Le 8 décembre, FireEye a annoncé sur son blog avoir été victime d’une cyberattaque très sophistiquée, probablement soutenue par un État. Dans son communiqué, Kevin Mandia, PDG de l’entreprise évoque les « capacités de haut niveau » employées par les pirates, sans pour autant désigner de coupable.

FireEye est connue pour fréquemment détailler les opérations de hackers d’État. Notamment l’opération Ghostwriter, les récentes activités chinoises, ou encore les tentatives d’intrusions dans le réseau électrique américain.

Des outils de cyberattaques dérobés

L’intrusion dans les serveurs de FireEye n’est pas sans conséquence. Une partie des outils utilisée par ses red teams a été dérobée. Ces outils servent à lancer des attaques (autorisées) complexes sur les clients de l’entreprise dans le but d’identifier les faiblesses de leurs systèmes. « Ces outils imitent le comportement de nombreux acteurs de la cybermenace. (…) Aucun des outils ne contient d’exploit zero-day, » explique le PDG.

En cybersécurité, les red teams sont des équipes qui vont utiliser des techniques similaires à celles des pirates pour attaquer une entreprise. On l’oppose aux blue teams qui eux vont élaborer des systèmes de défense contre les attaques.
Une faille zero-day est une vulnérabilité qui n’ai pas encore été annoncée ou découverte officiellement. Cela veut également dire qu’aucun correctif n’existe pour la combler.

Entre les mains d’acteurs visiblement mal intentionnés, les outils de FireEye pourraient avoir de lourdes conséquences. C’est pourquoi l’entreprise dévoile de « manière proactive des méthodes et des moyens pour détecter l’utilisation de nos outils de red teams volés ».

Non seulement FireEye voit une partie de son savoir-faire dérobé, mais en plus, elle est obligée de détailler comment il fonctionne. Ce sont probablement des années de recherche et développement qui s’envolent, en plus de mettre en alerte un industrie déjà sur le qui-vive.

L’alerte est donnée

La dernière fois que de tels outils ont été subtilisés, la victime n’était autre que la NSA en personne. L’Agence n’avait pas tout de suite révélé leur fonctionnement. Cette rétention d’information a eu pour effet l’intrusion du rançongiciel Wannacry dans des centaines de milliers d’ordinateurs. Les dégradations occasionnées ont coûté des millions d’euros à de nombreuses entreprises

Si la NSA était restée muette, FireEye a tout de suite pris le taureau par les cornes. De plus, elle déclare n’avoir identifié aucune utilisation de ses outils. Enfin, contrairement aux services de renseignement américains, ses programmes n’exploitent pas de vulnérabilité inconnue (zero-day).

Le FBI a logiquement ouvert une enquête sur l’attaque qu’a subit l’entreprise. Même si pour l’instant il est difficile de faire la lumière sur les motivations des pirates, « l’attaque est différente des dizaines de milliers sur lesquelles nous sommes intervenus pendant des années. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour viser et attaquer FireEye. Ils sont parfaitement entraînés et ont opéré avec discipline et concentration. Ils ont agi clandestinement, utilisant des méthodes échappant aux outils de détection et plusieurs techniques que nous n’avions jamais vues par le passé » complète Kevin Mandia.