CISA joue un rôle central dans la réponse aux attentats, dont l’existence a été connue pour la première fois dimanche. Alors que l’enquête commençait, les efforts de CISA ont suscité peut-être des critiques inévitables de la part du gouvernement quant à sa rapidité à déployer des équipes d’intervention en cas d’incident pour aider d’autres agences à identifier et contenir toutes les intrusions.
Il y a «une frustration massive avec CISA sur une réponse lente aux violations d’agence», a déclaré le premier responsable américain.
Les professionnels de la cybersécurité ont constamment averti que CISA – une agence vieille de deux ans chargée de défendre les réseaux fédéraux civils contre les pirates informatiques, d’aider les agences à se remettre des violations et d’aider à défendre les infrastructures essentielles telles que les centrales électriques et les systèmes électoraux – manquent de personnel et de ressources suffisants pour lutter efficacement contre les incendies numériques massifs au sein du gouvernement. Seule une petite partie des quelque 2 200 employés de l’agence sont chargés de ce travail.
«Ils sont débordés», a déclaré le responsable américain.
CISA a rejeté la critique.
“C’est inexact,” a déclaré la porte-parole Sara Sendek, ajoutant que l’agence était convaincue qu’elle disposait de suffisamment de personnel pour faire face à une éventuelle augmentation du nombre d’agences signalant des violations. «CISA a fourni un soutien et une assistance à tous nos partenaires fédéraux qui en ont fait la demande. Il n’y a eu aucun retard pour répondre à une demande.
Mais un employé de CISA, qui a parlé de manière anonyme parce qu’il n’était pas autorisé à parler aux journalistes, a reconnu que l’ampleur de la crise pouvait dépasser l’agence.
«Nous allons bien en ce moment», a déclaré cette personne, mais «cela semble susceptible de changer. … De nombreuses agences ne savent pas encore à quel point elles sont en feu. »
Le responsable américain a déclaré que les intervenants en cas d’incident de CISA, qui se sont précipités dans les agences pour les aider à comprendre et à atténuer les violations, étaient «trop peu nombreux».
Les équipes d’intervention en cas d’incident de CISA, y compris les entrepreneurs privés, ne sont pas aussi importantes que beaucoup de gens pourraient le supposer, selon l’employé de CISA. “NSA, nous ne sommes pas”, a déclaré cette personne, faisant référence à l’effectif massif de l’agence d’espionnage.
On ne sait pas exactement dans quelle mesure le vide de leadership à CISA a affecté sa réponse.
Krebs a tweeté Dimanche qu’il avait «la plus grande confiance» en ses anciens employés, qui «savent comment faire cela».
Mais certains législateurs sont toujours inquiets.
«Le licenciement du directeur extrêmement compétent de CISA au milieu de ce moment de vulnérabilité, il sape la sécurité nationale», a déclaré le sénateur Angus King (I-Maine), qui a coprésidé une commission agréée par le Congrès qui a recommandé des changements radicaux à la cyberactivités du gouvernement.
Les attaques semblent avoir pour origine un compromis d’un fournisseur informatique dont les produits sont largement utilisés dans l’ensemble du gouvernement fédéral, ce qui soulève de nouvelles craintes quant au risque systémique posé par la chaîne d’approvisionnement du gouvernement.
Les enquêteurs pensent que les pirates ont ajouté du code malveillant aux mises à jour logicielles d’un produit informatique utilisé dans l’ensemble du gouvernement fédéral, ont utilisé ce code pour ouvrir les portes des réseaux d’agences, puis ont utilisé une technique sophistiquée pour accéder aux e-mails des travailleurs fédéraux.
Bien que les enquêtes n’en soient encore qu’à leurs tout débuts, les violations semblent avoir commencé entre mars et juin, lorsque les pirates ont compromis la société de logiciels SolarWinds, qui vend des produits de gestion informatique à des centaines de clients gouvernementaux et du secteur privé, y compris des agences fédérales et Fortune. 500 entreprises.
En infectant les mises à jour logicielles que SolarWinds a distribuées aux utilisateurs de son système de surveillance informatique Orion, les pirates ont pris pied dans les réseaux de ces utilisateurs. À partir de là, ils semblent s’être introduits dans les serveurs de messagerie Microsoft des victimes en forgeant les jetons d’authentification qui indiquent au système à qui l’accès doit être accordé.
Tard dimanche soir, CISA a publié une directive d’urgence rare ordonnant aux agences de déconnecter immédiatement tous les produits SolarWinds de leurs réseaux.
SolarWinds estime que moins de 18 000 des 33 000 organisations éligibles à recevoir les mises à jour du logiciel Orion au cours de la période concernée ont en fait reçu le code infecté, a déclaré la société lundi dans un dossier de la Securities and Exchange Commission. La société a ajouté qu’elle prévoyait de distribuer un correctif «le ou avant» mardi.
Les produits Orion ont représenté environ 45% du chiffre d’affaires total de SolarWinds au cours des trois premiers trimestres de 2020, a déclaré la société.
La manière dont les pirates ont violé les agences gouvernementales en compromettant un fournisseur dans leur chaîne d’approvisionnement rappelle une épidémie mondiale de malware en 2017, connue sous le nom de NotPetya, l’attaque numérique la plus grande et la plus destructrice de l’histoire. Cet incident a commencé lorsque des pirates informatiques russes ont infecté les mises à jour logicielles du fabricant ukrainien de logiciels fiscaux MEDoc. Les chercheurs en sécurité estiment que les Russes n’avaient l’intention d’espionner que certaines cibles ukrainiennes, mais le malware NotPetya s’est rapidement répandu dans le monde, causant jusqu’à 10 milliards de dollars de dommages aux victimes, dont le géant du transport maritime Maersk et le titan pharmaceutique Merck.
Les professionnels de la sécurité ne s’attendent pas à une répétition de NotPetya cette fois. Tout sur les récentes violations indique une opération d’espionnage plutôt qu’un déchaînement destructeur, ont-ils déclaré, et la collecte de renseignements nécessite une attention individuelle que même Moscou ne peut pas appliquer à l’ensemble des centaines de clients SolarWinds potentiellement compromis.
«Aucun adversaire ne dispose de suffisamment de ressources humaines pour exploiter efficacement chaque victime potentielle», a tweeté Dmitri Alperovitch, le co-fondateur de la société de sécurité CrowdStrike. «Ils DOIVENT se concentrer sur ceux qui leur tiennent le plus à cœur.»
Même ainsi, les entreprises des secteurs des infrastructures critiques ont commencé à évaluer leurs systèmes pour voir si elles aussi étaient affectées. Cadres dans le secteur de l’énergie électrique a organisé un «appel à la connaissance de la situation» lundi, et le ministère de la Santé et des Services sociaux a tenu une conférence téléphonique lundi après-midi avec les organisations de soins de santé pour expliquer la vulnérabilité de SolarWinds, selon une invitation vue par POLITICO.
Même après que les clients SolarWinds aient fermé cette porte, ils devront toujours vérifier leurs systèmes pour détecter les signes que les pirates sont entrés à l’intérieur.
«Ces organisations vont encore avoir une bataille difficile pour sortir cet acteur de leurs réseaux», a déclaré John Hultquist, directeur principal de l’analyse du renseignement chez FireEye. «Ce ne sera pas facile.»
Le premier fonctionnaire américain a accepté. “Nous sommes dans les tout premiers jours”, ont-ils dit, “et il y a un sentiment que … les nouvelles vont empirer.”
Daniel Lippman et Martin Matishak ont contribué à ce rapport.
