Secu
Attaques contre la chaîne d’approvisionnement : « Sunburst » de SolarWinds, pourquoi est-ce toujours d’actualité ?
Par La rédaction, publié le 21 avril 2021
L’expression « sans précédent » a été beaucoup utilisé au cours de l’année écoulée, et ce à juste titre étant donné l’impact considérable de la COVID-19 sur les populations et les entreprises du monde entier. Ajoutés au contexte sous tension lié à la pandémie mondiale, des événements politiques majeurs se sont déroulés : la campagne pour la présidence des Etats Unis, la sortie de la Grande-Bretagne de l’UE… Et comme si cela ne suffisait pas, l’année 2020 a également été témoin d’une cyberattaque sans précédent de par sa sophistication et son ampleur.
Le 8 décembre 2020, l’entreprise de cybersécurité FireEye révèle être victime d’une attaque menée par un groupe APT (menace persistante avancée) et que certains de ses outils de cyber-évaluation « white hat » ont été volés. Dans les jours qui ont suivi, Microsoft, SolarWinds et même le gouvernement américain ont expliqué qu’ils avaient tous été victimes d’attaques qui remontent à un piratage du logiciel de gestion informatique de SolarWinds.
Le groupe APT avait ajouté une porte dérobée connue sous le nom de « Sunburst » au système SolarWinds Orion, qui a ensuite été distribuée aux clients de SolarWinds dans le monde entier, cachée dans ce qui semblait être une mise à jour logicielle de routine. Cette porte dérobée a permis au groupe APT d’accéder aux réseaux de milliers de clients de SolarWinds, leur permettant d’explorer ces réseaux sous les radars des équipes de sécurité des entreprises.
Prêt à coopérer, SolarWinds a partagé des documents révélant que plus de 18 000 clients avaient téléchargé la mise à jour compromise du logiciel Orion, dont des centaines d’entreprises du classement Fortune 500. Cependant, alors que le piratage lui-même a touché des milliers d’entreprises aux États-Unis, en Europe, en Asie et au Moyen-Orient, les auteurs de la menace semblent s’être concentrés sur les grandes entreprises technologiques, les agences gouvernementales et les cabinets de conseil. Parmi les victimes visées figurent plusieurs départements d’État américains, du Homeland Security au Trésor américain, et plus de 100 entreprises privées, dont Intel, Cisco, Microsoft et Belkin.
Selon des informations récentes, le groupe APT responsable de l’attaque, serait composé de hackers russes qui auraient lancé leur attaque depuis les frontières américaines afin de brouiller les pistes et de compliquer les enquêtes sur leurs activités. Lors d’une conférence de presse qui a eu lieu plus de deux mois après l’incident, le conseiller adjoint à la sécurité nationale des États-Unis a déclaré que les enquêteurs « commençaient juste » à comprendre la portée et l’ampleur de l’attaque. Le président de Microsoft, Brad Smith, a également pris la parole, qualifiant le piratage de « cyberattaque la plus importante et la plus sophistiquée jamais entreprise ».
Comment l’attaque a-t-elle été conçue et exécutée par ses auteurs ? Il semble qu’elle ait fait appel à des capacités cyber de premier ordre et a dû être préparée pendant des mois, voire des années. La manière dont les réseaux de SolarWinds ont été infectés fait toujours l’objet d’une enquête, mais selon une théorie dominante, la phase initiale consistait à pirater les comptes Office 365 de l’entreprise. Les cybercriminels ont ainsi pu accéder au réseau interne de SolarWinds, puis se déplacer latéralement vers le Cloud pour voler des fichiers et des informations d’identification sensibles. Les attaquants pouvaient ensuite falsifier un jeton pour un compte hautement privilégié dans l’Active Directory d’Azure et obtenir des privilèges d’administrateur en utilisant les informations d’identification volées.
Ce qui rend le piratage de SolarWinds particulièrement dangereux, c’est qu’il exploite des services Cloud pour orchestrer une attaque de la chaîne d’approvisionnement. L’accès à ces services ayant été obtenu par des systèmes d’authentification basés sur des réseaux déjà compromis, les auteurs ont pu franchir les défenses des entreprises sans déclencher d’alarme. La tendance actuelle à la migration vers le Cloud et à la transformation numérique voit d’innombrables entreprises adopter une approche hybride qui combine des réseaux basés sur le Cloud et sur site. Le piratage de SolarWinds est conçu pour exploiter parfaitement ce vecteur hybride et rendre un très grand nombre d’entreprises dans le monde potentiellement vulnérables. Ces types d’attaques Gen V multi-vecteurs, rapides et à grande échelle touchent, plus que jamais, des entreprises du monde entier.
Les attaques de la chaîne d’approvisionnement telles que l’exploit de SolarWinds montrent à quel point ces menaces inconnues peuvent être insidieuses et dommageables, lorsque personne n’est au courant de la faille à part les attaquants qui l’exploitent. Pour prévenir les attaques futures, les entreprises doivent s’assurer qu’elles appliquent les pratiques de sécurité de base pour protéger les points de terminaison, la sécurité du courrier électronique, l’accès au moindre privilège et la segmentation du réseau dans l’ensemble de leur infrastructure, afin que les adversaires aient plus de difficultés à infiltrer les réseaux et à se déplacer latéralement au sein de l’entreprise pour accéder aux actifs essentiels.
Les entreprises doivent également déployer une défense en profondeur tout en veillant à ce que plusieurs protections fonctionnent ensemble pour identifier et empêcher différents vecteurs d’attaque en temps réel, par exemple en bloquant le trafic de commande et de contrôle ainsi que les exploitations d’éléments vulnérables. Il est essentiel que les entreprises disposent d’une visibilité globale et de protections automatisées dans l’ensemble de leur environnement, y compris leurs réseaux sur site, le SDN et les déploiements de Cloud publics, car le vieux cliché est toujours d’actualité : une chaîne est aussi solide que son maillon le plus faible.
Si les entreprises ne peuvent pas déterminer si un maillon faible est visé, elles risquent d’être victimes d’une attaque.
Par Philippe Rondel, Senior Security Architect, South Europe chez Check Point Software