By
Plusieurs agences de sécurité américaines, comme le CISA, la NSA et le FBI, ainsi que les agences de cybersécurité australienne, canadienne, néo-zélandaise et britannique, ont révélé, dans un rapport publié le 7 février, la présence de hackers chinois dans certaines infrastructures critiques américaines depuis au moins 5 ans. Le rapport cible le groupe chinois Volt Typhoon, également connu sous le nom de Vanguard Panda, Bronze Silhouette ou encore Insidious Taurus.
Un accès par les petites structures pour viser de grands industriels
La semaine dernière déjà, les services de renseignement américains avaient alerté le Congrès, rappelant que le gouvernement chinois pourrait faire appel à des hackers pour perturber la réaction des États-Unis au cas où la Chine envahirait Taïwan. Selon Christopher Wray, directeur du FBI, ces pirates œuvrent à “trouver et préparer la dégradation des infrastructures vitales qui assurent notre sécurité”, avant d’ajouter : “Soyons clairs : les cybermenaces […] représentent des menaces réelles pour notre sécurité physique”.
Bien que les infrastructures américaines soient les premières concernées par ces menaces, l’agence canadienne de cybersécurité affirme que son pays pourrait aussi être affecté par de possibles perturbations “en raison de l’intégration transfrontalière”. L’Australie et la Nouvelle-Zélande seraient aussi vulnérables face à ce type d’action des hackers chinois.
Selon les agences de sécurité américaines, les pirates de Volt Typhoon “ont conservé pendant au moins cinq ans un accès et des points d’ancrage dans les systèmes informatiques de certaines victimes”. Une durée exceptionnellement longue, qui a ensuite permis aux pirates d’accéder à des systèmes industriels sensibles. Volt Typhoon s’est alors infiltré dans des infrastructures spécialisées dans les secteurs de l’énergie (pipelines, pétrole, gaz naturel), des transports (aviation, chemins de fer, transports en commun et maritimes), mais aussi de l’approvisionnement en eau et du traitement des eaux usées.
Le rapport précise que certaines cibles touchées par Volt Typhoon sont de petites structures, avec des capacités de cyberdéfense limitées, qui fournissent des services à de plus grandes structures, ou opèrent dans des sites géographiques stratégiques. Les hackers ont par exemple visé l’île américaine de Guam, qui héberge une base militaire clé dans l’océan Pacifique.
Des malwares installés à l’aide d’outils déjà présents sur le système
Pour avoir accès aux réseaux qu’il cible, les hackers font appels aux outils déjà présents sur les systèmes plutôt que d’y injecter des malwares développés sur-mesure. Ils utilisent par exemple des scripts PowerShell pour exécuter des commandes malveillantes, ou ils exploitent les macros dans Office. Une approche plus lente, mais qui rend la détection de la cyberattaque plus difficile.
Le 31 janvier, le directeur du FBI a annoncé le démantèlement d’un botnet de Volt Typhoon. Les hackers avaient piraté des centaines de routeurs à travers les États-Unis, principalement fabriqués par Cisco et NetGear, qui étaient “en fin de vie” et n’étaient plus pris en charge par les correctifs de sécurité. Si ce démantèlement empêche certaines attaques, les pirates restent sans doute dissimulés dans d’autres infrastructures et préparent de nouvelles opérations.
Une menace globale et permanente
Pour se prémunir contre de possibles attaques de la part d’acteurs étatiques ou en atténuer les effets, les différentes agences de sécurité recommandent d’installer rapidement les patchs correctifs, notamment ceux concernant des vulnérabilités critiques. Mais aussi de mettre en place une authentification multifacteur (MFA), qui permet de résister aux attaques par phishing.
Si la France n’est pas citée dans ce rapport (ne faisant pas partie des Five Eyes), il nous rappelle à quel point le paysage cyber a évolué ces dernières années, nos propres infrastructures critiques étant régulièrement sous attaque. On ne peut qu’espérer qu’aucune pénétration d’ampleur similaire n’a eu et n’aura lieu.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/liberation/D3XFGIIPXNFSTKZCG5PYT3UT4U.jpg "Panne informatique mondiale : des entreprises et des infrastructures de transports à l’arrêt dans de nombreux pays")
