Des pirates informatiques du groupe « Hafnium » exploitent depuis peu des failles de sécurité des services Exchange de Microsoft, afin d’obtenir un accès à des serveurs d’entreprises. Ils auraient déjà infecté des milliers de serveurs à travers le monde. Dans une mesure sans précédent visant à protéger les utilisateurs (et surtout le pays), le FBI a tenté de rétablir la sécurité des unités infectées en les piratant à l’insu des clients, et ce en utilisant les mêmes outils et failles que le groupe Hafnium.
Le piratage de masse orchestré par Hafnium a touché des dizaines de milliers d’utilisateurs du service Microsoft Exchange Server à travers le monde. L’incident a déclenché une « réponse de l’ensemble du gouvernement » des États-Unis. Lors de la première vague d’attaques, les pirates auraient laissé un certain nombre de portes dérobées, qui pourraient permettre à n’importe quelle personne mal intentionnée (et formée à cela) de pénétrer à nouveau dans ces systèmes vulnérables. Récemment, le FBI en a donc profité pour utiliser ces mêmes portes dérobées (backdoors) pour corriger le problème à distance. Dans un communiqué, l’agence qualifie l’opération de succès.
« Cette opération est un exemple de l’engagement du FBI à combattre les cybermenaces grâce à nos partenariats durables entre le gouvernement fédéral et le secteur privé », a déclaré Tonya Ugoretz, directrice adjointe par intérim de la division Cyber du FBI. « Notre action réussie devrait servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. Le FBI continuera d’utiliser tous les outils à sa disposition en tant que principal organisme national d’application de la loi et de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actes ».
« Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du web shell, conçue pour que le serveur supprime uniquement le web shell (identifié par son chemin de fichier unique) », explique le ministère américain de la Justice.
Il faut préciser que les propriétaires de ces serveurs (souvent virtuels et donc installés sur des ordinateurs) Microsoft Exchange ne sont probablement pas encore au courant de l’intervention du FBI… En effet, le ministère de la Justice déclare qu’il ne fait que « tenter de fournir une notification » aux propriétaires que le FBI tente d’aider, sans pour autant s’assurer que la notification a été reçue ou lue. Sans oublier que nous ne savons pas de quel type de notification il s’agit. Selon l’agence, l’opération s’est déroulée avec la pleine approbation d’un tribunal.
Un service rendu au monde entier, ou aux États-Unis ?
Quelles sont les implications d’une telle intervention ? Quelle était la motivation réelle du FBI ? Protéger les clients de Microsoft, aider l’entreprise à éviter ce qui aurait pu devenir une faille majeure mettant en péril l’ensemble de son service Exchange, ou protéger les données du pays (sécurité nationale) ? Des questions que l’on peut se poser, mais l’important, selon certains experts, c’est le résultat : en agissant ainsi, le FBI rend également service au monde entier en éliminant rapidement une menace invisible, qui pourrait également mettre en péril la sécurité nationale d’autres pays.
Sans compter que du côté de Microsoft, la réponse initiale a été très lente : les clients de Microsoft Exchange Server ont notamment eu plus d’un mois pour mettre à jour leurs propres systèmes, après plusieurs alertes critiques. À l’avenir, il sera donc peut-être utile de définir dans quelle mesure une agence gouvernementale a le droit d’agir à l’insu d’un utilisateur, si cela est « pour son bien »… Auriez-vous accepté d’être « piraté » pour corriger un problème de sécurité qui autrement aurait pu vous nuire ? N’hésitez pas à commenter l’article pour faire part de votre avis.
Finalement, le FBI affirme que des milliers de systèmes ont été corrigés par leurs propriétaires avant qu’il n’entame son opération de suppression de la porte dérobée Hafnium à distance, et qu’il n’a fait que « supprimer les codes encoquillés (web shell) restants après l’attaque, qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains ». « La suppression des codes encoquillés malveillants autorisée par le tribunal aujourd’hui démontre l’engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires », peut-on lire dans une déclaration du procureur général adjoint John C. Demers, de la division de la sécurité nationale du ministère de la Justice.