Le chef de l’US Cyber Command a confirmé: « Nous avons attaqué des pirates informatiques russes. »
Les attaques contre les infrastructures de transport du pétrole et contre les entreprises alimentaires ont conduit à un changement dans l’approche américaine. Le chef de la NSA et cyber commandement Paul Naxoni a déclaré: « Nous avons pris des mesures et leur avons fait payer un prix. » Selon le New York Times, le Cyber Command américain a attaqué des serveurs du gang russe Revil, dont certaines opérations ont été attribuées au Kremlin.
C’est une sorte de bombe dans le cybermonde. Le général Paul Naxoni, chef du Cyber Command de l’armée américaine et de la NSA, a d’abord reconnu que les forces américaines avaient mené des opérations de « payer le prix » auprès de pirates informatiques qui ont attaqué des cibles américaines avec des ransomwares. Entre autres choses, il a fait allusion à la direction des pirates qui ont attaqué les entreprises alimentaires américaines et la société d’infrastructures de transport de pétrole et de carburant Colonial Pipeline. Il s’est exprimé dans une interview en marge du Forum Reagan pour la politique de sécurité nationale avec la participation de hauts responsables américains et publiée dans le New York Times.
Le terme « payer le prix » désigne des actions punitives qui, dans le cas présent, impliquent nécessairement une cyberattaque. La déclaration est extrêmement importante, car c’est la première fois qu’un haut responsable militaire américain reconnaît publiquement, bien qu’implicitement, que les forces de sécurité américaines attaquent des pirates informatiques travaillant contre des cibles américaines sans être complètement innocents.
La loi américaine, comme dans de nombreux États, traite cette agression comme une infraction pénale. Cependant, l’armée américaine a reçu un soutien total pendant le mandat de l’ancien président Donald Trump pour mener des actions « agressives » contre quiconque attaque des cibles américaines. De plus, jusqu’à il y a neuf mois, l’administration Biden considérait la question des cyberattaques comme étant exclusivement associée aux organismes chargés de faire appliquer la loi tels que le FBI. Le tournant a été l’attaque contre l’infrastructure de l’oléoduc de Colonial Pipeline et l’attaque contre des sociétés alimentaires telles que le géant brésilien de la viande JBS Beef. Ces attaques ont prouvé que les gangs de pirates « menacent notre infrastructure critique », a déclaré Naxoni.
À partir de ce moment, le gouvernement fédéral abandonne son approche traditionnelle qui prônait jusqu’alors l’évitement des opérations offensives. Le Cyber Command et la NSA ont commencé à recevoir des fonds et à augmenter leurs ressources pour recueillir des renseignements sur les gangs de rançons et les partager avec leurs alliés. « La première chose que nous avons faite a été de mieux comprendre l’adversaire que par le passé », a déclaré Naxoni. Il s’agit d’une menace presque directe de la part du plus haut responsable sur le terrain du Commandement américain de la sécurité, à l’exception du « cyber tsar », son homologue civil qui travaillait au ministère de la Sécurité intérieure et à la Maison-Blanche.
Les hackers russes sont les doigts menant au Kremlin
Naxoni n’a pas réellement divulgué les mesures prises, mais selon les révélations, le cyber commandement a agi devant les serveurs du gang russe Revil dont les actions ont également été attribuées au Kremlin. Cette opération spécifique a été menée après que des pirates du gouvernement d’un allié américain (Israël) ont pénétré les serveurs du gang et leur ont rendu difficile la collecte de la rançon demandée. Après que le gang russe a identifié l’attaque, il a fermé, au moins temporairement, ces serveurs. Washington Post « et déjà il y a fait allusion à l’implication d’un autre pays dans l’attaque.
Il a en outre été révélé que l’action dans laquelle le FBI a réussi à récupérer une partie importante de la rançon collectée par les pirates du gang DarkSide a été menée dans le cadre du changement de politique. La première action prise par le cyber commandement était encore plus précoce et découlait de la crainte américaine que les Russes tentent de nuire aux élections de 2020 par un réseau de bots appelé TrickBot. Bien que l’armée ait apparemment reçu l’autorisation d’opérer, il s’agit d’une politique controversée parmi divers éléments de l’administration et du Congrès. Le Conseil national de sécurité souligne une baisse du volume d’activité des gangs russes, tandis que le FBI a clairement indiqué qu’ils restaient sceptiques quant à leur efficacité.
Les propos de Naxoni clarifient également le changement qui s’opère dans le monde du cyber défensif. Dans le passé, les pays avaient tendance à éviter les actions offensives ou militaires, alors que l’année dernière, la nature de la cyberactivité a considérablement changé. Principalement à cause de l’énorme augmentation des attaques de ransomwares qui ont paralysé les cibles d’infrastructure, qu’il s’agisse d’actes criminels ou attribués aux États. Le meilleur exemple signalé par Naxoni est l’attaque SolarWinds, au cours de laquelle il a été révélé que des pirates en mission au Kremlin avaient réussi à infiltrer le réseau de l’une des plus grandes sociétés de services informatiques au monde et à l’utiliser pour infiltrer des clients gouvernementaux qui utilisaient ses services, y compris aux États-Unis et peut-être même en Israël. On a alors compris qu’ « un élément important de la cyber-infrastructure et des infrastructures américaines critiques seront attaquées ».
Raphaël Kahan- JForum