Le Department of Homeland Security confirme une intrusion sur le Homeland Security Information Network (HSIN), la plateforme utilisée par les agences fédérales, locales et leurs partenaires privés pour échanger des informations sensibles. L'attaque, menée par un acteur encore non identifié, s'est déroulée entre fin mai et début juin, alors que les États-Unis assurent la sécurité des rencontres de la Coupe du Monde organisées sur leur territoire.

DHS ban

Repérée par le média Nextgov puis confirmée par le DHS auprès de BleepingComputer, l'intrusion touche un système non classifié, mais jugé hautement sensible par le sénateur Mark Warner. Vice-président de la commission du renseignement au Sénat, il a aussitôt réclamé des explications à l'agence.

Un piratage découvert plusieurs semaines après les faits

Le HSIN sert depuis plus de vingt ans à coordonner les agences fédérales, étatiques, locales et tribales avec leurs partenaires du secteur privé. Les utilisateurs approuvés s'en servent pour échanger des alertes, gérer des incidents, coordonner la sécurité d'événements planifiés et partager des informations sur des personnes ou des menaces identifiées. Selon les sources de Nextgov citées par BleepingComputer, les pirates ont visé à la fois les serveurs de HSIN et un système SharePoint utilisé pour le travail collaboratif.
Le DHS n'a pour l'instant attribué l'attaque à aucun groupe ni aucun pays. L'agence ignore également si des documents ont été dérobés. Un porte-parole affirme que les équipes ont isolé les systèmes touchés et lancé une enquête. Il précise : "Rien n'indique que les réseaux classifiés ont été touchés." Le service reste selon lui opérationnel pour ses partenaires.

En 2023, HSIN avait déjà connu un incident comparable. Une erreur de configuration liée à un prestataire avait donné accès à la section HSIN-Intel à l'ensemble des utilisateurs de la plateforme, plutôt qu'à un groupe restreint. Cette section contient des données personnelles sensibles.

Une agence déjà pointée du doigt sur sa cybersécurité

Pour le sénateur Warner, l'affaire est très grave. HSIN continue d'alimenter la coordination des forces de sécurité mises en place à l'occasion de la Coupe du Monde et du programme America250. Il reste donc un outil de référence en cas de catastrophe. Warner rappelle qu'en janvier 2025, la plateforme avait servi à gérer la réponse à la collision en vol entre un avion American Airlines et un hélicoptère Black Hawk de l'armée. L'accident avait fait 67 morts. Selon lui, les informations qui transitent par HSIN sont "hautement sensibles, et leur exposition menace la sécurité nationale."

Ce n'est pas le premier incident survenu ces dernières années. On se rappelle du partage d'informations classifiées et de plans militaires sur Signal par de hauts responsables. Un journaliste avait alors été inclus par erreur dans un groupe où étaient discutées des frappes prévues au Yémen. Rappelons aussi la protection dérisoire mise en place sur les bases de données du Department of Government Efficiency (DOGE), piloté par Elon Musk, ainsi qu'une fuite de mots de passe provenant d'un prestataire de la CISA qui exposait l'accès à des systèmes cloud gouvernementaux.

Ces épisodes s'accumulent après une réduction des moyens accordés à la cybersécurité fédérale, DHS et CISA comprises. Reste à savoir si l'agence parviendra à identifier les auteurs de cette dernière intrusion, et surtout, quelles données ont réellement transité entre leurs mains.