L’affaire FireEye ou quand une entreprise experte dans la sécurité informatique se fait hacker

Unsplash

FireEye, connue comme le poids lourd américain de la cybersécurité a été piraté. Pour l’entreprise, il s’agit d’une attaque de ‘haut niveau’ réalisé probablement avec une ‘aide étatique’. Problème : les logiciels FireEye sont utilisés par toutes les plus grandes sociétés américaines, ainsi que par des organisations gouvernementales.

L’entreprise FireEye a rendu publique cette attaque mardi dans un communiqué: ‘Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un État’. Toutefois, la firme ne précise pas quand ni comment l’attaque s’est déroulée.

Mais les pirates ont dérobé de nombreux outils informatiques développés par l’entreprise. Et cela comprend des logiciels qui servent à protéger leurs clients d’attaques informatiques. Le risque est donc que les pirates se servent des outils volés à FireEye pour réussir à passer les défenses numériques des entreprises et organisations clientes. Des services gouvernementaux occidentaux font régulièrement appel aux services de FireEye. Le FBI a lancé donc une enquête pour trouver qui était derrière cette attaque.

Les Shadow Brokers

Cette affaire n’est pas sans rappeler l’affaire des Shadow Brokers. En 2016, des hackers ont volé des outils informatiques de l’Equation Group, une unité de la National Security Agency et les avaient ensuite publiés sur internet. Les services dérobés ont permis de révéler des programmes de surveillance de la NSA, qui avait choqué l’opinion publique. En outre, les hackers avaient pu mettre en évidence des failles dans certains programmes de protection notamment utilisés par Windows ou Cisco. Enfin, ils ont également annoncé qu’ils savaient comment pirater les données du fournisseur bancaire SWIFT ou les programmes nucléaires de la Russie, de la Chine, de l’Iran et de la Corée du Nord.

À l’heure actuelle, on ne sait pas encore le but des hackers : obtenir des armes nucléaires, s’en servir pour faire chanter FireEye ou voler des données sur les clients ? Selon Kevin Mandia, CEO de la firme de cybersécurité, il n’y a toutefois aucune preuve que les informations sensibles de ses clients avaient été exfiltrées. En outre, les logiciels volés n’exploitent pas de ‘zero day’, c’est-à-dire des failles inconnues dans le monde informatique.

L’implication d’un État

Le CEO explique que l’attaque était ‘hautement sophistiquée’. ‘Ils sont hautement qualifiés en matière de sécurité opérationnelle et se sont exécutés avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes capables de contrer les outils de sécurité et d’analyse forensique’, précise-t-il sur son blog.

Cette précision et ces compétences ont conduit l’entreprise à penser que l’attaque était soutenue par un État. Pour le FBI, l’implication d’un État est cohérente avec les techniques utilisées. Toutefois, l’enquête n’en est qu’à ses débuts et aucun pays n’a été publiquement accusé de cette attaque.

En attendant que le ou les auteurs soient retrouvés, s’ils le sont un jour, FireEye a publié ‘300 contre-mesures’ à l’intention des firmes clientes et des experts en cybersécurités pour tenter d’empêcher que les outils volés soient utilisés lors d’un nouveau piratage.

Lire aussi: