C’est un pan annexe de l’affaire SolarWinds qui s’était fait oublier. Fin décembre 2020,  Microsoft commençait son enquête sur la cyberattaque contre SolarWinds, connue sous le nom de Sunburst ou Solarigate. En disséquant le logiciel Orion de SolarWinds, celui infiltré par les hackers, l’entreprise avait exhumé des détails sur Sunburst, mais aussi découvert une seconde porte dérobée, nommée Supernova.

Sans identifier précisément l’origine de ce second malware, Microsoft écartait la possibilité qu’il soit lié à la « supply chain attack » au cœur de son enquête, attribuée à un groupe de hackers russes. Les chercheurs relevaient que si Supernova était moins élaborée que Sunburst, elle n’en restait pas moins dangereuse et avait une finalité similaire : exfiltrer des informations.

sansa clip.jpg

Supernova a aussi infecté SolarWinds. // Source : CCO/Pxhere

Depuis, les recherches se sont concentrées sur Sunburst, qui a mené à la compromission de plus de 18 000 organisations, dont une dizaine de branches du gouvernement américain. Le cumul des efforts a mené à la découverte de tout un arsenal créé sur mesure par les hackers. Mais pendant plus de deux mois, personne n’a fait mention de Supernova… jusqu’au lundi 8 mars. Secureworks, l’unité de recherche de Dell, a identifié le groupe à l’origine de l’attaque, et a livré le détail de ses conclusions à Cyberscoop.

Supernova, une attaque chinoise ?

Les chercheurs ont (re)découvert Supernova lors d’une enquête sur un incident subi par une entreprise (dont ils ne donnent pas le nom) en novembre 2020. Les hackers étaient passés par Orion pour s’immiscer dans certaines parties du réseau de leur victime. Plus précisément, ils s’étaient servis de la porte d’entrée ouverte par Supernova sur le système pour dérober des identifiants et ensuite accéder à des fichiers sensibles hébergés dans Microsoft 365.

Secureworks avait déjà observé ce mode opératoire lors d’une précédente intervention, sur un incident subi par Zoho Mail. Il avait attribué l’incident à un groupe de hacker chinois nommé Spiral, et plusieurs détails techniques indiquaient qu’ils étaient de nouveau derrière l’attaque. Spiral serait un APT (advanced persistent threat) un de ces groupes de hackers d’élite financés par un État, dans ce cas le gouvernement chinois. Comme souvent, Secureworks fait preuve de prudence sur cette attribution, en utilisant abondamment le conditionnel. Il faut dire que l’attribution d’attaque est un exercice périlleux tant d’un point de vue technique que diplomatique.

Tension croissante entre Chine et États-Unis

L’exemple d’utilisation de Supernova mis en avant par Secureworks est pour l’instant le seul connu publiquement. L’ampleur de la faille n’a donc rien à voir avec celle de Sunburst. Et surtout, pour exploiter Supernova, les hackers doivent obtenir un accès à la version d’Orion installée chez la victime, là où Sunburst a été distribué à tous les clients de SolarWinds.

Le timing de cette découverte est plutôt cocasse : Microsoft vient d’accuser un groupe de hackers à la solde du gouvernement chinois d’avoir exploité des failles dans son service d’email Exchange. De cette faille résulte une campagne de cyberattaques de grande ampleur, qui a poussé la Maison-Blanche à avertir les entreprises américaines. Déjà dans une position diplomatique délicate avec la Russie, les États-Unis pourraient se retrouver dans une position similaire avec la Chine.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.