L’attaque met en évidence la menace constante des cyberattaques parrainées par l’État contre les gouvernements et les entreprises.
Une cyberattaque parrainée par la Chine a été si dommageable qu’il a été brièvement proposé de détruire l’intégralité d’un centre de données, selon le magazine d’information britannique The Spectator. Il a observé que l’attaque visant à accéder aux données confidentielles du gouvernement britannique n’était qu’une manifestation d’une série continue de menaces contre l’infrastructure informatique britannique.
Cette violation n’est qu’un exemple des risques auxquels sont confrontés non seulement le Royaume-Uni, mais aussi les gouvernements et les organisations du monde entier.
Selon le service d’information Bloomberg, deux anciens hauts responsables de la sécurité et d’autres responsables gouvernementaux proches du dossier ont révélé que la Chine accédait régulièrement à des informations de classification de bas et moyen niveaux sur les serveurs du gouvernement britannique depuis au moins une décennie. Cela comprenait des informations marquées « officielles sensibles » et « secrètes », en plus de certains éléments présents sur les réseaux informatiques sécurisés du gouvernement, bien qu’aucune information désignée « très secrète » n’ait été compromise.
Les menaces chinoises contre les infrastructures britanniques sont actuellement au premier plan de la réflexion du gouvernement, compte tenu de l’échec du procès de deux Britanniques accusés d’avoir transmis des documents secrets aux autorités chinoises.
L’attaque contre le centre de données, par lequel étaient échangées des informations gouvernementales classifiées, a eu lieu à la suite de la vente de la société qui le contrôlait à une entité chinoise. Alors que la destruction du centre de données était envisagée, le gouvernement a trouvé d’autres moyens de protéger les données, selon Bloomberg. Cependant, la violation était suffisamment grave pour que le Premier ministre britannique de l’époque, Boris Johnson, ait commandé un rapport sur les menaces, notamment la surveillance numérique et les cyberattaques, posées par la Chine. Ce rapport n’a jamais été rendu public et, selon The Spectator, les détails techniques de l’attaque contre le hub restent classifiés.
L’attaque du hub de données est « particulièrement critique »
L’attaque contre le hub de données est considérée comme particulièrement critique. Jake Moore, conseiller mondial en cybersécurité auprès de la société de logiciels ESET, a déclaré : « Le fait que les ministres aient un jour envisagé de détruire un centre de données contenant des données gouvernementales sensibles après sa vente à une entité alignée sur la Chine montre à quel point le Royaume-Uni prend au sérieux le contrôle des infrastructures critiques. La destruction physique du site aurait arrêté les services et effacé les preuves médico-légales, mais cela souligne la profondeur des inquiétudes concernant un contrôle étranger potentiel des actifs nationaux. «
Bien que l’on ne sache pas exactement comment le hub de données a été compromis, Martin Riley, CTO chez Bridewell, a déclaré : « Le principal point d’entrée a peut-être été un VPN, comme c’est souvent le cas avec les acteurs chinois, mais s’ils ont déjà traversé l’environnement et augmenté leurs privilèges, l’impact serait alors plus large. »
Riley a noté que lorsque le gouvernement a déclaré avoir découvert un autre moyen de protéger les données, il était probable qu’il ait corrigé une vulnérabilité « après avoir répondu à un incident pour comprendre l’ampleur de la violation et la manière dont elle a été initialement consultée ».
Les organisations ne peuvent pas ignorer la chaîne d’approvisionnement
En raison de la menace constante des attaquants soutenus par l’État, les organisations du monde entier doivent être en alerte constante, a déclaré Knapp, ajoutant : « Les RSSI de l’ensemble du gouvernement doivent supposer qu’ils sont déjà ciblés, en particulier par les menaces persistantes avancées (APT) liées à l’État. Ces groupes sont difficiles à détecter car ils privilégient la furtivité et l’accès à long terme plutôt que les perturbations. Cela soulève des questions clés sur la façon dont les organisations détectent les menaces internes et recherchent les compromissions sur les appareils de pointe. en particulier lorsque les fournisseurs gèrent le matériel, ce qui rend les analyses plus complexes.
Knapp a averti qu’il ne suffisait pas de rendre les infrastructures gouvernementales plus sûres en ignorant la chaîne d’approvisionnement. « Même les réseaux les plus sécurisés peuvent être violés lorsque des attaquants exploitent des utilisateurs, des sous-traitants ou des systèmes tiers pour prendre pied. Ils compromettent souvent les appareils de pointe ou exploitent des erreurs de configuration pour se déplacer latéralement dans les environnements », a-t-il déclaré.
« N’oubliez pas que les attaquants soutenus par l’État jouent un jeu de longue haleine, en s’intégrant dans des réseaux critiques pendant des mois, voire des années », a-t-il déclaré. « Des techniques telles que les boîtes de relais opérationnels (ORB) leur permettent de masquer leur activité et de contourner les outils de détection des points finaux, ce qui rend l’attribution extrêmement difficile. »
