
Les États-Unis mettent en garde contre un paysage de menaces informatiques « modifié à jamais »
Les activités récemment révélées du groupe de pirates informatiques Volt Typhoon, soutenu par la Chine, ont incité les autorités américaines à émettre des avertissements. Selon ces communiqués, le paysage des menaces informatiques a été modifié à jamais. En particulier, les activités découvertes marquent un tournant fondamental pour les opérations de piratage parrainées par des États : les objectifs visés et les techniques utilisées ont changé.
Une nouvelle forme de menaces informatiques
Pendant de nombreuses années, les activités de piratage informatique parrainées par des États n’ont eu que des objectifs limités. Le plus souvent, il s’agissait surtout d’opérations d’espionnage stratégique et industriel. En d’autres termes, ces actes malveillants pouvaient être perpétrés par des entités gouvernementales officielles ou par des gangs indépendants parrainés par un gouvernement, mais dans les deux cas, les efforts visaient principalement un objectif : infiltrer des systèmes dans le but de se procurer frauduleusement des données précieuses.
Les cibles étaient parfois des systèmes gouvernementaux contenant des données secrètes, par exemple en rapport à des plans stratégiques. Il arrivait aussi que les pirates recherchent des secrets commerciaux détenus par des entreprises dans l’espoir de les exfiltrer, l’objectif étant d’en tirer des avantages économiques concurrentiels. Par contre, il était très rare que l'objectif principal d’un tel acte ne soit qu’un sabotage, comme les apparences semblent l’indiquer pour l’attaque de 2014 contre Sony Pictures, commise semble-t-il par des acteurs malveillants nord-coréens. Même dans ces cas, les cibles visées n’étaient pas des infrastructures critiques.
L’usage d’outils technologiques pour mener une guerre cybernétique était également courant lors de conflits, comme l’illustre l'attaque russe de 2017 contre des cibles ukrainiennes (WannaCry, NotPetya). Mais l'objectif de ce type d’attaques était avant tout tactique : il s'agissait de perturber promptement les capacités de combat de l'ennemi.
En ce qui concerne l’activité de Volt Typhoon, elle est fondamentalement différente. Ma collègue Christine Barry l’a expliqué dans un article récemment publié. Des informations détaillés ont également été diffusées à ce sujet dans un avis sur la cybersécurité émis en février 2024 par la CISA (l’Agence de cybersecurité et de sécurité des infrastructures des États-Unis). Selon ce texte, l’activité de Volt Typhoon a consisté à pénétrer dans des systèmes d’infrastructure critiques qu’il n’y a aucune raison d’espionner, et à y maintenir une présence. Les cibles ont été choisies pour l’énorme intérêt stratégique qu’elles pourraient présenter en cas d’exacerbation des tensions internationales.
Une préparation de moyens d’action
L'objectif de cette activité n'est pas difficile à comprendre. La république populaire de Chine entend se préparer dans l’éventualité d’un regain de tension avec les États-Unis, voire d’une crise qui conduirait à un conflit armé entre les deux pays. Au cas où un tel scénario se produirait, elle souhaite disposer de moyens déjà en place pour pouvoir nuire aux capacités des États-Unis : elle souhaite pouvoir saboter des infrastructures et des installations industrielles essentielles, semer le chaos et la panique et occasionner un désordre général. Il ne fait aucun doute que de telles activités pourraient avoir des conséquences très dangereuses pour les communautés et les individus dans tout le pays.
« En ce que concerne les tentatives que les Chinois ont menées pour porter atteinte à des infrastructures critiques, il est très clair que l’objectif est en partie de se préparer à pouvoir nuire à ces infrastructures critiques en cas de conflit, voire à pouvoir les détruire. Il pourrait s’agir d’empêcher les États-Unis de projeter leur puissance en Asie ou de désorganiser largement le fonctionnement interne de la société aux États-Unis. L’intention des acteurs est d'affecter notre capacité à prendre des décisions en cas de crise », a déclaré Brandon Wales, directeur exécutif de la CISA, l’agence du ministère de la Sécurité intérieure chargée de la cybersecurité et de la sécurité des infrastructures. « Cette situation marque un changement important par rapport à l’activité des pirates chinois d'il y a sept à dix ans. À cette époque, leur objectif consistait principalement à espionner des cibles politiques et économiques. » — The Washington Post
Une nouvelle posture pour l’avenir
Le ministère de la Justice est convaincu que les intrusions récemment découvertes ont été efficacement contrecarrées, mais la CISA et d'autres organismes ont émis des messages clairs : ces activités représentent un nouveau cours normal dans le paysage de la sécurité informatique. Elles vont devoir faire l’objet d’une vigilance constante de la part des agences américaines chargées de la protection contre les menaces en ligne. En conséquence, la posture de ces organismes va devoir être modifiée.
Comme le feront probablement d’autres acteurs à l’avenir, Volt Typhoon emploie une diversité de techniques d’exploitation de ressources locales (LotL) pour éviter la propagation d’indicateurs de compromission reconnaissables. Pour cette raison, la détection de ces techniques a récemment fait l’objet d’une publication de la CISA, document dont la diffusion prend actuellement de l’ampleur dans les organismes publics et privés responsables d’infrastructures critiques.
Ce rapport récent de la CISA mentionne, entre autres choses, une liste de mesures que n’importe qui peut reprendre immédiatement pour réduire les risques d’être affecté par les activités de Volt Typhoon :
Appliquer des correctifs aux systèmes connectés à Internet. Corriger en priorité les vulnérabilités critiques présentes dans les dispositifs qui, selon les informations existantes, sont fréquemment ciblés par Volt Typhoon. Ces dispositifs comprennent les routeurs, les RPV et les pare-feux présentant des vulnérabilités, qu’elles soient connues ou du jour zéro.
Mettre en œuvre un système d’authentification multifacteur résistant à l’hameçonnage. En recourant à l'authentification multifacteur pour tous les systèmes critiques, il est possible de réduire considérablement les risques que des informations d'identification volées puissent servir pour commettre des intrusions. Une solution encore meilleure consiste à mettre en place une architecture basée sur la confiance zéro.
Vérifier que l’enregistrement des événements liés aux applications, aux accès et à la sécurité est bien activé. Sauvegarder ces enregistrements dans un système centralisé. Dès les premiers signes d’une intrusion, il est essentiel de disposer d’un référentiel centralisé de journaux d’événements pour déterminer l’étendue et les détails du problème.
Planifier la « fin de vie » des dispositifs technologiques au-delà de leur cycle de vie pris en charge par le fabricant. Dans les systèmes basés aux États-Unis, le matériel de connexion aux réseaux reste souvent utilisable après sa date de fin de vie, quand des correctifs ne sont plus émis pour rectifier les nouvelles vulnérabilités qui apparaissent. De nombreux acteurs malveillants, dont Volt Typhoon, analysent régulièrement les systèmes de leurs victimes potentielles pour y détecter ce type de matériel.
Un optimisme modéré
Il ne fait pas de doute que l’évolution de l'environnement stratégique à laquelle nous assistons est très préoccupante pour la sécurité informatique. Les responsables de la sécurité informatique du gouvernement américain ont tout de même invoqué récemment quelques raisons d'être optimistes à ce sujet. Au cours de la dernière conférence RSA et lors d’entretiens avec The Record, ils ont déclaré qu’une page était en train d’être tournée aux États-Unis avec l'adoption d'une nouvelle posture de sécurité plus efficace en réponse aux nouvelles menaces :
« J’estime que notre adversaire n’est pas un géant qui nous terrasse de toute sa hauteur et que, collectivement, nous ne sommes pas acculés dans un coin en position fœtale avec un boulier », a déclaré le major-général des Marines Lorna Mahlock, commandante de la force d’intervention nationale sur la sécurité informatique du Cyber Command américain. S’exprimant cette semaine au cours d’une table ronde, elle a précisé :
« Nous avons dans l’industrie des partenaires qui mènent une réflexion délibérée sur les menaces à surveiller. Ils font preuve d’une véritable créativité. Et je pense que c’est vraiment là que réside notre avantage en tant que superpuissance, car la situation est asymétrique. »
Éric Goldstein, directeur exécutif adjoint de la CISA chargé de la cybersécurité, a déclaré que les autorités ne se contenteraient pas de tirer la sonnette d'alarme à propos de Volt Typhoon, comme elles l’ont déjà fait : le gouvernement a également l’intention de se féliciter haut et fort des victoires remportées contre ce groupe prochinois.« Je pense vraiment que nous allons parler publiquement des progrès que nous observons sur l’état de nos infrastructures critiques, qui sont visiblement en train de devenir de plus en plus renforcées et résilientes », a-t-il déclaré. — The Record, 9 mai 2024

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter