L’attaque « SolarWinds », une infiltration informatique d’une ampleur rarement vue, a visé le gouvernement américain en 2020. Et ses répercussions pourraient se faire sentir pendant des années.

Nicolas Bérubé Nicolas Bérubé
La Presse

Que s’est-il passé ?

Tout a commencé lorsqu’un serveur de l’entreprise de logiciels SolarWinds d’Austin, au Texas, a fait l’objet d’une attaque informatique non détectée, en septembre 2019. Des pirates ont eu accès au système de production d’Orion, le logiciel phare de SolarWinds, qui est utilisé par des milliers d’entreprises et d’organisations dans le monde.

« Orion est un logiciel qui fonctionne en arrière-plan et qui permet de gérer de gros réseaux informatiques, explique en entrevue téléphonique Brandon Valeriano, chercheur à la Marine Corps University, en Virginie, et expert en cyberdéfense. C’est un logiciel très répandu, utilisé par différents gouvernements, des organisations et des entreprises privées. »

PHOTO SERGIO FLORES, ARCHIVES REUTERS

Le siège social de SolarWinds à Austin, au Texas

Les pirates informatiques ont installé un virus dans le système de mise à jour d’Orion. Sur les 300 000 clients de SolarWinds dans le monde, 33 000 utilisent Orion, et environ 18 000 ont par la suite téléchargé et installé cette mise à jour infectée. Cela a donné la possibilité aux pirates d’accéder à leurs réseaux informatiques sans être détectés.

Qui a été touché ?

La vaste majorité des 18 000 clients infectés n’ont pas été infiltrés, mais au moins 250 l’ont été, notamment des entités gouvernementales en Belgique, en Espagne, au Royaume-Uni, en Israël, aux Émirats arabes unis et au Mexique.

Mais l’attaque a surtout visé les États-Unis. En plus de plusieurs grandes entreprises comme Microsoft, au moins six départements du gouvernement américain, dont ceux de l’Énergie, du Commerce, du Trésor et le département d’État, ont été infiltrés. Les réseaux de l’Administration nationale de la sécurité nucléaire ont également été touchés.

Des responsables du gouvernement canadien ont confirmé en décembre n’avoir détecté aucune attaque liée au piratage de SolarWinds – malgré le fait que de nombreux organismes gouvernementaux utilisent les produits de SolarWinds.

Qui est derrière l’attaque ?

Le gouvernement américain a dit que la Russie était derrière l’attaque. Lié au Service des renseignements extérieurs de la Fédération de Russie (SVR), le groupe de pirates informatiques russes baptisé Cozy Bear serait responsable de l’infiltration. Il s’agit du même groupe qui a été impliqué dans le piratage des courriels du Comité national démocrate, piratage qui avait provoqué l’ingérence russe dans l’élection présidentielle américaine de 2016.

Le problème est-il réglé ?

L’infiltration est connue depuis décembre 2020, mais elle a duré des mois, probablement durant la majorité de l’année 2020, note Brandon Valeriano. « Aujourd’hui, on sait ce qui s’est passé, et on tente de faire le ménage et de voir l’étendue des dommages. Le problème, bien sûr, c’est qu’empêcher les accès illicites et réparer les réseaux dépend de la qualité de votre équipe informatique, ou de votre équipe de cybersécurité. C’est un peu comme la distribution des vaccins contre la COVID-19 : ça ne se fait pas partout de façon uniforme. Avec les attaques SolarWinds, c’est la même chose. »

Il y a aussi la possibilité que des « portes de derrière » aient été installées par les pirates lors de leur infiltration, et que celles-ci n’aient pas été encore détectées. « Alors même si on a l’impression d’avoir mis fin aux accès illicites, on n’en est pas certain. C’est comme un voleur qui quitte votre maison, mais qui laisse une fenêtre déverrouillée. C’est une possibilité. Ça va prendre du temps pour voir comment on apprend à contrôler les systèmes pour être sûrs que des gens ne peuvent s’y infiltrer à nouveau. »

Quelles informations ont été volées ?

On ne le sait pas encore : dans certains cas, il sera même impossible de le savoir, dit Brandon Valeriano. « Si vous n’avez pas un bon inventaire de ce que vous avez, et de qui peut y accéder, vous ne saurez peut-être jamais ce qui a été pris. C’est le propre de la cybersécurité : souvent, il y a des choses qu’on ne peut pas savoir. Il faut vivre avec ça, et ce n’est pas facile. »

Thomas Rid, expert en cyberconflits à l’Université Johns Hopkins, a déclaré à l’Associated Press qu’il était probable que les pirates informatiques aient collecté une telle quantité de données qu’« ils ne savent probablement pas encore » quelles informations utiles ils ont en leur possession.

Que fait le gouvernement américain ?

L’administration de Joe Biden a ordonné au gouvernement fédéral de faire une analyse de ce qui a pu être volé ou copié par les pirates informatiques. En plus de dénoncer l’attaque, Joe Biden pourrait devoir orchestrer une réaction plus forte : plusieurs voix s’élèvent au Congrès pour demander à l’administration de ne pas laisser cette intrusion impunie.

« Cette violation massive de SolarWinds nous concerne tous et, franchement, ce n’est pas si surprenant, étant donné ce que nous avons constaté, à savoir que le gouvernement fédéral n’est pas bien préparé pour faire face à ce genre de violations », a déclaré le sénateur républicain de l’Ohio Rob Portman, ce mois-ci.

Est-ce sans précédent ?

Brandon Valeriano croit que l’attaque SolarWinds s’inscrit dans la lignée d’autres attaques informatiques survenues ces dernières années. « Le problème aux États-Unis est que nous n’avons pas de loi pour gérer les attaques informatiques. Si vous ne savez pas que quelque chose s’est produit, comment pouvez-vous vous protéger ? »

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) oblige les entreprises privées à protéger les données de leurs clients et à faire un rapport au gouvernement si elles sont victimes d’une attaque informatique.

Doit-on prévoir une hausse des attaques par des logiciels de rançon ?

Oui. Les attaques informatiques par des logiciels de rançon – des pirates verrouillent des données et exigent une rançon pour les relâcher – vont croître en 2021, selon un nouveau rapport dévoilé par la firme américaine de sécurité informatique Emsisoft. De telles attaques ont infecté plus de 2300 entreprises, écoles, hôpitaux et agences gouvernementales en 2020 aux États-Unis, et pourraient faire deux fois plus de victimes en 2021. Au Canada, des entreprises et des ordres de gouvernement ont été victimes de ces attaques ces dernières années, dont Revenu Québec, le gouvernement du Nunavut et les villes de Montmagny, Longueuil et Châteauguay, notamment.

« L’impact des attaques [aux États-Unis] a été alarmant : des ambulances étaient détournées, des traitements de patients cancéreux ont été retardés, des dossiers médicaux ont été temporairement inaccessibles et, dans certains cas, perdus, tandis que des centaines de membres du personnel ont été mis au chômage technique en raison des perturbations », énumère Emsisoft. Dans certains cas, des informations sensibles ont été volées et publiées sur l’internet.

— Avec la collaboration de l’Agence France-Presse