L’armurier a été volé: la société FireEye, poids lourd américain de la cybersécurité et l’un des leaders mondiaux de la chasse aux hackers d’État, a vu au moins certains de ses outils offensifs volés par des hackers. Un événement d’une ampleur rare dans le monde de la cybersécurité.

La manière dont les hackers ont opéré pour pénétrer ce produit phare de la cybersécurité n’a pas été rendue publique, ni la date exacte de l’attaque. “Nous avons été récemment attaqués par un acteur très sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous font croire qu’il était soutenu par un État”, Le PDG et fondateur de l’entreprise, Kevin Mandia, a écrit dans un communiqué., Mardi 8 décembre.

Enquête en cours du FBI

FireEye, proche des services de renseignement américains, propose aux entreprises des services de conseil lucratifs pour renforcer leurs réseaux informatiques. Pour cela, l’entreprise développe des outils de cyberattaques pour tester les défenses de ses clients et s’assurer qu’ils peuvent résister à toutes les attaques, y compris les plus avancées. Au moins certains de ces outils ont été volés par des pirates.

FireEye s’est également fait un nom depuis le début des années 2010, en analysant les attaques de piratage de haut niveau et en exposant les techniques et les outils des pirates. Ce faisant, il découvre de nombreuses opérations d’espionnage, notamment russes.

Les autorités prennent l’attaque très au sérieux. La police fédérale des États-Unis, le FBI, a pris l’initiative inhabituelle de confirmer qu’une enquête était en cours et a fourni des preuves initiales sur les suspects. “Les premiers signes montrent un acteur avec un haut niveau de sophistication, en accord avec un État-nation”, a déclaré Matt Gorham, directeur adjoint de la division Cyber ​​Attack du département de police.

READ  Vient de sortir, les sneakers Lidl vendues jusqu'à 80 fois plus chères sur Internet

Aucun défaut «jour zéro»

Cependant, l’impact de l’attaque reste difficile à évaluer. Votre principal risque: que les outils offensifs de FireEye soient désormais utilisés par des hackers pour mener des attaques.

L’annonce de ce hack a immédiatement soulevé le spectre des Shadow Brokers, ce groupe de hackers inconnus. qui a publié, en 2016, des outils volés à la National Security Agency (NSA), l’agence américaine chargée de l’intelligence numérique. Ils ont ensuite été recrutés en mai et juin 2017 par des hackers affiliés à la Corée du Nord et à la Russie dans le cadre de deux attaques de piratage à grande échelle: WannaCry et NotPetya. causant de grands dégâts dans le monde.

FireEye a rendu libre accès aux éléments techniques qui permettent aux entreprises de détecter l’utilisation de ces outils et de contrer leurs effets.

Il est peu probable que le vol des outils FireEye produise des effets aussi dramatiques. A ce stade, l’entreprise explique qu’elle n’a pas détecté l’utilisation de ses outils volés contre d’autres cibles. De plus, FireEye a rendu libre accès aux éléments techniques qui permettent aux entreprises de détecter l’utilisation de ces outils et de contrer leurs effets. La société a également précisé que les outils volés n’incluaient pas l’exploitation de logiciels “Jour zéro”, ces vulnérabilités informatiques inconnues et encore à résoudre.

L’objectif des pirates n’est pas clair. Voulaient-ils acquérir de nouvelles armes numériques? Vont-ils le garder pour eux ou le publieront-ils en ligne? S’agit-il d’une mesure de représailles contre l’entreprise, connue pour perturber régulièrement l’activité des espions dans le cyberespace? Les outils offensifs étaient censés répliquer l’activité de vrais hackers, ces derniers voulaient-ils mesurer les capacités réelles de FireEye à les détecter? Votre objectif principal était-il simplement d’obtenir des informations sur certains des clients les plus sensibles de FireEye?

À ce stade, il est trop tôt pour le dire. Kevin Mandia, le chef de FireEye, a cependant affirmé “N’ai aucune preuve” que les données des clients ont été divulguées pendant l’attaque. Ceci tandis que FireEye conseille et intervient auprès de dizaines de ministères et administrations dans les principaux pays occidentaux, et collecte, dans le cadre de sa réponse, analyse et préparation aux cyber-attaques, de grandes quantités d’informations sensibles.

“Une nation aux capacités de haut niveau”

La presse américaine, faisant écho à des sources anonymes, pointu Mardi, la responsabilité du service de renseignement extérieur russe, le SVR, dont les hackers sont surtout connus des experts en cybersécurité sous le pseudonyme de Cozy Bear ou APT29. Homologue discret et efficace de Fancy Bear, attaché au renseignement militaire russe (GRU), le groupe de hackers Cosy Bear est spécialisé dans l’espionnage de haut niveau, avec un fort intérêt pour les gouvernements occidentaux: par exemple, il visait à La campagne d’Hillary Clinton en 2016, cependant, après cette opération d’espionnage, rendre publiques les informations obtenues.

“Les attaquants sont parfaitement entraînés et opérés avec discipline et concentration”, a déclaré Mandia.

Pour FireEye, il ne fait guère de doute que l’attaque qu’il a subie était l’œuvre de“Une nation dotée de capacités offensives de haut niveau”. «L’attaque est différente des dizaines de milliers de personnes sur lesquelles nous avons travaillé pendant des années. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont bien formés et exploités avec discipline et concentration. Ils ont agi clandestinement, en utilisant des méthodes qui échappaient aux outils de détection et à diverses techniques que nous n’avions jamais vues dans le passé », Kevin Mandia a détaillé sur le site Web de l’entreprise.

Bien que des entreprises comme FireEye soient spécialisées dans la sécurité informatique, elles sont également la principale cible des pirates. Kaspersky, homologue russe de FireEye ainsi il avait été pénétré par des hackers, vraisemblablement israéliennes, en 2017. Ces entreprises sont doublement intéressantes pour les hackers. Tout d’abord, ils hébergent des informations sur leurs clients, parfois extrêmement détaillées et liées notamment à leurs mécanismes de défense. Ils mènent ensuite de facto des opérations de contre-espionnage dans le cyberespace en exposant les activités des services de renseignement les plus sophistiqués. Assez pour rétrécir quelques dents.