Panique dans l'écosystème de la cybersécurité. L'éditeur américain spécialisée en solutions de cybersécurité, FireEye, a été touché par un piratage dont l'ampleur aussi bien que les techniques utilisées révèlent qu'il a probablement été effectué au niveau d'un Etat. FireEye n'est pas le premier éditeur à être visé par ce type de cyberattaque, cela avait notamment été le cas de RSA par le passé. « Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et ont exécuté leur attaque avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et les examens forensics. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n’avons pas été témoins dans le passé », raconte dans un billet de blog Kevin Mandia, CEO de Fireye.

Si l'origine de la cyberattaque n'a pas été officiellement été établie, les yeux de nombreux observateurs se tournent vers la Russie. FireEye est-il victime d'un revenge hack ? Il ne faut pas oublier que l'éditeur américain - qui s'attend à réaliser près d'1Md$ de revenus en 2020 - avait identifié la Russie comme ayant joué un rôle dans le piratage d'un site industriel pétrochimique en Arabie Saoudite via les malwares Triton/Trisis. L'histoire n'en n'est pas restée là, car des mesures de rétorsion ont justement été prises très récemment suite à cette affaire par le Département du Trésor américain à l'encontre du Central Scientific Research Institute of Chemistry and Mechanics russe.

Plus de 300 contre-mesures prises par FireEye pour aider ses clients

FireEye a lancé d'urgence une enquête en coordination avec le FBI et d'autres partenaires clés dont Microsoft pour mieux cerner les techniques d'attaque inédites utilisées. L'éditeur a aussi indiqué qu'au cours de cette intrusion, des outils de hack red team ont été accédés. Il ne s'agit pas de n'importe lesquels puisque ces derniers sont employés pour tester la capacité de résistance des systèmes informatiques des clients de FireEye à des cyberattaques et fournir des diagnostics de sécurité. Si le fournisseur a précisé qu'aucun de ces outils ne contient des exploits zero day, cela ne veut pas pour autant dire que les 9 600 clients de FireEye répartis dans plus d'une centaine de pays dans le monde ne risquent rien. « Nous ne savons pas si l'attaquant a l'intention d'utiliser nos outils Red Team ou de les divulguer publiquement. Néanmoins, par prudence, nous avons développé plus de 300 contre-mesures pour nos clients, et la communauté dans son ensemble, à utiliser afin de minimiser l'impact potentiel du vol de ces outils », a expliqué Kevin Mandia. Un répertoire GitHub contenant toutes les contremesures prises par FireEye a été publié.

Les conséquences de ce piratage d'envergure inédite ne sont pas prises à la légère aux Etats-Unis et les risques qui pèsent non seulement sur les entreprises mais aussi les agences gouvernementales sont soulevés. Preuve de la gravité de la situation, le président du comité du Renseignement de la Chambre des représentants des États-Unis (House Intelligence Committe) Adam Schiff a demandé une clarification de la situation : « Nous avons demandé aux agences de renseignement compétentes d'informer le Comité dans les jours à venir de cette attaque, des vulnérabilités qui pourraient en découler et des actions visant à en atténuer les impacts ».