L’armurier a été volé: La société FireEye, poids lourd américain de la cybersécurité et l’un des leaders mondiaux de la chasse aux hackers d’État, a vu au moins certains de ses outils offensifs volés par des hackers. Un événement rare dans le monde de la cybersécurité.

La manière dont les pirates ont travaillé pour pénétrer ce produit phare de la cybersécurité n’a pas été rendue publique, ni la date exacte de l’attaque. «Nous avons récemment été attaqués par un acteur très sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous portent à croire qu’il était soutenu par un État», PDG et fondateur de l’entreprise, Kevin Mandia a écrit dans un communiqué., Mardi 8 décembre.

Enquête du FBI en cours

FireEye, proche des services de renseignement américains, propose aux entreprises des services de conseil rentables pour renforcer leurs réseaux informatiques. A cet effet, l’entreprise développe des outils de cyberattaques afin de tester les défenses de ses clients et de s’assurer qu’ils sont capables de résister à toutes les attaques, y compris les plus avancées. Au moins certains de ces outils ont été volés par des pirates.

FireEye s’est également fait un nom depuis le début des années 2010, en analysant les cyberattaques de haut niveau et en exposant les techniques et outils des hackers. Ce faisant, il a découvert de nombreuses opérations d’espionnage, notamment russes.

L’attaque est prise très au sérieux par les autorités. La police fédérale des États-Unis, le FBI, a pris la rare initiative de confirmer qu’une enquête était en cours et de fournir des informations initiales sur les suspects. “Les premières indications montrent un acteur avec un haut niveau de sophistication, cohérent avec un État-nation”, Dit-elle Matt Gorham, directeur adjoint de la division cyberattaques du département de police.

READ  officiellement accusé de fraude, Boeing paiera 2,5 milliards de dollars

Aucun défaut «jour zéro»

Cependant, l’impact de l’attaque reste difficile à évaluer. Son principal risque: que les outils offensifs de FireEye soient désormais utilisés par des hackers pour mener des attaques.

L’annonce de ce hack a immédiatement refait surface le spectre des Shadow Brokers, ce groupe de hackers inconnus. qui a publié, en 2016, des outils volés à la National Security Agency (NSA), l’agence américaine chargée de l’intelligence numérique. Ils ont ensuite été incorporés en mai et juin 2017 par des hackers affiliés à la Corée du Nord et à la Russie dans deux cyberattaques à grande échelle: WannaCry et NotPetya. causant d’importants dégâts dans le monde.

FireEye a libéré l’accès aux éléments techniques en permettant aux entreprises de détecter l’utilisation de ces outils et de contrer leurs effets.

Il est peu probable que le vol des outils de FireEye produise des effets aussi dramatiques. A ce stade, l’entreprise explique qu’elle n’a pas détecté l’utilisation de ses outils volés contre d’autres cibles. De plus, FireEye a rendu libre accès aux éléments techniques permettant aux entreprises de détecter l’utilisation de ces outils et de contrer leurs effets. La société a également précisé que l’exploitation du logiciel n’était pas incluse parmi les outils volés “Zero day”, ces vulnérabilités informatiques inconnues et non résolues.

L’objectif des pirates n’est pas clair. Voulaient-ils acquérir de nouvelles armes numériques? Vont-ils les garder pour eux ou les publieront-ils en ligne? S’agissait-il d’une mesure de représailles contre l’entreprise, connue pour cesser régulièrement d’espionner dans le cyberespace? Les outils offensifs devaient répliquer l’activité de vrais hackers, voulaient-ils évaluer les capacités réelles de FireEye pour les détecter? Leur objectif principal était-il simplement d’obtenir des informations sur certains des clients les plus sensibles de FireEye?

READ  La Chine va-t-elle tuer Bitcoin pour établir sa domination mondiale?

À ce stade, il est trop tôt pour le dire. Kevin Mandia, le chef de FireEye, a toutefois déclaré “N’ai aucune preuve” que les données client ont fui pendant l’attaque. C’est alors que FireEye conseille et intervient dans des dizaines de ministères et administrations des principaux pays occidentaux, et collecte de grandes quantités d’informations sensibles dans le cadre de sa réponse, de son analyse et de sa préparation aux cyberattaques.

“Une nation aux capacités de haut niveau”

La presse américaine, faisant écho à des sources anonymes, pointu Mardi sous la responsabilité du service russe de renseignement extérieur, le SVR, dont les hackers sont surtout connus des experts en cybersécurité sous le pseudonyme de Cosy Bear ou APT29. Homologue discret et efficace de Fancy Bear, attaché au renseignement militaire russe (GRU), le groupe de hackers Cosy Bear est spécialisé dans l’espionnage de haut niveau, avec un fort intérêt pour les gouvernements occidentaux: par exemple, il avait ciblé La campagne de Hillary Clinton en 2016, mais sans, après cette opération d’espionnage, rendre publique les informations obtenues.

«Les attaquants sont parfaitement entraînés et gérés avec discipline et concentration», déclare Mandia

Pour FireEye, il ne fait aucun doute que l’attaque dont il a été victime était l’œuvre de“Une nation dotée de capacités offensives de haut niveau”. «L’attaque est différente des dizaines de milliers sur lesquelles nous travaillons depuis des années. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour viser et attaquer FireEye. Ils sont bien formés et gérés avec discipline et concentration. Ils ont agi clandestinement, utilisant des méthodes qui échappaient aux outils de détection et à diverses techniques que nous n’avions jamais vues dans le passé “, Kevin Mandia a détaillé sur le site Web de l’entreprise.

READ  Nouvelles | Coronavirus: à Marseille les masques "gratuits" les plus chers de France

Bien que des entreprises comme FireEye soient spécialisées dans la cybersécurité, elles sont également des cibles de choix pour les pirates. L’homologue russe de FireEye, Kaspersky, il avait été tellement pénétré par des hackers, vraisemblablement israéliennes, en 2017. Ces entreprises sont doublement intéressantes pour les hackers. Premièrement, ils hébergent des informations sur leurs clients, parfois extrêmement détaillées et liées notamment à leurs mécanismes de défense. Ainsi, ils mènent effectivement des opérations de contre-espionnage dans le cyberespace exposant les activités des services de renseignement les plus sophistiqués. De quoi faire frissonner quelques dents.