La grande image: Le gouvernement américain a connu une mauvaise série d’incidents liés à la cybersécurité au cours des deux dernières semaines. En l’espace de 12 jours, des responsables du FBI, du DoD et de l’USMS ont confirmé une fuite de données causée par une erreur humaine et deux attaques distinctes contre les systèmes gouvernementaux. Jusqu’à présent, les enquêteurs n’ont trouvé aucun suspect ou gardent le secret sur ce qu’ils ont découvert.
Lundi, l’US Marshals Service (USMS) a annoncé que des pirates avaient infecté ses systèmes avec des rançongiciels. La faille de sécurité a exposé un cache de données, y compris des informations personnellement identifiables (PII) des employés de l’USMS. Les responsables affirment que l’attaque a été isolée d’un système “autonome”, qui est maintenant hors ligne. L’attaque n’a pas causé d’interruption des opérations.
“Le système concerné contient des informations sensibles pour les forces de l’ordre, notamment des retours de procédures judiciaires, des informations administratives et des informations personnellement identifiables concernant les sujets d’enquêtes de l’USMS, des tiers et certains employés de l’USMS”, a déclaré le porte-parole Drew Wade à NBC News.
L’incident s’est produit le 17 février. Les hauts responsables du ministère de la Justice l’ont qualifié d’attaque « majeure ». Une enquête médico-légale en cours bat son plein, mais on sait peu de choses sur l’événement. Les responsables du DoJ et de l’USMS n’ont nommé aucun suspect ni demandé de rançon.
Cependant, ils ont mentionné que l’attaque n’impliquait pas la base de données du programme de sécurité des témoins et assure à tous que personne dans la protection des témoins n’est en danger. Le système en panne contenait principalement des informations sur les enquêtes en cours, mais l’USMS a développé une “solution de contournement” pour poursuivre les opérations sans le système infecté.
L’attaque s’est produite de manière suspecte à proximité d’un autre piratage contre les ordinateurs des forces de l’ordre fédérales. Le jour même de l’incident de l’USMS, le FBI a annoncé qu’il avait “contenu” un événement de cybersécurité sur ses systèmes.
Les responsables du Bureau ont été discrets sur les informations concernant l’attaque. Il s’est abstenu de commenter les systèmes touchés, les suspects possibles ou les dommages causés. Cependant, des sources anonymes informées de l’incident ont déclaré à CNN que la violation impliquait le système de matériel d’abus sexuel d’enfants (CSAM) du FBI dans un bureau de terrain “très médiatisé” à New York. Les autorités enquêtent toujours sur l’origine de l’attaque, mais il ne semble pas qu’elle impliquait un rançongiciel. Un porte-parole officiel du FBI a affirmé qu’il s’agissait d’un “incident isolé”.
Comme si cela ne suffisait pas, le ministère de la Défense a subi une fuite de données la semaine dernière grâce à un serveur de messagerie mal configuré. Le système était hébergé sur un compte Microsoft Azure réservé au personnel du DoD et isolé des serveurs civils. Les e-mails exposés contenaient des informations “sensibles mais non classifiées”.
Un exemple était un formulaire SF-86 rempli, qui est utilisé pour demander une habilitation de sécurité classifiée. Ce type de document contient des PII et d’autres informations sensibles qui pourraient être utiles à des adversaires étrangers.
Le serveur largement ouvert a été repéré par un chercheur en sécurité et signalé au DoD. Les administrateurs ont immédiatement reconfiguré le serveur. Pour autant que tout le monde le sache, personne d’autre que le chercheur en sécurité n’a accédé aux données au cours des quelques semaines où elles ont été exposées.