Au moins dix agences gouvernementales américaines touchées, environ 18 000 structures fédérales et entreprises privées affectées et un coupable finalement officiellement désigné : "très probablement" la Russie. Les principaux services américains de renseignement – le FBI, la NSA, la CISA (Agence de cybersécurité et de la sécurité des infrastructures) et l’Office du directeur du renseignement national (ODNI) – ont rendu leurs conclusions, mardi 5 janvier, concernant une vaste opération de cyberespionnage aux États-Unis, découverte mi-décembre et qui est "toujours en cours", d’après le communiqué conjoint.

Le doigt accusateur pointé en direction de Moscou représente un camouflet pour le président sortant Donald Trump. Il avait contesté la piste russe, déjà évoquée peu après la découverte du piratage le 17 décembre, préférant faire de la Chine son suspect numéro 1.

Le maillon faible

Pour autant, aucune preuve n’est apportée par les agences américaines pour étayer les accusations contre les cyberespions russes. Ce n’est pas, en soi, étonnant : "Les États-Unis ne fournissent que rarement des preuves dans ce genre de cas afin de ne pas donner d’indice sur leur mode opératoire", explique Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky France, contacté par France 24.

Il n’empêche qu’à l’heure actuelle, il faut croire les Américains sur parole. "Rien de concret n’a encore été publié – ni par les services de renseignement, ni par les partenaires du secteur privé qui coopèrent à l’enquête – permettant de faire le lien avec la Russie", précise ce chercheur de Kaspersky, une entreprise de sécurité informatique qui, elle aussi, travaille activement à remonter la piste de cette cyberattaque.

Mais au-delà de cette passe d’armes politique autour de l’attribution de l’attaque, ces conclusions officielles confirment surtout son ampleur. "C’est l’une des plus importantes opérations de cyberespionnage orchestrées aux États-Unis", souligne Gérôme Billois, spécialiste en cybersécurité pour le cabinet de conseil spécialiste Wavestone, contacté par France 24.

Elle l’est d’abord par la sophistication des techniques d’intrusion informatique. Les assaillants ont pris le temps d’identifier le maillon faible parmi les fournisseurs de logiciels utilisés par l’administration américaine. Ils ont opté pour une société américaine, Solarwinds, qui vend des programmes pour gérer les réseaux. Un virus a été installé dans l’un de leurs produits, Orion, utilisé par près de 40 000 entreprises et administrations, dont Microsoft, le département d’État, le New York Times ou encore des groupes de télécommunication.

Ce premier logiciel malveillant a été conçu pour se propager sur les réseaux informatiques des clients de Solarwinds lorsqu’ils procédaient à une mise à jour d’Orion. Environ 18 000 d’entre eux l’ont fait, offrant ainsi une porte d’accès aux pirates informatiques. Mais ce n’est pas fini : ces cyberespions ont ensuite identifié plus de 250 structures qui les intéressaient particulièrement et y ont installé d’autres virus leur permettant de surveiller tout le réseau informatique et, le cas échéant, de voler des informations sensibles.

Revers cuisant pour les États-Unis

Et ils ont eu accès à certaines des administrations les plus importantes du pays, telles que le département d’État (le ministère des Affaires étrangères), les départements du Trésor, de la Sécurité nationale ou encore du Commerce et de l’Énergie. Ces pirates ont réussi à y rester sans éveiller des soupçons depuis mars 2020. C’est l’autre aspect qui distingue cette opération de cyberespionnage. "Plus que le nombre de victimes, c’est leur qualité qui compte ici", souligne Ivan Kwiatkowski.

Réussir un tel coup "nécessite des moyens à la fois humains et techniques conséquents, ne serait-ce que pour surveiller constamment les réseaux piratés, et échapper aux mesures de détection mises en place par ces administrations", estime Gérôme Billois. "Il est clair que pour le pays derrière cette attaque, il s’agissait d’une opération de grande importance", confirme Ivan Kwiatkowski.

Pour les États-Unis, c’est un revers cuisant. Cette affaire démontre à quel point le contrôle des logiciels utilisés par l’administration peut laisser à désirer. Depuis les premières révélations concernant cette attaque, on a en effet "appris que la sécurité informatique au sein de Solarwinds avait déjà été remise en question par le passé", rappelle Gérôme Billois.

L’étendue des dégâts transparaît aussi dans ce que les services de renseignement se gardent bien de dire dans leur communiqué commun. "On ne sait absolument pas à quelles informations ces espions ont pu avoir accès", souligne l’expert de Wavestone. D’habitude, les autorités font tout pour se montrer rassurantes, indiquant que les assaillants n’ont, par exemple, pas eu accès aux infrastructures critiques ou aux informations sensibles. Rien de tel cette fois-ci. "Il y a deux explications possibles : soit elles n’en savent rien encore, ce qui est déjà assez grave, soit c’est trop sensible pour être dit publiquement", analyse Gérôme Billois.

Et puis, de l’aveu même des autorités, l’attaque n’est pas finie. "Ce qui veut dire que les enquêteurs sont encore en train d’identifier toutes les victimes et de s’assurer qu’il n’y a plus aucune trace de la présence de ces espions nulle part", explique Ivan Kwiatkowski.

C’est un travail de fourmi. "Réussir à faire sortir des assaillants du réseau piraté est souvent compliqué", note le chercheur de Kaspersky France. Il faut notamment s’assurer que les pirates n’ont pas installé d’autres portes dérobées leur permettant de revenir discrètement après avoir été éjectés une première fois. Un grand nettoyage "qui ne sera très probablement pas fini avant la fin du mois", estime Ivan Kwiatkowski. Autrement dit, lors de la passation de pouvoir entre Donald Trump et Joe Biden le 20 janvier, il y aura probablement encore un ou deux espions russes dans les couloirs virtuels de plusieurs ministères.