Microsoft a déclaré jeudi que des dizaines de ses clients, dont des entreprises en Israël et aux Émirats arabes unis, ont été ciblés dans le cadre de la cyberattaque massive contre des institutions gouvernementales américaines qui a été découverte cette semaine.
Le géant de la technologie a appelé à une « réponse mondiale en matière de cybersécurité » après l’attaque et a désigné le secteur privé israélien comme une source potentielle de menaces.
L’attaque de piratage a été liée à la Russie et a touché de nombreuses agences gouvernementales américaines, y compris le stock d’armes nucléaires du pays, selon un rapport de jeudi.
Un responsable américain a déclaré que l’agression « ressemblait à la pire affaire de piratage de l’histoire de l’Amérique ».
Microsoft a déclaré jeudi dans un article de blog que l’incident était « en fait une attaque contre les États-Unis et son gouvernement et d’autres institutions critiques ».
La société a déclaré que ses propres experts en cybersécurité aidaient à répondre à l’attaque, qui était en cours et « remarquable par sa portée, sa sophistication et son impact ».
L’attaque a été menée via un logiciel par une société de gestion de réseau tierce basée au Texas appelée SolarWinds. Le logiciel de la société a été utilisé par les attaquants pour infiltrer d’autres réseaux informatiques sans être détectés. Microsoft a déclaré que son enquête avait identifié des dizaines de ses propres clients qui avaient installé le logiciel malveillant et qui avaient été ciblés par les attaquants.
« L’installation de ce malware a créé une opportunité pour les attaquants de suivre et de choisir parmi ces clients les organisations qu’ils voulaient attaquer davantage, ce qu’ils ont apparemment fait de manière plus étroite et plus ciblée », a déclaré la société.
Au moins 40 de ses clients ont été ciblés et compromis, a déclaré Microsoft. Quatre-vingt pour cent des cibles se trouvaient aux États-Unis, mais la société a jusqu’à présent identifié des victimes dans sept autres pays – Israël, les Émirats arabes unis, le Canada, le Mexique, la Belgique, l’Espagne et le Royaume-Uni.
La déclaration n’a pas fourni de détails sur l’identité des victimes, mais a indiqué qu’elle comprenait des agences gouvernementales, des entreprises de technologie de l’information, des organisations non gouvernementales, des sous-traitants gouvernementaux et autres. Il a déclaré que le nombre et les emplacements des cibles connues augmenteraient à mesure que l’enquête se poursuivrait et que Microsoft informait les clients touchés.
La société a déclaré dans son communiqué qu’elle avait localisé le logiciel malveillant dans ses propres systèmes, mais n’avait trouvé aucune indication de dommage.
La déclaration de Microsoft, attribuée au président de la société, Brad Smith, a été présentée comme un appel à une réponse mondiale forte en matière de cybersécurité, soulignant la menace croissante de la cyberguerre dans le monde.
« Ce n’est pas ‘l’espionnage comme d’habitude’, même à l’ère numérique. Au lieu de cela, cela représente un acte d’imprudence qui a créé une grave vulnérabilité technologique pour les États-Unis et le monde », a déclaré Microsoft. « Cela exige que nous regardions avec des yeux clairs les menaces croissantes auxquelles nous sommes confrontés et que nous nous engagions à un leadership plus efficace et collaboratif de la part du gouvernement et du secteur technologique aux États-Unis pour mener une réponse mondiale forte et coordonnée en matière de cybersécurité. »
La déclaration a désigné le secteur privé israélien et la société israélienne NSO Group comme des menaces potentielles. Il a déclaré que le groupe NSO était illustratif d’une nouvelle menace évolutive d’attaques de cybersécurité privatisées « semblables aux mercenaires du 21e siècle ».
L’entreprise est accusée de développer des logiciels que les gouvernements utilisent pour espionner leurs citoyens, y compris des journalistes et des militants des droits de l’homme.
« NSO représente la confluence croissante entre la technologie sophistiquée du secteur privé et les attaquants des États-nations », indique le communiqué de Microsoft.
Il a appelé la nouvelle administration Biden à prendre position contre le groupe NSO dans une affaire judiciaire américaine contre la société.
La déclaration indique que les États-Unis devraient poursuivre les discussions avec d’autres pays qui donnent naissance à des acteurs offensifs du secteur privé, soulignant Israël, « qui possède un solide écosystème de cybersécurité qui peut être entraîné dans un soutien dangereux à des régimes autoritaires ».
Plus tôt jeudi, les autorités fédérales américaines ont exprimé une inquiétude accrue face à l’intrusion dans les systèmes informatiques américains et autres dans le monde lors de l’attaque que les responsables soupçonnent d’avoir été menée par des pirates informatiques russes. L’agence nationale de cybersécurité a mis en garde contre un risque « grave » pour les réseaux gouvernementaux et privés.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré que l’intrusion avait compromis les agences fédérales ainsi que « l’infrastructure critique » dans une attaque sophistiquée qui était difficile à détecter et sera difficile à défaire.
La CISA n’a pas précisé quelles agences ou infrastructures avaient été piratées ni quelles informations avaient été recueillies lors d’une attaque qui, selon elle, semblait avoir commencé en mars.
L’attaque a été découverte pour la première fois par la société américaine de cybersécurité FireEye.
Des responsables américains ont déclaré au site d’information Politico que l’attaque aux États-Unis avait touché les systèmes du département américain de l’énergie et de la National Nuclear Security Administration. Il n’était pas immédiatement clair si les pirates avaient pu accéder à des données sur ces réseaux, et si oui, quelles informations avaient fuité.
Le piratage, si les autorités peuvent effectivement prouver qu’il a été commis par une nation comme la Russie, comme le pensent les experts, crée un nouveau problème de politique étrangère pour le président américain Donald Trump dans ses derniers jours au pouvoir.
Trump, dont l’administration a été critiquée pour avoir éliminé un conseiller en cybersécurité de la Maison Blanche et minimisé l’ingérence russe dans l’élection présidentielle de 2016, n’a fait aucune déclaration publique sur la violation.
Au cours du week-end, alors que les départements du Trésor et du Commerce étaient signalés, la CISA a ordonné à toutes les agences civiles du gouvernement fédéral de supprimer SolarWinds de leurs serveurs. Les agences de cybersécurité de Grande-Bretagne et d’Irlande ont émis des alertes similaires.
Un responsable américain a déclaré à l’Associated Press que des pirates informatiques basés en Russie étaient soupçonnés, mais ni la CISA ni le FBI n’ont publiquement déclaré qui serait responsable. Lorsqu’on lui a demandé si la Russie était derrière l’attaque, le responsable a répondu : « Nous le pensons. Nous ne l’avons pas encore dit publiquement car ce n’est pas confirmé à 100%. »
Un autre responsable américain, s’exprimant jeudi sous couvert d’anonymat pour discuter d’une affaire qui fait l’objet d’une enquête, a déclaré que le piratage était grave et extrêmement dommageable, bien que l’administration ne soit pas encore prête à en blâmer publiquement qui que ce soit.
« Cela ressemble à la pire affaire de piratage de l’histoire de l’Amérique », a déclaré le responsable. « Ils sont entrés dans tout. »
Le responsable a déclaré que l’administration partait du principe que la plupart, sinon la totalité, des agences gouvernementales étaient compromises, mais que l’étendue des dégâts n’était pas encore connue.
Les intentions des auteurs semblent être l’espionnage et la collecte d’informations précieuses plutôt que la destruction, selon des experts en sécurité et d’anciens responsables gouvernementaux.
Parmi les secteurs d’activité qui s’efforcent de protéger leurs systèmes et d’évaluer le vol potentiel d’informations figurent les sous-traitants de la défense, les entreprises technologiques et les fournisseurs de télécommunications et de réseau électrique.
