C'est un bouleversement dans l'écosystème de la cybersécurité : des hackers sont parvenus à infiltrer FireEye, référence du secteur, pour dérober certains de ses logiciels.

Mardi 8 décembre, l’entreprise de sécurité FireEye a publié un communiqué inattendu : des hackers sont parvenus à pirater son système. La nouvelle a de quoi surprendre, car FireEyes est un des groupes les plus respectés du secteur. Il intervient sur des cas de piratage parmi les plus complexes et a construit sa renommée sur ses recherches et mises en garde contre les APT (Advanced Persistant Threat).

Ces groupes de pirates d’élite financés par des États visent non pas le gain financier, mais la récolte d’informations stratégiques. Et pour y parvenir, ils disposent d’une force de frappe particulièrement avancée. La Russie a popularisé ce mode de fonctionnement, mais la Chine, la Corée du Nord ou encore l’Iran font aussi partie de la liste de pays qui l’ont adopté.

La cyberattaque lancée contre FireEye serait inédite selon les premiers résultats de l’enquête. // Source : Louise Audry pour Numerama.

Justement, FireEye suspecte le responsable de l’incident d’être soutenu par un État, sans préciser lequel. Dans son communiqué, le CEO Kevin Mandia insiste lourdement sur la complexité des techniques utilisées : « L’attaque est différente des dizaines de milliers d’incidents auxquels nous avons répondu au cours des 25 dernières années (…). Les attaquants ont utilisé une nouvelle combinaison de techniques que ni nous ni nos partenaires n’avons observées par le passé.  »

Dépêchés au chevet de FireEye, Microsoft (autre géant du secteur) et les autorités publiques (dont le FBI) en viennent à la même conclusion : l’entreprise serait victime d’une attaque sur mesure, ce qui expliquerait qu’elle ne l’ait pas détectée. L’enquête ne fait que débuter, et d’autres détails pourraient être rendus publics dans les prochains jours. En attendant, l’exercice de transparence de FireEye devrait limiter en partie les conséquences de l’attaque.

L’arsenal offensif dérobé, mais le pire est évité

D’après les premiers résultats de son enquête interne, FireEye a trouvé que les attaquants ont ciblé et accédé à certains outils utilisés par sa Red Team. Lorsque les clients des entreprises de cybersécurité commandent des tests de pénétration pour évaluer la sécurité de leurs systèmes, la Red Team, l’équipe offensive, endosse le rôle des hackers malveillants. Son objectif : trouver tout ce qu’un attaquant pourrait exploiter ou casser pour causer du tort au client. Ensuite, charge à l’équipe défensive, la Blue Team, de trouver des parades.

Les logiciels de la Red Team de FireEye comportent donc des méthodes de détection et d’exploitation de nombreuses vulnérabilités. Mais Kevin Mandian rassure : «  aucun des outils ne contient d’exploitation de zero-day ». Ce détail est d’une grande importance : les zero-day sont des failles logicielles qui n’ont pas été corrigées, et dont presque personne ne connaît l’existence. Autrement dit, ce sont des failles pour lesquelles il n’existe aucune protection, qui permettent de lancer des attaques avec un très haut taux de réussite.

FireEye publie des protections contre ses propres outils

En 2016, le groupe ShadowBrokers avait dérobé des outils de piratages de la NSA (le renseignement américain), et découvert que l’agence exploitait une faille zero-day sur Windows 7 à l’aide d’un outil nommé Eternal Blue. Rendu public, cet outil a mené à la création du ver WannaCry, qui a fait des milliers de victimes, et causé d’énormes pertes financières aux quatre coins du monde. La précision du CEO de FireEye est donc importante, puisqu’elle signifie que les conséquences du vol seront moindres, car les outils de la Red Team ne permettraient que d’exploiter des vulnérabilités déjà réparées.

D’ailleurs, certains acteurs se posent des questions sur l’utilité de la manœuvre pour les cybercriminels : il est probable qu’ils disposent déjà d’outils similaires, puisque l’objectif de FireEye est de simplement reproduire leurs modes opératoires. Le New York Times évoque une piste intéressante : des pirates pourraient utiliser les outils de l’entreprise pour couvrir les traces parfois laissées dans le code de leurs propres logiciels.

« Nous ne sommes pas certains que l’attaquant a l’intention d’utiliser les outils de notre RedTeam ou s’il souhaite les publier », écrit Kevin Mandian. Mais par prévention, l’entreprise a publié gratuitement sur GitHub une série de protections (plus de 300) à mettre en place pour contrecarrer l’utilisation des outils de sa Red Team. FireEye les a déjà intégrées à ses logiciels, et appelle ses concurrents à faire de même, pour minimiser les conséquences éventuelles du vol. Le groupe a également mis en place des outils pour détecter l’utilisation de ses logiciels offensifs, et agir en conséquence.

Les clients épargnés ?

Dans le communiqué, FireEye précise que si les pirates ont bien obtenu un accès à ses systèmes, l’entreprise n’a pour l’instant « pas trouvé de preuve qu’un attaquant aurait exfiltré des données clients  ». FireEye intervient sur des incidents, mais aussi en tant que consultante auprès de plus de 9 000 clients, dans des secteurs très sensibles pour certains. « Si nous découvrons que des données clients ont été dérobées, nous les contacterons directement », précise le communiqué.

Cet incident, bien que marquant, n’est pas le premier du genre comme le rappelle ZDNet : Kaspersky avait rendu publique une intrusion similaire en 2015, tandis que Avast s’est fait piraté deux fois en 2017 et 2019, tout comme Symantec, McAfee, ou encore Trend Micro auparavant.

Pour l’instant, les autorités, comme FireEye, restent prudentes sur l’attribution de l’attaque (souvent difficile à établir). Mais le New York Times et le Washington Post suggèrent l’implication de APT 29, un groupe de hacker lié au SRV, une agence du renseignement russe. Elle aurait profité de l’intention concentrée sur la protection de l’élection présidentielle américaine pour accomplir son méfait. Ces informations devraient se préciser dans les semaines à venir.

Crédit photo de la une : FireEye

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux