Les responsables américains ordonnent aux agences gouvernementales de corriger les bogues logiciels graves que les pirates exploitent
« Ces vulnérabilités représentent un risque inacceptable pour la sécurité du réseau fédéral », a déclaré Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, dans un communiqué.
La « directive d’urgence » de la CISA donne aux agences cinq jours pour mettre à jour le logiciel vulnérable ou le supprimer de leurs réseaux. La directive ne s’applique pas aux réseaux informatiques du Pentagone, qui ne sont pas sous la juridiction de CISA.
Les vulnérabilités se trouvent dans un type de logiciel fabriqué par VMware, un géant technologique basé en Californie dont les produits sont largement utilisés par le gouvernement américain.
Le 6 avril, VMware a publié un correctif pour les failles logicielles, qui pourrait permettre aux pirates d’accéder à distance aux fichiers informatiques et de s’enfoncer davantage dans un réseau. Dans les deux jours suivant la publication du correctif, les pirates avaient trouvé un moyen de s’introduire dans les ordinateurs en utilisant les vulnérabilités, selon la CISA. Puis, mercredi, VMWare a publié des mises à jour logicielles pour les vulnérabilités nouvellement découvertes que la CISA a ordonné aux agences de corriger.
L’agence n’a pas identifié les pirates ni les systèmes qu’ils avaient ciblés.
Les responsables de la CISA utilisent leur autorité d’urgence pour obliger les agences à corriger de graves failles logicielles lorsque le temps presse et que des espions ou des criminels pourraient se jeter sur eux.
L’incident de SolarWinds n’a pas été détecté par les autorités américaines pendant de nombreux mois. Cela a entraîné la violation d’au moins neuf agences fédérales, y compris celles qui s’occupent de la sécurité nationale comme les départements de la sécurité intérieure et de la justice.