. L’homologue russe de FireEye, Kaspersky, avait donc été pénétré par des hackers, vraisemblablement israéliennes, en 2017. Ces entreprises sont doublement intéressantes pour les hackers. Ils hébergent d’abord des informations sur leurs clients, parfois extrêmement détaillées et relatives notamment à leurs mécanismes de défense. Ensuite, ils mènent de facto des opérations de contre-espionnage dans le cyberespace en exposant les activités des services de renseignement les plus sophistiqués. Assez pour grincer des dents.

Nous serions ravis de connaître votre avis

Laisser un commentaire

Mercatoshow.com