Des dizaines de milliers d'organisations basées aux États-Unis, qui utilisent Microsoft Exchange Server, ont été piratées plus tôt cette année par des cybercriminels qui ont volé les mots de passe des administrateurs et exploité des vulnérabilités critiques dans l'application de messagerie et d'agenda. Lundi, les États-Unis et leurs alliés ont accusé la Chine de mener une campagne mondiale de cyberespionnage, mettant en cause le gouvernement chinois pour une porte dérobée installée via des failles dans Microsoft Exchange. Les États-Unis ont été rejoints par une coalition inhabituellement large composée de l'OTAN, l'Union européenne, l'Australie, la Grande-Bretagne, le Canada, le Japon et la Nouvelle-Zélande pour condamner l'espionnage, qui, selon le secrétaire d'État américain Antony Blinken, constitue « une menace majeure pour notre sécurité économique et nationale ».
Dans un communiqué publié lundi, le secrétaire d'État américain Antony Blinken a imputé au ministère chinois de la Sécurité d'État (MSS) la responsabilité des piratages de Microsoft Exchange. Selon lui, le MSS « a encouragé un écosystème de hackers contractuels criminels qui mènent à la fois des activités parrainées par l'État et des activités cybercriminelles pour leur propre gain financier ». Le gouvernement américain et ses alliés ont « formellement confirmé que des cyberacteurs affiliés au MSS ont exploité des vulnérabilités dans Microsoft Exchange Server dans le cadre d'une opération de cyberespionnage massive qui a compromis sans discernement des milliers d'ordinateurs et de réseaux, appartenant pour la plupart à des victimes du secteur privé », a déclaré Blinken.
Blinken a ajouté que les États-Unis « et les pays du monde entier tiennent la République populaire de Chine (RPC) responsable de son modèle de comportement irresponsable, perturbateur et déstabilisateur dans le cyberespace, qui constitue une menace majeure pour notre sécurité économique et nationale ».
Ce communiqué a été publié parallèlement à une annonce du ministère américain de la Justice selon laquelle trois agents du MSS et un autre ressortissant chinois ont été inculpés par un grand jury fédéral pour des charges liées à une série différente de piratages des « systèmes informatiques de dizaines d'entreprises victimes, d'universités et d'entités gouvernementales aux États-Unis et à l'étranger entre 2011 et 2018 ».
Les États-Unis n'ont pas annoncé de nouvelles sanctions contre la Chine, mais Blinken a déclaré que l'acte d'accusation est la preuve que « les États-Unis imposeront des conséquences aux cyberacteurs malveillants de la RPC pour leur comportement irresponsable dans le cyberespace ».
Les attaques contre Microsoft Exchange Server sont intervenues depuis plus de quatre mois. À l'époque, Microsoft disait avoir détecté de multiples exploits zero-day utilisés pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d'attaques limitées et ciblées. Microsoft a attribué cette campagne à Hafnium, un groupe considéré comme parrainé par l'État et opérant depuis la Chine, sur la base de ses tactiques et des procédures observées. Microsoft a publié des correctifs d'urgence pour quatre vulnérabilités de type zero-day dans Exchange Server qui étaient exploitées par des pirates.
Il faut noter que six groupes de pirates avaient exploité les vulnérabilités avant que Microsoft n'émette un correctif. Les serveurs Exchange compromis ont également été touchés par plusieurs types de ransomware.
Lundi, Blinken a déclaré que « les États responsables ne compromettent pas sans discernement la sécurité des réseaux mondiaux et n'hébergent pas sciemment des cybercriminels, sans parler de les parrainer ou de collaborer avec eux. Ces pirates contractuels ont coûté aux gouvernements et aux entreprises des milliards de dollars en propriété intellectuelle volée, en paiements de rançons et en efforts d'atténuation de la cybersécurité, tout cela alors que le MSS les avait dans ses effectifs ».
Des déclarations, pour la plupart circonspectes, des alliés
Si Washington et ses proches alliés, comme le Royaume-Uni et le Canada, ont tenu l'État chinois directement responsable du piratage, d'autres se sont montrés plus circonspects.
L'OTAN s'est contentée de dire que ses membres "prennent acte" des allégations formulées contre Pékin par les États-Unis, le Canada et le Royaume-Uni. L'Union européenne a déclaré qu'elle exhortait les autorités chinoises à mettre un frein aux « cyberactivités malveillantes menées à partir de son territoire » – une déclaration qui laisse entrevoir la possibilité que le gouvernement chinois soit lui-même innocent d'avoir dirigé l'espionnage.
« Nous continuons d'exhorter les autorités chinoises à adhérer à ces normes et à ne pas permettre que son territoire soit utilisé pour des cyberactivités malveillantes, et à prendre toutes les mesures appropriées et raisonnablement disponibles et réalisables pour détecter, enquêter et régler la situation », a déclaré l'UE.
Quant au Royaume-Uni, il a déclaré dans son communiqué : « Le Royaume-Uni se joint à des partenaires partageant les mêmes idées pour confirmer que des acteurs soutenus par l'État chinois étaient responsables de l'accès à des réseaux informatiques dans le monde entier via des serveurs Microsoft Exchange ». Plus loin dans le communiqué, le Royaume-Uni a déclaré que son Centre national de cybersécurité « est presque certain que la compromission de Microsoft Exchange a été initiée et exploitée par un acteur de la menace soutenu par l'État chinois », à savoir Hafnium, et que « l'attaque était très probablement destinée à permettre l'espionnage à grande échelle, y compris l'acquisition d'informations d'identification personnelle et de propriété intellectuelle ». « Le gouvernement chinois doit mettre fin à ce cybersabotage systématique et peut s'attendre à être tenu pour responsable s'il ne le fait pas ».
Comme le Royaume-Uni, les États-Unis ont été beaucoup plus précis, attribuant officiellement, entre autres, des intrusions qui ont touché les serveurs exécutant Microsoft Exchange au début de l'année à des pirates informatiques affiliés au ministère chinois de la Sécurité d'État. Microsoft avait déjà accusé la Chine. Les agences de sécurité et de renseignement américaines ont décrit plus de 50 techniques et procédures que les "acteurs parrainés par l'État chinois" utilisent contre les réseaux américains, a déclaré un haut responsable de l'administration, selon Reuters.
Un porte-parole de l'ambassade de Chine à Washington, Liu Pengyu, a qualifié les accusations portées contre la Chine d'« irresponsables ». « Le gouvernement chinois et le personnel concerné ne se livrent jamais à des cyberattaques ou à des vols informatiques », a déclaré Liu dans un communiqué.
Lors d'un événement sur le plan d'infrastructure de l'administration, le président américain Joe Biden a déclaré aux journalistes : « Je crois comprendre que le gouvernement chinois, à l'instar du gouvernement russe, ne fait pas cela lui-même, mais protège ceux qui le font. Et peut-être même qu'il leur permet de le faire ».
La porte-parole de la Maison-Blanche, Jen Psaki, en justifiant la raison pour laquelle Biden n'a pas accusé directement le gouvernement chinois dans sa réponse, a déclaré : « Ce n'était pas l'intention qu'il essayait de projeter. Il prend la cyberactivité malveillante incroyablement au sérieux », a déclaré Psaki. « Nous ne nous retenons pas, nous ne permettons à aucune circonstance ou considération économique de nous empêcher de prendre des mesures... Nous nous réservons également la possibilité de prendre des mesures supplémentaires », a-t-elle ajouté.
Des technologies sensibles pour les véhicules autonomes et autres informations volées par les ressortissants chinois inculpés
Selon l'acte d'accusation, les accusés et les fonctionnaires du département de la sécurité d'État de Hainan, un bureau régional de la sécurité d'État, ont tenté de dissimuler le rôle du gouvernement chinois dans le vol d'informations en utilisant une société-écran. Le ministère de la Justice a déclaré que la campagne de piratage 2011-2018 « a ciblé des victimes aux États-Unis, en Autriche, au Cambodge, au Canada, en Allemagne, en Indonésie, en Malaisie, en Norvège, en Arabie saoudite, en Afrique du Sud, en Suisse et au Royaume-Uni ».
Les quatre personnes inculpées ont ciblé les industries comprenant, entre autres, l'aviation, la défense, l'éducation, le gouvernement, les soins de santé, la biopharmacie et le secteur maritime ». Elles ont volé, entre autres, « des technologies sensibles utilisées pour les submersibles et les véhicules autonomes, des formules chimiques spécialisées, l'entretien des avions commerciaux, des technologies et des données de séquençage génétique exclusives », selon l’acte d’accusation.
Les quatre ressortissants chinois ont été inculpés par un grand jury fédéral à San Diego en mai. L'acte d'accusation a été dévoilé vendredi et « allègue qu'une grande partie du vol commis par la conspiration était axée sur des informations présentant un avantage économique important pour les entreprises et les secteurs commerciaux de la Chine, notamment des informations qui permettraient de contourner des processus de recherche et de développement longs et exigeants en ressources », a déclaré le ministère de la Justice.
« Ces accusations criminelles soulignent une fois de plus que la Chine continue d'utiliser des attaques cybernétiques pour voler ce que d'autres pays fabriquent, au mépris flagrant de ses engagements bilatéraux et multilatéraux », a déclaré Lisa Monaco, procureur général adjoint.
Sources : Dpartement d'État, DoJ, UE, Royaume-Uni
Et vous ?
Que pensez-vous de la déclaration des États-Unis et ses alliés ?
Quels commentaires faites-vous des déclarations de l’UE et de l’OTAN, qui n’accusent pas directement la Chine ?
Que pensez-vous de la déclaration des États-Unis qui n’a pas été suivie de nouvelles sanctions ?
Voir aussi :
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action
Les États-Unis et leurs alliés accusent la Chine de mener une campagne mondiale de cyberpiratage,
Citant des attaques massives via des failles dans Microsoft Exchange Server
Les États-Unis et leurs alliés accusent la Chine de mener une campagne mondiale de cyberpiratage,
Citant des attaques massives via des failles dans Microsoft Exchange Server
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !