Ce sont bien les pirates du groupe APT29, alias Cozy Bear, lié aux services secrets russes qui sont à l’origine du hacking contre SolarWinds en décembre 2020. C’est ce qu’ont déclaré officiellement jeudi les gouvernements américains et britannique alors que les États-Unis imposaient des sanctions à certaines entreprises russes et expulsaient des diplomates de l’ambassade russe à Washington.

Cette confirmation n’en est finalement pas une, l’origine moscovite de l’attaque étant un secret de polichinelle. On notera que le spécialiste russe de la cybersécurité Kaspersky Labs – lui-même accusé par Washington d’être à la solde du FSB (l’héritier du KGB) – fut l’un des premiers, sinon le premier, à attribuer le piratage à APT29 en janvier dernier.

« La troisième branche des services de renseignement russes, le SVR (Service de renseignement extérieur) est responsable de l’exploit 2020 de la plateforme SolarWinds Orion et d’autres infrastructures informatiques », a indiqué le Département américain du Trésor en annonçant les mesures de rétorsion prises à l’encontre d’entreprises technologiques accusées de soutenir les services de renseignement russes. « Cette intrusion a compromis des milliers de réseaux du gouvernement américain et du secteur privé. La portée et l’ampleur de ce compromis, combinées à l’histoire de la Russie en matière de cyberopérations imprudentes et perturbatrices, en font un problème de sécurité nationale. Le SVR a mis en danger la chaîne d’approvisionnement technologique mondiale en permettant l’installation de logiciels malveillants sur les machines de dizaines de milliers de clients de SolarWinds. Les victimes de la compromission sont le secteur financier, les infrastructures essentielles, les réseaux gouvernementaux et bien d’autres. Par ailleurs, cet incident coûtera aux entreprises et aux consommateurs aux États-Unis et dans le monde des millions de dollars pour y remédier pleinement. » Sont visés par la riposte des USA, ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.

Basée à Moscou avec notamment des bureaux à Brno (République tchèque) et à Londres, Positive Technologies n’est pas une inconnue dans le monde occidental. Classée en 2016 parmi les visionnaires du Quadrant Magique dans le Magic Quadrant for Web Application Firewalls, la société s’est distinguée en mars dernier pour avoir décelé et signalé à Intel une faille dans la ROM de démarrage de certaines de ses puces. Elle revendique par ailleurs des partenariats avec une petite dizaine d’entreprises technologiques occidentales dont IBM, HP, Microsoft, VMware, SAP ou encore Check Point. Elle est en outre présente au Royaume-Uni dans le secteur des télécoms selon nos confrères de The Register, qui craignent un nouveau scénario de type Huawei.

Le Département américain du Trésor, qui accuse entre autres la société de sécurité d’organiser des « conventions à grande échelle qui sont utilisées comme événements de recrutement pour le FSB et la GRU (Direction principale du renseignement russe) », interdit aux Américains d’entretenir des relations commerciales ou financières avec elle, ainsi qu’avec les autres entreprises de la liste.

Londres a également publié un communiqué mettant en cause Moscou, rapportent nos confrères de The Register. « Nous voyons ce que la Russie fait pour saper nos démocraties. Le Royaume-Uni et les États-Unis dénoncent le comportement malveillant de la Russie, afin de permettre à nos partenaires internationaux et à nos entreprises du pays de mieux se défendre et se préparer contre ce type d’action », y affirme le ministre des affaires étrangères britannique, Dominic Raab. De son côté, le National Cyber Security Centre (NCSC) britannique assure dans une note que « l’impact global sur le Royaume-Uni de l’exploitation de ce logiciel par le SVR est faible ».