États-Unis : intrusion au ministère des Finances via le service BeyondTrust

Le ministère américain des Finances, le département du Trésor, a été victime d’une intrusion au début du mois. Elle est attribuée à un acteur chinois ayant compromis la plateforme SaaS de BeyondTrust.

Dans une lettre adressée aux membres de la commission sénatoriale des banques, du logement et des affaires urbaines, le ministère a fait état d’un « incident majeur » au cours duquel un groupe de menace persistante avancée (APT) a accédé à ses systèmes. La lettre a été rapportée pour la première fois par Reuters lundi.

Le ministère a déclaré que la violation trouvait son origine dans un service cloud compromis chez BeyondTrust, un fournisseur de gestion des accès privilégiés. BeyondTrust a publié un avis de sécurité le 8 décembre, avertissant qu’une clé API pour ses services d’assistance à distance avait été compromise par des acteurs malveillants. Le fournisseur a déclaré avoir détecté une activité suspecte impliquant « un nombre limité de clients SaaS de support à distance ».

La lettre du département du Trésor aux législateurs a confirmé que l’agence fédérale était l’un de ces clients de BeyondTrust.

« Le 8 décembre 2024, le Trésor a été informé par un fournisseur de services logiciels tiers, BeyondTrust, qu’un acteur malveillant avait accédé à une clé utilisée par le fournisseur pour sécuriser un service cloud employé pour fournir à distance une assistance technique aux utilisateurs finaux des bureaux départementaux du Trésor (DO) », peut-on lire dans la lettre. « Avec l’accès à la clé volée, l’acteur malveillant a été en mesure de passer outre la sécurité du service, d’accéder à distance à certains postes de travail d’utilisateurs des bureaux départementaux du Trésor, et d’accéder à certains documents non classifiés conservés par ces utilisateurs ».

La manière dont la clé API de BeyondTrust a été initialement volée par les acteurs de la menace reste nébuleuse. L’éditeur a révélé au début du mois de décembre 2024 deux vulnérabilités, référencées CVE-2024-12686 et CVE-2024-12356, qui affectent ses outils Privileged Remote Access et Remote Support, mais BeyondTrust n’a pas précisé comment les failles ont été utilisées dans l’activité malveillante impliquant la clé API volée.

Dans un courriel adressé à la rédaction, Morey Haber, conseiller en chef pour la sécurité chez BeyondTrust, indique que l’éditeur « a déjà identifié et pris des mesures pour remédier à un incident de sécurité au début du mois de décembre 2024 qui impliquait le produit Remote Support. BeyondTrust a notifié le nombre limité de clients concernés, et a travaillé pour soutenir ceux-ci depuis lors. Aucun autre produit BeyondTrust n’a été impliqué. Les forces de l’ordre ont été informées et BeyondTrust soutient les efforts d’investigation. BeyondTrust a publié des informations concernant l’incident et l’enquête en cours sur son site web le 8 décembre 2024, y compris un résumé, une chronologie et des indicateurs. L’avis de sécurité a été mis à jour depuis lors dans le cadre de l’engagement de BeyondTrust à informer ses clients jusqu’à la fin de l’affaire ».

Selon la lettre, le ministère américain des Finances a mis hors ligne le service BeyondTrust compromis et n’a trouvé aucun élément suggérant que les attaquants aient conservé un accès continu aux données de l’agence. Le ministère a également indiqué travailler avec la CISA, le FBI, la communauté du renseignement américain et des enquêteurs tiers pour analyser la violation et en déterminer l’impact.

« Sur la base des indicateurs disponibles, l’incident a été attribué à un acteur de menace persistante avancée (APT) soutenu par l’État chinois », peut-on lire dans la lettre. Le ministère n’a pas identifié l’APT en question.

Cette intrusion est la dernière d’une série de cyberattaques très médiatisées menées par des pirates informatiques parrainés par l’État et attribuées à la République populaire de Chine. Le mois dernier, la CISA et le FBI ont confirmé que des pirates affiliés à la RPC s’étaient introduits chez plusieurs fournisseurs de télécommunications américains et avaient accédé à des systèmes utilisés pour répondre aux demandes judiciaires. Les agences ont déclaré que les attaques, qui ont été rapportées pour la première fois par le Wall Street Journal, faisaient partie d’une « vaste et importante campagne de cyberespionnage » qui visait des personnes de grande valeur telles que des représentants du gouvernement.

Pékin a immédiatement réfuté les allégations de son implication.