Annoncée par le patron de FireEye, le géant de la cybersécurité, l’attaque perpétrée contre les outils Red Team de l’éditeur risque de mettre en péril l’intégrité des systèmes d’informations de ces clients. L’éditeur a mis en œuvre des contre-mesures et une page d’information sur son blog.
Stupeur et tremblement dans le microcosme de la cybersécurité : FireEye, l’éditeur américain spécialisé dans la cybersécurité, a été victime d’une attaque « hautement sophistiquée » selon les dires de Kevin Mandia son CEO. Réagissant dans un billet de blog, le patron de la firme de cybersécurité accuse un état, qu’il n’a pas nommé, d’avoir mis les moyens pour parvenir à ses fins. « Sur la base de mes 25 années d’expérience dans le domaine de la cybersécurité et de la réponse aux incidents, j’ai conclu que nous sommes témoins d’une attaque par une nation dotée de capacités offensives de haut niveau, explique Kevin Mandia. Cette attaque est différente des dizaines de milliers d’incidents auxquels nous avons répondu au fil des ans ».
Le patron de la firme annonce que ses services en coordination avec le FBI et Microsoft enquêtent sur l’attaque qu’il estime parrainée par un état et utilisant des techniques nouvelles. Le fait que le FBI soit mêlé à l’enquête démontre que les soupçons de l’intervention d’un état sont fondés. Kevin Mandia n’a pas dévoilé de détails sur le type d’attaque et les techniques utilisées par les assaillants. Il révèle toutefois que l’attaque a visé les outils d’évaluation Red Team, utilisés pour tester la sécurité des clients de FireEye. « Ces outils imitent le comportement de nombreux acteurs de la cybermenace et permettent à FireEye de fournir des services de diagnostic de sécurité essentiels à nos clients. Aucun de ces outils ne contient d’exploits de type zero-day », affirme Kevin Mandia.
Plus de 300 contre-mesures mises en œuvre
Le CEO de FireEye a ensuite donné quelques détails sur le type d’informations recherchées par les hackers. Selon lui, ils ont principalement cherché des informations liées à certains clients gouvernementaux. « Bien que l’attaquant ait pu accéder à certains de nos systèmes internes, à ce stade de notre enquête, nous n’avons trouvé aucune preuve que l’attaquant ait exfiltré des données de nos systèmes primaires, qui stockent des informations de nos interventions en cas d’incident ou de nos missions de conseil, ou les métadonnées collectées par nos produits dans nos systèmes dynamiques de renseignement sur les menaces. Si nous découvrons que des informations sur les clients ont été prises, nous les contacterons directement », affirme-t-il.
Reste que si les hackers ont pu mettre la main sur les informations engrangées par ces outils, ils accèdent par la même occasion aux rapports de test des systèmes de défense des clients de FireEye. Ce qui leur donnerait une visibilité exhaustive sur les moyens de défense mis en œuvre ainsi que les vulnérabilités détectées. Des informations hautement sensibles et qui doivent rester confidentielles. C’est une situation dont la dangerosité est d’une ampleur sans précédent, même si Kevin Mandia se veut rassurant en affirmant : « par excès de prudence, nous avons élaboré plus de 300 contre-mesures à l’intention de nos clients et de la communauté dans son ensemble, afin de minimiser l’impact potentiel du vol de ces outils ». La liste des contre-mesures mises en place est affichée et mise à jour dans une page spécifique du blog.
Des clients sous la menace
Pourquoi FireEye ? C’est la première question qui vient à l’esprit alors que des centaines d’entreprises évoluent dans l’écosystème de la cybersécurité. La thèse de la vengeance paraît peu plausible au regard des moyens et de la patience déployés durant cette attaque. N’étant pas la seule entreprise de cybersécurité à pointer d’un doigt accusateur certains états, dont la Russie, il est fort peu probable que ces états aient voulu punir seulement FireEye.
Le plus probable, si l’on en croit les dires de Kevin Mandia, c’est que l’attaque sur les outils Red Team visait indirectement un ou plusieurs de ses clients. L’entreprise a annoncé un CA de 612 millions de dollars au troisième trimestre 2020, en progression de 6 % par rapport à la même période de l’année dernière. Elle compte parmi ses clients (américains et internationaux) des organismes publics et de recherche (dont le CERN), mais aussi dans la santé, la finance et la banque, l’industrie… On notera également quelques clients sensibles comme le Ministère du Pétrole et des Ressources minérales de l’Arabie Saoudite, une bourse dont le nom est tenu secret et diverses banques en Finlande, Turquie et Indonésie, entre autres.