Les États-Unis, rejoints par leurs alliés et partenaires, attribuent à la république populaire de Chine une cyberactivité malveillante et un comportement irresponsable de la part de l’État

La Maison-Blanche
Le 19 juillet 2021

Les États-Unis sont préoccupés depuis longtemps par le comportement irresponsable et déstabilisateur de la république populaire de Chine (RPC) dans le cyberespace. Aujourd’hui, les États-Unis ainsi que leurs alliés et partenaires dévoilent de nouveaux détails sur le schéma de cyberactivité malveillante de la RPC et prennent de nouvelles mesures pour le contrer, car il constitue une menace majeure pour la sécurité économique et nationale des États-Unis et de leurs alliés.

Un groupe sans précédent d’alliés et de partenaires, dont l’Union européenne, le Royaume-Uni et l’OTAN, se joint aux États-Unis pour dévoiler et critiquer les cyberactivités malveillantes de la RPC.

Le schéma de comportement irresponsable de la RPC dans le cyberespace est incompatible avec son objectif déclaré d’être considérée comme un leader responsable dans le monde. Aujourd’hui, les pays du monde entier indiquent clairement que les préoccupations relatives aux cyberactivités malveillantes de la RPC les amènent à dénoncer ces activités, à promouvoir la défense et la cybersécurité des réseaux, et à agir pour contrer les menaces qui pèsent sur nos économies et notre sécurité nationale.

Nos alliés et partenaires sont une formidable source de solidité et constituent un atout unique pour les États-Unis. Notre approche collective du partage d’informations sur les cybermenaces, de la défense et de l’atténuation des menaces permet de tenir des pays comme la Chine pour responsables. Travailler collectivement permet de renforcer et d’accroître le partage d’informations, et notamment les renseignements sur les cybermenaces ainsi que les informations sur la défense des réseaux, avec les parties prenantes publiques et privées, et permet également d’élargir l’engagement diplomatique afin de renforcer notre cyberrésilience collective et notre coopération en matière de sécurité. L’annonce d’aujourd’hui s’appuie sur les progrès réalisés depuis le premier déplacement à l’étranger du président. Qu’il s’agisse des engagements du G7 et de l’UE concernant les rançongiciels ou de l’adoption par l’OTAN d’une nouvelle politique de cyberdéfense pour la première fois en sept ans, le président met en avant une approche cybernétique commune avec nos alliés et définit des attentes ainsi que des repères clairs quant au comportement des nations responsables dans le cyberespace.

Aujourd’hui, en coordination avec nos alliés, l’administration Biden :

Dévoile le recours par la RPC à des pirates informatiques criminels sous contrat pour mener des cyberopérations non sanctionnées dans le monde entier, y compris pour leur profit personnel.

Les États-Unis sont profondément préoccupés par le fait que la RPC a encouragé une entreprise de renseignement qui implique des pirates informatiques sous contrat qui mènent également des cyberopérations non sanctionnées dans le monde entier, y compris pour leur profit personnel. Comme le détaillent les documents d’inculpation publics dévoilés en octobre 2018 ainsi qu’en juillet et septembre 2020, des pirates ayant l’habitude de travailler pour le ministère de la Sécurité de l’État (MSS) de la RPC se sont livrés à des attaques par rançongiciels, à des extorsions par le biais de cyberactivités, à du minage pirate et à des vols de rangs auprès de victimes du monde entier, le tout pour des gains financiers.

Dans certains cas, nous savons que des cyberopérateurs affiliés au gouvernement de la RPC ont mené des opérations de rançongiciel contre des entreprises privées, avec des demandes de rançon de plusieurs millions de dollars. La réticence de la RPC à s’attaquer aux activités criminelles des pirates informatiques sous contrat porte préjudice aux gouvernements, aux entreprises et aux exploitants d’infrastructures essentielles en leur faisant perdre des milliards de dollars en propriété intellectuelle, en informations exclusives, en paiements de rançons et en mesures d’atténuation.

[Le département de la Justice des États-Unis] impose des coûts et annonce des poursuites pénales contre quatre pirates informatiques du MSS.

Le département de la Justice des États-Unis annonce des poursuites pénales à l’encontre de quatre pirates informatiques du MSS pour des activités liées à une campagne s’étalant sur plusieurs années et visant des gouvernements et des entités étrangers dans des secteurs clés, notamment le transport maritime, l’aviation, la défense, l’éducation et la santé dans une douzaine de pays au moins. Les documents du département de la Justice exposent la façon dont les pirates informatiques du MSS ont poursuivi le vol de données de recherche sur le vaccin contre le virus Ebola et démontrent que le vol par la RPC de propriété intellectuelle, de secrets commerciaux et d’informations commerciales confidentielles s’étend aux informations essentielles en matière de santé publique. Une grande partie de l’activité du MSS alléguée dans les accusations du département de la Justice contraste fortement avec les engagements bilatéraux et multilatéraux de la RPC de s’abstenir de s’engager dans le vol de propriété intellectuelle à des fins commerciales par le biais de cyberactivités.

Attribue avec un niveau de confiance élevé que des cyberacteurs malveillants affiliés au MSS de la RPC ont mené des opérations de cyberespionnage en utilisant les vulnérabilités de type « jour zéro » dans Microsoft Exchange Server divulguées début mars 2021. 

Avant que Microsoft ne publie ses mises à jour de sécurité, les cyberopérateurs affiliés au MSS ont exploité ces vulnérabilités pour compromettre des dizaines de milliers d’ordinateurs et de réseaux dans le monde entier, dans le cadre d’une opération massive qui a entraîné des coûts de restauration importants pour ses victimes, principalement du secteur privé.

Nous avons fait part de nos préoccupations au sujet de cet incident et de la cyberactivité malveillante de la RPC dans son ensemble aux hauts responsables du gouvernement de la RPC, en précisant que les actions de la RPC menacent la sécurité, la confiance et la stabilité dans le cyberespace.

La réponse de l’administration Biden à l’incident de Microsoft Exchange renforce les cyberdéfenses du gouvernement des États-Unis.  

Au cours des derniers mois, nous avons veillé à ce que les cyberacteurs malveillants affiliés au MSS soient expulsés des réseaux des secteurs public et privé et à ce que la vulnérabilité soit corrigée et atténuée afin d’empêcher les cyberacteurs malveillants de revenir ou de causer des dommages supplémentaires.

• Comme annoncé en avril, le gouvernement des États-Unis a mené des cyberopérations et pris des mesures proactives de défense des réseaux afin d’empêcher que les systèmes compromis par les vulnérabilités d’Exchange Server ne soient utilisés pour des attaques par rançongiciel ou à d’autres fins malveillantes. Les États-Unis continueront de prendre toutes les mesures appropriées pour protéger le peuple américain contre les cybermenaces. Après la divulgation initiale de Microsoft au début du mois de mars 2021, le gouvernement des États-Unis a également identifié d’autres vulnérabilités dans le logiciel Exchange Server. Plutôt que de les taire, le gouvernement des États-Unis a reconnu que ces vulnérabilités pouvaient présenter un risque systémique et la National Security Agency a informé Microsoft pour s’assurer que des correctifs soient développés et diffusés au secteur privé. Nous continuerons de donner la priorité au partage des informations sur les vulnérabilités avec le secteur privé afin de sécuriser les réseaux et les infrastructures de la nation.
• Le gouvernement des États-Unis a annoncé et mis en œuvre un nouveau modèle de réponse aux cyberincidents en incluant des entreprises privées dans le Cyber Unified Coordination Group (UCG) pour traiter les vulnérabilités d’Exchange Server. L’UCG est un élément de coordination pangouvernemental mis en place en réponse à un cyberincident important. Nous portons au crédit de ces entreprises leur volonté de collaborer avec le gouvernement des États-Unis face à un cyberincident important qui aurait pu être nettement plus grave sans le partenariat clé du secteur privé. Nous nous appuierons sur ce modèle pour renforcer la collaboration public-privé et le partage d’informations entre le gouvernement des États-Unis et le secteur privé en matière de cybersécurité.
• Aujourd’hui, la National Security Agency, la Cybersecurity and Infrastructure Agency et le Federal Bureau of Investigation ont publié un avis de cybersécurité pour détailler d’autres cybertechniques commanditées par la RPC et utilisées pour cibler les réseaux des États-Unis et des pays alliés, y compris celles utilisées lors du ciblage des vulnérabilités d’Exchange Server. En dévoilant ces techniques et en fournissant des conseils pratiques pour les atténuer, le gouvernement des États-Unis continue de donner aux défenseurs des réseaux du monde entier les moyens de prendre des mesures contre les menaces de cybersécurité. Nous continuerons de fournir de tels avis afin de garantir que les entreprises et les agences gouvernementales disposent d’informations concrètes pour défendre rapidement leurs réseaux et protéger leurs données.

L’administration Biden travaille sans relâche pour moderniser les réseaux fédéraux et améliorer la cybersécurité du pays, et notamment celle des infrastructures critiques.

• L’administration a financé cinq mesures de modernisation de la cybersécurité dans l’ensemble du gouvernement fédéral afin de moderniser les défenses des réseaux pour faire face à la menace. Il s’agit notamment d’une sécurité de pointe des nœuds périphériques, de l’amélioration des pratiques de journalisation, du passage à un environnement en nuage sécurisé, de la mise à niveau des centres d’opérations de sécurité et du déploiement de technologies d’authentification et de cryptage multifacteur.
• L’administration met en œuvre le décret présidentiel du président Biden pour améliorer la cybersécurité de la nation et protéger les réseaux du gouvernement fédéral. Le décret présidentiel contient des étapes de mise en œuvre ambitieuses, mais réalisables, et à ce jour, nous avons respecté toutes les étapes dans les délais impartis, et notamment :
  • Le National Institute of Standards and Technology (NIST) a organisé un atelier réunissant près de 1000 participants issus de l’industrie, du monde universitaire et du gouvernement afin de recueillir des informations sur les bonnes pratiques en matière de création de logiciels sécurisés.
  • Le NIST a publié des lignes directrices sur les normes minimales que les fournisseurs devraient utiliser pour tester la sécurité de leurs logiciels. Cela montre comment nous tirons parti des approvisionnements fédéraux pour améliorer la sécurité des logiciels utilisés non seulement par le gouvernement fédéral, mais aussi par les entreprises, les gouvernements des États et les collectivités locales, ainsi que les particuliers.
  • La National Telecommunications and Information Administration (NTIA) a publié les éléments minimaux d’une nomenclature des logiciels, ce qui constitue une première étape pour améliorer la transparence des logiciels utilisés par le public américain.
  • La Cybersecurity and Infrastructure Security Agency (CISA) a établi un cadre pour régir la manière dont les agences civiles fédérales peuvent utiliser en toute sécurité les services en nuage.
• Nous continuons de travailler en étroite collaboration avec le secteur privé pour remédier aux vulnérabilités des infrastructures essentielles en matière de cybersécurité. L’administration a annoncé en avril une initiative sur la cybersécurité des systèmes de contrôle industriels (SCI) et a lancé le plan d’action pour le sous-secteur de l’électricité en tant que projet pilote. Dans le cadre de ce projet pilote, nous avons déjà vu plus de 145 des 255 entités prioritaires du secteur de l’électricité, qui servent plus de 76 millions de clients américains, adopter des technologies de surveillance de la cybersécurité des SCI à ce jour, et ce nombre ne cesse d’augmenter. Le pilote du sous-secteur de l’électricité sera suivi de pilotes similaires pour les pipelines, l’eau et les produits chimiques.
• La Transportation Security Administration (TSA) a publié la directive de sécurité 1 pour exiger que les propriétaires et les exploitants de pipelines critiques adhèrent aux normes de cybersécurité. En vertu de cette directive, ces propriétaires et exploitants sont tenus de signaler les incidents de cybersécurité confirmés et potentiels à la CISA et de désigner un coordinateur de la cybersécurité, qui sera disponible 24 heures sur 24, 7 jours sur 7. La directive exige également des propriétaires et exploitants de pipelines critiques qu’ils passent en revue leurs pratiques actuelles, qu’ils identifient les lacunes et les mesures correctives connexes pour faire face aux risques cybernétiques et qu’ils communiquent les résultats à la TSA et à la CISA dans un délai de 30 jours. Dans les jours à venir, la TSA publiera la directive de sécurité 2 afin d’aider le secteur des pipelines à améliorer sa cybersécurité et de renforcer le partenariat public-privé si important pour la cybersécurité de notre pays.

En dévoilant les activités malveillantes de la RPC, nous poursuivons les initiatives de l’administration visant à informer les propriétaires et les exploitants de systèmes et à leur donner les moyens d’agir. Nous appelons les entreprises du secteur privé à suivre l’exemple du gouvernement fédéral et à prendre des mesures ambitieuses pour augmenter et aligner les investissements en matière de cybersécurité dans le but de minimiser les incidents futurs.

Voir le contenu d’origine : https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/19/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-of-china/

Nous vous proposons cette traduction à titre gracieux. Seul le texte original en anglais fait foi.