Violation de données du Bureau de la gestion du personnel - Office of Personnel Management data breach
En juin 2015, l' Office of Personnel Management (OPM) des États-Unis a annoncé qu'il avait été la cible d'une violation de données ciblant les dossiers du personnel. Environ 22,1 millions de dossiers ont été touchés, y compris des dossiers relatifs à des employés du gouvernement, à d'autres personnes ayant subi des vérifications d'antécédents, ainsi qu'à leurs amis et à leur famille. L'une des plus grandes violations de données gouvernementales de l'histoire des États-Unis, les informations obtenues et exfiltrées lors de la violation comprenaient des informations personnellement identifiables telles que les numéros de sécurité sociale , ainsi que les noms, dates et lieux de naissance et adresses. Des pirates informatiques parrainés par l'État travaillant pour le compte du gouvernement chinois ont mené l'attaque.
La violation de données consistait en deux attaques distinctes, mais liées. On ne sait pas quand la première attaque s'est produite, mais la deuxième attaque s'est produite le 7 mai 2014, lorsque les attaquants se sont fait passer pour un employé de KeyPoint Government Solutions, une société de sous-traitance. La première attaque a été découverte le 20 mars 2014, mais la deuxième attaque n'a été découverte que le 15 avril 2015. Au lendemain de l'événement, Katherine Archuleta , la directrice d'OPM, et la DSI, Donna Seymour, ont démissionné.
Découverte
La première brèche, nommée « X1 » par le Department of Homeland Security (DHS), a été découverte le 20 mars 2014 lorsqu'un tiers a informé le DHS de l'exfiltration de données du réseau d'OPM.
En ce qui concerne la deuxième brèche, nommée "X2", le New York Times avait rapporté que l'infiltration avait été découverte à l'aide du programme de détection d'intrusion Einstein de l' équipe de préparation aux urgences informatiques des États-Unis (US-CERT) . Cependant, le Wall Street Journal , Wired , Ars Technica et Fortune ont rapporté plus tard qu'il n'était pas clair comment la violation avait été découverte. Ils ont signalé qu'il s'agissait peut-être d'une démonstration de produit de CyFIR, un produit médico-légal commercial d'une société de sécurité de Manassas, en Virginie , CyTech Services, qui a découvert l'infiltration. Ces rapports ont ensuite été discutés par CyTech Services dans un communiqué de presse publié par la société le 15 juin 2015 pour clarifier les contradictions faites par le porte-parole de l'OPM, Sam Schumach, dans une édition ultérieure de l'article de Fortune. Cependant, ce n'est pas CyTech Services qui a découvert l'infiltration ; il a plutôt été détecté par le personnel de l'OPM à l'aide d'un produit logiciel du fournisseur Cylance. En fin de compte, le rapport concluant du personnel majoritaire de la Chambre des représentants sur la violation de l'OPM n'a découvert aucune preuve suggérant que CyTech Services était au courant de l'implication de Cylance ou avait une connaissance préalable d'une violation existante au moment de la démonstration de son produit, conduisant à la conclusion que les deux outils indépendamment « découvert » le code malveillant s'exécutant sur le réseau OPM.
Le vol de données
Vol d'informations d'habilitation de sécurité
La violation de données a compromis le formulaire standard 86 (SF 86) hautement sensible de 127 pages (questionnaire pour les postes de sécurité nationale). Les formulaires SF-86 contiennent des informations sur les membres de la famille, les colocataires, les contacts étrangers et des informations psychologiques. Initialement, l'OPM a déclaré que les noms des membres de la famille n'étaient pas compromis, mais l'OPM a par la suite confirmé que les enquêteurs avaient « un degré élevé de confiance que les systèmes de l'OPM contenant des informations relatives aux enquêtes sur les antécédents des employés actuels, anciens et potentiels du gouvernement fédéral, y compris Le personnel militaire américain et ceux pour lesquels une enquête fédérale sur les antécédents a été menée ont peut-être été exfiltrés. » La Central Intelligence Agency , cependant, n'utilise pas le système OPM; par conséquent, il n'a peut-être pas été affecté.
Vol de données personnelles
J. David Cox, président de l' American Federation of Government Employees , a écrit dans une lettre à la directrice de l'OPM, Katherine Archuleta, que, sur la base des informations incomplètes que l'AFGE avait reçues de l'OPM, « Nous pensons que le fichier central de données sur le personnel était la cible base de données, et que les pirates informatiques sont désormais en possession de toutes les données personnelles pour chaque employé fédéral, chaque retraité fédéral et jusqu'à un million d'anciens employés fédéraux. » Cox a déclaré que l'AFGE estime que la violation a compromis les dossiers militaires, les informations sur le statut des anciens combattants, les adresses, les dates de naissance, les antécédents professionnels et de rémunération, les informations sur l'assurance maladie et l'assurance-vie, les informations sur les pensions et les données sur l'âge, le sexe et la race.
Vol d'empreintes digitales
Les données volées comprenaient 5,6 millions de jeux d'empreintes digitales. L'expert en biométrie Ramesh Kesanupalli a déclaré qu'à cause de cela, les agents secrets n'étaient plus en sécurité, car ils pouvaient être identifiés par leurs empreintes digitales, même si leurs noms avaient été modifiés.
Les auteurs
Le consensus écrasant est que la cyberattaque a été menée par des attaquants parrainés par l'État pour le gouvernement chinois . L'attaque est originaire de Chine, et l' outil de porte dérobée utilisé pour effectuer l'intrusion, PlugX, a déjà été utilisé par des groupes de piratage en langue chinoise qui ciblent des militants politiques tibétains et hongkongais. L'utilisation de noms de super-héros est également une caractéristique des groupes de piratage liés à la Chine.
Le rapport du House Committee on Oversight and Government Reform sur la violation a fortement suggéré que les attaquants étaient des acteurs étatiques en raison de l'utilisation d'un logiciel malveillant très spécifique et très développé . Andy Ozment, responsable du département américain de la Sécurité intérieure, a déclaré que les attaquants avaient obtenu des informations d'identification d'utilisateur valides sur les systèmes qu'ils attaquaient, probablement grâce à l'ingénierie sociale . La violation consistait également en un logiciel malveillant qui s'est installé dans le réseau d'OPM et a établi une porte dérobée. À partir de là, les attaquants ont augmenté leurs privilèges pour accéder à un large éventail de systèmes OPM. Ars Technica a signalé qu'au moins un travailleur disposant d' un accès root à chaque ligne de chaque base de données se trouvait physiquement en Chine. Un autre entrepreneur avait deux employés avec des passeports chinois .
La Chine a nié la responsabilité de l'attaque.
En 2017, le ressortissant chinois Yu Pingan a été arrêté pour avoir fourni le logiciel malveillant "Sakula" utilisé dans la violation de données OPM et d'autres cyberintrusions. Le FBI a arrêté Yu à l'aéroport international de Los Angeles après qu'il se soit rendu aux États-Unis pour une conférence. Yu a passé 18 mois au centre de détention fédéral de San Diego et a plaidé coupable à l'infraction fédérale de complot en vue de commettre un piratage informatique et a ensuite été expulsé vers la Chine. Il a été condamné à une peine purgée en février 2019 et autorisé à retourner en Chine ; à la fin de cette année-là, Yu travaillait comme enseignant à l'école de commerce de Shanghai, gérée par le gouvernement, dans le centre de Shanghai . Yu a été condamné à verser 1,1 million de dollars de dédommagement aux entreprises ciblées par le malware, bien qu'il y ait peu de possibilités de remboursement réel. Yu faisait partie du très petit nombre de hackers chinois arrêtés et condamnés aux États-Unis ; la plupart des pirates ne sont jamais appréhendés.
Motif
On ne sait pas encore si l'attaque était motivée par un gain commercial. Il a été suggéré que des pirates travaillant pour l'armée chinoise avaient l'intention de compiler une base de données d'Américains en utilisant les données obtenues à partir de la violation.
Mises en garde
L'OPM avait été averti à plusieurs reprises des failles et des failles de sécurité. Un rapport semestriel du Bureau de l'inspecteur général de l' OPM de mars 2015 au Congrès a mis en garde contre « des lacunes persistantes dans le programme de sécurité du système d'information de l'OPM », y compris « des packages d'autorisation de sécurité incomplets, des faiblesses dans les tests des contrôles de sécurité de l'information et des plans d'action et des jalons inexacts. ."
Un article publié en juillet 2014 dans le New York Times citait de hauts responsables américains anonymes affirmant que des pirates chinois s'étaient introduits dans l'OPM. Les responsables ont déclaré que les pirates semblaient cibler des fichiers sur des travailleurs qui avaient demandé des habilitations de sécurité et avaient eu accès à plusieurs bases de données, mais avaient été arrêtés avant d'avoir obtenu les informations d'habilitation de sécurité. Dans une interview plus tard dans le mois, Katherine Archuleta , la directrice de l'OPM, a déclaré que le plus important était qu'aucune information d'identification personnelle n'ait été compromise.
Responsabilité
Certains législateurs ont demandé à Archuleta de démissionner en invoquant une mauvaise gestion et en disant qu'elle était une nomination politique et une ancienne responsable de la campagne d'Obama sans diplôme ni expérience en ressources humaines . Elle a répondu que ni elle ni la directrice de l'information de l'OPM, Donna Seymour, ne le feraient. "Je suis engagé dans le travail que je fais à l'OPM", a déclaré Archuleta aux journalistes. "J'ai confiance dans le personnel qui est là." Le 10 juillet 2015, Archuleta a démissionné de son poste de directeur de l'OPM.
Daniel Henninger , directeur adjoint de la page éditoriale du Wall Street Journal , parlant sur Fox Nouvelles du Journal Rapport éditorial , a critiqué la nomination de Archuleta être « responsable de l' un des organismes les plus sensibles » du gouvernement des États - Unis, en disant: « Qu'est - ce que son expérience pour diriger quelque chose comme ça ? Elle était la directrice politique nationale de la campagne de réélection de Barack Obama en 2012. Elle est aussi à la tête de quelque chose qui s'appelle l'Initiative Latina. C'est une politicienne, n'est-ce pas ?... C'est le genre de personne qu'ils ont mis dedans."
Les experts en sécurité ont déclaré que le plus gros problème avec la violation n'était pas l'incapacité à empêcher les effractions à distance, mais l'absence de mécanismes pour détecter les intrusions extérieures et le manque de cryptage approprié des données sensibles. OPM CIO Donna Seymour a répondu à cette critique en désignant les systèmes vieillissants de l'agence comme le principal obstacle à la mise en place de telles protections, malgré la disponibilité d'outils de cryptage. Le secrétaire adjoint du DHS pour la cybersécurité et les communications, Andy Ozment, a expliqué en outre que « si un adversaire possède les informations d'identification d'un utilisateur sur le réseau, il peut alors accéder aux données même si elles sont cryptées, tout comme les utilisateurs du réseau doivent accéder aux données, et cela s'est produit dans ce cas. Ainsi, le cryptage dans ce cas n'aurait pas protégé ces données. "
Enquête
Une note du 22 juillet 2015 de l'inspecteur général Patrick McFarland a déclaré que la directrice de l'information de l'OPM, Donna Seymour, ralentissait son enquête sur la violation, l'amenant à se demander si elle agissait ou non de bonne foi. Il n'a soulevé aucune allégation spécifique d'inconduite, mais il a déclaré que son bureau favorisait une "atmosphère de méfiance" en lui donnant des informations "incorrectes ou trompeuses". Le lundi 22 février 2016, la DSI Donna Seymour a démissionné, deux jours seulement avant son témoignage devant un panel de la Chambre qui continue d'enquêter sur la violation de données.
En 2018, l'OPM serait toujours vulnérable aux vols de données, 29 des 80 recommandations du Government Accountability Office n'ayant pas été prises en compte. En particulier, l'OPM utilisait toujours des mots de passe volés lors de la violation. Il n'avait pas non plus abandonné la pratique du partage des comptes administratifs entre utilisateurs, bien que cette pratique ait été déconseillée dès 2003.
Réactions
Le directeur du FBI, James Comey, a déclaré : « C'est une très grosse affaire du point de vue de la sécurité nationale et du point de vue du contre-espionnage. C'est un trésor d'informations sur tous ceux qui ont travaillé, essayé de travailler ou travaillent pour le gouvernement des États-Unis. "
S'exprimant lors d'un forum à Washington, DC, le directeur du renseignement national James R. Clapper a déclaré : « Vous devez en quelque sorte saluer les Chinois pour ce qu'ils ont fait. Si nous avions l'occasion de le faire, je ne pense pas que nous le ferions hésiter une minute."
Voir également
- Violation de données du Trésor américain et du Département du commerce des États-Unis en 2020
- Cyberguerre par la Chine
- Opération Aurore
- Yahoo! violations de données