Des pirates informatiques sophistiqués ont infiltré les réseaux de l'ONU à Genève et à Vienne l'année dernière dans le cadre d'une apparente opération d'espionnage que les hauts responsables de l'organisme mondial ont largement gardée silencieuse. L'identité des pirates et l'étendue des données qu'ils ont obtenues ne sont pas connues.

Un document confidentiel interne des Nations Unies, divulgué à The New Humanitarian et vu par l'Associated Press, affirme que des dizaines de serveurs ont été compromis, y compris au bureau des droits de l'homme des Nations Unies, qui recueille des données sensibles et a souvent été un paratonnerre de critiques de la part de gouvernements autocratiques pour avoir dénoncé les violations des droits.

Tout indique que la connaissance de la brèche était étroitement liée, une stratégie que les experts en sécurité de l'information considèrent comme peu judicieuse car elle ne fait que multiplier les risques d'hémorragie supplémentaire des données.

" Personnel en général, y compris moi, n'ont pas été informés, " a déclaré Ian Richards, basé à Genève, président du Conseil du personnel des Nations Unies. "Tout ce que nous avons reçu, c'est un e-mail (le 26 septembre) nous informant des travaux d'entretien des infrastructures." Le conseil plaide pour le bien-être des employés de l'organisme mondial.

Interrogé sur l'intrusion, un responsable de l'ONU a déclaré à l'AP qu'il semblait « sophistiqué » avec l'étendue des dommages peu claire, surtout sur le plan personnel, des informations secrètes ou compromettantes qui auraient pu être volées. L'officiel, qui n'a parlé que sous couvert d'anonymat pour parler librement de l'épisode, lesdits systèmes ont depuis été renforcés.

Compte tenu du haut niveau de compétence, il est possible qu'un acteur soutenu par l'État soit derrière cela, dit le fonctionnaire. "C'est comme si quelqu'un marchait dans le sable, et balayé leurs traces avec un balai après, " a ajouté le responsable. " Il n'y a même pas la trace d'un nettoyage. "

Le rapport divulgué le 20 septembre indique que les journaux qui auraient trahi les activités des pirates informatiques à l'intérieur des réseaux de l'ONU - ce qui a été consulté et ce qui a pu être siphonné - ont été "nettoyés". Il montre également que parmi les comptes connus pour avoir été consultés figuraient ceux d'administrateurs de domaine, qui ont par défaut un accès principal à tous les comptes d'utilisateurs de leur ressort.

"Malheureusement... en comptant toujours nos pertes, " dit le rapport.

Jake Williams, PDG de la société de cybersécurité Rendition Infosec et ancien pirate informatique du gouvernement américain, a déclaré que le fait que les pirates aient effacé les journaux du réseau indique qu'ils n'étaient pas de premier ordre. Les pirates informatiques les plus qualifiés, y compris les États-Unis, Les agents russes et chinois peuvent brouiller les pistes en éditant ces journaux au lieu de les effacer.

"L'intrusion ressemble vraiment à de l'espionnage, " dit Williams, notant que le composant Active Directory – où sont gérées toutes les autorisations des utilisateurs – de trois domaines différents a été compromis :ceux des bureaux des Nations Unies à Genève et à Vienne et du Haut-Commissariat aux droits de l'homme.

"Cette, couplé au nombre relativement faible de machines infectées, est très évocateur d'espionnage, ", a-t-il déclaré après avoir consulté le rapport. "Les attaquants ont un objectif en tête et déploient des logiciels malveillants sur des machines qui, selon eux, leur servent à quelque chose."

Un certain nombre d'agences de renseignement du monde entier sont probablement intéressées à infiltrer l'ONU, dit Williams.

Le piratage n'était pas grave au bureau des droits de l'homme des Nations Unies, dit son porte-parole, Rupert Colville.

"Nous sommes quotidiennement confrontés à des tentatives d'entrer dans nos systèmes informatiques, " dit Colville. " Cette fois, ils ont réussi, mais ce n'est pas allé bien loin. Rien de confidentiel n'a été compromis."

Le porte-parole de l'ONU, Stéphane Dujarric, a déclaré que l'attaque "avait entraîné une compromission des composants de l'infrastructure de base" et était "déterminée comme étant grave". La première activité détectée liée à l'intrusion a eu lieu en juillet et elle a été détectée en août, a-t-il dit en réponse à des questions envoyées par courrier électronique.

Il a déclaré que l'organisme mondial ne disposait pas de suffisamment d'informations pour déterminer l'auteur, mais a ajouté que "les méthodes et les outils utilisés dans l'attaque indiquent un niveau élevé de ressources, capacité et détermination.

« Les dégâts liés à cette attaque spécifique ont été contenus, et des mesures d'atténuation supplémentaires mises en œuvre, " a écrit Dujarric. " Néanmoins, la menace d'attaques futures continue, et le Secrétariat des Nations Unies détecte et répond quotidiennement à de multiples attaques de différents niveaux de sophistication. »

Peter Micek, conseiller général de l'association des libertés publiques numériques AccessNow, a déclaré que la direction de l'ONU avait pris une "décision terrible" du point de vue de la sécurité des informations en refusant au personnel des informations sur la violation.

"Il est préférable d'alerter les gens, leur faire savoir ce qu'ils doivent surveiller (y compris les attaques de phishing et l'ingénierie sociale) et les informer des mesures qui sont prises en leur nom, " il a dit.

Autrement, vous aggravez la menace, et une occasion manquée pour un moment d'enseignement devient un exemple « d'intransigeance et d'obscurcissement, ce qui est malheureux, " dit Micek, qui travaille avec les défenseurs des droits humains des Nations Unies pour renforcer leurs cyberdéfenses.

Le document interne du Bureau de l'information et de la technologie des Nations Unies a déclaré que 42 serveurs étaient « compromis » et 25 autres ont été jugés « suspects, " presque tous dans les bureaux tentaculaires de Genève et de Vienne. Trois des serveurs "compromis" appartenaient à l'agence des droits de l'homme, qui est situé en face du bureau principal des Nations Unies à Genève, et deux ont été utilisés par la Commission économique des Nations Unies pour l'Europe.

Le rapport indique qu'une faille dans le logiciel SharePoint de Microsoft a été exploitée par les pirates pour infiltrer les réseaux mais que le type de malware utilisé n'était pas connu, les techniciens n'avaient pas non plus identifié les serveurs de commandement et de contrôle sur Internet utilisés pour exfiltrer des informations. On ne savait pas non plus quel mécanisme était utilisé par les pirates pour maintenir leur présence sur les réseaux infiltrés.

Chercheur en sécurité Matt Suiche, le fondateur basé à Dubaï de la société de cybersécurité Comae Technologies, a examiné le rapport et a déclaré qu'il semblait que l'entrée avait été obtenue grâce à un outil de suivi anti-corruption de l'Office des Nations Unies contre la drogue et le crime.

Le rapport mentionne une série d'adresses IP en Roumanie qui pourraient avoir été utilisées pour organiser l'infiltration, et Williams a déclaré que l'un d'entre eux aurait des voisins ayant des antécédents d'hébergement de logiciels malveillants.

Techniciens à l'Office des Nations Unies à Genève, le hub européen de l'organisme mondial, à au moins deux reprises travaillé pendant les week-ends ces derniers mois pour isoler le centre de données local de l'ONU d'Internet, réécrivez les mots de passe et assurez-vous que les systèmes sont propres. Vingt machines ont dû être reconstruites, dit le rapport.

Le piratage intervient au milieu des préoccupations croissantes concernant le cyberespionnage.

La semaine dernière, Des experts des droits de l'homme de l'ONU ont demandé au gouvernement américain d'enquêter sur un piratage saoudien présumé qui aurait pu siphonner des données du smartphone personnel de Jeff Bezos, le fondateur d'Amazon et propriétaire du Washington Post, en 2018. Mardi, les détectives des droits civiques en ligne de Citizen Lab ont publié un rapport sur la tentative de piratage du chef du bureau du New York Times à Beyrouth, Ben Hubbard, à peu près au même moment par un groupe lié à l'Arabie saoudite.

Les Nations Unies, et son bureau des droits de l'homme, est particulièrement sensible, et pourrait être une cible tentante. Le Haut-Commissariat des Nations Unies aux droits de l'homme, Michelle Bachelet, et ses prédécesseurs ont appelé, dénoncé et critiqué des crimes de guerre présumés, des crimes contre l'humanité et des violations et abus des droits moins graves dans des endroits aussi divers que la Syrie et l'Arabie saoudite.

Des dizaines d'experts indépendants des droits de l'homme qui travaillent avec le bureau des droits de l'homme des Nations Unies ont une plus grande marge de manœuvre - et moins de liens politiques et financiers avec les gouvernements qui financent les Nations Unies et en font partie - pour dénoncer les violations présumées des droits.

Richards s'est dit préoccupé par la sécurité des réseaux de l'ONU.

"Il y a beaucoup de nos données qui auraient pu être piratées, et nous ne savons pas ce que pourraient être ces données, " a déclaré Richards du Conseil du personnel de l'ONU. Potentiellement touché, par exemple, sont des employés du bureau de l'envoyé spécial pour la Syrie qui mènent des enquêtes sensibles et des employés des droits de l'homme qui interrogent des témoins.

« Dans quelle mesure le personnel de l'ONU devrait-il faire confiance à l'infrastructure d'information que l'ONU leur fournit ? » demanda Richards. « Ou devraient-ils commencer à mettre leurs informations ailleurs ? »

© 2020 La Presse Associée. Tous les droits sont réservés.