Le spécialiste de la cybersécurité a été récemment victime d’une attaque. L’entreprise est avare en détails techniques, mais assure que les attaquants sont certainement soutenus par un Etat, en ce que leur intrusion était particulièrement sophistiquée, utilisant des techniques inédites. 

Les cyberattaques frappent sans distinction administrations, entreprises, particuliers… et même les spécialistes de la cybersécurité. FireEye vient d’en faire l’amère expérience. La société américaine a en effet été victime d’une attaque. Et malgré une communication abondante de FireEye sur le sujet, on n’en sait que très peu sur les attaquants, leurs méthodes et leurs buts. Ni même la date exacte de l’intrusion. 

Le patron de FireEye, Kevin Mandia, a pris la plume mardi pour signaler que “récemment, nous avons été attaqués par un acteur hautement sophistiqué”. De l’attaquant, le CEO explique qu’il est très certainement soutenu par un Etat. 

Sur la base de mes 25 années en cybersécurité et en réponse aux incidents, j’ai conclu que nous assistons à une attaque de la part d’un pays doté de capacités offensives de haut niveau. Cette attaque est différente des dizaines de milliers d'incidents auxquels nous avons répondu au fil des ans. Les attaquants ont adapté leurs capacités spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et ont exécuté leur attaque avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et les examens forensic. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n’avons pas été témoins dans le passé.
Kevin Mandia
CEO de FireEye

Les attaquants, dont FireEye ne détaille pas comment ils se sont introduits dans les systèmes de la société, ont mis la main sur un certain nombre d’outils développés par FireEye pour effectuer des tests d’intrusion, dits “Red Team” (par opposition à Blue Team qui, dans ce genre d’exercice, désigne les défenseurs). “Ces outils imitent le comportement de nombreux acteurs de la menace cyber et permettent à FireEye de fournir des services  de diagnostic de sécurité essentiels à nos clients” ajoute l’entreprise.

Le chasseur chassé

Ainsi, on trouve parmi les programmes dérobés des scripts basiques destinés à automatiser certaines tâches, jusqu’à des frameworks complets. On ne pourra immédiatement s’empêcher de penser au vol d’outils à la NSA en 2016, outils dont les failles qu’ils exploitaient seront par la suite réutilisées pour WannaCry. Toutefois FireEye minimise la portée de cette attaque, soulignant qu’une partie des programmes dans les mains des attaquants sont open source, et qu’aucun ne contient de failles zero day. 

L’expert en cybersécurité ajoute ne pas penser que “ce vol améliorera considérablement les capacités globales de l’attaquant” et n’a pas repéré d’utilisation de ses outils à des fins malveillantes jusqu’à présent, suggérant que l’intrusion n’est peut-être pas si récente. Il précise avoir déployé “des centaines” de contre-mesures afin d’atténuer les risques d’exploitation des programmes volés. Mais ces outils étaient-ils le but de l’attaquant ? FireEye compte parmi ses clients de grandes entreprises et des agences gouvernementales, dont les données seraient précieuses pour un acteur “state-sponsored”. 

Bien que l’attaquant ait pu accéder à certains de nos systèmes internes, à ce stade de notre enquête, nous n’avons vu aucune preuve que l’attaquant a exfiltré les données de nos systèmes principaux qui stockent les informations client de notre réponse aux incidents ou de nos missions de conseil, ou les métadonnées collectées par nos produits dans nos systèmes dynamiques de renseignement sur les menaces” assure FireEye, qui précise néanmoins qu’il préviendra ses clients si jamais cette affirmation devait finalement se révéler fausse

FireEye attaqué