La violente prise d'assaut du US Capitole mercredi par les partisans de Donald Trump, encouragés par les fausses déclarations du président selon lesquelles l'élection était frauduleuse, a été un événement inédit et macabre à Washington. Quatre personnes sont mortes alors que la foule se déchaînait dans les bureaux du Congrès tandis que les politiciens portaient des masques à gaz et se faufilaient dans des couloirs secrets pour se mettre à l'abri. Mais au-delà des pertes en vies humaines, faut-il craindre les répercussions de l'émeute sur la cybersécurité du gouvernement américain ?
Des hordes d'émeutiers sont entrées dans le bâtiment en présence de la police du Capitole mercredi pour tenter de perturber la confirmation du démocrate Joe Biden comme 46e président des États-Unis. Les membres du Congrès fuyant une foule pro-Trump ont quitté leurs bureaux si rapidement qu'au moins un membre du personnel a laissé son ordinateur allumé et connecté à son e-mail officiel, selon une capture d'écran publiée par un journaliste conservateur. Elijah Schaffer, un journaliste de la publication The Blaze, a écrit qu'il était « dans le bureau de Nancy Pelosi » avec ce qu'il a appelé des « révolutionnaires » qui ont « pris d'assaut le bâtiment ».
Elijah Schaffer, un émeutier pro-Trump, a tweeté une photo de lui assis devant un ordinateur dans le bureau de la présidente de la Chambre des représentants des États-Unis, l'ordinateur étant toujours connecté, un message d'avertissement sur l'insurrection s'affichant à l'écran. Le message de sécurité serait apparu sur un client de messagerie non protégé, avec des courriels remontant au moins jusqu'en 2019, a rapporté The Independent.
« Pour mettre en perspective la rapidité avec laquelle le personnel a été évacué, des e-mails sont toujours à l'écran, ainsi qu'une alerte fédérale avertissant les membres de la révolution actuelle », a écrit Schaffer dans un tweet posté mercredi et qui a été supprimé par l’utilisateur lui-même.
Lorsque les fonctionnaires quittent leur poste de travail, de nombreux autres appareils, tels que les ordinateurs portables et les téléphones, peuvent être laissés accessibles. Il aurait été donc trivial pour un adepte de QAnon ou un agent d'une organisation criminelle ou d'un gouvernement étranger, qui avaient prévu de venir à bout des forces de sécurité du bâtiment du Capitole, de s'enfuir avec un ordinateur du gouvernement ou de laisser derrière lui un petit dispositif d'écoute.
Le sénateur de l'Oregon Jeff Merkley a publié une vidéo d'un de ses bureaux qui avait été saccagé, et il a déclaré qu'un ordinateur portable avait été volé.
Dans le sillage du récent piratage de SolarWinds, qui a compromis les systèmes du gouvernement fédéral, ainsi que les préoccupations de l'administration en matière de sécurité nationale, la défense des dispositifs gouvernementaux est impérative. « C'est le pire des scénarios », a déclaré Victor Gevers, un expert en cybersécurité qui a prétendu avoir piraté le compte Twitter du président Trump l’année dernière.
« Lorsqu'un groupe aussi important de personnes non identifiées a un accès physique à vos systèmes et connexions réseau déverrouillés, cela signifie que vous ne pouvez plus leur faire confiance. Vous devez tout redéployer, changer vos identifiants et enquêter sur chaque [personne] qui se trouvait dans ce bâtiment », a-t-il confié à The Independent. « Cela montre également que le département informatique n'applique pas un verrouillage automatique des écrans après un court moment d'inactivité, ce qui n'est pas une chose à conseiller ».
Il est possible que des personnes qui avaient planifié l'événement aient téléchargé des logiciels malveillants sur les machines, soit par Internet, soit en utilisant une clé USB, a déclaré Peter Yapp, ancien directeur adjoint du Centre national de sécurité cybernétique (NCSC) du Royaume-Uni et partenaire de Schillings.
Inspecter tous les ordinateurs et le réseau électrique du Congrès, même si cela « coûterait beaucoup de ressources et de temps »
Il y a toutefois une lueur d’espoir pour ceux qui craignent la divulgation de secrets gouvernementaux ou qui se demandent si des émeutiers n'auraient pas installé des logiciels malveillants sur les réseaux gouvernementaux. D’abord, il semble peu probable, a déclaré Yapp, que les personnes s'attendaient à entrer dans le bâtiment du Capitole, estimant qu'il s'agissait « juste d'une opportunité qui s'ouvrait à eux ». Ainsi, la probabilité que les émeutiers aient cherché à accéder à long terme à des informations sensibles est réduite, mais les fonctionnaires devraient quand même s'inquiéter de cette possibilité.
Ensuite, les ordinateurs du Capitole ont généralement besoin d'une carte physique pour pouvoir installer des logiciels ; les ports USB auraient été désactivés depuis les révélations de Snowden sur un vaste programme américain de surveillance intérieure et extérieure - une décision qui a un effet délétère sur la capacité des fuyards et des dénonciateurs potentiels à extraire des informations du gouvernement.
« Vous aurez besoin d'une carte CAC pour installer quoi que ce soit sur un réseau gouvernemental. C'est une véritable carte d'identité physique que vous devez introduire dans l'ordinateur », a déclaré Vinny Troia, un ancien entrepreneur de longue date du ministère de la Défense en matière de cybersécurité.
Mais cela ne signifie pas que des acteurs plus sophistiqués parmi les émeutiers n'auraient pas pu laisser derrière eux des outils d'espionnage électronique, enfouis dans les fichiers des ordinateurs restés connectés, ou simplement s'enfuir avec les ordinateurs eux-mêmes, comme l'a fait quelqu'un dans le bureau de Merkley. Il y a aussi la question de savoir si des téléphones portables ou d'autres appareils délivrés par le gouvernement ont été perdus lors de l’insurrection.
« Les implications natsec/infosec de la tentative de coup d'Etat sont stupéfiantes - et pas seulement dans le bureau de Pelosi. Ils devront supposer que tous les systèmes et les fichiers physiques ont été compromis, et cataloguer ce qui a été volé, modifié ou détruit », a tweeté un expert en Cybersécurité.
Nous ne connaîtrons tout simplement pas l'ampleur des dégâts à moins que, ou jusqu'à ce que, des fuites commencent à apparaître. « Je serais certainement en train de chercher des micros. Il est probable que, si quelque chose a été laissé derrière, cela déclenchera un signal et vous pourrez le trouver », a déclaré Yapp, ajoutant que les équipes d'experts devraient chercher des micros physiques dans les recoins du plafond, les interrupteurs et les prises de courant, surveiller les fréquences radio entrantes et sortantes.
Gevers s'est fait l'écho de sentiments similaires, même si un tel acte « coûterait beaucoup de ressources et de temps ». « Nous avons vu des tentatives où les attaquants laissent des boîtiers d'extension de courant dans les bâtiments pour garder un accès à distance. J'avais l'habitude de les construire moi-même il y a presque dix ans lors d'exercices de la Red Team. Aujourd'hui, vous pouvez acheter une solution sur étagère qui est facile à déployer », a déclaré Gevers, émettant des hypothèses sur les prochaines étapes pour les équipes de sécurité du gouvernement.
« Retirer tout le courant électrique semble être une solution très radicale, mais ce n'est pas exagéré. Je ne peux pas imaginer pourquoi ils ne feraient pas une telle chose. Ou au moins tout inspecter. C'est un travail qui prend du temps. Mais il faut le faire. Et espérons qu'ils ne trouveront rien », a ajouté Gevers.
Quoi que quelques émeutiers puissent plus tard déverser sur Internet pour marquer leur passage au Capitole, il est probable que cela devienne plus important pour la désinformation et la manipulation qui a justement amené les émeutiers au Capitole. La foule de mercredi a apparemment envahi le Capitole parce qu'elle pense que la vérité sur les élections lui a été cachée, et elle se demande sans doute maintenant si la vérité pourrait être trouvée sur un ordinateur pris au hasard dans un bureau du Congrès.
« Connaissant l'informatique du Congrès, je ne pense pas que je dormirais bien tant que les réseaux n'auront pas été reconstruits à partir de zéro, que chaque ordinateur n'aura pas été effacé et que les internes n'auront pas été inspectés visuellement avant d'être remis en service », a tweeté un utilisateur qui se présente comme un ancien administrateur système au Congrès, parti il y a quelques années pour la Silicon Valley. « C'est un effort herculéen, mais ce n'est pas non plus sans précédent - il y a un effort informatique herculéen au Congrès tous les deux ans lors du renouvellement des bureaux.
Sources : Tweets (1, 2, 3 & 4)
Et vous ?
Qu’en pensez-vous ?
Pensez-vous que les émeutiers se seraient intéressés aux informations sur les ordinateurs du Congrès ?
Pensez-vous que la cybersécurité du gouvernement américain est en danger après l’émeute ?
Voir aussi :
Le président Trump suspendu « indéfiniment » sur Facebook et Instagram, du moins jusqu'à la fin de son mandat, Twitch, le service de streaming vidéo en direct, fait de même
Le patron de la FTC a annoncé qu'il est prêt à un démantèlement des grandes entreprises technologiques, si cela s'avère nécessaire
Twitter verrouille le compte du président Trump pendant 12 heures et l'avertit d'une suspension permanente, Facebook retire ses publications incriminées et déclare une « situation d'urgence »
Les pirates informatiques ont ciblé l'Agence américaine des armes nucléaires dans une violation massive de la cybersécurité, dans le cadre d'un assaut plus large contre les agences fédérales
L'émeute du Capitole est un cauchemar en matière de cybersécurité,
Le « pire des scénarios » pour la cybersécurité du gouvernement américain, selon un expert en sécurité
L'émeute du Capitole est un cauchemar en matière de cybersécurité,
Le « pire des scénarios » pour la cybersécurité du gouvernement américain, selon un expert en sécurité
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !