FireEye piraté, par qui?

(Pour Alessandro Rugolo)
14/12/20

L'entreprise américaine FireEye, géant de la cybersécurité, a récemment dénoncé avoir été victime de hackers, probablement soutenus par un Etat.

Rappelons que FireEye est l'entreprise qui soutient les agences du gouvernement fédéral et les États, y compris le FBI et la NSA, sans parler de l'industrie américaine.

C'était FireEye informer leurs clients de l'incident via un article sur le blog de l'entreprise dans lequel les hackers sont décrits comme très professionnels et on dit que l'attaque a été menée à l'aide de techniques et de procédures jamais utilisées auparavant et conçues spécifiquement pour l'occasion, ce qui suggère qu'il existe un état bien établi derrière l'industrie avec l'intention de mener des activités d'espionnage.

FireEye travaille avec le FBI et Microsoft pour mener toutes les enquêtes nécessaires. 

Pendant l'enquête FireEye a constaté que des pirates ont volé certains des outils utilisés par eux-mêmes Équipes rouges pour effectuer des activités de pentesting. Des outils qui, s'ils sont utilisés par des personnes malveillantes, peuvent être très dangereux. La société a déclaré que, par précaution, elle a développé plus de 300 outils pour minimiser l'impact de toute utilisation de ces outils contre ses clients (ou de la diffusion de ces outils au public).

Dans un autre article, la société explique quels outils ont été volés et indique une liste de contre-mesures déjà publiées.

Que dire de plus? Il semble que tout se passe bien ...

Mais il me vient naturellement d'exprimer certaines de mes pensées à haute voix.

Tout d'abord, tout le monde connaît les outils à faire tests de pénétration sont généralement publiques (mais pas privées des entreprises qui les ont développées pour leur propre entreprise), ce qui fait la différence, ce sont les compétences des organisations qui les emploient, la capacité d'une organisation à pérenniser une opération, l'expérience de pirate ...

Les outils de tests de pénétration en pratique, ce sont des armes, plus ou moins puissantes, qui sont utilisées (par de bonnes personnes) pour tester des systèmes amis et indiquer comment il est possible de mieux les protéger. Si vous êtes d'accord jusqu'ici, vous conviendrez que puisque ce sont des «armes» personnalisées, elles étaient certainement bien gardées et de penser qu'une des principales entreprises du secteur s'est fait prendre des «armes» à un autre État, alors qu'on sait que les États-Unis sont les plus forts de l'industrie, disons que des doutes surgissent. Si tel est le cas, il est plus facile de penser à un vol de l'intérieur qu'à une attaque de l'extérieur. Il semble également que cette fois le FireEye n'a pas indiqué quel État pourrait être à l'origine de l'attaque, ce qui est étrange étant donné que l'une de ses activités consiste précisément à identifier la provenance des APT. 

L'entreprise a déclaré qu'il n'y avait aucun des outils volés Exploits Zero-Day ni techniques inconnues. Mais il a également affirmé avoir publié plus de 300 contre-mesures ... même dans ces phrases, il me semble qu'il y a des contradictions. À quoi servent des contre-mesures spécifiques s'il n'y a rien de nouveau? S'il était vrai que rien de nouveau ne lui avait été volé, je ne pense pas qu'il aurait été nécessaire de libérer des centaines d'outils de contre-mesure ... mais tant pis!

Enfin, et malheureusement c'est la question la plus sensible, sommes-nous sûrs que rien d'autre n'a été soustrait? Souvent, pour effectuer des travaux de pentesting, nous devons collecter des informations sur les systèmes que nous voulons rendre plus sûrs, des informations qui, entre les mains de personnes compétentes, montrent les points faibles des systèmes.

Nous savons que le FireEye il travaille avec des agences nationales américaines pour lesquelles il est concevable que parmi les données en sa possession figurent également des données concernant les infrastructures critiques sur lesquelles elles travaillent ou ont travaillé. Si ces données sont passées entre les mains de voleurs, de simples criminels ou d'États ennemis, les choses pourraient se compliquer pour tout le monde ... 

Pour en savoir plus:

FireEye partage les détails de la récente cyberattaque et des actions pour protéger la communauté | FireEye Inc

FireEye, l'une des principales sociétés américaines de cybersécurité, affirme avoir été piratée (nbcnews.com)

Accès non autorisé aux outils FireEye Red Team | FireEye Inc

FireEye hacké! Ses outils Red Team ont été dérobés! (programmez.com)

GitHub - fireeye / red_team_tool_countermeasures

FireEye piraté: le géant de la cybersécurité y voit la main d'un état - CNET France

FireEye, une des plus grandes entreprises de cybersécurité, affirme qu'elle a été piratée par un État-nation - The New York Times (nytimes.com)