Une cyberattaque majeure a frappé le ministère américain des Finances, attribuée à des hackers soutenus par l’État chinois. En exploitant une vulnérabilité d’un fournisseur de services de cybersécurité, des documents non classifiés ont été dérobés. L’incident, qualifié de grave, soulève des questions sur la sécurité des données gouvernementales.
Que s’est-il passé ? Le ministère américain des Finances a été victime d’une importante cyberattaque qu’il attribue à des hackers soutenus par l’État chinois. Le piratage, décrit comme un « incident majeur » par des responsables du ministère, a impliqué le compromis d’un fournisseur tiers de services de cybersécurité, BeyondTrust, et a entraîné le vol de documents non classifiés.
Cette violation, survenue début décembre 2024, a exploité une vulnérabilité dans le produit de support à distance de BeyondTrust. Selon une lettre envoyée par le ministère à des législateurs et consultée par Reuters, les hackers ont eu accès à une clé utilisée par le fournisseur pour sécuriser un service basé sur le nuage, qui est utilisé pour fournir un support technique à distance aux utilisateurs finaux des bureaux du département des Finances. Cet accès a permis aux acteurs menaçants de contourner les mesures de sécurité, d’accéder à distance à certains postes de travail utilisateurs du ministère et d’obtenir des documents non classifiés.
Les responsables du ministère ont été alertés de la violation le 8 décembre 2024 et ont fait appel à l’Agence de cybersécurité et de sécurité des infrastructures (CISA) ainsi qu’au Bureau fédéral d’enquête (FBI) pour évaluer l’impact. Le département collabore avec ces agences, ainsi qu’avec la communauté du renseignement et des enquêteurs forensiques tiers, afin de comprendre l’ampleur de la violation.
« Cet incident s’inscrit dans un modèle bien documenté d’opérations par des groupes liés à la RPC, avec un accent particulier sur l’abus de services tiers de confiance – une méthode qui est devenue de plus en plus répandue ces dernières années », a déclaré Tom Hegel, un chercheur en menaces à la société de cybersécurité SentinelOne, à Reuters.
BeyondTrust a reconnu l’incident de sécurité dans une déclaration sur son site web. La société a signalé qu’elle « avait précédemment identifié et pris des mesures pour traiter un incident de sécurité début décembre 2024 » concernant son produit de support à distance. BeyondTrust a également indiqué avoir notifié le nombre limité de clients affectés et les forces de l’ordre.
En réponse à la violation, BeyondTrust a pris plusieurs mesures pour corriger les vulnérabilités. La société a identifié une vulnérabilité de sévérité moyenne (BT24-11) et une vulnérabilité test (BT24-10) dans ses produits de support à distance et d’accès à distance privilégié. Ils ont depuis corrigé tous les instances cloud et publié des mises à jour pour les versions auto-hébergées.
Bien que l’ampleur complète de la violation soit encore en cours d’évaluation, le ministère des Finances a confirmé que le service compromis de BeyondTrust a été mis hors ligne. À l’heure actuelle, il n’y a aucune preuve indiquant que l’acteur de menace a toujours accès aux informations du ministère.
L’ambassade de Chine à Washington a nié toute implication dans le piratage. Pékin « s’oppose fermement aux attaques diffamatoires des États-Unis contre la Chine sans aucune base factuelle », a déclaré un porte-parole.
Alors que l’enquête se poursuit, il est prévu que le ministère des Finances fournisse plus de détails dans un rapport complémentaire de 30 jours, comme l’exige la Loi de modernisation de la sécurité des informations fédérales de 2014 (FISMA) et les directives du Bureau de gestion et du budget (OMB).