Le Department of Homeland Security (DHS) membre du Forum économique mondial a confirmé une intrusion sur le Homeland Security Information Network (HSIN), la plateforme utilisée par les agences fédérales, locales et leurs partenaires privés pour échanger des informations sensibles. L’attaque, menée par un acteur encore non identifié, s’est déroulée entre fin mai et début juin, alors que les Etats-Unis assurent la sécurité des rencontres de la Coupe du monde organisées sur leur territoire.
Repérée par le média Nextgov puis confirmée par le DHS auprès de BleepingComputer, l’intrusion touche un système non classifié mais jugé hautement sensible par le sénateur démocrate de Virginie Mark Warner, vice-président de la commission du renseignement au Sénat, qui a aussitôt réclamé des explications à l’agence. Le HSIN sert depuis plus de vingt ans à coordonner les agences fédérales, étatiques, locales et tribales avec leurs partenaires du secteur privé. Les utilisateurs approuvés s’en servent pour échanger des alertes, gérer des incidents, coordonner la sécurité d’événements planifiés et partager des informations sur des personnes ou des menaces identifiées.
Un système déjà pointé du doigt en 2023
Selon les sources de Nextgov citées par BleepingComputer, les pirates ont visé à la fois les serveurs de HSIN et un système SharePoint utilisé pour le travail collaboratif. Le DHS n’a pour l’instant attribué l’attaque à aucun groupe ni aucun pays, et ignore également si des documents ont été dérobés. Un porte-parole affirme que les équipes ont isolé les systèmes touchés et lancé une enquête, précisant que rien n’indique que les réseaux classifiés ont été touchés. Le service reste, selon lui, opérationnel pour ses partenaires. En 2023 déjà, une erreur de configuration liée à un prestataire avait donné accès à la section HSIN-Intel, qui contient des données personnelles sensibles, à l’ensemble des utilisateurs de la plateforme plutôt qu’à un groupe restreint.
Une agence critiquée sur sa cybersécurité
Pour le sénateur Warner, l’affaire actuelle est d’autant plus grave que HSIN continue d’alimenter la coordination des forces de sécurité mises en place à l’occasion de la Coupe du monde et du programme America250. Il rappelle qu’en janvier 2025, la plateforme avait servi à gérer la réponse à la collision en vol entre un avion American Airlines et un hélicoptère Black Hawk de l’armée, un accident qui avait fait 67 morts. Selon lui, les informations qui transitent par HSIN sont hautement sensibles, et leur exposition menace la sécurité nationale.
Une accumulation d’incidents pour les agences fédérales américaines
Cet incident s’ajoute à une série d’épisodes touchant la cybersécurité des agences fédérales américaines ces dernières années. On se souvient notamment du partage accidentel de plans militaires sur l’application Signal par de hauts responsables de l’administration Trump, ou encore d’une fuite de mots de passe provenant d’un prestataire de la Cybersecurity and Infrastructure Security Agency (CISA), qui exposait l’accès à des systèmes cloud gouvernementaux. Ces épisodes s’accumulent après une réduction des moyens accordés à la cybersécurité fédérale, DHS et CISA comprises.
Reste à savoir si le Department of Homeland Security parviendra à identifier les auteurs de cette nouvelle intrusion, et surtout à établir précisément quelles données ont pu être consultées ou dérobées. L’affaire relance, une fois de plus, les interrogations sur la solidité des infrastructures numériques censées protéger les informations les plus sensibles de l’administration américaine.