Plus de deux mois après la découverte de l’attaque contre SolarWinds, les enquêteurs continuent de reconstituer, pièce par pièce, le chemin pris par les hackers, qui leur a permis d’infiltrer 9 branches du gouvernement américain et plus d’une centaine d’entreprises privées. Malgré les progrès de l’investigation, une inconnue reste : comment les hackers se sont-ils introduits dans le système interne de SolarWinds ? Toutes les hypothèses ont été évoquées, de la corruption d’un employé, à la réussite d’un phishing, en passant par une fuite d’un mot de passe. C’est justement cette dernière théorie qui est revenue sur la table vendredi 26 février, à la faveur d’une audition des dirigeants de SolarWinds devant le Congrès américain, comme l’a remarqué Business Insider.
Une des interrogatrices, l’élue californienne Katie Porter, a rappelé une information qui avait fait grand bruit au début de l’enquête en décembre 2020, mais quelque peu oubliée depuis. Un chercheur, Vinoth Kumar, affirmait qu’il avait trouvé, en novembre 2019, un duo d’identifiants permettant d’accéder aux serveurs internes de SolarWinds. Plus précisément, il permettait d’après lui d’accéder au moteur de production, le serveur chargé des mises à jour des logiciels du groupe, celui-là même où les hackers ont déposé leur cheval de Troie. Les identifiants étaient affichés en clair sur un dépôt GitHub — la plus populaire des plateformes de partage de code –, alors qu’ils n’étaient pas censés l’être.
- Vous avez raté un épisode de l’affaire SolarWinds ? Nous avons une vidéo pour rattraper :
Non seulement les identifiants étaient exposés sans protection, mais en plus ils étaient risibles. Le nom d’utilisateur « solarwinds.net » et le mot de passe, « solarwinds123 », avaient de quoi horrifier n’importe quel responsable de sécurité. Choisissez votre adjectif : faible, simple à deviner, et surtout indigne d’une entreprise qui fournit des organisations sensibles comme le gouvernement américain. La députée Katie Porter a donc demandé aux dirigeants de commenter ce raté colossal dans la sécurité du groupe.
Petite erreur de stagiaire ou fuite critique de plus de 2 ans ?
Interrogés séparément, l’ancien CEO Kevin Thompson et le nouveau CEO Sudhakar Ramkrishna ont répondu de façon similaire : si les identifiants se sont retrouvés en ligne et sans protection, ce serait d’après eux à cause d’un stagiaire qui n’aurait pas respecté la politique de sécurité de l’entreprise. « Je crois que c’était un mot de passe qu’un stagiaire a utilisé pour un de ses serveurs en 2017, qui a été signalé à notre équipe de sécurité puis immédiatement retiré » a balayé Ramkrishna.
Cette version des faits est contestée par le chercheur à l’origine de la révélation, qui a fourni à Business Insider un email de remerciement de l’équipe de sécurité SolarWinds, reçu le 22 novembre 2019. « Nous nous sommes occupés de la mauvaise configuration du dépôt GitHub, et il n’est plus accessible publiquement. De plus un traitement a été appliqué aux identifiants exposés », peut-on lire. La chronologie des faits paraît floue : est-ce que la fuite du mot de passe de 2017 et celle de 2019 sont indépendantes ? Est-ce que le mot de passe était accessible publiquement pendant deux ans ? Pourquoi est-ce que le mot de passe n’aurait pas été changé après le premier incident ?
Simple coïncidence ou causalité ?
Pour rappel, dans les premiers retours de son enquête interne, SolarWinds a conclu que les hackers s’étaient infiltrés sur son système dès septembre 2019, soit un mois avant la fuite d’identifiants relevée par le chercheur. Rien ne prouve pour l’instant que les deux événements sont liés, mais ce pourrait être une piste suivie pour les enquêteurs. Plus généralement, la confusion autour de cette affaire dans l’affaire prouve que SolarWinds était loin d’être irréprochable dans ses pratiques de sécurité. Et ces lacunes pourraient avoir profité aux hackers…
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !