Des pirates informatiques chinois s'attaquent aux systèmes du Trésor américain lors d'un incident de cybersécurité alarmant
Le département du Trésor américain a confirmé que des pirates informatiques chinois ont accédé à distance à des postes de travail et à des documents non classifiés, ce que les autorités qualifient d’« incident majeur de cybersécurité ». L’attaque s’est produite après que des pirates ont compromis un service basé sur le cloud exploité par BeyondTrust, une société spécialisée dans la gestion des accès privilégiés.
Bien que les responsables du Trésor aient reconnu la gravité de l'incident, les détails cruciaux restent flous. Le ministère n'a pas révélé le nombre de postes de travail touchés ni la nature des documents consultés.
Table des matières
Une faille de sécurité liée à une menace persistante avancée liée à la Chine
L'attaque, attribuée à un groupe APT (Advanced Persistent Threat) parrainé par l'État chinois, s'est déroulée après que les pirates ont exploité une clé API volée utilisée par BeyondTrust. Selon Aditi Hardikar, secrétaire adjoint à la gestion au département du Trésor, BeyondTrust a informé le Trésor le 8 décembre d'une activité suspecte liée à son service d'assistance technique basé sur le cloud.
« Grâce à l'accès à la clé volée, l'acteur de la menace a pu outrepasser la sécurité du service, accéder à distance aux postes de travail des utilisateurs des bureaux départementaux du Trésor (DO) et récupérer des documents non classifiés conservés par ces utilisateurs », a expliqué Hardikar dans une lettre aux législateurs.
Bien que les systèmes non classifiés soient généralement moins sensibles que les réseaux classifiés, leur compromission peut néanmoins présenter un risque important, exposant potentiellement les opérations gouvernementales ou permettant de nouvelles attaques.
Une réponse coordonnée est en cours
Le Trésor a fait appel à l'Agence de cybersécurité et de sécurité des infrastructures (CISA), au FBI, à la communauté du renseignement et à des enquêteurs privés pour analyser la faille et évaluer son impact. Selon Hardikar, ces agences collaborent pour garantir que l'incident soit contenu et pour renforcer les défenses contre les menaces futures.
La réponse rapide de la CISA, associée à la décision du Trésor de mettre immédiatement hors ligne le service compromis, n'a jusqu'à présent révélé aucun signe indiquant que les pirates ont toujours accès aux systèmes ministériels.
Vulnérabilité de BeyondTrust exploitée
BeyondTrust, le fournisseur au cœur de l'incident, a récemment publié des correctifs pour une vulnérabilité critique (CVE-2024-12356) dans ses produits Privileged Remote Access (PRA) et Remote Support (RS). Le 5 décembre, l'entreprise a découvert qu'une clé API pour son SaaS Remote Support avait été compromise, déclenchant un arrêt immédiat des instances affectées et une notification aux clients concernés.
Contexte : une vague plus large de cyberespionnage chinois
Cette attaque contre le Trésor intervient dans un contexte de craintes accrues concernant une vaste campagne de cyberespionnage chinoise, surnommée « Salt Typhoon ». Cette campagne aurait permis à Pékin d'accéder à des communications sensibles, notamment des SMS et des conversations téléphoniques, impliquant des citoyens américains.
Fin décembre, les autorités américaines ont confirmé que neuf entreprises de télécommunications avaient été compromises par Salt Typhoon. Bien que cette faille du Trésor américain ne semble pas avoir de lien entre elle et les attaques, elle met en évidence l'ampleur et la sophistication des cyberopérations menées par l'État chinois et visant les infrastructures et les systèmes gouvernementaux américains.
Principaux points à retenir
Cet incident est un rappel brutal des vulnérabilités critiques que représentent les dépendances logicielles tierces. Les services basés sur le cloud, souvent considérés comme pratiques et sécurisés, peuvent devenir une porte d'entrée pour les attaquants s'ils sont exploités.
Les organisations, qu'elles soient gouvernementales ou privées, doivent rester vigilantes et mettre en place des protocoles de sécurité robustes, des correctifs réguliers et des plans de réponse aux incidents complets. L'engagement rapide du gouvernement américain auprès des agences de cybersécurité souligne l'importance d'une réponse coordonnée aux cybermenaces.
À mesure que l’enquête se déroule, une chose est claire : les enjeux de la cybersécurité sont plus élevés que jamais à une époque de tensions géopolitiques croissantes et de cyberattaques de plus en plus sophistiquées.