Par Eurasia Business News – le 10 décembre 2020

Une menace persistante avancée ( APT ) est un groupe furtif , généralement un État-nation ou un groupe d’individus parrainés par un État, qui obtient un accès non autorisé à un réseau informatique et reste non détecté pendant une période prolongée. Le but est de collecter furtivement des informations confidentielles ciblées, pour des motifs financiers ou politiques. Crédits photo : Pixabay

FireEye, l’une des plus grandes entreprises de cybersécurité aux États-Unis, a déclaré le 8 décembre qu’elle avait été piratée dans le cadre d’une cyberespionnage ciblé, probablement par un gouvernement étranger, et qu’un arsenal d’outils de piratage utilisés pour tester les défenses de ses clients avait été exfiltré.

Les outils ciblés fournissent des services de sécurité de diagnostic aux clients de FireEye, en imitant le comportement des acteurs de la menace, a déclaré Kevin Mandia, le PDG de la société.

Le piratage de FireEye, une entreprise liée par des contrats en matière de sécurité nationale aux États-Unis et dans des pays alliés, est l’un des incidents les plus importants de mémoire récente. Les actions de la société cotées en bourse ont chuté de près de 13% le jour suivant.

Ce piratage a été révélé par une notification auprès de la Securities and Exchange Commission, le gendarme boursier américain. Dans un article de blog, Kevin Mandia, PDG de FireEye, a expliqué le 8 décembre que des “outils de la RED Team” avaient été volés dans le cadre d’une opération de piratage hautement sophistiquée et probablement soutenue par un gouvernement étranger, utilisant des techniques encore inédites.

FireEye ne sait pas exactement quand le piratage a eu lieu, mais une personne familière avec les événements a déclaré que la société avait réinitialisé les mots de passe des utilisateurs au cours des deux dernières semaines.

Une cyberattaque sophistiquée

Au-delà du vol d’outils, les pirates semblaient également s’intéresser à un sous-ensemble de clients de FireEye, les agences gouvernementales.

Le président du Comité au renseignement de la Chambre des représentants, le député Adam Schiff, a déclaré qu’il demanderait plus d’informations sur cet incident :

«Nous avons demandé aux agences de renseignement compétentes d’informer le Comité dans les jours à venir de cette attaque, des vulnérabilités qui pourraient en découler et des mesures à prendre pour en atténuer les effets.»

Il n’y a aucune preuve que les outils de piratage de FireEye ont été utilisés ou que les données des clients ont été volées. Kevin Mandia a confirmé que le Federal Bureau of Investigation et Microsoft Corp apportent leur aide dans les investigations.

Le FBI enquête sur l’incident et les indications préliminaires montrent un acteur avec un haut niveau de sophistication compatible avec un État-nation“, a déclaré Matt Gorham, directeur adjoint du FBI pour la Cyber ​​Division.

D’autres sociétés de sécurité ont déjà été piratées, notamment Bit9, Kaspersky Lab et RSA, ce qui illustre la difficulté de garder les données et systèmes d’information hors de portée des pirates et cyberespions les plus déterminés.

L’objectif de ces opérations est généralement de collecter des informations précieuses qui peuvent les aider à vaincre les contre-mesures de sécurité et à permettre le piratage d’organisations partout dans le monde.

« Pas de faille zero-day »

FireEye révélant ce qui s’est passé et quels outils ont été utilisés «contribue à minimiser les chances que d’autres personnes soient compromises à la suite de cette violation.»

Le kit informatique volé cible une myriade de vulnérabilités différentes dans les produits logiciels populaires. Lorsque des entreprises apprennent une vulnérabilité dans leurs produits logiciels, elles proposent souvent un «correctif» ou une mise à niveau qui annule le problème. Mais de nombreux utilisateurs n’installent pas ces correctifs à la fois, et certains ne le font pas pendant des mois ou plus. L’absence de correction d’une faille zero-day par un défaut de mise à jour constitue une opportunité pour les cyberattaquants et autres cyberespions.

Le PDG de FireEye a déclaré dans son post que ses équipes travaillaient à renforcer les défenses contre les outils de son équipe rouge avec différents fabricants de logiciels :

« Aucun des outils ne contient des exploits zero-day. Conformément à notre objectif de protéger la communauté, nous publions de manière proactive des méthodes et des moyens pour détecter l’utilisation de nos outils de l’équipe rouge volés. »

De tels outils de test de sécurité tombant entre de mauvaises mains conduiront à une exposition accrue aux cybermenaces.

Kevin Mandia a ajouté :

« Nous ne savons pas si l’attaquant a l’intention d’utiliser nos outils Red Team ou de les divulguer publiquement. Néanmoins, par prudence, nous avons développé plus de 300 contre-mesures pour nos clients, et la communauté dans son ensemble, à utiliser afin de minimiser l’impact potentiel du vol de ces outils. »

Dans une démarche proactive, les contre-mesures aux outils développés par la Red Team ont été rendues accessibles par FireEye sur la publication suivante : “Accès non autorisé aux outils FireEye Red Team“.

Renforcer la vigilance et la résilience

Ce nouvel incident renforce la nécessité d’améliorer la protection des entreprises contre les cybermenaces et d’accroître leur résilience en cas de cyberattaque. Cette démarche indispensable, alors que des réseaux de bots lancent des attaques automatiques contre les réseaux et systèmes informatiques, implique une formation et sensibilisation continue des collaborateurs. L’usage de bonnes pratiques simples, le recours à des outils techniques de protection adaptés et la préparation et la maîtrise d’un plan de gestion de crise cyber sont des étapes indispensables. La notification aux autorités compétentes et le recours à une expertise externe de confiance sont aussi des éléments de cette stratégie de résilience.

Enfin, le recours à une offre adaptée d’assurance contre les cyber-risques est aussi un outil à la disposition des entreprises, pour couvrir leur éventuelle responsabilité, les pertes matérielles et financières ainsi que l’exposition médiatique d’un incident.

Pour en savoir plus : Comment protéger votre entreprise contre les cybermenaces ?

Lire aussi : Les Etats face à l’espionnage dans le cyberespace

Merci de compter parmi nos lecteurs.

Notre communauté compte déjà près de 15 000 abonnés !

Inscrivez-vous pour recevoir nos derniers articles, c’est gratuit et sans engagement !

© Copyright 2020 – Eurasia Business News