Close

SolarWinds : une attaque sans précédent ?

Au-delà des campagnes de phishing et de ransomware qui ont accompagné la crise sanitaire de 2020, l’année a également été marquée par l’attaque qui a visé l’entreprise SolarWinds au mois de décembre, touchant un nombre encore difficile à évaluer de près de 350 000 clients dont plusieurs agences gouvernementales des États-Unis. D’après la société FireEye, première victime confirmée, une multitude d’organisations, tant des administrations publiques que des multinationales, se sont déclarées touchées : départements stratégiques du gouvernement américain (défense, contrôle aérien, Trésor), Microsoft, FireEye, Cisco, Nvidia, Intel… et il est à craindre que cette liste ne cesse de s’allonger tant les utilisateurs des solutions de SolarWinds sont nombreux. En France, de nombreuses sociétés, dont plusieurs du CAC40, y ont par exemple recours.

Au-delà de son ampleur, si cette attaque a tant fait parler d’elle, c’est aussi parce qu’elle a rappelé, un peu brutalement, les enjeux des attaques sur la chaîne d’approvisionnement ou « supply chain », qui permettent aux assaillants d’atteindre des organisations réputées bien protégées en passant par leurs fournisseurs ou par leurs sous-traitants, qui en général le sont moins.

Une attaque d’une ampleur encore difficile à évaluer

En décembre 2020, la société FireEye a dévoilé une campagne d’espionnage numérique dont elle a été victime et qui aurait débuté en mars 2020, rendue possible par la compromission d’une mise à jour de la plateforme de gestion et de supervision Orion développée par SolarWinds. Ces mises à jour, contenant une backdoor, ont été téléchargées et installées par plus de 18 000 clients dans le monde (sur un total de 33 000), et ont permis d’introduire dans le code source du logiciel un code malveillant – une porte dérobée appelée « Sunburst », qui a permis aux attaquants d’accéder aux systèmes informatiques des victimes et à leurs données. Les dates de signatures des clients ayant téléchargé et installé les mises à jour s’étalent de mars à juin 2020. Elles indiquent donc que les attaquants ont eu six mois pour extraire des données ou poser des charges malveillantes en vue de compromissions ultérieures.

C’est bien le propre d’une attaque sur la supply chain, qui consiste à attaquer un acteur potentiellement moins bien défendu pour ensuite atteindre une cible réputée bien protégée qui lui est liée. Dans ce cas, c’est en s’attaquant à SolarWinds, fournisseur de géants industriels et d’agences gouvernementales, que les auteurs de cette campagne ont pu toucher des sociétés comme FireEye, Microsoft ou encore le département du Trésor américain. Cette technique permet aux attaquants de « rentabiliser » leurs efforts en ne compromettant qu’une seule cible facile d’accès, pour pénétrer ensuite le réseau de tous les clients de cette première cible.

La liste des victimes dressée à ce jour comprend des agences gouvernementales (18%), des entreprises de sécurité et autres entreprises technologiques (44%) et des organisations non gouvernementales[1].

Parmi les victimes institutionnelles figurent plusieurs agences gouvernementales telles que le département du Trésor américain, l’Administration nationale des télécommunications et de l’information (NTIA), des instituts nationaux de la santé (NIH), l’Agence de la cybersécurité et des infrastructures (CISA) ou le département de la Sécurité intérieure (DHS). Le Cyber Command et la NSA avaient installé des systèmes d’alerte précoce dans les réseaux étrangers pour détecter ce type d’attaque. Des systèmes qui, vraisemblablement, n’auraient pas fonctionné[2]. L’agence du département de l’Énergie chargée de gérer le stock d’armes nucléaires a aussi été visée par les attaques. Dans une directive d’urgence publiée le 14 décembre, la CISA a ordonné la déconnexion ou la mise hors tension rapide des produits SolarWinds concernés des réseaux fédéraux[3]. Une unité de coordination mise au point par la CISA, le FBI et le directeur du renseignement est aujourd’hui chargée d’élaborer une réponse coordonnée du gouvernement en matière d’investigation et de remédiation [4].

Du côté des entreprises touchées, Microsoft a annoncé avoir repéré sur ses systèmes des versions d’Orion compromises, et a par la suite indiqué avoir détecté des traces confirmant que leur code source avait été en partie accédé – mais pas modifié[5]. L’entreprise a tout de même souhaité rassurer ses utilisateurs en expliquant que « la sécurité de [leurs] produits ne dépend pas du secret du code source ». Microsoft a en revanche révélé avoir trouvé des versions malveillantes de Orion dans ses systèmes affectant une quarantaine de ses clients. Si environ 80% de ces derniers se trouvent aux États-Unis, Microsoft a également identifié des victimes au Canada, au Mexique, en Belgique, en Espagne, au Royaume-Uni et en Israël.

Au-delà des victimes déjà identifiées, SolarWinds compte parmi ses clients plus de 425 des plus grandes entreprises américaines, d’importantes entreprises françaises du CAC 40 et plusieurs multinationales. Le nombre de victimes ne cesse de s’accroître, même un mois après l’identification de l’attaque, et il y a fort à parier que la liste de sociétés touchées continuera d’augmenter dans les mois à venir. En outre, il est probable que plusieurs mois de recul ne soient nécessaires pour comprendre l’étendue de la compromission, et encore plus longtemps pour chasser les pirates des réseaux des organisations victimes.

Une attribution délicate

Le niveau de complexité de l’attaque évoque clairement un groupe soutenu par un gouvernement plutôt qu’un réseau de cybercriminels. Microsoft a par ailleurs confirmé que les méthodes utilisées évoquaient un acteur étatique, sans pour autant désigner de pays. Selon Kaspersky, la porte dérobée utilisée pour compromettre les clients de SolarWinds ressemble au logiciel malveillant Kazuar, utilisé par le groupe de pirates Turla, qui, selon les autorités estoniennes, opère au nom du FSB russe[6]. Si certaines hypothèses pointent vers des pirates d’origine russe, tels que le groupe APT29 (ou Cozy Bear), d’autres mentionnent des attaquants chinois ou nord-coréens. Certains estiment que l’attaque a pu être organisée sur le sol américain afin d’éviter les soupçons des autorités, ou depuis les bureaux de SolarWinds dans des pays d’Europe de l’Est tels que la Biélorussie, la République tchèque et la Pologne[7].

Le gouvernement américain a de son côté directement accusé la Russie et a rappelé qu’il se réservait le droit de répondre à l’attaque. Si l’ambassade de Russie aux États-Unis a rapidement réfuté ces accusations, le National Coordination Center for Computer Incidents russe (NKTsKI) a néanmoins émis une alerte sur de potentielles représailles américaines sur des organisations russes. On peut toutefois douter de la volonté des États-Unis de dénoncer ce qu’ils présentent être du cyberespionnage, une pratique largement utilisée de leur côté. Et ce d’autant plus qu’attribuer avec certitude une cyberattaque reste difficile. Lorsque des attaquants russes ont perturbé la cérémonie d’ouverture des Jeux Olympiques d’hiver en 2018 par exemple, ils ont délibérément imité un groupe nord-coréen. Dans le cas de SolarWinds, il est possible que les deux logiciels malveillants aient été déployés par le même groupe ou que Kazuar ait inspiré les pirates de SolarWinds.

Les motivations des attaquants soulèvent cependant encore de nombreuses questions. Ils semblent en effet procéder à la revente du fruit de leur attaque, de sorte à laisser penser que leurs motivations seraient d’abord pécuniaires. Le site SolarLeaks.net hébergerait ainsi des données volées aux victimes de l’attaque. Les propriétaires du site prétendent détenir des données provenant de Microsoft, FireEye, Cisco et SolarWinds. Ils proposent par exemple les données de Microsoft sous la forme d’un fichier de 2,6 Go pour 600 000 dollars, celles de Cisco pour 500 000 dollars (1,7 Go), de SolarWinds pour 250 000 dollars (612 Mo) et de FireEye pour 50 000 dollars (39 Mo)[8]. Les supposés attaquants proposent également un « pack » contenant l’intégralité des données dérobées pour la somme d’un million de dollars. Ils précisent par ailleurs que de nouvelles données suivront prochainement. Cependant selon le fondateur de Rendition Infosec, Jake Williams, leur prix est « fantaisiste[9] », ce qui tendrait à confirmer que le gain financier n’était pas le motif principal de cette attaque et qu’il s’agissait plutôt d’une campagne d’espionnage à des fins politiques ou géopolitiques.

La supply chain est-elle le maillon faible ?

L’affaire Solarwinds rappelle que les attaques sur la supply chain constituent aujourd’hui l’une des principales menaces auxquelles toute organisation doit faire face. Son « succès » pourrait d’ailleurs accélérer la tendance des groupes malveillants les plus avancés à privilégier ce type d’attaque indirecte. Elle rappelle aussi que nulle organisation n’est à l’abri, même la mieux protégée, si ses fournisseurs et ses sous-traitants ne le sont pas. Le serveur de mises à jour d’Orion Platform était par exemple protégé par un mot de passe on ne peut plus faible : « solarwinds123[10] ». Cette attaque souligne ainsi que toute organisation se doit d’être aussi exigeante avec ses fournisseurs, et à plus forte raison lorsqu’il s’agit de fournisseurs de logiciels, de sécurité ou de cloud, qu’avec elle-même. Il peut s’agir par exemple d’exiger de ses sous-traitants des garanties d’applications des bonnes pratiques, de rendre obligatoires des audits externes, voire des audits personnalisés, permettant de combler les éventuelles lacunes des processus de certification, d’imposer une mise en conformité complémentaire à celle déjà requise par son secteur d’activité…

Autre enseignement de cette attaque : l’utilisation des outils et des systèmes d’administration s’impose comme un moyen extrêmement efficace et discret de compromettre une victime. La protection de ces produits et de ces systèmes doit donc faire l’objet d’une attention particulière de la part de toute organisation.

Enfin, le piratage de SolarWinds rappelle surtout à quel point les organisations sont aujourd’hui interconnectées. Une attaque sur une seule d’entre elles peut avoir des effets dévastateurs au niveau mondial. L’accélération de la transformation numérique des organisations et leur dépendance grandissante aux fournisseurs de produits ou de services numériques ne fait qu’accentuer cette tendance. Pour les organisations directement ciblées par l’attaque Solarwinds, comme pour celles qui en dépendent, ainsi qu’en règle générale pour toutes les organisations dont les activités reposent en partie sur des fournisseurs et des sous-traitants, l’année 2021 posera de nouveau défis. Au regard du succès de cette attaque et des dégâts qu’elle a déjà pu causer, au regard de l’appétence de certains acteurs étatiques pour les opérations de déstabilisation, il est à craindre que le scénario SolarWinds ne se répète.

 

[1] « Piratage SolarWinds : la liste des victimes et des failles de sécurité s’allonge », Channel News [En ligne], 21 décembre 2021.

[2] « As Understanding of Russian Hacking Grows, So Does Alarm », The New York Times [En ligne], 5 janvier 2021.

[3] « Joint Statement by the FBI, the CISA, the ODNI, and the NSA », CISA, 5 janvier 2021.

[4] Ibid.

[5] « Microsoft Internal Solorigate Investigation Update », Microsoft Security Response Center [En ligne], 3 janvier 2021.

[6] « SolarWinds hackers linked to known Russian spying tools, investigators say », Reuters [En ligne], 11 janvier 2021.

[7] « Le piratage de SolarWinds pourrait être bien plus grave que ce que le FBI imaginait », Siècle Digital [En ligne], 3 janvier 2021.

[8] SolarLeaks.net

[9] Cf. tweet de Jake Williams, Twitter [En ligne], 12 janvier 2021.

[10] « SolarWinds : l’étau se resserre sur l’éditeur piraté », Silicon [En ligne], 6 janvier 2021.