Violation de l'Office of Personnel Management des États-Unis
Des opérateurs étatiques chinois ont exfiltré les formulaires d'enquête de sécurité (SF-86) de 21,5 millions d'employés et de prestataires fédéraux américains — l'incident cyber le plus dommageable en termes de perte de renseignement de l'histoire du gouvernement américain.
- Victime
- U.S. Office of Personnel Management (OPM)
- Perte
- $350.0M
- données
- 21.5M
- utilisateurs
- 21.5M
À la mi-2014, des opérateurs étatiques chinois — l'attribution publique la plus citée pointe vers le ministère de la Sécurité d'État (MSS) — ont établi un accès persistant à l'Office of Personnel Management (OPM) des États-Unis, l'agence fédérale des ressources humaines qui traite les enquêtes de sécurité de chaque employé et prestataire du gouvernement américain sollicitant une habilitation de sécurité. Au cours de l'année suivante, ils ont exfiltré :
- Les dossiers de personnels de 4,2 millions d'employés fédéraux actuels et anciens (divulgation de juin 2015)
- Les dossiers d'enquêtes de sécurité (formulaires SF-86) de 21,5 millions d'individus, incluant les employés eux-mêmes, leurs conjoints, membres de leur famille et personnes de référence (extension de juillet 2015)
- Les empreintes digitales de 5,6 millions d'individus
Cet incident est largement considéré comme le plus dommageable en termes de perte de renseignement de l'histoire du gouvernement américain, surpassant même les révélations Snowden quant à l'impact à long terme sur les opérations de renseignement humain des États-Unis.
Ce qui a été dérobé
Le SF-86 (« Questionnaire for National Security Positions ») est un formulaire de 127 pages rempli par chaque employé ou prestataire fédéral américain candidat à une habilitation de sécurité. Il demande chaque lieu où le candidat a vécu, chaque emploi, chaque contact étranger, chaque voyage à l'étranger, chaque consommation de drogue, chaque traitement de santé mentale, chaque difficulté financière, chaque membre de la famille — remontant sur des décennies.
Le formulaire existe pour identifier les vulnérabilités potentielles à l'influence étrangère. Entre les mains d'un service de renseignement étranger, il devient exactement l'inverse : un catalogue de chaque point de pression individuel pour les personnes à qui le gouvernement américain a confié des informations classifiées.
Le jeu de données exfiltré comprenait des dossiers d'enquêtes de sécurité sur :
- Des officiers de la CIA (bien que les SF-86 des officiers de la CIA soient traités en interne et non à l'OPM ; le jeu de données a tout de même exposé de nombreux prestataires de la CIA).
- Des responsables du Département d'État, dont des officiers consulaires.
- Des civils et prestataires du Département de la Défense.
- Du personnel de la NSA.
- Des forces de l'ordre fédérales (FBI, DEA, etc.).
- Des prestataires d'infrastructures critiques disposant d'un accès habilité.
La CIA aurait rappelé plusieurs officiers de postes basés en Chine dans les années suivant la violation, estimant que leur couverture ou leurs antécédents avaient été compromis. Le coût total pour le renseignement n'est, par nature, jamais divulgué publiquement.
Comment cela s'est produit
L'intrusion était techniquement peu sophistiquée. Les attaquants ont :
- Hameçonné les identifiants d'un prestataire de KeyPoint Government Solutions disposant d'un accès privilégié à l'OPM.
- Utilisé ces identifiants pour accéder au réseau de l'OPM en mai 2014.
- Établi des portes dérobées persistantes à l'aide des malwares PlugX/Sakula, courants dans les opérations attribuées au MSS chinois.
- Lorsque l'OPM a détecté la violation initiale et tenté d'y remédier à la mi-2014, ils n'ont pas pleinement évincé les opérateurs — qui se sont simplement déplacés au sein du réseau et ont poursuivi leur activité.
- Passé des mois à exfiltrer les formulaires SF-86 et les empreintes digitales.
La détection est finalement survenue en avril 2015, après que CyTech a installé un outil de surveillance réseau lors d'une démonstration commerciale, qui a signalé un trafic C2 actif. Onze mois de présence furtive s'étaient écoulés depuis l'intrusion initiale.
Impact
- 21,5 millions d'individus ont vu l'intégralité de leur dossier d'enquête de sécurité SF-86 exposée.
- 5,6 millions ont eu leurs empreintes digitales dérobées.
- La directrice de l'OPM, Katherine Archuleta, a démissionné cinq jours après la seconde divulgation.
- L'agence a dépensé plus de 133 millions de dollars en remédiation et surveillance de crédit, plus des centaines de millions supplémentaires pour une refonte CDM (Continuous Diagnostics and Mitigation) et un nouveau système d'enquêtes de sécurité.
- L'autopsie bipartisane de la House Oversight Committee a conclu que la violation « a compromis la sécurité nationale pour une génération ».
- Le Département de la Défense a repris les enquêtes de sécurité auparavant assurées par l'OPM (via la Defense Counterintelligence and Security Agency, DCSA, ainsi renommée), traduisant une méfiance structurelle envers l'OPM en tant qu'hôte des habilitations.
Attribution
L'attribution publique de la communauté du renseignement américaine pointe vers des acteurs étatiques chinois, Mandiant, CrowdStrike et les déclarations du gouvernement américain désignant systématiquement le MSS comme le service responsable. Le même groupe d'acteurs a été associé à la violation Marriott / Starwood de 2014-2018, à la violation Anthem de 2015 et à la violation Equifax de 2017 — un schéma interprété comme un programme stratégique chinois de collecte de renseignement ciblant les sources de données américaines riches en dossiers personnels afin de constituer des dossiers exhaustifs sur le personnel habilité.
Aucun officier du MSS n'a été individuellement inculpé spécifiquement pour l'affaire OPM.
Pourquoi c'est important
L'OPM est le cas canonique du cyberespionnage étatique causant une perte irréversible pour la sécurité nationale. Contrairement aux violations financières, qui sont réparables, les données dérobées à l'OPM ne peuvent pas être « dé-volées » — les formulaires SF-86 sont des dossiers permanents sur le personnel habilité et restent exploitables opérationnellement par n'importe quel service de renseignement étranger pendant des décennies.
L'incident a remodelé la politique américaine sur plusieurs axes :
- La modernisation informatique fédérale obligatoire (l'IT Modernization Fund, créé en 2017).
- La restructuration de l'écosystème fédéral de sécurité du personnel (OPM → DCSA).
- La création de la CISA en 2018 comme coordinateur de la cybersécurité civile fédérale, la violation de l'OPM en étant un cas motivant majeur.
- Le concept de « données que les adversaires ne pourront jamais rendre » comme catégorie distincte de perte cyber, séparée de la perturbation opérationnelle ou du vol financier.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$200.0M
- Remédiation$133.0M
Chronologie
Première intrusion étatique chinoise confirmée détectée dans les systèmes de l'OPM. Le périmètre initial est évalué comme limité aux données administratives.
L'OPM entame la remédiation de l'intrusion initiale. Les opérateurs sont toujours présents ; ils se déplacent au sein du réseau plutôt que d'en être évincés.
Les opérateurs accèdent aux bases de données d'enquêtes de sécurité (e-QIP), exfiltrant les formulaires SF-86 — les antécédents personnels détaillés soumis par chaque employé et prestataire fédéral sollicitant une habilitation de sécurité.
Les opérateurs exfiltrent les empreintes digitales de 5,6 millions d'individus.
La surveillance réseau déployée par CyTech à l'OPM détecte l'exfiltration active après 11 mois de présence furtive.
L'OPM révèle publiquement une violation portant sur 4,2 millions de dossiers de personnels fédéraux actuels et anciens.
L'OPM élargit sa divulgation : une seconde violation, plus vaste, des dossiers d'enquêtes de sécurité a exposé 21,5 millions d'individus.
La directrice de l'OPM, Katherine Archuleta, démissionne.
La House Oversight Committee publie un rapport bipartisan de 241 pages concluant que l'OPM « a manqué à son rôle de conseiller en sécurité du personnel auprès du gouvernement fédéral » et que la violation « a compromis la sécurité nationale pour une génération ».
Sources
- oig.opm.govhttps://oig.opm.gov/sites/default/files/reports/2015%20Cybersecurity%20Briefing%20Document_0.pdf
- oversight.house.govhttps://oversight.house.gov/wp-content/uploads/2016/09/The-OPM-Data-Breach-How-the-Government-Jeopardized-Our-National-Security-for-More-than-a-Generation.pdf
- opm.govhttps://www.opm.gov/news/releases/2015/07/opm-announces-steps-to-protect-federal-workers-and-others-from-cyber-threats/