Le FBI lance une opération massive pour supprimer les malwares aux États-Unis

Le ministère de la Justice a annoncé le lancement d’une opération visant à éliminer les portes dérobées vers des centaines de serveurs basés aux États-Unis, exposés par une vulnérabilité Microsoft Exchange identifiée par la société plus tôt cette année.

Les services juridiques motivés dans la lutte contre la cybercriminalité

Cette vaste opération de nettoyage autorisée par le tribunal démontre l’engagement du Ministère à interrompre les activités de piratage en utilisant tous les outils juridiques et en allant au-delà des poursuites. Certes, il reste encore du travail à faire, mais le Département est déterminé à faire le maximum nécessaire dans ces efforts.

L’action du DOJ (U.S. Department of Justice) est également une étape majeure les démarches de plusieurs semaines menées par les services de renseignements et les responsables et de Microsoft pour endiguer les dommages causés par une faille de sécurité majeure. Cette dernière permettrait aux pirates informatiques d’infiltrer les serveurs d’au moins 30 000 organisations américaines.

La pression exercée sur le secteur privé pour corriger la vulnérabilité a réduit le nombre de serveurs exposés, mais les pirates avaient déjà installé du code malveillant sur des milliers de serveurs pour créer une voie distincte dans leurs opérations. Après que Microsoft a annoncé le correctif en février, les pirates se sont précipités pour récupérer ce code malveillant. Des centaines de webshell sont néanmoins restés sur certains ordinateurs basés aux États-Unis exécutant le logiciel Microsoft Exchange à la fin du mois de mars.

HAFNIUM désigné comme auteur de l’intrusion 

Les shells supprimés par les forces de l’ordre avaient chacun un chemin d’accès et un nom de fichier uniques, ce qui a compliqué la détection et la suppression  pour les propriétaires de serveurs. Dans son dossier, le tribunal mentionne que Microsoft a identifié les instigateurs de l’intrusion comme  étant HAFNIUM, un groupe parrainé par l’État opérant hors de la Chine. Néanmoins, le gouvernement américain n’a pas officiellement attribué l’attaque à un groupe spécifique.

Les cyber-experts étaient divisés sur l’importance et l’impact de l’opération menée par le Ministère de la Justice. Certains estiment que cela ne fait que ralentir les attaquants. D’autres applaudissent les efforts mis en œuvre par le gouvernement. Ils soulignent que si cette opération a supprimé tous les webshell des serveurs backdoor corrigés, ils ont peut-être sauvé ces organisations d’attaques ultérieures potentiellement dévastatrices.

Une opération qui soulève les problèmes de confidentialités

Se diriger directement vers un mandat soulève des problèmes de confidentialité dans cette opération, notent certains experts. Selon le dossier du tribunal, la procédure de suppression du code malveillant n’a pas eu d’incidence sur les autres fichiers ou services des ordinateurs, une situation affirmée par un expert indépendant. 

Certains professionnels soutiennent que ce mandat est un outil extrêmement puissant et potentiellement dangereux. Celui-ci a permis au gouvernement d’accéder aux ordinateurs d’une tierce personne pour supprimer des fichiers, sans préavis. C’est bien disent-ils que le DOJ ait décelé cela rapidement, et il est vrai que l’élimination de l’exploit de sécurité du serveur Exchange est bénéfique. Mais il reste profondément troublant de voir un tribunal autoriser les agents du gouvernement à accéder aux ordinateurs des citoyens.