Sur la décision d’un tribunal américain, le FBI a obtenu l’autorisation d’accéder à des centaines d’ordinateurs vulnérables partout à travers les États-Unis. La mission des agents était de supprimer les portes dérobées laissées par les hackers chinois qui avaient pénétré les systèmes de Microsoft Exchange il y a quelques semaines.

Objectif : empêcher les hackers d’exploiter les portes dérobées

C’est une démonstration de force de la part des États-Unis pour les hackers du monde entier. Une action qui démontre que les forces de l’ordre peuvent agir lorsqu’elles sont confrontées à des opérations de piratage de grande envergure et quand les victimes ne peuvent pas se défendre par leurs propres moyens. Concrètement, le FBI a obtenu l’autorisation du tribunal de Houston pour accéder aux ordinateurs touchés dans l’objectif d’empêcher les hackers d’accéder à nouveau aux systèmes, grâce aux vulnérabilités laissées.

Depuis le début de l’année 2021, Microsoft Exchange est victime d’un piratage de grande ampleur. Un groupe de hackers chinois, connu sous le nom de Hafnium, a réussi à exploiter une faille « zero day » dans le logiciel. C’est de cette manière qu’ils ont pu accéder aux serveurs d’Exchange. Depuis le 7 mars, les experts en cybersécurité de Microsoft font leur maximum pour avertir les 60 000 victimes, coordonner les mesures correctives et éviter  une éventuelle phase 2 de cette attaque… Entre temps, le FBI a décidé de prendre les choses en main.

Dans un communiqué de presse diffusé à cette occasion, on peut lire ceci : « le ministère de la Justice a annoncé une opération autorisée par la justice visant à copier et à supprimer les portes dérobées malveillantes de centaines d’ordinateurs vulnérables aux États-Unis utilisant des versions du logiciel Microsoft Exchange utilisé pour fournir un service de messagerie électronique de niveau entreprise ».

Le premier cas de nettoyage officiel par le FBI

Pour parvenir à ses fins, le FBI a envoyé une commande au serveur par le biais d’un code encoquillé. Il s’agit d’une interface de type shell web qui permet un accès et un contrôle à distance sur un serveur web. Le FBI a indiqué qu’il tentait d’informer les propriétaires des serveurs concernés. Selon John C. Demers, procureur général adjoint : « cette opération démontre l’engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires ».

Début mars déjà, un porte-parole de Microsoft déclarait que : « nous travaillons en étroite collaboration avec la CISA (Cybersecurity and Infrastructure Security Agency) et le FBI afin de nous assurer que nous mettons bien nos clients en sécurité. Notre objectif est avant tout la protection de nos clients et c’est pour cela que nous avons rapidement proposé des mises à jours de notre logiciel ».

Il s’agit du premier cas de nettoyage officiel. Le ministère de la Justice précise tout de même que les actions du FBI n’ont fait que supprimer les portes dérobées. Les vulnérabilités exploitées par les hackers de Hafnium n’ont pas pu être totalement nettoyées et les logiciels malveillants utilisés non plus. Cela signifie que les hackers pourraient potentiellement revenir à la charge.