La violation continue affectant des milliers d’organisations qui s’appuyaient sur des produits de porte dérobée par une société de logiciels de réseau Vents solaires pourrait avoir compromis la confidentialité d’innombrables documents judiciaires scellés déposés auprès du système judiciaire fédéral américain, selon une note publiée mercredi par le Bureau administratif (AO) des tribunaux américains.
L’agence de la branche judiciaire a déclaré qu’elle déploierait des contrôles plus stricts pour la réception et le stockage des documents sensibles déposés auprès des tribunaux fédéraux, suite à la découverte que ses propres systèmes avaient été compromis dans le cadre de l’attaque de la chaîne d’approvisionnement SolarWinds. Cette intrusion impliquait l’insertion subreptice d’un code malveillant dans les mises à jour fournies par SolarWinds à quelque 18 000 utilisateurs de son Orion logiciel de gestion de réseau dès mars 2020.
« L’AO travaille avec le Département de la sécurité intérieure sur un audit de sécurité relatif aux vulnérabilités du système judiciaire Gestion de cas/dossiers de cas électroniques (CM/ECF) qui risque fortement de compromettre des documents non publics très sensibles stockés sur CM/ECF, en particulier des dossiers scellés », a déclaré l’agence dans une déclaration publié le 6 janvier.
« Un compromis apparent de la confidentialité du système CM/ECF en raison de ces vulnérabilités découvertes fait actuellement l’objet d’une enquête », poursuit le communiqué. « En raison de la nature des attaques, l’examen de cette affaire et de son impact est en cours. »
L’AO a refusé de commenter des questions spécifiques concernant leur divulgation de violation. Mais une source proche de l’enquête a déclaré à BreachTrace que le système de documentation de la Cour fédérale avait été « durement touché » par les attaquants de SolarWinds, que plusieurs agences américaines de renseignement et d’application de la loi ont attribué comme « probablement d’origine russe ».
La source a déclaré que les intrus derrière le compromis SolarWinds avaient ensemencé le réseau de l’AO avec un logiciel malveillant « Teardrop » de deuxième étape qui allait au-delà de la mise à jour du logiciel malveillant «Sunburst» qui a été diffusée de manière opportuniste aux 18 000 clients utilisant le logiciel Orion compromis. Cela suggère que les attaquants ciblaient l’agence pour un accès plus approfondi à ses réseaux et communications.
Le système de documents judiciaires de l’AO alimente une base de données consultable publiquement appelée MENEUR DE TRAINet la grande majorité des fichiers dans PACER ne sont pas restreints et sont accessibles à toute personne disposée à payer pour les enregistrements.
Mais les experts disent que de nombreux autres documents stockés dans le système de l’AO sont scellés – temporairement ou indéfiniment par les tribunaux ou les parties à une affaire judiciaire – et peuvent contenir des informations très sensibles, y compris la propriété intellectuelle et les secrets commerciaux, ou même l’identité d’informateurs confidentiels.
Nicolas Tisserand, maître de conférences au département d’informatique de l’Université de Californie à Berkeley, a déclaré que le système de documentation judiciaire ne contient pas de documents classifiés pour des raisons de sécurité nationale. Mais il a déclaré que le système regorge de dossiers scellés sensibles – tels que des assignations à comparaître pour des enregistrements de courrier électronique et des demandes dites de «piégeage et de traçage» que les responsables de l’application des lois utilisent pour déterminer avec qui un suspect communique par téléphone, quand et pendant combien de temps.
« Ce serait un trésor pour les Russes qui connaissent de nombreuses enquêtes criminelles en cours », a déclaré Weaver. « Si le FBI a inculpé quelqu’un mais ne l’a pas encore arrêté, tout est sous scellés. Un grand nombre des outils d’enquête qui sont protégés sous scellés sont classés très tôt dans le processus, souvent avec des ordonnances de bâillon qui empêchent [the subpoenaed party] de divulguer la demande.
L’accusé de réception de l’AO intervient quelques heures après le Département américain de la justice a déclaré qu’il avait également été victime des intrus de SolarWindsqui a pris le contrôle du département Bureau 365 système et accédé aux e-mails envoyés ou reçus d’environ 3 % des comptes du DOJ (le département compte plus de 100 000 employés).
Le piratage de SolarWinds aurait également mis en péril les systèmes de messagerie utilisés par les hauts responsables du département du Trésor et accordé aux attaquants l’accès aux réseaux des départements de l’énergie, du commerce et de la sécurité intérieure.
Le New York Times mercredi signalé que les enquêteurs examinent si une brèche chez un autre fournisseur de logiciels – JetBrains – a pu précipiter l’attaque contre SolarWinds. La société, qui a été fondée par trois ingénieurs russes en République tchèque, fabrique un outil appelé TeamCity qui aide les développeurs à tester et à gérer le code logiciel. TeamCity est utilisé par les développeurs de 300 000 organisations, dont SolarWinds et 79 des entreprises Fortune 100.
« Les responsables enquêtent pour savoir si l’entreprise, fondée par trois ingénieurs russes en République tchèque avec des laboratoires de recherche en Russie, a été piratée et utilisée comme une voie permettant aux pirates d’insérer des portes dérobées dans le logiciel d’un nombre incalculable d’entreprises technologiques », The Times mentionné. « Les experts en sécurité préviennent que l’intrusion d’un mois pourrait être la plus grande violation des réseaux américains de l’histoire. »
Dans le cadre des nouvelles procédures de l’AO, les documents judiciaires très sensibles déposés auprès des tribunaux fédéraux seront acceptés pour dépôt sous forme papier ou via un dispositif électronique sécurisé, comme une clé USB, et stockés dans un système informatique autonome sécurisé. Ces documents scellés ne seront pas téléchargés sur CM/ECF.
« Cette nouvelle pratique ne changera pas les politiques actuelles concernant l’accès du public aux dossiers judiciaires, car les dossiers scellés sont confidentiels et ne sont actuellement pas accessibles au public », a déclaré l’AO.
James Lewisvice-président senior au Centrer pour les études stratégiques et internationalesa déclaré qu’il était trop tôt pour dire le véritable impact de la violation sur le système judiciaire, mais le fait qu’ils aient apparemment été ciblés est « un très gros problème ».
« Nous ne savons pas ce que les Russes ont pris, mais le fait qu’ils aient eu accès à ce système signifie qu’ils ont eu accès à beaucoup de choses intéressantes, car les affaires fédérales ont tendance à impliquer des cibles assez médiatisées », a-t-il déclaré.