Le 25 mai 2023, une cyberattaque massive a frappé les États-Unis, touchant des infrastructures "critiques" dans divers secteurs, y compris les organisations gouvernementales et de communication. Cette attaque a été attribuée à un groupe de hackers soutenu par l'État chinois, connu sous le nom de "Volt Typhoon".
Actif depuis la mi-2021, le groupe Volt Typhoon a infiltré plusieurs secteurs américains vitaux. Microsoft a alerté mercredi que les hackers chinois avaient compromis des infrastructures cybernétiques "critiques" à travers de nombreux secteurs aux États-Unis, avec un accent particulier sur le recueil de renseignements. Parmi les secteurs visés figurent les communications, l'industrie, les services publics, les transports, la construction, la marine, le gouvernement, les technologies de l'information et l'éducation.
Selon Microsoft, l'objectif du groupe est de perturber "les infrastructures de communication essentielles entre les États-Unis et la région asiatique lors de crises futures". Le groupe semble avoir pour intention de mener des opérations d'espionnage et de maintenir l'accès aux systèmes compromis aussi longtemps que possible sans être détecté.
L'attaque se concentre en particulier sur l'infrastructure de communication à Guam et dans d'autres parties des États-Unis. Cette île, qui abrite une importante base militaire américaine dans l'océan Pacifique, est particulièrement préoccupante pour le renseignement américain car elle se trouve au cœur d'une réponse militaire américaine en cas d'invasion de Taïwan.
Volt Typhoon utilise une vulnérabilité non nommée dans une suite de cybersécurité populaire appelée FortiGuard pour infiltrer les organisations. Une fois l'accès obtenu à un système d'entreprise, le groupe de hackers vole les informations d'identification des utilisateurs à partir de la suite de sécurité et les utilise pour essayer d'accéder à d'autres systèmes d'entreprise.
Les agences de sécurité occidentales indiquent que les attaques utilisent la tactique dite "Living off the land" (LotL), par laquelle l'agresseur utilise les caractéristiques et les outils du système qu'il cible pour s'y introduire sans laisser de traces. Volt Typhoon tente de se fondre dans l'activité normale du réseau en acheminant le trafic par l'intermédiaire d'équipements réseau infectés dans des petites entreprises et chez les télétravailleurs, notamment des routeurs, des pare-feu et des réseaux privés virtuels (VPN).
Jen Easterly, directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, a également lancé une mise en garde contre Volt Typhoon. Elle a souligné que la Chine mène depuis des années des opérations mondiales visant à voler la propriété intellectuelle et les données sensibles des organisations d'infrastructures critiques. Elle a ajouté que l'affaire Volt Typhoon "montre que la Chine utilise des moyens très sophistiqués pour cibler les infrastructures essentielles de notre pays", et que sa découverte "permettra aux défenseurs des réseaux de mieux comprendre comment détecter et atténuer cette activité malveillante".
Dans le sillage de ces allégations, la Chine n'a pas réagi immédiatement. Pékin nie régulièrement mener ou parrainer des cyberattaques, et accuse en retour les États-Unis de cyberespionnage à son encontre.
Cette cyberattaque met en évidence l'importance croissante de la cybersécurité dans le contexte mondial actuel. Les États et les organisations à travers le monde doivent être vigilants et prêts à répondre à ces menaces pour protéger leurs infrastructures essentielles et les informations sensibles.
Nos sources :
CNBC : "Chinese state-sponsored hackers have compromised critical US cyber infrastructure, Microsoft warns", publié le 25 mai 2023.
Lepetitjournal.com : "Cyberattaque massive aux États-Unis : un groupe de hackers chinois visé", publié le 25 mai 2023.
Comments