Une brèche à tête d'hydre centrée sur un seul fabricant de logiciels américain a compromis les données de plus de 600 organisations dans le monde, selon les chiffres des cyberanalystes corroborés par Reuters.

Mais plus de deux mois après la divulgation de la faille par Progress Software, société basée dans le Massachusetts, le défilé des victimes n'a guère ralenti. Les chiffres montrent que près de 40 millions de personnes ont été touchées par le piratage du programme de gestion de fichiers MOVEit Transfer de Progress. Aujourd'hui, les extorqueurs numériques impliqués, un groupe nommé "cl0p", sont devenus de plus en plus agressifs en diffusant leurs données dans le domaine public.

"Nous n'en sommes qu'au tout début", a déclaré Marc Bleicher, directeur de la technologie de la société Surefire Cyber, spécialisée dans la réponse aux incidents. "Je pense que nous commencerons à voir l'impact réel et les retombées plus tard.

MOVEit est utilisé par des organisations pour expédier de grandes quantités de données souvent sensibles : informations sur les retraites, numéros de sécurité sociale, dossiers médicaux, données de facturation, etc. Comme nombre de ces organisations traitaient des données pour le compte d'autres organisations, qui à leur tour obtenaient les données de tiers, le piratage s'est propagé de manière parfois alambiquée.

Par exemple, lorsque cl0p a subverti le logiciel MOVEit utilisé par une société appelée Pension Benefit Information, spécialisée dans la localisation des membres survivants de la famille des détenteurs de fonds de pension, il a eu accès aux données de la Teachers Insurance and Annuity Association of America, basée à New York, qui gère à son tour des programmes de pension pour 15 000 clients institutionnels, dont beaucoup ont passé les dernières semaines à informer leurs employés qu'ils étaient exposés au risque.

"Il y a un effet domino", a déclaré John Hammond, de Huntress Security, l'un des premiers chercheurs à avoir commencé à suivre l'évolution de la brèche.

Les piratages effectués par des groupes tels que cl0p se produisent avec une régularité déconcertante. Mais la diversité des victimes de la compromission de MOVEit, des élèves des écoles publiques de New York aux conducteurs de Louisiane en passant par les retraités californiens, en a fait l'un des exemples les plus visibles de la manière dont une simple faille dans un obscur logiciel peut déclencher un désastre mondial en matière de protection de la vie privée.

Christopher Budd, expert en cybersécurité auprès de la société britannique Sophos, a déclaré que cette faille rappelait à quel point les organisations étaient interdépendantes des défenses numériques des autres.

Progress a déclaré avoir été victime d'un "groupe cybercriminel avancé et persistant" et que son objectif était de soutenir ses clients.

DES MILLIERS D'ENTREPRISES

La campagne de piratage de Cl0p a commencé le 27 mai, selon deux personnes connaissant bien l'enquête de Progress.

Progress a eu vent de la compromission le lendemain, lorsqu'un client l'a alerté d'une activité anormale, ont déclaré ces sources. Le 30 mai, la société a envoyé un avertissement et, le lendemain, a publié un "patch", ou réparation, qui a partiellement contrecarré la campagne des pirates.

"De nombreuses organisations ont pu déployer le correctif avant qu'il ne soit exploité", a déclaré Eric Goldstein, haut responsable de l'Agence américaine de cybersécurité et de sécurité des infrastructures.

Toutes les organisations n'ont pas eu cette chance. Les détails concernant la quantité de matériel volé ou le nombre d'organisations touchées ne sont pas disponibles publiquement, mais Nathan Little, dont la société Tetra Defense - qui fait partie de l'entreprise de sécurité Arctic Wolf - a répondu à des dizaines d'incidents liés à MOVEit, a estimé que la brèche avait probablement touché des milliers d'entreprises.

"Nous ne connaîtrons peut-être jamais le nombre exact et détaillé", a-t-il déclaré.

Certains analystes ont tenté de suivre l'évolution de la situation. Mardi, la société de cybersécurité Emsisoft avait dénombré 602 victimes et 39,7 millions de personnes touchées.

L'analyste informatique allemand Bert Kondruss a avancé des chiffres similaires, que Reuters a corroborés en les recoupant avec des déclarations publiques, des documents d'entreprise et des messages de clavardage.

QUI A ÉTÉ EXPOSÉ ?

Les établissements d'enseignement - collèges, universités et même écoles publiques de la ville de New York - représentent un quart des victimes, Emsisoft et Kondruss en dénombrant plus de 100 rien qu'aux États-Unis.

L'exposition s'est étendue bien au-delà du monde universitaire.

Vous conduisez une voiture ? Les autorités automobiles de Louisiane et de l'Oregon ont collectivement révélé la compromission d'environ 9 millions d'enregistrements. Vous êtes retraité ? Des organismes de gestion des retraites tels que le California Public Employees' Retirement System et T. Rowe Price ont été victimes d'une intrusion par l'intermédiaire de Pension Benefit Information. L'atteinte à la vie privée de l'entreprise publique américaine Maximus a entraîné à elle seule la compromission de 8 à 11 millions de dossiers.

Une lueur d'espoir ténue ? Les pirates ont peut-être ingéré trop de données pour les divulguer toutes.

Alexander Urbelis, avocat-conseil du cabinet Crowell & Moring, basé à New York, qui a aidé les victimes à évaluer leur exposition à l'emprise des pirates, a déclaré que les vitesses de téléchargement extraordinairement lentes du site darknet des pirates "ont rendu pratiquement impossible à quiconque" - qu'il soit bien intentionné ou non - "d'accéder aux données volées".

M. Goldstein, le fonctionnaire américain, a déclaré que "dans de nombreux cas", les données n'avaient pas encore été divulguées.

Cl0p, qui n'a pas répondu aux messages de Reuters, semble essayer d'améliorer son jeu. À la fin du mois dernier, il a créé des sites web spécifiquement destinés à mieux diffuser les données volées. En début de semaine, il a commencé à partager les données via des réseaux peer-to-peer.

C'est une mauvaise nouvelle pour les victimes, a déclaré M. Bleicher de Surefire.

"Une fois que ces données commencent à être divulguées petit à petit, elles apparaissent davantage dans la clandestinité", a-t-il déclaré. L'impact de la violation, à son tour, "sera probablement beaucoup plus important que ce que nous pensons aujourd'hui". (Reportage de Raphael Satter et Zeba Siddiqui ; Rédaction de Chris Sanders et Grant McCool)