C’est un des marronniers de la cybersécurité : une organisation n’investit que le strict minimum dans la sécurité de ses systèmes informatiques… jusqu’à ce qu’un incident d’ampleur se produise. L’entreprise texane SolarWinds en est un nouvel exemple, à une échelle exceptionnelle.
Mi-décembre 2020, FireEye mettait pour la première fois en lumière une campagne d’espionnage qui exploitait Orion, la suite de logiciels de gestion réseau de SolarWinds. Rapidement, les enquêtes privées et gouvernementales ont découvert l’ampleur de l’incident : des hackers commandités par la Russie — selon les accusations officielles des autorités américaines — sont parvenus à s’infiltrer sur les serveurs de l’entreprise pour corrompre les mises à jour d’Orion. Pendant au moins 9 mois, SolarWinds a donc proposé à tous ses clients des mises à jour qui contenaient un cheval de Troie, baptisé « Sunburst ». Particulièrement bien dissimulé, il était capable d’ouvrir un pont d’accès vers les serveurs des pirates.
Résultat : plus de 18 000 organisations clientes ont installé Sunburst, que les hackers pouvaient ensuite exploiter manuellement pour déposer d’autres logiciels malveillants. À la recherche d’informations (sans que l’on sache pour l’instant lesquelles) et non de gain financier, ces derniers avaient une cible bien précise en tête : le gouvernement américain, et par extension, ses nombreux partenaires. D’après le New York Times, ils auraient touché pas moins de 250 victimes, dont de très nombreuses agences et branches du gouvernement américain, mais aussi des entreprises privées comme FireEye et Microsoft. Peu après la découverte de l’opération malveillante, une coalition d’entreprises et d’agences gouvernementales a démantelé l’infrastructure sur laquelle s’appuyaient les hackers, mais le mal était déjà fait.
SolarWinds a aussi lancé une enquête interne, et confirmé que les mises à jour d’Orion ne contenaient plus d’éléments malveillants. Mais elle se confronte désormais à une crise de confiance de la part de ses clients. Comme le rapporte ZDNet, elle a donc convoqué à son chevet deux des noms les plus clinquants du secteur de la cybersécurité : Alex Stamos, ancien directeur de la sécurité de Facebook, et Chris Krebs, ancien directeur du CISA, la branche cybersécurité du gouvernement américain. Les deux hommes travaillent ensemble depuis que Chris Krebs s’est fait éjecter de son poste par Donald Trump. La raison ? Il avait simplement maintenu que la sécurité de l’élection présidentielle, dont il était chargé, avait été réussie. La mission des deux spécialistes sera double : réparer les dégâts de l’attaque et améliorer les mesures de sécurité de l’entreprise.
Chez SolarWinds, la sécurité écrasée par l’optimisation financière
Le New York Times, qui s’est entretenu avec plusieurs employés de SolarWinds, dresse un bilan catastrophique des pratiques de sécurité au sein de l’organisation. Pourtant elle compte dans ses clients non seulement des agences gouvernementales, mais aussi une large majorité des plus grandes entreprises mondiales. Des cibles convoitées, véritables nids à données stratégiques.
Les employés interrogés par le NYT décrivent l’ancien directeur financier de l’entreprise comme un homme à la recherche de la moindre économie d’argent. Et les mesures de cybersécurité, qui sont de l’ordre du préventif, en auraient pâti. Ils pointent notamment du doigt la délocalisation d’une partie des divisions d’ingénierie vers l’Europe de l’Est (République tchèque, Polande, Biélorussie), plus proche de la zone d’influence russe. Bien que l’implication d’un employé corrompu n’ait pas été commentée par SolarWinds, elle fait partie des pistes évoquées par les différents enquêteurs.
Et ce n’est pas tout : SolarWinds n’a recruté son premier directeur de la sécurité qu’en 2017, sous la menace d’une éventuelle amende dans l’Union européenne, à la faveur des nouvelles régulations. Mais parmi les quelques mesures déployées, celles destinées à détecter proactivement les attaques sont jugées trop faibles. Chris Krebs et Alex Stamos ont donc un large chantier à engager.
Constat d’échec pour le gouvernement
Reste que SolarWinds est loin d’être la seule fautive dans le succès de l’opération de cyberespionnage. C’est la stratégie entière de protection des agences fédérales et du gouvernement américain qui est remise en cause. D’ailleurs, le CISA a confirmé que les pirates avaient compromis certaines cibles simplement en devinant des mots de passe trop faibles. Les hackers ont donc aussi utilisé avec succès des méthodes basiques, très loin du degré de sophistication de Sunburst, pour pénétrer des organismes gouvernementaux.
Ensuite, ni la NSA, ni le FBI, ni l’armée ou encore le CISA n’ont découvert l’attaque. C’est d’une entreprise privée, FireEye, qu’est venue l’information. Et ironiquement, parmi les multiples responsables impliqués dans cet échec de détection se trouve Chris Krebs, directeur du CISA au moment de l’attaque, et plusieurs années avant. Mais ce raté ne l’a pas empêché d’être nommé pour mettre en place de nouvelles protections chez SolarWinds…
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !