Un acteur étranger a infiltré le campus de sécurité nationale de Kansas City de la National Nuclear Security Administration grâce à des vulnérabilités dans l’application basée sur le navigateur SharePoint de Microsoft, soulevant des questions sur la nécessité de renforcer davantage les protections fédérales en matière de sécurité informatique/OT.
Un acteur malveillant étranger a infiltré le Kansas City National Security Campus (KCNSC), un site de fabrication clé au sein de la National Nuclear Security Administration (NNSA), en exploitant des vulnérabilités non corrigées de Microsoft SharePoint, selon une source impliquée dans une réponse à un incident survenu en août dans l’installation.
La brèche visait une usine qui produit la grande majorité des composants non nucléaires critiques pour les armes nucléaires américaines sous la NNSA, une agence semi-autonome au sein du ministère de l’Énergie (DOE) qui supervise la conception, la production et la maintenance des armes nucléaires du pays. Honeywell Federal Manufacturing & Technologies (FM&T) gère le campus de Kansas City sous contrat avec la NNSA.
Bien qu’il ne soit pas clair si les attaquants étaient un acteur étatique chinois ou des cybercriminels russes – les deux coupables les plus probables – les experts affirment que l’incident souligne l’importance de sécuriser les systèmes qui protègent la technologie opérationnelle contre les exploits qui affectent principalement les systèmes informatiques.
Comment la brèche s’est déroulée
Les attaquants ont exploité deux vulnérabilités Microsoft SharePoint récemment révélées : CVE-2025-53770, une faille d’usurpation d’identité, et CVE-2025-49704, un bug d’exécution de code à distance (RCE), affectant toutes deux les serveurs sur site. Microsoft a publié des correctifs pour ces vulnérabilités le 19 juillet.
Le 22 juillet, la NNSA a confirmé qu’elle faisait partie des organisations touchées par les attaques permises par les failles SharePoint. « Le vendredi 18 juillet, l’exploitation d’une vulnérabilité Zero Day de Microsoft SharePoint a commencé à affecter le ministère de l’Énergie », a déclaré un porte-parole du DOE.
Cependant, le DOE affirmait à l’époque : « Le département a été peu touché en raison de son utilisation généralisée du cloud Microsoft M365 et de ses systèmes de cybersécurité très performants. Un très petit nombre de systèmes ont été touchés. Tous les systèmes concernés sont en cours de restauration. »
Située dans le Missouri, la KCNSC fabrique des composants mécaniques, électroniques et techniques non nucléaires utilisés dans les systèmes de défense nucléaire américains. Elle fournit également des services techniques spécialisés, notamment des analyses métallurgiques, des analyses chimiques, des tests environnementaux et des modèles de simulation.
Environ 80 % des pièces non nucléaires du stock nucléaire national proviennent du KCNSC. Même si la plupart des détails de conception et de programmation restent classifiés, le rôle de production de l’usine en fait l’une des installations les plus sensibles du complexe d’armement fédéral.
Chine ou Russie ? Attribution contradictoire
Microsoft a attribué la vague plus large d’exploitations de SharePoint à trois groupes liés à la Chine : Linen Typhoon, Violet Typhoon et un troisième acteur qu’il suit sous le nom de Storm-2603. La société a déclaré que les attaquants se préparaient à déployer le ransomware Warlock sur les systèmes concernés.
Les chercheurs de Resecurity affirment que même si des groupes chinois semblent avoir développé et déployé le premier Zero Day, des acteurs russes motivés par des raisons financières pourraient avoir reproduit l’exploit de manière indépendante avant que les détails techniques ne commencent à circuler fin juin.
Les analystes de Resecurity ont observé des activités d’analyse et d’exploitation à un stade précoce à partir d’infrastructures situées à Taiwan, au Vietnam, en Corée du Sud et à Hong Kong, un modèle de distribution cohérent avec les tactiques utilisées par les groupes chinois de menaces persistantes avancées (APT) pour dissimuler l’attribution.
Néanmoins, ils affirment qu’une autre façon pour les acteurs de la menace basés en Russie d’acquérir rapidement des connaissances sur la vulnérabilité était de procéder à des échanges clandestins ou d’analyser les données d’analyse du réseau une fois que l’exploit était connu. Selon eux, le passage du statut Zero Day au statut N Day a ouvert une fenêtre permettant à des acteurs secondaires d’exploiter des systèmes qui n’avaient pas encore appliqué les correctifs.
L’attaque aurait-elle pu atteindre les systèmes opérationnels ?
La faille visait le côté informatique du campus de Kansas City, mais l’intrusion soulève la question de savoir si les attaquants auraient pu s’introduire latéralement dans les systèmes de technologie opérationnelle (OT) de l’installation, les environnements de fabrication et de contrôle des processus qui soutiennent directement la production de composants d’armes.
« Lorsque vous disposez d’une installation comme le KCNSC où l’on gère le cycle de vie des armes nucléaires – conception, fabrication, intervention d’urgence, déclassement, gestion de la chaîne d’approvisionnement – il existe de multiples fonctions interconnectées », explique Sovada. « Si un acteur peut se déplacer latéralement, il pourrait avoir un impact sur les contrôleurs logiques programmables qui font fonctionner la robotique ou les équipements d’assemblage de précision pour les composants d’armes non nucléaires. »
Un tel accès, ajoute Sovada, pourrait également affecter les systèmes de contrôle de distribution qui supervisent l’assurance qualité, ou les systèmes de contrôle de supervision et d’acquisition de données (SCADA) qui gèrent les services publics, l’énergie et les contrôles environnementaux. « Cela va bien au-delà d’une simple vulnérabilité informatique », dit-elle.
Convergence IT/OT et écart de confiance zéro
L’incident de Kansas City met en lumière un problème systémique au sein de l’entreprise fédérale : la déconnexion entre les pratiques de sécurité informatique et opérationnelle. Alors que le gouvernement fédéral a avancé sa feuille de route « Zero Trust » pour les réseaux informatiques traditionnels, les cadres similaires pour les environnements opérationnels ont pris du retard, même si les développements récents laissent entrevoir des progrès dans ce domaine.
« Il existe un diagramme en éventail informatique qui cartographie tous les contrôles pour le zéro confiance, la segmentation, l’authentification et la gestion des identités », explique Sovada. « Mais il existe également un fan chart OT en cours d’élaboration par le ministère de la Défense qui définira des contrôles comparables pour une confiance zéro dans la technologie opérationnelle. L’objectif est de marier les deux, afin que la confiance zéro devienne globale sur tous les types de réseaux. »
Cet alignement, dit-elle, est essentiel pour empêcher des intrusions comme celle qui a frappé le KCNSC de se répercuter sur les opérations physiques.
Même le vol de données non classifiées possède une valeur stratégique
Si l’affirmation de la source concernant l’implication de la Russie est exacte, les attaquants pourraient avoir été des opérateurs de ransomware motivés par des raisons financières plutôt que des services de renseignement d’État. Mais même dans ce scénario, les données auxquelles ils ont accédé pourraient toujours avoir une valeur stratégique.
Bien qu’il n’existe aucune preuve que des informations classifiées aient été compromises, même des données techniques non classifiées peuvent avoir des implications importantes. « Il peut s’agir de quelque chose d’aussi simple que des documents d’exigences qui ne sont peut-être pas classifiés mais révèlent le niveau de précision requis pour les composants », explique Sovada. « Dans la fabrication d’armes, une différence millimétrique peut modifier la trajectoire d’un engin ou la fiabilité de son mécanisme d’armement. »
De telles informations pourraient aider les adversaires à comprendre les tolérances américaines en matière d’armes, les dépendances de la chaîne d’approvisionnement ou les processus de fabrication, qui sont tous sensibles même s’ils ne sont pas formellement secrets.
Que les intrus soient des acteurs étatiques chinois ou des cybercriminels russes, la brèche de Kansas City révèle la fragile intersection de la sécurité informatique et opérationnelle au sein des infrastructures de défense critiques. Comme le souligne Sovada, « nous ne pouvons plus considérer le zéro confiance uniquement comme un concept informatique. Il doit s’étendre aux systèmes physiques qui soutiennent la défense nationale ».
