Vidéo: COMMENT ON A RÉUSSI À ATTRAPER LE HACKER LE PLUS RECHERCHÉ DE L’HISTOIRE ! (Novembre 2024)
Selon un rapport du Center for Public Integrity, la Commission électorale fédérale a été frappée par une cyberattaque massive quelques heures après le début de la fermeture du gouvernement. Selon le rapport de l'IPC, les Chinois sont à l'origine du "pire acte de sabotage" de ces 38 années d'histoire.
Trois responsables gouvernementaux impliqués dans l'enquête ont confirmé l'attaque contre CPI, et la FEC a reconnu l'incident dans un communiqué. Toutefois, le rapport de l’IPC n’a pas expliqué pourquoi les autorités pensaient que la Chine était impliquée, ni fourni de détails sur l’intrusion du réseau, mis à part le fait que les assaillants ont mis plusieurs systèmes informatiques FEC en panne. Lorsqu'on lui a demandé une déclaration, FEC a référé Security Watch au département de la Sécurité intérieure et n'a fourni aucune information.
Le fait qu'une attaque ait eu lieu au cours de l'arrêt de 16 jours ne devrait pas être une surprise, car de nombreux experts en sécurité ont averti les attaquants pourraient tirer avantage du fait que le personnel informatique était mis au travail pour lancer une attaque. Avec moins de gens qui regardent les réseaux, les attaquants ont eu beaucoup de possibilités. En fait, la FEC avait licencié les 339 employés de l’agence, aucun de ses employés n’ayant été jugé "nécessaire à la prévention des menaces imminentes" sur les biens fédéraux, selon CPI.
" Risque élevé" d'intrusions sur le réseau
Le recul est 20/20, mais l'attaque a eu lieu presque un an après qu'un auditeur indépendant ait averti la FEC que son infrastructure informatique était "à haut risque" d'attaque. L’auditeur a souligné que, bien que la FEC ait mis en place certaines politiques, elles n’étaient pas suffisantes et des mesures immédiates étaient nécessaires pour réduire les risques. La FEC n'était pas d'accord avec la majorité des recommandations du vérificateur, affirmant que ses systèmes étaient sécurisés.
«Les systèmes d’information et d’information de la FEC présentent un risque élevé en raison de la décision des responsables de la FEC de ne pas adopter toutes les exigences de sécurité minimales imposées par le gouvernement fédéral», ont écrit les auditeurs de Leon Snead & Company en novembre 2012.
Les problèmes incluaient des mots de passe qui n'avaient jamais expiré, qui n'avaient pas changé depuis 2007 ou qui n'avaient jamais été utilisés pour se connecter. Les comptes désactivés sont restés dans Active Directory et les ordinateurs portables fournis aux sous-traitants utilisaient le même mot de passe "facilement deviné", selon le rapport. Même si la FEC exigeait une authentification à deux facteurs sur ses systèmes informatiques, la vérification a identifié 150 ordinateurs pouvant être utilisés pour se connecter à distance à des systèmes FEC sur lesquels la protection supplémentaire n'était pas activée. Les auditeurs ont également signalé des processus de correctifs médiocres et des logiciels obsolètes.
"Les contrôles en place reflètent le niveau de sécurité approprié et le risque acceptable pour soutenir la mission et protéger les données de l'agence", a déclaré l'agence dans sa réponse à l'audit.
Il n'est pas clair si les attaquants ont profité des mots de passe médiocres ou de l'un des autres problèmes signalés dans le rapport lors de l'attaque d'octobre. Étant donné que l’agence a rejeté les critiques formulées dans le rapport de vérification, il est probable que bon nombre des problèmes restés en suspens en octobre.
Sécurité, pas de réglementation
L’agence devait adopter les contrôles de sécurité informatique du NIST dans les normes FIPS 200 et SP 800-53 et exiger que tous les sous-traitants et fournisseurs tiers respectent les exigences énoncées dans la loi FISMA (Federal Information Security Management Act) de 2002, ont déclaré les auditeurs. Les contractants travaillant avec le gouvernement fédéral doivent se conformer à la FISMA, et le simple fait que la FEC soit exemptée de la FISMA ne signifie pas que les contractants le sont, ont déclaré les auditeurs.
La FEC semblait prendre des décisions en matière de sécurité informatique en se basant sur ce que l'agence est légalement tenue de faire, plutôt que d'examiner ce qui renforcerait la sécurité des informations et des systèmes d'information de l'agence, a déclaré le rapport d'audit.
Il est important que les entreprises réalisent que la sécurité ne consiste pas seulement à cocher une liste de directives et de normes. Les administrateurs doivent réfléchir à ce qu'ils font et s'assurer que leurs actions correspondent aux besoins de leur infrastructure. La FEC a insisté sur le fait qu'elle avait mis en place des politiques et des directives pour protéger ses données et ses réseaux, ce qui était suffisant car il respectait une directive de sécurité différente. L’agence n’a pas cessé de chercher à savoir si ces contrôles et ces politiques sécurisaient effectivement son réseau.
Le piètre statut de sécurité de la FEC signifiait que "son réseau informatique, ses données et ses informations couraient un risque accru de perte, de vol, de manipulation, d'interruption des opérations et d'autres actions indésirables", a averti le rapport.
Et nous nous demandons ce que les assaillants ont fait pour faire de l'intrusion l'acte de sabotage le plus important de l'histoire de l'agence, et quelles autres agences ont peut-être été touchées au cours de la même période. Nous ne pouvons qu'espérer que d'autres agences ont mieux fait de respecter les normes de sécurité minimales pour leurs données et leurs réseaux.
