Quatre agences gouvernementales américaines viennent de publier un communiqué dans lequel elles accusent directement la Russie pour la première fois d’être derrière le piratage de SolarWinds.
SolarWinds est un fournisseur américain de logiciels prisés des plus grandes entreprises et administrations. La société revendique compter parmi ses clients 425 entreprises du classement Fortune 500, soit les 500 plus grosses entreprises américaines.
Le 12 décembre dernier, plusieurs médias américains révélaient qu’un malware avait infecté le logiciel de gestion Orion de l’entreprise texane, utilisé par de très nombreuses entreprises et agences américaines.
Pendant plus de six mois, les hackers ont eu accès à des données sensibles auprès des clients de SolarWinds, parmi lesquels figurent 10 agences gouvernementales, à l’image des départements d’Etat, de la Défense, du Commerce, du Trésor ou encore de la Sécurité intérieure, tandis que des firmes comme Microsoft ont également été victimes du hack.
L’enquête a été confiée au FBI (Police fédérale américaine), à la NSA (Agence de sécurité nationale), à la CISA (Agence américaine de cybersécurité), rattachée au département de la Sécurité intérieure, et au DNI (Renseignement national américain).
Elles ont déclaré dans un communiqué publié hier mercredi que leurs « travaux indiquent qu’un acteur de menace avancée persistante (APT), probablement d’origine russe, est responsable de la plupart ou de la totalité des cyber-compromis récemment découverts et en cours sur les réseaux gouvernementaux et non gouvernementaux », et que l’action consistait en une collecte de renseignements.
Des sources citées par le Washington Post y voient plus précisément la main du groupe de cybercriminels APT29, connu également sous le nom de Cozy Bear. Ce groupe, lié aux renseignement russes, a pour habitude de cibler des organisations publiques et est notamment impliqué dans le piratage du Comité national démocrate en lien avec l’ingérence russe dans les élections présidentielles américaines de 2016, au cours duquel des données avaient été dérobées.
L’enquête se poursuit, notamment pour déterminer si d’autres cibles au sein des administrations publiques ont été visées. La cyberattaque s’étendrait bien au-delà des Etats-Unis. Déjà, mi-décembre, Microsoft indiquait avoir identifié des victimes en Belgique, en Espagne et au Royaume-Uni. La Russie, qui avait déjà été évoquée par des experts dès que la cyberattaque a été mise à jour, nie en bloc les accusations qui pèsent à son encontre.