19 mars 2021

Solarwinds ou la plus grande cyberattaque de ce siècle

Introduction

Depuis mars 2020, l’une des cyberattaques et brèches de données les plus importantes du XXIe siècle est en cours notamment contre des institutions américaines et des sociétés privées du monde entier. Le 8 décembre 2020, l’entreprise de cybersécurité américaine FireEye signale une cyberattaque dont elle est victime. Après une investigation, elle comprend que l’attaque est dirigée depuis un logiciel de gestion de système d’information de l’éditeur de logiciel américain, SolarWinds.

« C’est une attaque remarquable par sa portée, sa sophistication et son impact », a jugé le président de Microsoft, Brad Smith. Les responsables n’ont pas été encore identifiés, mais certains pointent déjà du doigt de possibles coupables…

Que sont SolarWinds et Orion ?

SolarWinds est un éditeur de logiciel américain basé au Texas et fondé en 1999. L’éditeur fournit une solution centralisée de gestion et de surveillance informatique et compte aujourd’hui plus de 350 000 clients à travers le monde.

La plateforme de gestion informatique Orion de SolarWinds est utilisée par de très grandes institutions publiques et par 450 des 500 plus grosses entreprises mondiales, les « Fortune 500 ». Orion permet notamment de centraliser la surveillance, l’analyse et la gestion du système d’information.

Que s’est-il réellement passé ?

C’est en décembre 2020 que tout commence, une cyberattaque est détectée par les équipes de l’entreprise FireEye provenant de la plateforme de gestion de parc informatique Orion.

Ce type de cyberattaque est effectuée par « la chaîne d’approvisionnement ». Cela signifie que les auteurs de l’attaque sont passés par la plateforme logicielle pour atteindre les systèmes des clients de SolarWinds. Plus précisément, les attaquants ont réussi à infecter une mise à jour d’Orion et y ont introduit un cheval de Troie pour accéder aux systèmes informatiques.

Les dégâts causés peuvent aller du vol d’informations et de données sensibles jusqu’à leur destruction totale. Dans le cas de FireEye, les attaquants ont pu accéder à un arsenal complet ! En effet, ils ont pu récupérer l’ensemble des outils internes offensifs utilisés par l’entreprise lors de ses tests d’intrusion.

« Il s’agit d’une situation évolutive et nous continuons à travailler pour prendre toute la mesure de cette campagne tout en sachant que des réseaux ont été affectés à l’intérieur du gouvernement fédéral », ont indiqué dans un communiqué commun le FBI (police fédérale), le directeur du renseignement national et l’agence de cybersécurité et de sécurité des infrastructures (Cisa). Les agences fédérales américaines ont eu pour ordre de se déconnecter de la plateforme Orion de SolarWinds.

Quelles sont les victimes ?

Figure 1 : Carte des potentielles victimes

Côté américain les administrations publiques touchées sont :

  • Le département de la Sécurité intérieure des États-Unis
  • Une partie du Pentagone
  • Le département d’État
  • Le département du Trésor et du Commerce
  • Le ministère de la Santé
  • Département de l’Énergie

Du côté du secteur privé, 425 des entreprises de la notation « Fortune 500 » ont été touchées. On y trouve par exemple The New York Times, Los Alamos National Laboratory (où sont conçues des armes nucléaires) ou Boeing (l’un des majeurs contractants privés de la défense américaine).

Microsoft (qui utilise aussi Orion) a détecté des malwares dans ses systèmes en lien avec l’attaque. La société indique ne pas avoir d’éléments permettant de dire que des services de son Cloud Azure ont pu être utilisés afin d’infecter d’autres clients. Cependant, la NSA a émis un avis de cybersécurité détaillant comment certains services du cloud Microsoft Azure peuvent avoir été compromis.

La France quant à elle, a émis un bulletin d’alerte le 14 décembre 2020 sans avoir réellement de vision sur l’ampleur de l’attaque. Il convient de rappeler que de nombreuses sociétés du CAC 40 utilisent les solutions de SolarWinds.

Quelle est l’origine de l’attaque ?

Les intrus ont utilisé des identifiants diffusés publiquement sur la plateforme Github pour accéder au système de distribution de mise à jour de Orion. De plus, les attaquants ont utilisé une stratégie de dissimulation de leur adresse IP pour « imiter » le trafic interne afin de ne pas être repérés par les sondes de détections des clients de Orion. En outre, les adresses IP sont changées et semblent venir du pays d’origine de la victime pour éviter tout soupçon.

Figure 2 : Tweet de l’équipe de FireEeye

Malgré la présence des adresses IP utilisées pour l’attaque (liste fournie par Microsoft et FireEye) dans les journaux du parc informatique, cela ne suppose pas forcément que l’entreprise est victime de vol de données. Les enquêteurs soupçonnent que l’attaque ciblait des entreprises bien précises.

La NSA (National Security Agency) semble avoir été occupée par l’élection présidentielle. Certains se demandent pourquoi l’entreprise privée FireEye a d’abord informé le public, et pas leur bureau de Cyber Command, financé par plusieurs millions de dollars.

En 2019, un chercheur de cybersécurité avait alerté l’entreprise SolarWinds que le serveur de mise à jour d’Orion avait un mot de passe trop faible : « solarwinds123 ». Aussi, le système de sécurité de SolarWinds avait été déjà signalé en 2018 par un bureau gouvernemental comme portant des failles de sécurité.

Avec toutes ces informations, les regards se tournent vers la Russie, auprès de l’APT29 également connu sous le nom de Cozy Bear. Selon le Washington Post, ce groupe fait partie des services de renseignement de Moscou et s’est déjà introduit dans l’administration américaine pendant la présidence de Barack Obama.

Dans un article paru dans le New York Times, Thomas P. Bossert, conseillé à la sécurité intérieure lors de la présidence de Donald Trump, affirme détenir des preuves sur l’implication de la Russie. Le Kremlin a nié les accusations.

De plus, les chercheurs de SecureWorks ont découvert Supernova lors d’une enquête sur un incident. Ici, les attaquants s’étaient servis de la porte d’entrée ouverte par Sunburst sur le système pour dérober des identifiants et ensuite accéder à des fichiers sensibles hébergés sur Microsoft 365. SecureWorks avait déjà observé ce mode opératoire lors d’un incident subi par Zoho Mail. L’entreprise avait attribué l’incident à un groupe d’attaquants chinois prénommé Spiral.

Une simple erreur d’un stagiaire ?

Vinoth Kumar affirmait qu’il avait trouvé, en novembre 2019, des identifiants sur un dépôt Github. Ils permettaient d’accéder au serveur des mises à jour des logiciels du groupe. Le nom d’utilisateur « solarwinds.net » et le mot de passe, « solarwinds123 », avaient de quoi horrifier n’importe quel responsable de sécurité.

Interrogés séparément, l’ancien CEO Kevin Thompson et le nouveau CEO Sudhakar Ramkrishna ont répondu de façon similaire : ce serait d’après eux à cause d’un stagiaire qui n’aurait pas respecté la politique de sécurité imposée par l’entreprise.  « Je crois que c’était un mot de passe qu’un stagiaire a utilisé pour un de ses serveurs en 2017, qui a été signalé à notre équipe de sécurité puis immédiatement retiré » a balayé Ramkrishna.

Cette version des faits est contestée par le chercheur à l’origine de la révélation, qui a fourni à Business Insider un email de remerciement de l’équipe de sécurité SolarWinds, reçu le 19 novembre 2019.

Figure 3 : Mail d’alerte de la part de Vinoth Kumar sur la divulgation d’identifications de connexion FTP sur GitHub

« Nous nous sommes occupés de la mauvaise configuration du dépôt Github, et il n’est plus accessible publiquement. De plus, un traitement a été appliqué aux identifiants exposés », répond SolarWinds.

La chronologie des faits paraît floue : est-ce que la fuite du mot de passe de 2017 et celle de 2019 sont les mêmes ? Est-ce que le mot de passe était accessible publiquement pendant plusieurs années ?

Cette attaque mondiale et historique montre que le respect de l’hygiène informatique et des bonnes pratiques de sécurité sont importants et qu’avec un simple mot de passe on peut infiltrer des centaines de systèmes d’information. Les enquêtes sont toujours en cours et les responsables resteront sûrement impunis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *