Le département du Trésor américain annonce avoir été victime d’une cyberattaque. Dans un courrier adressé aux élus de la Chambre des représentants, l’agence gouvernementale chargée de la gestion des finances publiques des États-Unis indique que l’attaque a eu lieu début décembre.
Les attaquants ont visé plusieurs postes de travail au sein du Trésor. Heureusement, les données confidentielles de l’agence ne sont pas tombées entre les mains des cybercriminels. Des documents non classifiés ont cependant été consultés.
À lire aussi : L’un des créateurs du ransomware Lockbit a été arrêté par les Etats-Unis
Un logiciel tiers comme porte d’entrée
Aux dires du Trésor, les hackers se sont servis de BeyondTrust, un logiciel tiers de gestion des accès privilégiés employé par l’organisation. Il y a quelques semaines, le logiciel a en effet été compromis et des pirates ont eu accès à certaines des instances de support à distance basée sur le cloud.
« BeyondTrust a déjà identifié et pris des mesures pour remédier à un incident de sécurité au début du mois de décembre 2024 qui impliquait le produit Remote Support. BeyondTrust a notifié le nombre limité de clients concernés, et a travaillé pour soutenir ces clients depuis lors. Aucun autre produit BeyondTrust n’a été impliqué. Les forces de l’ordre ont été informées et BeyondTrust soutient les efforts d’investigation. BeyondTrust a publié des informations concernant l’incident et l’enquête en cours sur son site web le 8 décembre 2024, y compris un résumé, une chronologie et des indicateurs. L’avis de sécurité a été mis à jour depuis lors dans le cadre de l’engagement de BeyondTrust à informer ses clients jusqu’à la fin de l’affaire », confirme BeyondTrust dans un communiqué adressé à 01Net.
Avec la clé API compromise, les hackers ont pu réinitialiser les mots de passe des comptes liés à certaines applications et obtenir un accès privilégié à différents ordinateurs. Aux origines de la cyberattaque, on trouve deux failles de sécurité béantes dans le logiciel. C’est de cette manière que les cybercriminels sont arrivés sur les ordinateurs du Trésor, l’un des clients des instances d’assistance de BeyondTrust.
« Dès que le fournisseur de services a alerté le Trésor, nous avons contacté l’agence pour la cybersécurité et la sécurité des infrastructures et travaillé avec les forces de l’ordre pour déterminer quelles ont été les conséquences de l’intrusion. Le logiciel corrompu a été retiré et aucun élément ne permet de considérer que l’intrus a pu continuer à avoir accès aux systèmes informatiques du Trésor », relate le département du Trésor américain.
Les États-Unis accusent la Chine
L’agence gouvernementale estime que cet « incident majeur de sécurité informatique » a été orchestré par la Chine. Sur base de l’enquête réalisée par le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), le département du Trésor accuse le gouvernement chinois d’avoir chargé un gang de pirates de mener une opération d’espionnage.
C’est loin d’être la première fois que Washington accuse Pékin d’attaques informatiques. En mars dernier, les États-Unis avaient déjà attribué à la Chine plusieurs offensives d’envergure sur ses infrastructures critiques.
Cette énième accusation d’espionnage survient alors que des cybercriminels chinois sont parvenus à s’infiltrer sur le réseau de neuf opérateurs américains. L’attaque, signée Salt Typhoon, a permis aux pirates d’espionner les communications de plusieurs hommes politiques américains, dont Donald Trump. La Chine a toujours fermement réfuté les accusations des États-Unis.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : NY Times
