Le gouvernement américain n'est pas la seule victime de l'affaire SolarWinds. 4 mois après la découverte de l'attaque, l'Union européenne déclare que plusieurs de ses institutions ont été touchées par la campagne de cyberespionnage.

Début décembre 2020, l’entreprise de cybersécurité FireEye a déclaré publiquement que des hackers s’étaient introduits sur son système. C’était le prélude de l’affaire SolarWinds, qui s’est déclenchée pour de bon une semaine plus tard, à la suite d’une réunion de crise au sein de la Maison-Blanche.

Fin 2019, des hackers russes ont infiltré le moteur de production du logiciel Orion de SolarWinds. Ils ont ainsi discrètement déposé un malware dans le code du logiciel. Entre mars et juillet 2020, SolarWinds a involontairement diffusé ce malware à plus de 18 000 de ses clients par le biais de ses mises à jour. Ensuite, les hackers avaient la possibilité d’utiliser manuellement chaque version vérolée du logiciel pour s’introduire sur le réseau des victimes. Ils ont donc visé des cibles stratégiques.

Le gouvernement américain s’est rapidement retrouvé au coeur de l’affaire. Il semblait que chaque semaine, le nom d’une nouvelle branche du gouvernement touchée par la campagne de cyberespionnage apparaissait dans la presse. En tout, plus d’une dizaine d’institutions et agences de l’administration américaine ont été touchés, dont le Department of Homeland Security, censé protéger les États-Unis contre les cyberattaques.

Jusqu’ici, l’Union européenne était restée silencieuse sur l’attaque SolarWInds. // Source : CCO/Eoghan OLionnain

Malgré les différentes enquêtes publiques comme privées, le nombre total de victimes de la campagne russe est toujours resté flou : certains évoquent plus d’une centaine de victimes, d’autres en estiment une quarantaine. D’ailleurs, seule une poignée d’entreprises, toutes américaines, ont admis publiquement être victime de l’attaque.

Résultat : l’affaire SolarWinds a pris l’apparence d’un incident américanocentré, alors qu’il s’agit bien d’une campagne internationale. Le 13 avril, Johannes Hahn, commissaire européen au Budget et à l’Administration a fait part des conclusions d’une enquête du Cert européen (l’équipe en charge de la veille et de la réponse aux cyberattaques). Bilan : au moins 6 « institutions, corps et agences » de l’Union européenne ont été touchés par la cyberattaque, sur les 14 qui utilisaient le logiciel de SolarWinds. L’UE annonce donc qu’elle est victime de la campagne de cyberespionnage ciblée 4 mois après sa découverte, et plus de 1 an après les faits.

L’Europe avare en détails sur la cyberattaque

Non seulement cette information ne devient publique que maintenant, mais elle aurait pu ne jamais sortir. Le communiqué de Johannes Hahn, qui parle au nom de la Commission européenne, est une réponse à une question émise en février 2021 par un parlementaire européen, qui s’inquiétait de l’incident. Sans cette question, l’Europe n’aurait tout simplement pas communiqué.

Pourtant, Hahn précise que l’attaque n’a pas été sans conséquence : « dans certains cas, les réseaux et systèmes informatiques ont été touchés de façon significative, et quelques fuites de données personnelles ont eu lieu ». Selon la gravité des situations, les contre-mesures sont allées du changement des mots de passe à des reconfigurations du réseau et des réinstallations des serveurs où le logiciel Orion était utilisé.

L’enquête européenne restera floue

En plus d’être tardif, ce premier bilan reste particulièrement flou. Le Cert-EU explique qu’il est contraint de « garder secret » l’identité des institutions touchées tant qu’elles ne l’autorisent pas à communiquer sur le sujet. À The Record Media, Johannes Hahn déclare même « qu’évaluer l’ampleur des dégâts pourrait être une tâche impossible ».

Pour cause : les agences européennes n’ont pas l’obligation de remonter les incidents de sécurité au Cert européen. Non seulement toutes les agences ne communiquent pas, mais celles qui le font n’envoient parfois que des informations partielles. En bout de chaîne, il devient difficile pour le Cert de lancer une enquête efficace, car il manque d’éléments techniques, et notamment de logs (l’historique de connexion au réseau) complets. Résultat : même le Cert n’a  qu’une vision limitée de l’étendue de l’incident à l’échelle de l’Union européenne.

Ce communiqué de l’Union européenne est arrivé deux jours avant que l’administration Biden décide de confronter formellement le renseignement russe pour cette campagne de cyberattaque. L’UE, l’OTAN, le Royaume-Uni et le Canada ont affirmé leur soutien au gouvernement américain, et exigé des comptes à la Russie.

Crédit photo de la une : CCO/ Gerd Altmann de Pixabay

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux