Le gouvernement américain doit passer au peigne fin l'intégralité de son gigantesque réseau informatique pour se débarrasser de la présence des hackers. Un processus long et laborieux, qui pourrait durer jusqu'à 2022.

Après la cyberattaque que le gouvernement US vient de subir, ses systèmes informatiques ne reviendront à la normale que dans 12 à 18 mois, estime le directeur du Cisa, Brandon Wales. Et le dirigeant sait de quoi il parle,  puisque c’est le Cisa qui pilote le projet de reconstruction de Washington, en tant qu’agence gouvernementale spécialisée sur les questions de cybersécurité.

Revenons rapidement sur le contexte de cette déclaration. En décembre, le gouvernement US découvrait que près d’une dizaine de branches de l’administration étaient infiltrées par un groupe de hackers particulièrement discret. La Maison-Blanche, comme plusieurs entreprises privées, soupçonne aujourd’hui ce groupe d’être affilié au renseignement militaire russe.

  • En retard sur l’Affaire SolarWinds ? Mettez-vous à jour avec notre vidéo  

Cette campagne d’espionnage est symbolisée par la compromission de SolarWinds, mais elle s’étend encore au-delà : les hackers ont aussi utilisé d’autres techniques, moins sophistiquées, pour s’en prendre au gouvernement. Pendant plus d’un an, entre septembre 2019 et décembre 2020 ils ont collecté des informations dans l’ombre, sans que le renseignement américain ne détecte quoi que ce soit. Clou de l’humiliation, ce sont deux entreprises privées, FireEye et Microsoft, qui ont prévenu le gouvernement de l’attaque, avant que les spécialistes de l’administration de la détecte.

Le gouvernement US ne connait pas l’étendue des dégâts

Le gouvernement américain vient donc de subir la plus grande campagne de cyberespionnage de son histoire, et même «  bien plus qu’un incident de cyberespionnage » pour l’administration Biden. Son réseau informatique est endommagé, et il doit se redresser.  « Il y a deux phases dans la réponse à cet incident », a expliqué Brandon Wales au MIT Technology Review, le 2 mars. La première est déjà en cours : «  il y a un effort de remédiation à court terme, pendant lequel nous cherchons à supprimer la présence de notre adversaire sur le réseau, en fermant les comptes qu’ils contrôlent, ainsi qu’en obstruant leurs points d’entrées sur nos réseaux. » La deuxième phase ne sera quant à elle finie qu’à l’horizon 2022  : «  étant donné la durée qu’ils ont passée à l’intérieur de ses réseaux — des mois — le rétablissement stratégique prendra du temps ».

Plus de deux mois après la découverte de l’attaque, le gouvernement ne connait toujours pas l’étendue des dégâts. Encore le 23 février, le Washington Post apprenait que la Nasa et la fédération américaine de l’aviation faisaient partie de la liste des victimes. Et ce genre d’information tombe à un rythme hebdomadaire depuis le mois de décembre. Pour comprendre le délai annoncé, il faut avoir conscience que les réseaux informatiques du gouvernement américain sont gigantesques, et que les autorités doivent passer au peigne fin chaque recoin à la recherche de traces laissées par les hackers.

La cyberattaque implique donc une remise en cause de la chaîne de confiance au sein du réseau : confiance dans les outils, mais aussi confiance dans les personnes puisque les cyberespions ont usurpé des identités. Pour couronner le tout, les hackers ont montré qu’ils étaient particulièrement doués pour dissimuler leurs mouvements sur les réseaux, ce qui complique encore le travail de détection et de réparation aujourd’hui à l’œuvre. Dans certains cas, l’équipe de cybersécurité n’aura d’autre choix que de détruire tout un pan du réseau pour mieux le reconstruire.Interrogé par le Congrès, Brad Smith, le président de Microsoft a résumé la situation : «  actuellement, seuls les attaquants connaissent l’étendue de ce qu’ils ont fait ». Charge au gouvernement américain de rétablir cette asymétrie d’information.

Crédit photo de la une : CCO/Colin Behrens de Pixabay

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux