5 mois après avoir réalisé qu’il était le point de départ d’une des plus grandes opérations de cyberespionnage du 21e siècle, SolarWinds n’a toujours pas terminé son enquête interne. L’entreprise, aidée par deux autres firmes et par le gouvernement américain, cherche encore la réponse à l’une des grandes questions de l’affaire  ; comment les hackers se sont-ils infiltrés sur ses serveurs ?

À l’occasion d’une prise de parole lors la conférence RSA rapportée par The Record Media le 19 mai, le CEO Sudhakar Ramakrishna s’est excusé pour la façon dont l’entreprise a blâmé un stagiaire pour l’incident. Interrogés par le Congrès américain en février, le CEO et son prédécesseur avaient attribué à l’employé précaire l’histoire de la fuite d’un mot de passe — « solarwinds123 » — qui aurait pu donner accès à des serveurs internes de l’entreprise. Comme nous l’avions détaillé à l’époque, le récit de cet incident paraissait confus, tant chronologiquement que dans son rapport avec l’affaire de cyberespionnage. « Ce qui s’est passé à l’audition au Congrès où nous avons attribué l’erreur à un stagiaire était inapproprié et ne correspond pas à nos valeurs », a déclaré Ramakrishna.

m6.png

À droite de l’image, le CEO de SolarWinds depuis janvier 2021, Sudhakar Ramakrishna. // Source : SolarWinds

On ne sait toujours pas comment les hackers ont pénétré SolarWinds

La piste ridicule de la boulette du stagiaire étant écartée, l’éditeur de logiciel a réduit son enquête à trois hypothèses. Les hackers pourraient avoir :

  • Exploité une vulnérabilité zero-day (c’est-à-dire inconnue et donc sans correctif) dans une application ou un appareil tiers, afin de s’introduire sur le réseau.
  • Deviné le mot de passe d’un compte administrateur grâce à une attaque de « brute-force » (essais répétés de plusieurs mots de passe plausibles) sur plusieurs comptes.
  • Récupéré les identifiants grâce à « un phishing très sophistiqué » contre un employé de SolarWinds.

Pour rappel, SolarWinds avait envoyé la mise à jour infectée du logiciel Orion à 18 000 de ses clients. Le malware ouvrait une porte sur le réseau des victimes, que les hackers pouvaient activer manuellement à distance. En dehors du gouvernement américain et de quelques entreprises de sécurité (Malwarebytes, FireEye, Microsoft, ou encore, bien plus tard, l’Union européenne), peu de victimes se sont déclarées publiquement. D’après l’enquête interne, leur nombre serait « inférieur à 100 », un bilan similaire aux premières estimations des recherches externes.

Sudhakar Ramakrishna a aussi indiqué à la conférence RSA que les hackers auraient débuté leur opération de reconnaissance au sein du réseau de SolarWinds dès janvier 2019. Jusqu’ici, on savait seulement qu’ils avaient lancé des premières manipulations de test en septembre 2019, plus de 6 mois avant le déploiement de la véritable cyberattaque, et 1 an avant sa découverte. Ce détail est encore un signe supplémentaire de l’extrême discrétion des hackers. Ils ont longuement étudié leur cible avant de passer à l’action, et ils l’ont infiltrée progressivement.

La Maison-Blanche a officiellement accusé le SVR, une branche du renseignement russe, d’avoir piloté l’opération, ce qui explique la sophistication de la cyberattaque. Malgré une escalade diplomatique entre les États-Unis et la Russie, le gouvernement de Vladimir Poutine continue de nier toute implication. Interrogé par la BBC début mai, le chef du SVR Sergei Naryshkin a balayé l’attribution de l’attaque non sans sarcasme : « je ne peux pas réclamer des réussites aussi créatives si elles ne sont pas les miennes ». Pour lui, la cyberattaque viendrait de l’ouest, plus précisément de la Grande-Bretagne ou des États-Unis eux-mêmes. Son hypothèse n’est appuyée d’aucune preuve, alors que plusieurs rapports publics comme privés insistent sur le lien des hackers avec la Russie.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !