9 mois plus tard, l’affaire SolarWinds se poursuit encore en justice. Petit rappel des faits : des hackers ont réussi à s’introduire discrètement sur le moteur de production du logiciel phare de l’entreprise, Orion, dès la fin 2019. Ils ont utilisé l’accès à ce serveur en charge des mises à jour de l’outil de gestion de réseau pour y insérer un malware — surnommé Sunburst. Comme SolarWinds n’a pas détecté l’infection, elle a elle-même envoyé une version vérolée d’Orion à plus de 18 000 organisations entre mars et juin 2020. Dans le jargon, cette méthode est connue sous le nom de « supply chain attack ».
Une fois Sunburst déployé chez les clients de Solarwinds, les hackers devaient activer manuellement la deuxième étape de leur attaque, et ils n’ont visé que quelques dizaines d’organisations parmi les milliers touchées. Sunburst n’était qu’un cheval de Troie destiné à leur permettre de s’introduire sur les réseaux de leurs cibles principales : le gouvernement américain, l’Union européenne ou encore de grandes entreprises de la tech comme Microsoft et Malwarebytes. Toute cette manipulation a pour la première fois été découverte en décembre 2020 par l’entreprise de cybersécurité FireEye.
Dès le mois suivant, en janvier 2021, une partie des actionnaires de l’entreprise a lancé une procédure de justice en janvier 2021. Les plaignants affirment qu’ils n’ont pas été correctement informés par les dirigeants de l’époque sur l’état de la sécurité de l’entreprise en amont de l’attaque russe. Le CEO Kevin Thompson — dont le départ était prévu avant la découverte du scandale — et le directeur financier Barton Kalsu auraient « déformé et omis de divulguer » une partie des détails critiques de l’affaire. La position de sécurité de l’entreprise n’étant pas été claire aux yeux des actionnaires, le cours de l’action se serait, selon eux, retrouvé indûment « gonflé ». Le document (mis en ligne par TheRegister) précise que l’annonce a engendré un « déclin précipité de l’action », qui a mené à des « pertes et dommages significatifs. »
Dans les chiffres, le cours de l’action SolarWinds s’est effondré de près de 25 dollars à moins de 15 dollars dans la foulée des révélations. Et ce n’est que très récemment qu’il s’est de nouveau approché de sa valeur d’avant l’attaque. Reuters rapporte également que la première version de la plainte accusait Kevin Thompson d’avoir coupé certains budgets de cybersécurité dans l’objectif de proposer de plus gros dividendes aux deux principaux actionnaires du groupe, qui détenaient 40% des parts à eux deux. Les plaignants demandent des dommages et intérêts, sans en préciser le montant.
« On ne pouvait pas anticiper »
De son côté SolarWinds plaide qu’elle serait « victime d’une des cyberattaques les plus sophistiquées de l’Histoire », et que ce « cybercrime sophistiqué » ne doit pas être déformé en une histoire de manquements de sécurité, comme l’a repéré The Register. En effet, pour appuyer leur cause, les plaignants citent l’histoire du mot de passe « solarwinds123 », qui a resurgi au moment de la découverte de l’attaque. Le chercheur Vinoth Kumar affirmait qu’il avait trouvé le mot de passe simpliste en novembre 2019 sur un dépôt GitHub mal configuré. L’identifiant lui aurait permis d’accéder au serveur de SolarWinds visé par l’attaque russe, mais quelques mois avant ces derniers. Reste que le lien entre cet incident et la supply chain attack n’a jamais été prouvé. De son côté, SolarWinds affirme qu’elle a réglé l’incident sur le moment, et elle rappelle que lien du mot de passe avec le moteur de production n’a pas été prouvé par l’équipe légale des investisseurs.
L’entreprise demande désormais à la justice fédérale de prendre en compte le caractère exceptionnel de la cyberattaque subie, et de ne pas donner suite à la plainte. Si le terme « plus sophistiqué de l’Histoire » peut être débattu, SolarWinds a effectivement subi une attaque hors norme. D’après plusieurs enquêtes privées et celle de la Maison-Blanche elle-même, l’attaque est attribuée au SVR une branche du renseignement russe, qui s’appuie sur des équipes de hackers de haut niveau. Les rapports relèvent par exemple les excellentes capacités des malwares lancés contre SolarWinds à éviter les outils de détection. Le groupe affirme ainsi qu’il « ne pouvait pas anticiper ces techniques et mettre en place des mesures de préventions adéquates ». C’est désormais à la justice fédérale d’évaluer sa défense.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !