Une publication sur WeChat indique que l’attaque visait l’agence qui fixe le temps pour les fournisseurs d’infrastructures critiques ; il n’existe aucune preuve publique d’une attaque, mais cela met en évidence une nouvelle cible qui préoccupe les RSSI.
L’affirmation de la Chine selon laquelle l’Agence de sécurité nationale américaine (NSA) était à l’origine d’une cyberattaque contre le centre de chronométrage du pays pourrait être vraie, selon un expert.
Mais, a-t-il ajouté, « sans preuves publiques, il est difficile de confirmer de manière concluante ».
Il commentait un article publié la semaine dernière sur WeChat par le ministère chinois de la Sécurité nationale disant : « Les autorités de sécurité nationale ont découvert un cas majeur de cyberattaque aux États-Unis et ont obtenu des preuves irréfutables que l’Agence nationale de sécurité a lancé une cyberattaque et envahi le Centre national de service horaire de Chine.
Le centre de chronométrage « fournit des services de chronométrage de haute précision aux secteurs des communications, des finances, de l’énergie, des transports, de l’arpentage et de la cartographie, de la défense et d’autres secteurs du pays, et fournit un support de données crucial pour le calcul de l’heure standard internationale », indique le message.
Une cyberattaque « aurait un impact sur le fonctionnement sécurisé et stable de l’heure de Pékin », indique le message, faisant référence au fuseau horaire unique du pays.
Une attaque, indique le message, entraînerait « de graves conséquences telles que des pannes de communication sur le réseau, des perturbations du système financier, des pannes de courant, des perturbations des transports et des échecs de lancements spatiaux. Elle pourrait même provoquer le chaos à l’échelle internationale, entraînant des dommages et des pertes incalculables ».
Aurait profité de la vulnérabilité SMS
La publication WeChat allègue que, à partir du 25 mars 2022, « la NSA a exploité une vulnérabilité du service SMS d’une marque de téléphonie mobile étrangère pour attaquer secrètement et prendre le contrôle des téléphones portables de plusieurs membres du personnel du NSC, volant les données sensibles qui y sont stockées ».
Invité à commenter, un porte-parole de la NSA a envoyé cette réponse par courrier électronique : La NSA ne confirme ni ne nie les allégations des médias concernant ses opérations. Notre objectif principal est de contrer les activités étrangères malveillantes qui ciblent constamment les intérêts américains, et nous continuerons à nous défendre contre les adversaires souhaitant nous menacer.
Le journal chinois affirme que le pays « a brisé le plan de cyberattaque américain visant à voler des secrets, à s’infiltrer et à saboter, et a fait tout son possible pour protéger la sécurité de « l’heure de Pékin » ».
Possible « grave escalade »
Si les récentes affirmations chinoises contre la NSA sont vraies, a déclaré Bardin, elles suggèrent une intention stratégique des États-Unis non seulement d’espionner, mais aussi de positionner le pays de manière à potentiellement perturber un élément essentiel de l’infrastructure chinoise – le système de synchronisation qui sous-tend les communications, la finance, l’énergie et la défense.
Cela, a-t-il dit, « marquerait une grave escalade ».
« Il est également frappant », a-t-il ajouté, « que Pékin ait rendu publique cette affirmation, puisque la Chine évite généralement d’admettre des violations de ses propres systèmes critiques. L’accusation publique de la Chine signale une tentative d’influencer l’opinion internationale, décrivant les États-Unis comme un « empire mondial des hackers » et ralliant d’autres pays derrière les appels à freiner les cyber-intrusions parrainées par l’État. Pékin devrait renforcer ses cyberdéfenses et pourrait même faire allusion à des mesures de représailles. contre les réseaux de chronométrage américains pour dissuader de nouvelles incursions.
Sur le plan économique, a-t-il ajouté, « l’incident poursuit les efforts de la Chine en faveur de l’autonomie technologique – en resserrant les chaînes d’approvisionnement et en accélérant la mise en place d’alternatives locales (telles que les systèmes de timing souverains) – alors qu’elle cherche à réduire l’exposition à l’influence technologique américaine dans un contexte de tensions commerciales et technologiques déjà élevées. »
L’allégation chinoise correspond également au modèle de comportement de Pékin « qui penche en avant en attribuant publiquement ce qu’il considère comme une cyberactivité malveillante… et souvent cette attribution n’est pas nécessairement exacte », a déclaré Matthew Ferren, chercheur en affaires internationales et en sécurité nationale au Conseil américain des relations étrangères. En fait, il ne pouvait pas dire s’il y avait eu une attaque ou une intrusion.
« Cela ne me dit rien sur ce qui a pu ou non se produire dans le monde réel, mais cela s’inscrit dans le modèle de comportement des Chinois qui façonnent les récits selon lesquels les États-Unis seraient un acteur irresponsable dans le domaine cybernétique », a-t-il déclaré.
Conseils aux RSSI
Les services de temps sont une cible intéressante et souvent négligée, a déclaré Johannes Ullrich, doyen de la recherche à l’Institut SANS, car de nombreux protocoles d’authentification reposent sur des services de temps précis. Pour éviter la relecture des anciennes attestations, ces systèmes nécessitent des heures synchronisées. Si les heures ne sont pas synchronisées, les messages des serveurs d’authentification seront ignorés.
Le résultat le plus simple d’un service de temps compromis est une attaque par déni de service. Ou bien, a-t-il ajouté, cela peut conduire à contourner certains contrôles d’authentification ou de contrôle d’accès, ou à la possibilité de relire d’anciens messages d’authentification pour accéder aux systèmes.
« Les RSSI ne doivent pas négliger ces services de temps », a-t-il déclaré dans un email. « Il est trop facile de les laisser dans une configuration par défaut qui utilise souvent des pools de serveurs de temps ouverts non définis basés sur le cloud. Au lieu de cela, les serveurs de temps internes doivent être définis pour servir de norme interne, et ces normes de temps internes doivent être synchronisées avec des sources soigneusement sélectionnées comme le GPS ou les serveurs de temps gérés par une entité de confiance. «
Segmentez et isolez tous les systèmes s’appuyant sur des sources NTP (network time protocol) ou GPS, vérifiez l’intégrité de l’horloge par rapport à plusieurs références indépendantes et déployez une attestation cryptographique pour les signaux horaires, a-t-il conseillé.
Il recommande également de désactiver l’authentification de connexion par SMS pour un accès privilégié, d’appliquer une authentification multifacteur hors bande et de surveiller en permanence les anomalies de dérive temporelle ou d’utilisation des certificats.
Il a ajouté que les exercices de l’équipe rouge simulant la perte de temps de confiance, qui valideront la résilience opérationnelle informatique, en valent également la peine.
Pour aider les défenseurs, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) propose ces conseils aux organisations pour les aider à se protéger contre les attaques des États-nations.
