Le gouvernement américain a confirmé dimanche avoir observé une activité suspecte sur ses réseaux, des informations de presse indiquant que plusieurs agences gouvernementales ont été visées par des cyberattaques liés à un gouvernement étranger et qui viseraient à voler des informations confidentielles.
« Nous travaillons en étroite collaboration avec nos agences partenaires concernant les activités récemment découvertes sur les réseaux gouvernementaux » et « (fournissons) une assistance technique aux entités concernées », a confirmé à l’AFP un porte-parole de l’agence de cybersécurité et de sécurité des infrastructures (Cisa), qui dépend du ministère de la Sécurité intérieure. Il n’a pas donné d’autre détail, ni indiqué l’ampleur de l’attaque.
« Le gouvernement américain est au courant de ces informations et prend toutes les mesures nécessaires pour identifier et résoudre tout problème potentiel lié à cette situation », a déclaré un porte-parole du Conseil de sécurité nationale auprès de la Maison Blanche, John Ullyot.
Le groupe APT29 mis en cause
La Russie serait à l’origine de ces attaques, menées par le groupe APT29, qui était aussi derrière les attaques visant la candidate démocrate Hillary Clinton lors de la campagne présidentielle de 2016, a accusé le Washington Post.
Des pirates informatiques auraient eu accès, parfois depuis plusieurs mois, au courrier interne du département du Trésor et de l’administration nationale des télécommunications (NTIA), selon des informations de presse publiées dimanche.
Dans son « Who’s Who » de la cybercriminalité, l’éditeur en cybersécurité FireEye, qui a été lui-même le 9 décembre l’objet d’un piratage hautement complexe, dont il soupçonne un Etat d’être à l’origine, relève que « les auteurs d’attaques APT poursuivent un travail de longue haleine, sur plusieurs mois voire plusieurs années. Ils s’adaptent aux cyberdéfenses qui leur font face et s’en prennent souvent plusieurs fois à une même victime ».
Selon l’éditeur, le gouvernement russe est effectivement le responsable présumé du groupe APT 29, qui cible « les organismes publics d’Europe occidentale, les groupes de réflexion sur la politique étrangère » et d’ autres organisations similaires. « Doté d’une grande capacité d’adaptation, APT29 est un groupe de cyberpirates méthodiques qui dissimule ses activités au sein du réseau de sa victime et communique ponctuellement d’une façon très similaire au trafic légitime. En utilisant des services Web légitimes répandus, le groupe peut également exploiter les connexions SSL cryptées, ce qui le rend encore plus difficile à détecter. APT29 est l’un des groupes de cyberpirates les plus ingénieux et évolués qui soient. » Il est associés aux malwares HAMMERTOSS, TDISCOVER et UPLOADER.
L’ambassade russe aux Etats-Unis a qualifié de « sans fondement » les informations des médias américains, et a nié toute implication dans ces attaques présumées. « Les activités malveillantes dans l’espace de l’information sont en contradiction avec les principes de la politique étrangère russe, les intérêts nationaux et notre vision des relations entre les Etats« , a déclaré l’ambassade dans un communiqué sur sa page Facebook officielle. « La Russie ne mène pas d’opérations offensives sur Internet« , ajoute ce communiqué.
Juliette Paoli avec AFP
