Si SolarWinds était inconnue du grand public avant les récents événements, elle était clairement verrouillée dans le viseur des cyberespions. Le 2 février, Reuters a révélé que parallèlement au hack massif attribué aux Russes connu sous le nom Sunburst, un second groupe de hackers a profité d’une autre vulnérabilité d’Orion, le logiciel phare de SolarWinds. Mais elle avait le même but : espionner le gouvernement américain.
Plus précisément, les hackers auraient pénétré le réseau d’une agence fédérale américaine, le National Finance Center, chargée de la paie de plus de 600 000 fonctionnaires du ministère de l’Agriculture. Ils pourraient avoir ainsi obtenu l’accès à plusieurs documents personnels d’employés du gouvernement, comme leurs numéros de sécurité sociale, leurs numéros de téléphone ou encore leurs adresses email personnelles.
Ces données sont précieuses pour les espions, qui peuvent les utiliser pour mettre en place des programmes de surveillance ou pour tenter des usurpations d’identité. Avec, comme toujours, l’objectif de collecter des informations confidentielles.
Après la Russie, la Chine également accusée
Si la cyberattaque massive découverte en décembre est attribuée à la Russie, cette seconde opération laisse des traces techniques suggérant l’implication de la Chine. Les deux incidents, bien qu’alignés dans le temps, n’ont pas d’origine commune. D’un côté, les hackers russes se sont infiltrés au plus profond de SolarWinds pour transformer Orion en cheval de Troie, et s’offrir l’accès à plus de 18 000 réseaux informatiques.
De l’autre, les hackers chinois ont exploité une vulnérabilité plus superficielle. Ils ont pénétré le système de leur victime à l’aide d’outils et d’infrastructures déjà utilisés par des cyberespions chinois par le passé, d’où la conclusion des enquêteurs sur leur implication. Ce n’est qu’une fois ce premier pied posé chez leur cible qu’ils ont profité des faiblesses d’Orion pour se répandre au reste du réseau informatique. Bien que le logiciel de SolarWinds a alimenté la manipulation, il n’est donc pas la cause principale de cette seconde cyberattaque.
Orion concentrait les convoitises
Cet incident n’en reste pas moins une mauvaise nouvelle pour l’entreprise, déjà confrontée à une crise de confiance de ses clients. Plus tôt dans l’enquête, les chercheurs avaient découvert une autre porte dérobée sur Orion, autre preuve que son logiciel attirait les convoitises de diverses sources. Sur son site, l’entreprise affichait avec fierté sa clientèle composée d’agences gouvernementales et de grands groupes, et les hackers en tout genre n’ont pas manqué l’information.
Cette révélation est aussi un constat inquiétant pour le gouvernement américain. Si l’infiltration de SolarWinds a largement contribué au succès de l’opération de cyberespionnage, elle est loin d’en être la seule origine. Désormais, les autorités vont devoir ouvrir une seconde enquête afin d’établir l’ampleur de cette seconde opération d’espionnage.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.