Solarwinds : quelles leçons tirer de la cyberattaque ciblant la supply chain ? #Partie 1

11 mars 2021

 

Dans une économie marquée par la transformation digitale et ses perpétuelles avancées technologiques, le risque cyber demeure accru, plus encore par la crise sanitaire qui a fait du télétravail la norme et l’utilisation croissante d’outils numériques (boutiques en ligne, etc.). L’année 2020 a aussi été marquée par l’augmentation du nombre de ransomwares et de phishings, mais également par la cyberattaque Solarwinds, une attaque par supply chain de très grande ampleur.

“Du point de vue de l’ingénierie logicielle, il est probablement juste de dire que c’est l’attaque de la plus grande ampleur et la plus sophistiquée que tout le monde ait jamais vue”


Brad Smith
Président de Microsoft

Brad Smith, le président de Microsoft a été également impacté par la compromission de Solarwinds. Les entreprises prennent conscience du risque cyber et atteignent une certaine maturité numérique, raison pour laquelle les pirates informatiques s’attaquent de plus en plus à la chaîne logistique, constituant parfois le maillon faible de la sécurité, comme l’illustre également l’attaque informatique NotPetya en 2017 qui avait débuté par le biais du logiciel financier ukrainien MEDoc compromis. 

Qu’est-ce qu’une attaque par supply chain ?

Une attaque par supply chain consiste à cibler un prestataire de services afin de pouvoir, par rebond, se faufiler dans les systèmes d’information de ces cibles à des fins d’espionnage ou afin d’en dérober des informations, par exemple. Les objectifs de ces attaques peuvent être multiples : espionnage industriel, subtilisation des données de clients pour les revendre, gripper la chaîne afin de porter atteinte à la réputation, etc. Les conséquences financières des attaques peuvent être très lourdes, à l’instar du groupe de transport maritime Maersk atteint par NotPetya et évaluant ses pertes à 300 millions de dollars. 

Avec des systèmes et des machines toujours de plus en plus connectées à internet (pour les piloter à distance par exemple), et entre elles, les risques cyber sont particulièrement élevés.

Les attaques par supply chain posent ainsi la question de la bonne sécurisation des fournisseurs / prestataires, qui représentent des cibles de choix pour les cyber attaquants, car ils sont souvent moins bien sécurisés que des grandes entreprises ou des administrations, réputées bien protégées. L’une des raisons pour laquelle ces prestataires ne sont parfois pas suffisamment sécurisés peut venir du fait qu’ils pensent ne pas détenir directement d’information sensibles sur leur réseau et ne voient ainsi pas d’enjeu à se sécuriser davantage. Ces petites structures peuvent ainsi se sentir moins concernées par la cybersécurité alors qu’elles représentent des cibles de choix comme point d’entrée dans des plus grosses structures par les hackers. 

Que s’est-il passé pour Solarwinds ? 

C’est par ce mode opératoire que les attaquants ont réussi à compromettre des sociétés telles que Microsoft, FireEye ou le département du Trésor, parmi d’autres administrations américaines. Lors de l’attaque de Solarwinds, les attaquants ont réussi à s’introduire par le biais de la compromission d’une mise à jour implantée dans le logiciel de gestion et de supervision IT Orion développé par Solarwinds. L’un des mots de passe de serveur de mise à jour d’Orion était protégé par un mot de passe particulièrement faible : “solarwinds123”. Bien qu’il soit à l’heure actuelle impossible d’affirmer que c’est par ce biais que les attaquants sont entrés dans le système d’information de Solarwinds et de la mise à jour, cette faiblesse de mot de passe illustre bien les failles de sécurité qui peuvent permettre une cyberattaque par supply chain d’une ampleur particulièrement grave.

Cette mise à jour contenait une backdoor appelée Sunburst, permettant aux attaquants d’accéder aux systèmes d’information et aux données des entreprises ayant téléchargé la mise à jour, soit plus de 18 000 clients. Le fait que le code malveillant ait été inséré dans une mise à jour officielle d’Orion a permis aux attaquants de pouvoir exécuter des actions privilégiées et ainsi agir sans entrave dans les réseaux compromis. 

FireEye, prestigieuse société américaine de cybersécurité, a été la première à donner l’alerte en décembre 2020 et a affirmé que la pénétration des attaquants dans leur système d’information daterait d’au moins mars 2020, laissant un certain temps aux attaquants pour dérober ou altérer les données des entreprises victimes. 

Plus récemment, l’ANSSI a affirmé le 15 février de cette année que l’entreprise Centreon, développant un logiciel de surveillance des ressources informatiques du même nom avait été compromis. Toutefois, les uniques victimes de l’attaque utilisaient une version gratuite et obsolète du logiciel, qui est un produit similaire en termes de fonctionnalités à Orion, le logiciel compromis de Solarwinds. Cette récente cyberattaque, bien que d’ampleur limitée, rappelle l’importance de la sécurisation des fournisseurs, et d’une bonne hygiène informatique (soit la mise à jour du logiciel, dans ce cas). 

Quelles bonnes pratiques adopter ?

Alors, la question subsiste : comment s’en prémunir ? Les techniques actuelles de protection, comme la détection et la surveillance de comportements anormaux ou la simulation de crise ne semblent pas être suffisamment efficaces pour empêcher des cyber attaquants de s’en prendre aux entreprises. Bien qu’il est important de souligner qu’il n’existe pas de risque 0 face à un attaquant motivé, plusieurs bonnes pratiques existent pour limiter le risque d’une attaque par supply chain.

L’attaque de Solarwinds illustre une fois encore que nulle organisation n’est à l’abri d’une cyber attaque si ses sous-traitants et fournisseurs ne sont pas aussi bien sécurisés qu’elle, à plus forte raison encore lorsqu’il s’agit de la chaîne logistique traitant de logiciels de sécurité ou de cloud, par exemple.

Tout d’abord, pour pouvoir se protéger, il faut connaître sa surface de vulnérabilités, qui implique notamment la chaîne logistique entourant l’activité principale de l’entreprise. La connaître permet de pouvoir exiger par exemple la garantie de bonnes pratiques (sensibilisation des collaborateurs, hygiène informatique, etc), la mise en place de normes (ISO, etc.) particulières, imposer des audits externes aux fournisseurs pour s’assurer que l’ensemble des failles sont comblées, etc. Plus encore, la gestion des tiers et le cloisonnement entre entreprises et prestataires demeurent un enjeu majeur pour la sécurisation des entreprises, comme l’illustre le troisième article de cette série. Le but est de s’assurer que l’ensemble de la chaîne logistique réponde à certains critères de sécurité ou soient certifiés. 

Pour vous assurer une bonne protection, n’hésitez pas à consulter notre développement d’applications sécurisées “by design”, qui repose sur nos équipes SecDevOps, comme le développe davantage la deuxième partie de cet article.

Par ailleurs, il peut être intéressant de baser une partie de son infrastructure sur le cloud car cela permet de partager les responsabilités de sécurité informatiques.

Des prestataires tels que Devoteam peuvent vous accompagner dans cette transformation et vous permettre de vous garantir la bonne sécurisation de votre réseau informatique.

devoteam

Contact

Diane d'Alverny

Consultante Risk & Security chez Devoteam