Les cyber-cops américains et britanniques ont lancé une ‘alerte technique’ commune sur une cyberattaque mondiale. Elle serait menée contre les routeurs, les commutateurs, les pare-feux et les réseaux, par des hackers sponsorisés par la Russie. Hormis peut-être son ampleur, l’attaque ne sort pourtant pas de la routine russe...

Le DHS (Department of Homeland Security) et le FBI (Federal Bureau of Investigation) américains, ainsi que le NCSC (National Cyber Security Centre) britannique ont lancé une TA (Technical Alert) sur une attaque mondiale contre les infrastructures réseaux menée par un groupe sponsorisé par la Russie.

Lire également « Géopolitique et cybersécurité, Syrie et Russie : internet et entreprises sont en danger ! » 

L’attaque concerne en priorité les infrastructures réseaux – routeurs (router), commutateurs (switch), pare-feux (firewall) et équipements NIDS (Network-based Intrusion Detection System) – des gouvernements, des entreprises du secteur privé, les fournisseurs d’infrastructure stratégique et les fournisseurs d’accès ISP (Internet service provider) qui les supportent.

L’alerte est référencée TA18-106A sur le site officiel US-CERT, cliquer ici

TA-US-Russie

Des pirates russes s’attaquent à nos infrastructures

Selon le document publié, les cyber-attaquants russes tirent parti des vulnérabilités connues des réseaux et liées à des équipements vieillissants. Comme les appareils avec des protocoles non cryptés existants ou des services non authentifiés, des dispositifs insuffisamment durcis avant l'installation, et les périphériques principalement en fin de vie qui ne sont plus pris en charge avec des correctifs de sécurité par leurs fabricants.

L’avertissement précise que « Le FBI est convaincu que les cyber-acteurs sponsorisés par l'Etat de Russie utilisent des routeurs compromis pour mener des attaques de type ‘man-in-the-middle’ pour soutenir l'espionnage, extraire la propriété intellectuelle, maintenir un accès persistant aux réseaux de victimes ».

C’est dans les vieux pots...

Pourtant, rien de neuf ici, c’est la même méthode largement utilisée par les hackers russes pour disposer d’un accès intermittent et persistant aux infrastructures essentielles et à la propriété intellectuelle. Elle exploite les protocoles et ports de service anciens et faibles associés à l’administration des réseaux, plus particulièrement l’encapsulation GRE, les équipement Cisco SMI et le protocole SMTP. Ce modèle d’attaque n’exploite ni faille 0-day ni logiciel malveillant, mais cible des équipements anciens et encore largement répandus et distribués, qui reçoivent moins d’attention et disposent de peu d’outils de sécurité.

Pour autant, la méthode a depuis longtemps fait ses preuves dans l’espionnage et le vol de propriété intellectuelle. Et surtout elle peut potentiellement permettre à un pirate de modifier ou de refuser le trafic traversant sur le routeur, voire de copier ou rediriger ce trafic vers une infrastructure contrôlée (et russe).

Des attaques en lien avec la Syrie ?

Cette alerte intervient deux jours après les frappes des Etats-Unis, de la Grande-Bretagne et de la France contre des équipements présumés de guerre chimique en Syrie. Mais la cyberattaque est-elle liée à ces évènements ? Le calendrier semble correspondre, mais pas la réactivité. Elle correspond plutôt à une riposte après la crise des relations américano-britanniques avec la Russie liée aux accusations de l’Internet Research Agency, aux élections de 2016, à l’empoisonnement de Skripal, ou encore aux expulsions de diplomates.

Inscrite dans la routine, l’attaque mondiale en cours surprend plus par son ampleur que par son mode opératoire, trop classique. Surtout que dans le même temps la diplomatie américaine joue à un jeu trouble : après avoir condamné la Russie et mis en place des sanctions ce dimanche, annoncées à l’ONU, la Maison Blanche y a mis fin dès le lendemain, lundi… L’administration Trump ne lésine pas sur les coups de gueules, mais par derrière cherche à modérer le ressentiment russe !

Où est la France ?

Le ton monte dans le cyberespace. Les autorités américaines et britanniques pointent la Russie et accusent Moscou de sponsoriser l’attaque qui se déroule actuellement. Une attaque massive et mondiale, nous dit-on. Dans la réalité, les accusateurs restent flous ! Dans une déclaration, le DHS a même déclaré manquer d’une « vision exhaustive de l’ampleur de l’attaque ». L’absence de la France dans les déclarations surprend également.

La Russie réagit souvent aux évènements qui la mettent en cause par des vagues de cyberattaques. Cette offensive était attendue, annoncée par les autorités américaines depuis plusieurs mois. Sa méthode demeure classique. Et si elle intervient deux jours après les frappes en Syrie, il se pourrait qu’il n’y ait pas de lien entre ces deux évènements. C’est en tout cas la position adoptée par le chargé de la cybersécurité à la Maison Blanche, Rob Joyce. Le calendrier est simplement opportuniste pour la Russie.

La fébrilité...

DHS, FBI et NCSC ont-il crié au loup trop tôt ? L’attaque mondiale dénoncée par ces organisations n’est-elle qu’une action programmée depuis longtemps, ou peut-être un test, un prélude à quelque chose de plus sérieux ? « Il n’y a pas de fumée sans feu », affirme judicieusement le dicton. La prudence reste donc de mise.

Au final, le seul point innovant dans cette affaire, c’est la coordination des services américains et britannique. Elle est connue, mais ne s’était pas encore exprimée ainsi, ce qui démontre certainement une relative fébrilité de la part des autorités. Voilà qui ne présume rien de bon pour l’avenir. La guerre du futur sera bien une cyberguerre...

Image d’entête 937117992 @ iStock z_wei