L'Agence nucléaire américaine touchée par une cyberattaque SharePoint

Dans un autre exemple alarmant de systèmes gouvernementaux tombant sous la coupe de menaces cybernétiques, l’Administration nationale de la sécurité nucléaire (NNSA) — l’agence américaine responsable du maintien de l’arsenal nucléaire du pays — a été apparemment victime d’une cyberattaque qui a exploité une faille critique dans le logiciel de documents SharePoint de Microsoft.

Selon un rapport de Bloomberg News, la violation fait partie d’une vague plus large de cyberattaques ciblant une vulnérabilité zero-day dans les versions sur site du logiciel SharePoint de Microsoft, affectant plus de 50 organisations dans le monde.

Qu’est-ce que la NNSA ?

L’Administration nationale de la sécurité nucléaire (NNSA) est une agence semi-autonome au sein du Département de l’énergie des États-Unis, responsable de la protection de la sécurité nationale par l’application militaire de la science nucléaire. Elle maintient le stock d’armes nucléaires des États-Unis, prévient la prolifération nucléaire, alimente les sous-marins et porte-avions de la Marine avec des réacteurs nucléaires, et répond aux urgences nucléaires ou radiologiques.

Des hackers chinois derrière l’attaque

Microsoft a attribué l’attaque à des groupes de hackers parrainés par l’État chinois, y compris ceux qu’il suit sous les noms de Typhon de Lin, Typhon Violet et Tempête-2603. Ces groupes auraient exploité la vulnérabilité zero-day pour obtenir un accès à distance aux systèmes, voler des identifiants de connexion et potentiellement se propager à d’autres réseaux connectés.

« C’est un rêve pour les opérateurs de ransomware », a déclaré le groupe d’intelligence des menaces de Google, ajoutant que la vulnérabilité permet « un accès persistant et non authentifié qui peut contourner les futurs correctifs. »

Bien que la NNSA ait été confirmée comme l’une des victimes, l’agence a également noté qu’il n’y a aucune preuve que des informations sensibles ou classifiées aient été accessibles lors de la violation.

« Vendredi 18 juillet, l’exploitation d’une vulnérabilité zero-day de Microsoft SharePoint a commencé à affecter le Département de l’énergie, y compris la NNSA », a déclaré Ben Dietderich, secrétaire du Département de l’énergie (sous lequel la NNSA opère), à BleepingComputer dans une déclaration.

« Le Département a été minimement impacté en raison de son utilisation généralisée du cloud Microsoft M365 et de systèmes de cybersécurité très performants. » Il a ajouté que « très peu de systèmes ont été impactés » et que « tous les systèmes impactés sont en cours de restauration. »

Violation non limitée à la NNSA

La violation n’était pas limitée à la NNSA. Selon Microsoft et des chercheurs en cybersécurité, les hackers ont également ciblé d’autres entités gouvernementales américaines — y compris le Département de l’éducation, le Département des revenus de Floride et l’Assemblée générale de Rhode Island. De même, des gouvernements internationaux à travers l’Europe, le Moyen-Orient et l’Afrique ont été affectés.

Réponse de Microsoft

En réponse à la violation, Microsoft a publié une mise à jour de sécurité pour la vulnérabilité de l’édition d’abonnement SharePoint et travaille avec les clients impactés pour enquêter et sécuriser les serveurs sur site affectés. Ils ont exhorté les clients impactés à appliquer la mise à jour immédiatement. De plus, la société a réitéré que les organisations utilisant le service SharePoint Online basé sur le cloud n’étaient pas vulnérables dans ce cas.