Attaques de la supply chain : de quoi s'agit-il et comment les éviter ?

Une attaque de la supply chain IT vise à endommager les entreprises ciblées en s'attaquant aux éléments les moins sécurisés de leur chaîne d'approvisionnement applicative, par exemple, en y infiltrant un cheval de Troie par le biais d'un logiciel ou d'un composant matériel produit un fournisseur.

Une fois à l’intérieur du réseau de l’entreprise ciblée, le cheval de Troie pivote afin de se déployer latéralement pour infecter d’autres machines, ou pour voler des données sensibles dans les systèmes d’information en tirant parti d’autres vulnérabilités. Ce déploiement latéral est facilité par les mesures de sécurité moins rigoureuses qui prévalent généralement au sein des réseaux internes d’une entreprise. 

L’attaque SolarWinds

A l’heure actuelle, l’attaque SolarWinds est peut-être l’un des pires cas de cyberespionnage de toute l’histoire. En mars 2020, une cyberattaque de grande envergure orchestrée par un groupe ayant l’appui d’une puissance étrangère, présumée être la Russie, a infiltré des milliers d’entreprises, dont de nombreuses agences gouvernementales des États-Unis, des sociétés de sécurité privées, le Parlement européen et l’OTAN, via un logiciel distribué par SolarWinds, et entraînant des brèches de sécurité majeures.

Il s’agit de l’illustration parfaite d’une attaque de la chaîne d’approvisionnement : les cybercriminels ont infiltré le système de SolarWinds et y ont inséré un code malveillant qui a ensuite été distribué de façon non intentionnelle par SolarWinds et installé sous forme de mise à jour logicielle par l’ensemble des utilisateurs du produit - ce sont ainsi 18 000 utilisateurs gouvernementaux et privés qui ont téléchargé la version corrompue.

La brèche a été découverte et rendue publique en décembre 2020 par la société de cybersécurité FireEye, qui a utilisé le logiciel Orion et qui s’est rendu compte que ses outils de simulation d’attaque informatique red team avaient été volés.

Une fois à l’intérieur du réseau, le malware a pivoté pour exploiter d’autres vulnérabilités et se répandre à travers les réseaux internes de l’entreprise.

Microsoft a également été ciblée, et l’on sait que les vulnérabilités d’Orion permettent de dérober les codes sources de plusieurs référentiels de l’entreprise, même si Microsoft, comme tout fournisseur d’envergure, a tenté de minimiser la portée de l’attaque. En réalité, ni eux ni personne ne connaîtra jamais la véritable ampleur et l’impact de cette attaque.

Quelles leçons pouvons-nous tirer de cette attaque ?

Posez-vous la question suivante : comment un cheval de Troie a-t-il réussi à ne pas être détecté après avoir été installé sur 18 000 réseaux sensibles et exécuté sans interruption pendant au moins 9 mois, de mars à décembre 2020 ?

Les entreprises et les agences gouvernementales doivent regarder la vérité en face : elles n’ont pas de visibilité sur les processus de sécurité de leurs fournisseurs IT.  Alors que les services cloud font désormais partie intégrante du paysage informatique, il est assez étonnant de constater comment Microsoft, VMware et de nombreux autres fournisseurs IT ont été impactés par cette attaque.

Le piratage de SolarWinds doit nous faire prendre conscience que nos données ont besoin de murs de protection très élevés : 

  1. Assurez-vous de générer et de conserver la propriété de vos clés de chiffrement, et veillez à ce que personne, pas même votre fournisseur de cloud, ne puisse y accéder ou les contrôler.  En mettant vos données à l’abri des tiers, vous aurez l’assurance qu’elles ne seront pas exposées en cas de piratage.
  2. Dans le cadre de votre programme de gestion des vendeurs, assurez-vous que vos fournisseurs IT appliquent une sécurité rigoureuse pour leur chaîne d’approvisionnement, en utilisant, par exemple, une certification O-TTPS (Open Trusted Technology Provider Standard).
  3. Mais surtout, présumez systématiquement que vos réseaux internes ont été infiltrés. N’utilisez pas de mesures de sécurité moins strictes pour vos réseaux internes. Appliquez la méthode zéro trust : Ne jamais faire confiance, vérifier systématiquement.

En d'autres mots, restez vigilants !