Des profondeurs d'Internet : une entreprise de cybersécurité victime d'un piratage !

FireEye est une entreprise de cybersécurité cotée en bourse, basée en Californie, qui s'occupe de la détection et de la prévention des cyberattaques. Elle emploie 3200 personnes, compte de grands clients de renom comme l'entreprise financière JP Morgan Chase ou l'entreprise de divertissement Sony Film et est connue pour identifier des groupes de pirates informatiques de haut niveau. L'un d'entre eux a désormais réussi à renverser la vapeur, du moins à court terme. Comme de nombreuses autres entreprises de cybersécurité, FireEye utilise des outils numériques pour émuler les outils des pirates. Afin d'améliorer la sécurité de l'infrastructure informatique de ses clients, FireEye cherche - tout comme un véritable pirate - à exploiter les failles de leurs systèmes. Pour ce faire, l'entreprise utilise le savoir-faire qu'elle a pu acquérir en analysant de véritables outils de piratage utilisés lors d'attaques contre des clients. Ce sont ces outils, appelés Red Team, qui ont été volés.

Qui est derrière l'attaque ?

Le piratage de FireEye était si sophistiqué et réussi que l'entreprise a demandé l'aide du FBI et d'entreprises apparentées au secteur comme Microsoft. Le Washington Post a appris qui était à l'origine de l'attaque : il s'agirait de pirates d'un groupe appelé APT 29 ou « Cozy Bear », attribué au service de renseignement extérieur russe SVR. Ce n'est toutefois qu'une hypothèse, même si elle revient régulièrement.

Toujours est-il que FireEye souligne qu'aucun des outils volés n'utilise de mécanismes dits d'exploits « zero day », qui prennent pour cible des vulnérabilités logicielles secrètes et non corrigées - ce qui les rendrait extrêmement dangereux. Une vulnérabilité zero day est une faille dans un logiciel informatique qui n'est pas connue de ceux qui sont intéressés par sa correction. Tant que la faille n'est pas corrigée, elle peut être utilisée comme porte d'entrée lors d'une attaque[ii].

300 contre-mesures pour neutraliser ses propres outils

Chez FireEye, on part apparemment du principe que les pirates utiliseront eux-mêmes les outils volés, les partageront avec d'autres ou les rendront publics. Le CEO de FireEye, Kevin Mandia, a annoncé que FireEye proposait plus de 300 contre-mesures destinées à rendre plus difficile l'utilisation efficace des outils de piratage volés. L'entreprise a intégré ces contre-mesures numériques, principalement des mécanismes de détection et des outils de blocage, dans ses propres produits de sécurité, les a partagés avec d'autres entreprises et les a également rendus publics[iii].

L'attaque a également fait remonter à la surface les rumeurs d'une participation de la CIA dans FireEye. Mais l'entreprise a toujours affirmé que ce n'était pas le cas. Elle se préoccupe uniquement de la protection des clients, indépendamment de toute autorité gouvernementale.

Les pirates ne connaissent pas les frontières nationales

Comme les cybercriminels agissent sans tenir compte des frontières, le piratage de FireEye pourrait également avoir des répercussions en Suisse. Certes, selon Maik Paprott, chef de l'équipe de renseignement sur la sécurité d'UMB, il n'y a pas encore eu d'incident lié à cette affaire. Mais les cyberattaques gagneraient en virulence ; seule une gestion propre et continue des vulnérabilités permettrait de s'en protéger.

Un centre de cyberdéfense où les attaquants se cassent les dents.

Le centre de cyberdéfense d'UMB assume, sur demande, l'entière responsabilité de votre sécurité informatique. Nous sécurisons votre environnement informatique en peu de temps. Notre équipe de Security Intelligence a déjà pris les mesures nécessaires pour sécuriser les infrastructures informatiques de nos clients contre les nouvelles menaces connues. N'hésitez pas à nous contacter.

[ii] https://en.wikipedia.org/wiki/Zero-day_(computing)

[iii] https://github.com/fireeye/red_team_tool_countermeasures