J’ai entendu de nombreux lecteurs la semaine dernière qui étaient curieux de savoir pourquoi je n’avais pas pesé sur la violation de données massive (et apparemment toujours en cours) au Bureau américain de la gestion du personnel (OPM). Il s’avère que le moyen le plus simple pour un journaliste de s’assurer que tout touche le fan du point de vue de la cybersécurité est de prendre deux semaines de vacances à l’autre bout du monde. Ce qui suit est une chronologie qui m’a aidé à comprendre les événements qui ont précédé cette violation, suivie d’une analyse et de liens vers d’autres points de vue sur la question.
Bureaux de l’OPM à Washington, DC. Image : Flickr.
Juillet 2014 : L’OPM enquête sur une violation de ses réseaux informatiques datant de mars 2014. Les autorités font remonter l’intrusion en Chine. OPM offre aux employés une surveillance de crédit gratuite et assure aux employés qu’aucune donnée personnelle ne semble avoir été volée.
Août 2014 : Il ressort que NOUS SOMMESun fournisseur de vérification des antécédents pour le Département américain de la sécurité intérieure, a été piraté. NOUS SOMMES des offres 27 000 employés du DHS surveillent le crédit par AllClearID (divulgation complète : AllClear est un annonceur sur ce blog). Les enquêteurs affirment que les Chinois sont responsables des pirates informatiques et que les attaquants sont entrés par effraction exploiter une vulnérabilité dans un produit logiciel de gestion d’entreprise de SAP. OPM suspend bientôt le travail avec USIS.
Novembre 2014 : UNE rapport (PDF) par OPM Bureau de l’inspecteur général sur la conformité de l’agence avec Loi fédérale sur la gestion de la sécurité de l’information constate des lacunes « importantes » dans la sécurité informatique du ministère. Le rapport a révélé qu’OPM ne maintenait pas un inventaire complet des serveurs, des bases de données et des périphériques réseau, et que les auditeurs n’étaient pas en mesure de dire si OPM avait même un programme d’analyse des vulnérabilités. L’audit a également révélé que l’authentification multifacteur (l’utilisation d’un jeton tel qu’une carte à puce, ainsi qu’un code d’accès) n’était pas nécessaire pour accéder aux systèmes OPM. « Nous pensons que le volume et la sensibilité des systèmes OPM qui fonctionnent sans autorisation active représentent une faiblesse importante dans la structure de contrôle interne du programme de sécurité informatique de l’agence », conclut le rapport.
Déc. 2014: Point cléune entreprise qui a pris en charge les vérifications d’antécédents pour USIS, subit une brèche. OPM déclare qu’il n’y a « aucune preuve concluante pour confirmer que des informations sensibles ont été supprimées du système ». L’OPM s’engage à informer 48 439 employés fédéraux que leurs informations pourraient avoir été exposées lors de l’attaque.
Février 2015 : Le géant de l’assurance maladie Anthem révèle une violation affectant près de 80 millions de clients. Les experts tracent plus tard les domaines, les adresses IP impliquées dans l’attaque aux pirates chinois. Hymne des offres deux ans de services gratuits de surveillance du crédit via AllClearID.
Mai 2015 : Premera Blue Cross, l’une des compagnies d’assurance qui participe au programme de prestations de santé des employés fédéraux, révèle une violation affectant 11 millions de clients. Auditeurs fédéraux à l’OPM prévenu Premera trois semaines avant la violation que ses procédures de sécurité du réseau étaient inadéquates. Contrairement à la violation d’Anthem, l’incident de Premera expose des informations médicales cliniques en plus d’informations personnellement identifiables. Premera des offres deux ans de surveillance de crédit gratuite via Expérian.
Mai 2015 : Carefirst Blue Cross révèle une violation affectant 1,1 million de clients. Les indices découverts par les chercheurs indiquent la même infrastructure d’attaque et les mêmes méthodes utilisées dans la brèche Anthem et Premera. Carefirst des offres surveillance de crédit gratuite pendant deux ans via Experian.
Juin 2015 : L’OPM divulgue une violation affectant jusqu’à 4 millions d’employés fédéraux, des offres 18 mois de surveillance de crédit gratuite via CSID. Des rapports de suivi indiquent que la violation peut s’étendre bien au-delà des employés fédéraux aux personnes qui ont demandé des habilitations de sécurité auprès du gouvernement fédéral.
ANALYSE
Comme l’indique le rapport de l’Inspecteur général de l’OPM, « des attaques comme celles contre Anthem et Premera [and OPM] sont susceptibles d’augmenter. Dans ces cas, le risque pour les employés fédéraux et leurs familles persistera probablement longtemps après l’expiration de la surveillance gratuite du crédit offerte par ces entreprises.
Cela semble être l’euphémisme de l’année. L’OPM exécute un petit programme appelé e-QIP, qui traite les demandes d’habilitations de sécurité pour les agences fédérales, y compris top secret et au-dessus.
« Dans ces fichiers se trouvent d’énormes trésors de données personnelles, y compris » les antécédents financiers et les dossiers d’investissement des candidats, les noms des enfants et des proches, les voyages à l’étranger effectués et les contacts avec des ressortissants étrangers, les résidences passées et les noms des voisins et des amis proches tels que l’université colocataires et collègues de travail. Les employés se connectent en utilisant leurs numéros de sécurité sociale.
Cette citation explique bien pourquoi une nation comme la Chine pourrait souhaiter récupérer des données de l’OPM et d’un réseau de prestataires de soins de santé au service des employés fédéraux : si vous étiez un État et que vous souhaitiez recruter des espions étrangers ou découvrir des traîtres dans vos propres rangs, quel genre de mine d’or ces données pourraient-elles être ? Imaginez avoir accès à des fichiers comprenant des entretiens avec des amis et des connaissances d’une cible au fil des ans, dont certains pourraient bien avoir partagé des informations utiles sur les défauts de caractère, les faiblesses et les penchants de cette personne.
Pour sa part, la Chine a fermement nié toute implication. Politico cite un reportage du service de presse chinois Xinhua lequel renvoyé les allégations américaines comme « évidemment un autre cas de calomnie habituelle de Washington contre Pékin sur la cybersécurité ».
« Il a également souligné les informations divulguées par l’ancien sous-traitant de la NSA, Edward Snowden, affirmant que les États-Unis eux-mêmes étaient coupables de » vol informatique organisé à grande échelle, d’écoutes téléphoniques et de surveillance de personnalités politiques, d’entreprises et d’individus d’autres pays, y compris la Chine « », politiquec’est David Perera écrit.
Certains diraient qu’il est faux ou du moins téméraire de s’attarder sur données médico-légales et autres indices suggérant que des pirates étroitement alliés au gouvernement chinois étaient impliqués dans ces attaques. En effet, un contingent d’experts affirme que mettre autant l’accent sur l’attribution dans ce type d’attaques est une diversion qui détourne l’attention et les ressources de ce qui compte vraiment : apprendre de ses erreurs et se concentrer sur une meilleure sécurisation et maintenance de nos systèmes critiques.
Dans le cadre de ma visite en Australie (puis dans la magnifique Nouvelle-Zélande) ces dernières semaines, j’ai été invité à prendre la parole lors de deux conférences sur la sécurité distinctes. Lors de l’une d’elles, mon allocution a été précédée d’un discours de Mike Burgessresponsable de la sécurité de l’information chez Telstra, le plus grand fournisseur de télécommunications d’Australie. Burgess sait quelques choses sur l’attribution : il est un vétéran de 18 ans de la Direction australienne des signaux (anciennement le Direction des transmissions de défense et l’équivalent australien du Agence de sécurité nationale des États-Unis).
Dans son discours, Burgess s’est insurgé contre les reportages des médias sur les cyberattaques très médiatisées qui ont créé une atmosphère de ce qu’il a appelé « distraction d’attribution » et « distraction de la menace ». Un journaliste avec ZDNet capturé Les pensées de Burgess avec cette citation :
« Ne vous méprenez pas… Je ne dis pas que l’attribution n’est pas importante. Je ne dis pas que les problèmes de source, de grande intelligence technique et d’autres formes de renseignement pour comprendre la menace et les intentions de ceux qui cherchent à vous voler des informations ou à perturber votre organisation dans un but qui peut vous être inconnu, [are not important].”
« Mais ce que j’observe, ce que je crains, ce que je vois trop, c’est que de nombreux commentateurs, beaucoup dans l’industrie et beaucoup dans les médias, se concentrent sur l’attribution, avec très peu d’attention sur la cause profonde. Personne ne devrait perdre des informations précieuses lorsqu’il existe un remède connu à la racine. Pour moi, c’est impardonnable de nos jours. Et je dois vous dire – mon point de vue du moins – trop de cette distraction autour de l’attribution empêche de se concentrer sur ce qui est vraiment important ici.
Il y a, sans aucun doute, beaucoup de sagesse dans les propos de M. Burgess. Après tout, l’OPM clairement aurait pu faire beaucoup plus pour renforcer la sécurité autour de ses magasins de données très sensibles. Mais peut-être que Burgess était sur quelque chose pour une raison différente : du moins en ce qui concerne les relations ténues des États-Unis avec la Chine, le fait d’avoir de solides indicateurs d’attribution dans une attaque de cette ampleur place la Maison Blanche plutôt publiquement entre le marteau et l’enclume. .
Comme Le New York Times écrit, l’administration Obama se trouve maintenant sous pression pour réagir d’une manière ou d’une autre et envisagerait des sanctions financières contre la Chine. Mais comme La revue nationale observe avec ironie, c’est une position un peu embarrassante pour un gouvernement qui ne tient guère la haute morale lorsqu’il s’agit d’espionner et d’aspirer des données de gouvernements étrangers.
« C’est en partie parce qu’au cours des deux années qui ont suivi les fuites d’Edward Snowden sur la surveillance américaine, l’administration Obama a soutenu à plusieurs reprises que le piratage des réseaux informatiques pour espionner les étrangers était un comportement tout à fait acceptable ». écrit Brendan Sasso. « Il ne sera pas si facile pour les États-Unis d’exprimer leur indignation simplement parce qu’ils sont cette fois de l’autre côté de la surveillance. »
Si vous êtes touché par ces violations et que vous vous demandez ce que vous pouvez faire pour vous protéger en plus de vous inscrire à des services de surveillance du crédit, veuillez consulter cette histoire.