Je voudrais commencer par voquer brivement la manire dont le FBI met en uvre sa stratgie pour perturber nos cyberadversaires. Tout d’abord, compte tenu de l’histoire du FBI, il n’est pas surprenant que l’un de nos principaux objectifs soit d’enquter sur les cyberactivits et d’en attribuer la cause afin de perturber les cybercriminels et d’augmenter le cot de leurs oprations. En dfinitive, nous voulons punir les cybercriminels et les mettre hors-jeu.
Ensuite, nous devons recueillir et rendre oprationnels les renseignements nationaux afin de favoriser la rcupration des victimes et de soutenir l’activit oprationnelle ou, comme nous le disons, nous devons exercer une pression sur les menaces communes auxquelles nous sommes confronts. Nous exerons une pression sur ces menaces communes en lanant des oprations conjointes et squences et des oprations en rseau pour riposter aux cyberadversaires partir d’une position nationale et comme point d’appui pour l’engagement des partenaires de l’USIC [U.S. Intelligence Community]. Il s’agit d’une approche « tous les outils, tous les partenaires« . Nous cherchons nous associer des partenaires nationaux et internationaux, tant dans le secteur public que dans le secteur priv. C’est ainsi que nous avons l’impact le plus important sur nos adversaires.
Enfin, la dernire faon de mettre en uvre la stratgie cyberntique du FBI est peut-tre la plus importante : l’engagement des victimes. Nous devons apporter une rponse rapide et complte la menace et un soutien aux victimes la suite d’intrusions cyberntiques importantes, alors quelles sont les autorits qui nous permettent de faire notre travail.
Brivement :
- Nous sommes habilits par le titre 18 enquter sur les intrusions informatiques.
- Nous disposons de pouvoirs spcifiques dans le cadre de la rgle 41, qui rgit les perquisitions et les saisies, permettant au FBI de saisir les logiciels malveillants installs clandestinement sur les infrastructures amricaines par nos adversaires.
- Nous disposons de pouvoirs spcifiques en matire de contre-espionnage qui permettent au FBI d’tre pleinement impliqu dans les campagnes menes par des tats-nations contre des organisations bases aux tats-Unis.
- Enfin, nous disposons de l’autorit de la FISA [Foreign Intelligence Surveillance Act], y compris le titre 1, le titre 3 et la section 702. Les titres I et III de la FISA rgissent les activits du FBI l’intrieur des tats-Unis, tandis que la section 702 de la FISA rgit la collecte de donnes par le FBI en dehors des tats-Unis. Ces pouvoirs crent logiquement deux moitis, les enqutes sur la cybercriminalit et sur la scurit nationale.
La quasi-totalit des criminels qui dveloppent des logiciels malveillants sophistiqus pour permettre des attaques par ransomware sont bass dans des pays russophones et oprent comme des syndicats du crime organis, semblables aux lments traditionnels du crime organis. Ils ont l’esprit d’entreprise et ont russi abaisser les barrires l’entre grce au ransomware en tant que service. Ce modle d’entreprise repose sur quatre services cls : l’infrastructure, les communications, les logiciels malveillants et la monnaie.
En ce qui concerne le service cl des logiciels malveillants, des codeurs de logiciels malveillants hautement qualifis dveloppent des logiciels malveillants de plus en plus sophistiqus. Leur modle d’affiliation permet des criminels moins comptents sur le plan technique, qui ne sont pas connus des dirigeants de l’entreprise, de dployer des logiciels malveillants trs sophistiqus pour leur profit personnel, tout en reversant un pourcentage de leurs recettes aux codeurs de logiciels malveillants les plus comptents.
L’objectif de toute organisation devrait tre de prvenir ces attaques, et les efforts de prvention devraient tre proportionnels au temps d’indisponibilit acceptable. Si le temps d’indisponibilit acceptable est d’une journe, l’intensification des efforts de prvention doit tre une priorit absolue. Si aucune mesure efficace n’est prise avant la violation, une organisation peut se retrouver entirement dpendante de l’honntet et de l’intgrit des mauvais acteurs pour rcuprer ses donnes.
Parlons de l’identification de la cible. Les acteurs des ransomwares valuent trois lments cls.
- Premirement, qui peut tre facilement cibl ?
- Deuximement, qui est susceptible de payer en fonction des dommages causs la marque ?
- Enfin, qui paiera le plus ?
En d’autres termes, qui ne dispose pas d’une bonne dfense nette, qui est dispos payer et qui subira l’impact conomique le plus important du chiffrement de ses systmes cls ? Les attaques par ransomware sont presque toujours couples un vol de donnes – que nous appelons double extorsion – ou un vol de donnes et un harclement des victimes et des responsables de l’entreprise, appel triple extorsion.
Permettez-moi de faire une remarque supplmentaire : lorsque des entreprises sont victimes d’extorsion et choisissent de payer pour empcher la fuite de donnes, elles paient pour empcher la divulgation de donnes dans l’immdiat, et non dans le futur. Mme si vous rcuprez les donnes des mains des criminels, vous devez supposer qu’elles peuvent un jour tre divulgues, ou que vous pouvez un jour faire l’objet d’une nouvelle extorsion pour les mmes donnes.
Lorsque nous nous attaquons aux finances, l’infrastructure et aux acteurs de la cybercriminalit, nous nous concentrons tout particulirement sur la perturbation des services cls. L’une des grandes avances de la spcialisation est que les codeurs malveillants peuvent crire des logiciels malveillants et en vendre l’accs d’autres criminels qui souhaitent les utiliser pour attaquer ou infecter les systmes informatiques de leurs victimes. En nous attaquant ce service cl, nous pouvons avoir un impact massif sur la cybercriminalit.
Il y a tout juste une semaine, nos bureaux locaux de Charlotte, Indianapolis, Jacksonville, Los Angeles et Cleveland ont collabor avec le service d’enqute criminelle de la dfense et les services secrets amricains, ainsi qu’avec des partenaires internationaux du Danemark, de France, d’Allemagne et des Pays-Bas, pour mener une opration technique contre quatre groupes qui proposent des logiciels malveillants en tant que service, dans le cadre de la premire opration de ce type jamais ralise.
Cette opration, baptise Endgame, a permis de vaincre de nombreuses variantes de logiciels malveillants, de mettre hors service plus de 100 serveurs et de dmanteler l’infrastructure de quatre logiciels malveillants de premier plan, responsables de centaines de millions de dollars de dommages et ayant mme compromis le systme en ligne de soins intensifs dont un hpital avait besoin pour maintenir ses patients en vie.
En outre, les cinq pays qui ont men l’opration technique ont collabor avec les services rpressifs du Portugal, de l’Ukraine et du Royaume-Uni, ainsi qu’avec Europol et Eurojust, afin d’arrter et d’interroger des suspects, de procder des perquisitions et de saisir ou de mettre hors service des serveurs dans le monde entier. Nous continuons recueillir des informations sur cette opration, mais c’est dj un grand succs, ne serait-ce que pour la suppression des logiciels malveillants que ces groupes vendaient d’autres criminels.
N’oublions pas non plus le cheval de Troie d’accs distance Warzone, qui a fait l’objet d’une enqute par le bureau local du FBI Boston, avec le soutien du bureau du procureur des tats-Unis ici Boston. Le RAT Warzone – acronyme anglais de Remote Access Trojan – permettait aux cybercriminels de parcourir les systmes de fichiers des victimes, de faire des captures d’cran, d’enregistrer les frappes au clavier, de voler les noms d’utilisateur et les mots de passe des victimes et d’observer ces dernires par le biais de leurs camras web, le tout leur insu et sans leur permission.
En fvrier 2024, la Boston Cyber Task Force du FBI a men une opration squentielle conjointe avec les autorits du Nigeria et de Malte qui comprenait cinq lignes d’action :
- La saisie de quatre domaines ;
- La destruction de l’infrastructure qui facilitait les oprations de Warzone ;
- Le traage et la saisie de cryptomonnaie ;
- l’achat clandestin du logiciel malveillant ; et
- l’arrestation, la condamnation et le jugement du principal intress au Nigria.
Cette anne, le FBI a galement men une opration complexe contre LockBit, une vaste opration qui fonctionnait selon un modle de ransomware en tant que service.
LockBit a t cr par un codeur russe nomm Dimitri Khoroshev. Il conserve l’image d’un pirate de l’ombre, utilisant des pseudonymes en ligne tels que « Putinkrab« , « Nerowolfe » et « LockBitsupp« . Mais en ralit, il s’agit d’un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activits secrtes. Pour l’essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet des centaines de groupes criminels affilis de mener des oprations de racket.
En change de l’utilisation de son logiciel, il reoit une part de 20 % des ranons qu’ils collectent auprs de personnes et d’entreprises innocentes dans le monde entier. Pour aider ses affilis russir, il leur fournit une assistance en matire d’hbergement et de stockage, en estimant les demandes de ranon optimales et en blanchissant de la cryptomonnaie. Il propose mme des rductions pour les clients qui achtent beaucoup.
Ces escroqueries de LockBit fonctionnent de la mme manire que les voyous locaux avaient l’habitude de demander de l’argent de protection aux commerants. Les affilis de LockBit volent vos donnes, les verrouillent et exigent un paiement pour vous rendre l’accs vos donnes. Si vous payez la ranon, ils vous rendent l’accs vos donnes. Mais ils en conservent galement une copie et exigent parfois un second paiement pour ne pas divulguer vos informations personnelles ou confidentielles en ligne.
Depuis septembre 2019, Khoroshev a lou son virus et a permis ses affilis d’extorquer des personnes dans le monde entier. Ils ont utilis le ransomware LockBit pour attaquer des personnes et des organisations dans les domaines des services financiers, de l’alimentation et de l’agriculture, de l’ducation, de l’nergie, des services gouvernementaux et d’urgence, des soins de sant, de l’industrie manufacturire et des transports. En 2022, LockBit tait la variante de ransomware la plus dploye dans le monde. Il tait utilis par des centaines d’affilis sans lien entre eux et tait responsable de plus de 1 800 attaques aux tats-Unis et de plus de 2 400 attaques dans le monde, causant des milliards de dollars de dommages aux victimes.
Le dmantlement de LockBit et de ses filiales est devenu un effort mondial, impliquant la collaboration du FBI avec des agences de 10 autres pays, en particulier l’Agence nationale britannique de lutte contre la criminalit, pendant plus de trois ans. En fvrier, nous avons annonc les rsultats d’une opration technique majeure visant perturber et saisir l’infrastructure, ainsi qu’ imposer des sanctions LockBit et ses affilis. Nous avons constat que LockBit et ses affilis dtenaient toujours des donnes qu’ils avaient dit aux victimes de LockBit avoir supprimes – aprs avoir reu des paiements de ranon.
M. Khoroshev a ensuite tent d’obtenir notre indulgence en dnonant ses concurrents, en nommant d’autres oprateurs de ransomware-as-a-service. C’est donc un peu comme si l’on avait affaire des bandes criminelles organises, o le chef se couche et demande de l’indulgence. Nous ne serons pas tendres avec lui. Le mois dernier, le ministre de la justice a lev les scells sur les accusations de fraude, d’extorsion et d’autres dlits portes contre lui et six co-conspirateurs. Au total, 26 chefs d’accusation ont t retenus contre Khoroshev. Le FBI poursuivra sans aucun doute ses efforts pour le traduire en justice ici, aux tats-Unis.
En outre, grce la perturbation continue de LockBit, nous disposons maintenant de plus de 7 000 cls de dchiffrement et nous pouvons aider les victimes rcuprer leurs donnes et se remettre en ligne. Nous tendons la main aux victimes connues de LockBit et encourageons toute personne qui pense avoir t victime visiter notre centre de plaintes contre la criminalit sur Internet (Internet Crime Complaint Center) l’adresse ic3.gov.
Je voudrais voquer brivement quelques rflexions sur l’cosystme cybercriminel. La chose la plus importante que vous puissiez faire, c’est de bien faire les choses de base et de les rpter. Des pratiques de cyberscurit bien tablies – notamment l’authentification multifactorielle et la gestion des mots de passe, la journalisation efficace et la gestion des journaux, la gestion des vulnrabilits et des correctifs, et le maintien de sauvegardes ariennes, chiffrs et jour – doivent tre mises en uvre de manire reproductible par l’ensemble de l’organisation.
Ensuite, il faut bien planifier. Ces plans doivent couvrir la continuit des activits, la gestion de crise, la reprise aprs sinistre et la rponse aux incidents d’intrusion informatique. Il est trs important que ces plans ne soient pas labors et mis en uvre de manire isole. Il est galement important que ces plans soient mis en uvre au niveau oprationnel, au niveau de la direction et au niveau du conseil d’administration. L’objectif de ces exercices doit tre de dvelopper une synergie entre les dcideurs ; et d’affiner votre processus de prise de dcision.
D’aprs notre exprience, les exercices doivent se concentrer sur trois domaines cls :
- Premirement, la communication. Les protocoles de communication interne et externe (et la prise de dcision) devraient tre le domaine d’intrt numro un de tous vos exercices.
- Le deuxime objectif est li une attaque de ransomware et se concentre sur la dcision de payer ou ne pas payer. Si vous subissez une attaque de ransomware, votre organisation et son conseil d’administration ont-ils des attentes claires quant au moment o vous paierez ou ne paierez pas la ranon en fonction de l’impact sur l’organisation (par exemple, le temps d’indisponibilit) ?
- Le troisime objectif de vos exercices est de dterminer si vous partagerez ou non vos donnes avec le gouvernement amricain. Ce sera probablement le sujet le plus dbattu au cours de vos exercices. Et, mme s’il y a un accord de partage, le deuxime point d’valuation sera : Que voulons-nous partager ?
L encore, les organisations les mieux prpares ont travaill sur plusieurs scnarios et ont planifi leurs dcisions en fonction d’un grand nombre de variables. L’intgration d’un plan d’change d’informations dans votre plan d’intervention en cas d’incident peut vous aider vous prparer impliquer le gouvernement amricain le moment venu. Il est important que vos conseillers internes et externes contribuent ce plan.
Une dernire remarque sur les relations dont vous aurez besoin avant une intrusion : En supposant que vous fassiez appel un conseil extrieur, quel est le seuil partir duquel vous devez le faire ? Quelles sont les orientations que vous avez convenues avec le conseiller juridique en matire de partage d’informations ? Avez-vous discut des rapports que l’avocat demandera la tierce partie charge de rpondre l’incident de rdiger (internes uniquement, confidentiels, non confidentiels) ? Qui retiendrez-vous pour l’intervention d’une tierce partie en cas d’incident, et quel est le seuil partir duquel vous ferez appel elle ? Ces personnes savent-elles quels rapports il leur sera demand de rdiger pour la victime ?
Les mmes questions s’appliquent votre assureur et vos ngociateurs. En ce qui concerne les assureurs, la rgle d’or est la suivante : Votre avocat doit connatre le contenu de votre police d’assurance avant toute intrusion. Cela garantira l’efficacit de la prise de dcision en temps de crise. Du point de vue du FBI, nous tudions actuellement les moyens d’impliquer plus globalement le secteur de l’assurance pour nous assurer que nous sommes un multiplicateur de force au bnfice des victimes.
Avec les courtiers d’accs initial, les criminels ont la possibilit de louer autant de puissance qu’ils en ont besoin pour commettre leurs crimes et de la conserver aussi longtemps qu’ils en ont besoin.
Un autre modle commercial pour les bots consiste les regrouper en un rseau de bots massif et puissant, puis en vendre l’utilisation. La semaine dernire, le FBI, en collaboration avec des partenaires en Thalande, Singapour et en Allemagne, a perturb le plus grand rseau de zombies et le plus grand service de proxy rsidentiel au monde : 911 S5. Ce rseau de zombies avait fait des victimes parmi plus de 19 millions d’adresses IP dans prs de 200 pays, dont au moins 600 000 rien qu’aux tats-Unis. Il a t utilis pour commettre des cyberattaques, des fraudes grande chelle, des exploitations d’enfants, des harclements, des alertes la bombe et des violations des rgles d’exportation.
911 S5 aurait permis aux cybercriminels de contourner les systmes de dtection des fraudes financires et de voler des milliards de dollars aux institutions financires, aux metteurs de cartes de crdit et aux programmes de prts fdraux. La plupart des fraudes permises par le botnet ont pris la forme de fausses demandes de fonds de secours en cas de pandmie, profitant des services gouvernementaux un moment o les plus vulnrables d’entre nous avaient le plus besoin de cette aide. Plus d’un demi-million de demandes de chmage frauduleuses et plus de 47 000 demandes frauduleuses au titre du programme de prts en cas de catastrophe conomique ont ainsi t dposes.
Notre opration technique internationale a permis de saisir les domaines du botnet et 29 millions de dollars en cryptomonnaie. En outre, le Trsor amricain a impos des sanctions et l’administrateur du botnet, YunHe Wang, a t arrt l’tranger.
Lorsque nous parlons de ciblage par des tats-nations, notre objectif collectif devrait se concentrer sur la dtection prcoce, l’endiguement et l’viction. La Chine est la menace la plus prolifique. Les autres acteurs tatiques actifs sont la Russie, l’Iran et la Core du Nord. Pour les entreprises du secteur priv, la menace tatique englobe l’espionnage d’entreprise, les attaques destructrices, les oprations d’influence et la collecte de renseignements, que ce soit par le biais d’actions adverses directes ou de collectes collatrales.
Comme nous l’avons vu dans SolarWinds, le SVR russe [service de renseignement extrieur russe] a cibl de manire chirurgicale une poigne d’agences gouvernementales amricaines par le biais d’une compromission sophistique de la chane d’approvisionnement base sur des logiciels et, ce faisant, a compromis 18 000 entreprises supplmentaires, qui ont toutes t rendues vulnrables.
Je voudrais voquer brivement les applications tierces et le risque surdimensionn qu’elles reprsentent pour des secteurs ou des industries. Imaginons un instant qu’un secteur ou une industrie entire utilise une application tierce de niche, mais courante, pour faciliter ses activits. Cette application tierce courante est reprsente par la bote rouge sur l’cran. Du point de vue d’un adversaire, cibler cette application peut permettre des criminels ou un tat-nation d’avoir un impact considrable sur l’ensemble d’un secteur ou d’une industrie.
C’est pourquoi, dans les secteurs et les industries, nous devons utiliser le terme pair au lieu de concurrent. Dans le cyberespace, si vous tes pris pour cible, vos pairs du secteur et de l’industrie le sont aussi. Le partage d’informations avec vos pairs est absolument essentiel pour que des secteurs et des industries entiers soient plus rsistants aux cybermenaces.
Revenons aux menaces elles-mmes. Le vol de proprit intellectuelle (PI) ou d’informations personnelles identifiables (IPI), en particulier par la Chine, reste trs probable. La Chine s’empare ensuite de cette proprit intellectuelle ou de ces informations et tente de les monnayer. Nous restons profondment proccups par la montisation de la proprit intellectuelle vole des fins conomiques par la Chine.
Nous pourrions citer des centaines d’exemples, mais l’un d’entre eux a fait l’objet d’un dbat public : la tentative de vol par la Chine de la recherche sur le vaccin COVID[-19] auprs de plusieurs universits amricaines. Il en va de mme dans d’autres domaines de la technologie et de la recherche mergentes, notamment l’intelligence artificielle et l’apprentissage automatique, l’informatique et les communications quantiques, l’nergie propre, etc.
Nous restons galement trs proccups par les comptences dveloppes par les mandataires et les acteurs affilis l’tat chinois et par leur travail au noir des fins d’enrichissement personnel. Lorsque les acteurs ne sont pas contrls, ils oprent avec moins de contraintes et chercheront sans aucun doute tirer un profit personnel de leur travail officieux. Nous avons vu des pirates informatiques parrains par la Chine compromettre des domaines State.gov des tats-Unis pour diverses raisons, dont le profit. Pour raliser ce gain montaire, ces pirates parrains par la Chine ont utilis des informations nominatives voles.
Ensuite, le « hack and dumps » (piratage et vidage). C’est un terme dont vous n’entendez pas beaucoup parler, mais il s’agit de l’intention de nos adversaires de compromettre votre rseau, d’acqurir des informations personnelles sensibles, puis de les dverser sur l’internet. Il s’agit souvent d’une tentative de promotion d’un avantage concurrentiel. Une question simple poser votre quipe est la suivante : Combien de temps faudrait-il votre organisation pour savoir qu’il existe sur Internet des informations sensibles – ou de la dsinformation – la concernant, susceptibles d’influencer l’opinion d’autrui sur notre rputation ou d’avoir un impact direct sur l’valuation court ou long terme de notre entreprise ? Nous devrions galement valuer en interne si nous avons la capacit de dtecter le retrait d’informations sensibles de nos rseaux.
Enfin, l’accs des fins d’attaque. Dans les milieux militaires, on appelle cela « prparer le champ de bataille« . Il s’agit de prpositionner des outils et des capacits pour maximiser l’avantage en cas de ncessit d’une attaque future ou de franchissement d’une ligne rouge spcifique. Cet accs est gnralement trs difficile dtecter, car l’adversaire reste inactif aprs l’exploitation initiale, ce qui souligne l’importance des tests de pntration et de la chasse aux menaces. Il s’agit l d’un sujet de discussion trs important pour les entreprises actives dans les secteurs des infrastructures critiques, et l’objectif est simple : la dtection prcoce et l’viction. C’est le jeu sans fin du chat et de la souris.
Cependant, si l’cosystme et les modles commerciaux des cybercriminels ont chang et continuent de changer, et si notre approche de la perturbation a chang avec eux, cela ne signifie pas que la menace des tats-nations hostiles provenant de la cyberntique a diminu de quelque manire que ce soit, ni que nos efforts pour perturber les oprations des gouvernements hostiles ont ralenti.
Par exemple, en janvier, le bureau local du FBI Boston a men l’opration « Dying Ember« , un effort international contre les services de renseignement militaire russes : le GRU. C’est cette mme agence russe qui est l’origine de NotPetya et qui a attaqu le rseau lectrique ukrainien en 2015, les Jeux olympiques et paralympiques d’hiver en 2018, et qui a men des attaques contre le pays de Gorgie en 2019.
Souvent, des acteurs sophistiqus comme le GRU utilisent le mme type de rseaux de zombies que les criminels, dans le but de brouiller les pistes. En armant des dispositifs et des technologies courants, le gouvernement russe continue de brouiller la ligne de dmarcation entre les activits criminelles et ses oprations. Dans le cas prsent, le GRU profitait d’un rseau de zombies pour cibler le gouvernement amricain, les entreprises de dfense autorises, les allis de l’OTAN et le rseau ukrainien de transport d’aide.
Notre opration technique autorise par le tribunal a permis d’expulser le GRU de plus de 1 000 routeurs domestiques et de petites entreprises appartenant des victimes involontaires dans le monde entier, y compris ici, dans le Massachusetts. Un informaticien et un agent du bureau local du FBI Boston ont travaill ensemble pour dterminer comment remdier la situation sur les routeurs, afin d’liminer les logiciels malveillants du GRU et d’empcher les rinfections. Nous avons supprim les logiciels malveillants installs subrepticement sur plus de 400 routeurs aux tats-Unis et les avons protgs contre les nouvelles attaques du GRU. Nous n’aurions pas pu mener bien cette opration sans les entreprises partenaires, en particulier Microsoft et la Shadowserver Foundation.
En empchant le GRU d’accder un rseau de zombies qu’il utilisait pour mener des cyberoprations dans le monde entier, nous avons contribu protger des entreprises et des particuliers qui ne le savaient pas et nous avons mis un frein aux oprations de renseignement de la Russie fondes sur la cyberntique. Alors que le gouvernement russe continue d’tre imprudent dans le cyberespace, le gouvernement chinois ne peut tre qualifi que d’implacable.
Le gouvernement chinois dispose du plus grand programme cyberntique au monde et continue d’utiliser des outils sophistiqus pour accder des endroits o ils ne devraient pas se trouver. Vous avez peut-tre entendu parler d’un groupe de pirates informatiques parrains par la Chine, connu sous le nom de Volt Typhoon. Nous avons dcouvert des accs persistants du gouvernement chinois dans nos secteurs critiques des tlcommunications, de l’nergie, de l’eau et d’autres infrastructures.
Ils se cachaient dans nos rseaux en utilisant des tactiques connues sous le nom de « living off the land« , c’est–dire en exploitant des outils intgrs qui existent dj sur les rseaux des victimes pour accomplir leur sinistre travail – des outils que les dfenseurs des rseaux s’attendent voir utiliss, de sorte qu’ils n’veillent pas les soupons. Volt Typhoon a galement exploit des rseaux de zombies pour dissimuler davantage son activit malveillante et le fait que l’intrusion provenait de Chine. Tout cela dans le but de permettre au gouvernement chinois d’attendre le bon moment pour porter un coup dvastateur.
Lorsque les logiciels malveillants de Volt Typhoon ont t dcouverts dans des infrastructures critiques, nous nous sommes joints nos partenaires amricains et internationaux – ds le printemps dernier, puis en fvrier dernier – pour rdiger une srie d’avis conjoints de cyberscurit sur ce que nous avons vu, en dnonant les pirates et en partageant des informations techniques que les victimes peuvent utiliser pour se protger.
Ensuite, nous avons fait suivre ces avertissements d’actions visant les pirates. En collaboration avec ses partenaires du secteur priv, le FBI a t en mesure d’identifier le vecteur de la menace et de mener une opration multi-agences autorise par la justice pour non seulement supprimer le logiciel malveillant de Volt Typhoon des routeurs qu’il avait infects travers les tats-Unis, mais aussi pour couper leur connexion ce rseau de routeurs et empcher qu’ils ne soient rinfects. Si l’histoire rcente de Volt Typhoon a, juste titre, fait grand bruit en raison de l’ampleur de l’opration, il n’en reste pas moins que le gouvernement chinois s’en prend nos infrastructures essentielles de manire la fois large et implacable.
Qu’en est-il de l’avenir ? Pour la Chine, il s’agit – et il s’agit toujours – d’un simple calcul : Que possdent les organisations amricaines que les Chinois veulent ? Il suffit de consulter le 14e plan quinquennal de la Chine, publi en anglais sur l’internet. Pourquoi est-il publi en anglais ? Pour qu’ils puissent utiliser tous les vecteurs et toutes les parties sympathisantes voler pour soutenir leur croissance.
Les Chinois veulent la proprit intellectuelle associe aux technologies de l’information, la biotechnologie, aux nouvelles nergies, aux nouveaux matriaux, l’quipement haut de gamme, aux vhicules nergie nouvelle, l’nergie quantique, la protection de l’environnement, l’arospatiale et l’quipement maritime – ce sont l des domaines extrmement cibls.
Le FBI se concentre galement sur les activits actuelles du SVR (service de renseignement extrieur russe) et sur le groupe affili au ransomware appel Scattered Spider. Parmi les autres domaines d’intrt actuels figurent l’intelligence artificielle, l’apprentissage automatique et la ncessit de faire tout ce qui est en notre pouvoir pour garantir la scurit des lections de 2024.
Au moment de conclure cette journe, j’aimerais rflchir quelques points.
Toutes les menaces voluent, et nos stratgies collectives doivent voluer avec elles. En 2023, le FBI a connu son anne la plus prolifique en termes de perturbations des cyberadversaires, ce dont nous sommes exceptionnellement fiers. Mais nous devons tous nous rappeler que nous sommes confronts des adversaires extrmement comptents en Chine, en Russie, en Iran, en Core du Nord, ainsi qu’ des cybercriminels bass en Russie qui ont trouv refuge dans ce pays.
Nous devons galement nous rappeler que 85 90 % des renseignements les plus puissants sur les cybermenaces se trouvent entre les mains de personnes autres que le gouvernement des tats-Unis, ce qui m’amne un dernier point concernant les partenariats : Aucune de nos perturbations passes ou futures n’est possible sans des partenariats exceptionnels. Nous devons raliser, et mettre en uvre ce thme, que nous sommes dans le mme bateau. Ensemble, nous sommes plus forts.
Voici ce que je demande chacun d’entre vous aujourd’hui : Soyez l’ambassadeur de ce message. Nous avons besoin de tout le monde – le secteur priv, les organisations but non lucratif, le monde universitaire, le gouvernement amricain – dans le mme bateau, pour ramer dans la mme direction. C’est ainsi que nous serons le plus efficaces.