Produits et services Central

Cyberattaque : FireEye fait le point sur la situation et les actions entreprises pour protéger tout un chacun

FireEye agit sur le front de la cybersécurité pour défendre les entreprises et infrastructures d'importance vitale dans le monde entier. Nous sommes donc les premiers témoins de l'évolution constante des menaces, tant en termes de volumes que de modes opératoires. Il y a peu, nous avons fait l'objet d'une attaque perpétrée par un adversaire extrêmement bien organisé. Le professionnalisme, les techniques et les compétences en sécurité opérationnelle dont il a fait preuve laissent à penser que l'opération a été commanditée par un État. Aujourd'hui, notre priorité absolue consiste à renforcer la sécurité de nos clients et de la communauté en général. En partageant les informations sur notre investigation, nous espérons donner à chacun les moyens de contrer et neutraliser les cyberattaques.

Je travaille depuis 25 ans dans la cybersécurité et la réponse à incident. Fort de cette expérience, j'en suis arrivé à la conclusion que l'opération a été menée par un État doté d'un arsenal cyberoffensif hors norme. Cette attaque diffère en effet des dizaines de milliers d'incidents auxquels nous avons répondu au fil des ans. Les moyens déployés ont été minutieusement préparés pour viser et atteindre FireEye. Le plan a été exécuté avec rigueur et discipline par des experts de la sécurité opérationnelle. Ils ont agi clandestinement en recourant à des méthodes capables d'échapper aux outils de sécurité et aux examens forensiques. Ni nos équipes ni nos partenaires n'avaient encore observé une telle combinaison de techniques.

Nous menons actuellement une investigation conjointe avec le FBI et d'autres partenaires majeurs, tels que Microsoft. Leur première analyse va dans le sens de nos conclusions : il s'agirait d'une attaque d’un groupe étatique extrêmement sophistiqué et recourant à des techniques tout à fait nouvelles.    

Selon les premiers éléments de l'enquête, il semblerait que l'attaquant ait pu accéder à certains des outils de simulation d'attaque (évaluations Red Team) dont nous nous servons pour tester la sécurité de nos clients. Ces outils reproduisent les méthodes d'attaque de nombreux groupes cyber et permettent à FireEye de livrer des diagnostics de sécurité à nos clients. Aucun de ces outils ne contient d'exploits zero-day. Fidèles à notre engagement pour la protection de tous, nous avons pris les devants en communiquant les méthodes et moyens de détecter l'utilisation des outils de simulation dont l'attaquant s'est emparé.   

Nous ignorons encore si ce dernier prévoit d'exploiter lui-même ces outils ou de les rendre publics. Toutefois, par mesure de précaution, nous avons mis au point plus de 300 contre-mesures que nos clients et l'ensemble de la communauté pourront utiliser pour réduire l'impact potentiel du vol de ces outils.  

À ce stade de l'enquête, nous n'avons aucune preuve que nos outils de simulation aient été utilisés par un quelconque attaquant. Nos équipes, ainsi que d'autres acteurs de la sécurité, continueront à suivre de près ces activités potentielles. Pour le moment, notre priorité est d'informer l'ensemble de la communauté de la cybersécurité et de la protéger contre l'utilisation éventuelle de ces outils de simulation d'attaque. Pour ce faire, voici les mesures concrètes que nous avons mises en place :

  • Nous avons développé des contre-mesures capables de détecter et de bloquer l'utilisation de nos outils exfiltrés
  • Nous avons intégré des contre-mesures à nos produits de sécurité
  • Nous partageons ces contre-mesures avec tous les acteurs de la cybersécurité pour qu'ils puissent mettre à jour leurs propres outils de sécurité
  • Ces contre-mesures sont accessibles à tous sur notre blog via un article intitulé "Unauthorized Access of FireEye Red Team Tools"
  • Nous continuerons également à améliorer toutes les mesures de neutralisation de ces outils de simulation, puis à les partager avec nos partenaires de sécurité et à les rendre publics.

Comme dans toute campagne de cyberespionnage menée par un groupe étatique, l'attaquant a tout d'abord cherché à obtenir des informations sur certains de nos clients gouvernementaux. S'il est parvenu à accéder à certains de nos systèmes internes, nous n'avons pour l'instant aucune preuve que des données ont été exfiltrées de nos systèmes primaires sur lesquels nous stockons des informations clients collectées dans le cadre de nos missions de conseil ou de réponse à incident. L'adversaire ne semble pas non plus avoir fait main basse sur des métadonnées collectées automatiquement par nos produits de Threat Intelligence. S'il s'avérait que des informations clients ont été exfiltrées, nous nous mettrons directement en relation avec ces derniers.

Depuis de nombreuses années, nous procédons à l'identification, à la catégorisation et à la divulgation des activités d'une multitude de groupes APT (Advanced Persistent Threat). Nous comptons ainsi permettre à tous les acteurs de la cybersécurité de détecter et bloquer les menaces nouvelles et émergentes.

Jour après jour, nous innovons et évoluons pour mieux protéger nos clients contre des attaquants qui agissent hors de tout cadre juridique et éthique pour parvenir à leurs fins. Cet événement ne fait pas exception. Nous sommes convaincus de l'efficacité de nos produits et des processus qui nous servent à les améliorer. Cette attaque nous a permis de connaître mieux encore les adversaires auxquels nous faisons face. Nul doute que la communauté de la cybersécurité sortira plus forte et mieux protégée de cette épreuve. Rien ne nous détournera de la mission qui est la nôtre.

Énoncés prospectifs

Certaines déclarations contenues dans cet article constituent des « énoncés prospectifs » au sens des dispositions de l'article 27A du Securities Act de 1933, tel que modifié, et de l'article 21E du Securities Exchange Act de 1934, tel que modifié. Ces énoncés prospectifs se fondent sur nos convictions, nos attentes et notre compréhension actuelles, et peuvent faire référence entre autres à des énoncés sur nos convictions et notre compréhension actuelles de l'impact et de l'ampleur de l'événement rapporté, et sur notre compréhension des faits associés. Les énoncés prospectifs s'appuient sur les informations actuellement disponibles et sur nos convictions, attentes et compréhension actuelles, qui peuvent changer au fil de l'investigation et des nouveaux éléments qu'elle fera apparaître, notamment sur les ressources ciblées et les informations et outils auxquels l'attaquant a eu accès. Ces énoncés sont soumis aux aléas de futurs événements, risques et incertitudes qui, pour la plupart, échappent à notre contrôle ou sont actuellement inconnus de FireEye. Ces risques et incertitudes se rapportent, sans s’y limiter, à notre investigation en cours, y compris à la découverte potentielle de nouvelles informations liées à l'incident.

Les énoncés prospectifs ne sont valables qu'à la date de leur formulation et, bien que nous prévoyions de fournir des informations supplémentaires sur l'attaque, FireEye ne s'engage pas à actualiser ces énoncés, sauf si la loi l'exige, et décline expressément toute obligation à cet égard.