Le FBI classe comme incident majeur une intrusion attribuée à des hackers chinois

Une qualification rare, et plutôt embarrassante

Le FBI a estimé qu’une intrusion informatique attribuée à des hackers soupçonnés d’être liés à la Chine constituait un incident cyber majeur. En clair, l’agence considère désormais que des pans de données sensibles ont probablement été compromis sur ses propres systèmes. Pour le contre-espionnage américain, ce n’est pas exactement le genre de trophée qu’on accroche au mur.

Cette qualification laisse entendre que l’attaque pourrait représenter un gain important pour Pékin dans le domaine du renseignement. Elle active aussi les obligations prévues par la loi FISMA, qui impose aux agences de signaler au Congrès, dans un délai de sept jours, toute intrusion numérique jugée susceptible d’entraîner un préjudice démontrable pour la sécurité nationale des États-Unis.

Un seuil élevé, rarement franchi

Cynthia Kaiser, ancienne directrice adjointe de la division cyber du FBI, a indiqué ne pas avoir connaissance d’une telle décision prise par l’agence à la suite d’un piratage visant ses propres systèmes depuis au moins 2020.

« Les seuils fixés par FISMA sont assez élevés, et seules quelques agences déclarent un incident cyber majeur chaque année », a-t-elle rappelé.

Un porte-parole du FBI a refusé de commenter cette décision, renvoyant plutôt à une déclaration faite début mars au sujet de l’incident : « Le FBI a identifié et traité des activités suspectes sur ses réseaux, et nous avons mobilisé toutes les capacités techniques nécessaires pour répondre. »

Selon les lignes directrices de FISMA, une intrusion peut franchir ce seuil si elle implique l’exfiltration ou la compromission de données personnelles identifiables, ou si elle fait peser un risque aigu sur la sécurité nationale, les relations extérieures, la confiance du public ou les libertés civiles des Américains.

Pour l’instant, on ne sait pas précisément quel élément a conduit le FBI à cette conclusion.

Ce que les pirates auraient visé

Dans l’avis envoyé au Congrès en mars et consulté par POLITICO, le FBI expliquait que des pirates non identifiés semblaient être entrés dans un système de l’agence en s’appuyant sur « l’infrastructure d’un fournisseur commercial de services Internet ». L’agence y voyait la démonstration de « tactiques sophistiquées ».

L’avis précisait aussi que le système touché contenait des « retours issus de procédures légales », dont des données provenant de dispositifs pen register et trap and trace, ainsi que des informations personnelles liées à des personnes faisant l’objet d’enquêtes du FBI.

Ces dispositifs permettent aux forces de l’ordre de suivre les appels émis vers ou depuis un numéro précis, ou les sites consultés par un appareil connecté. Ils n’enregistrent pas le contenu des communications, mais les métadonnées recueillies peuvent intéresser au plus haut point des services de renseignement étrangers ou des groupes criminels. Elles peuvent révéler qui est surveillé, et parfois pourquoi.

Une attaque distincte d’un autre dossier iranien

Cette compromission du système de surveillance du FBI ne semble pas liée à une intrusion récente attribuée à des acteurs iraniens ayant visé les courriels personnels du directeur du FBI, Kash Patel.

Elle s’inscrit en revanche dans une tendance plus large : les hackers chinois semblent avoir atteint un niveau leur permettant de pénétrer régulièrement certains des systèmes de sécurité nationale les plus sensibles des États-Unis.

Le sénateur Mark Warner, démocrate de Virginie et principal élu de son parti à la commission du renseignement du Sénat, a résumé la situation sans beaucoup de fioritures :

« Cet incident rappelle brutalement que la menace posée par des adversaires cyber sophistiqués comme la Chine n’a pas disparu. En réalité, elle devient plus agressive de jour en jour. »

Une réponse interagences, mais des zones d’ombre

Lorsqu’une agence déclare un incident majeur au titre de FISMA, cela doit aussi déclencher un mécanisme de réponse cyber impliquant plusieurs administrations. On ignore toutefois si ce mécanisme a bien été activé, ou si l’attaque a depuis été contenue.

La Maison Blanche et la Cybersecurity and Infrastructure Security Agency ont toutes deux renvoyé les questions vers le FBI. La NSA n’a pas répondu aux sollicitations.

Selon un premier responsable américain et un troisième fonctionnaire informé de la réunion, la Maison Blanche a accueilli début mars une réunion consacrée à cette brèche, en présence de responsables du FBI, de la NSA et de la CISA.

La Chine, habituée aux points d’entrée indirects

Les hackers chinois ont déjà pris pour cible des fournisseurs commerciaux de communications afin de s’introduire dans des réseaux fédéraux ou d’accéder à des données sensibles liées à la sécurité nationale.

Deux groupes sont particulièrement suivis par les services américains :

• Volt Typhoon, qui s’est implanté profondément dans des infrastructures critiques aux États-Unis, notamment des ports, des installations hydrauliques et des sous-stations électriques.
• Salt Typhoon, qui a compromis certains des plus grands opérateurs télécoms du pays.

Dans ce dernier piratage, révélé fin 2024, des hackers chinois ont pu récupérer des relevés d’appels appartenant à des millions d’Américains, consulter des données d’écoutes du FBI et voler des communications non chiffrées sur le téléphone de Donald Trump, alors candidat à la présidence.

Un premier responsable américain estime que le FBI a réagi rapidement à l’incident actuel. Mais il a aussi reconnu ce que tout le monde comprend sans grand effort : il est « embarrassant » pour le bureau d’être victime des mêmes pirates qu’il est censé surveiller.

Et, comme l’a résumé cette source, toute vulnérabilité non corrigée ou faiblesse architecturale finit tôt ou tard par être exploitée par un adversaire de ce niveau. Les cyberespions, eux, ne sont pas du genre à laisser une porte entrouverte par politesse.