Les attaques actuelles contre la supply chain changent l'approche de la sécurité en entreprise

Plongée dans les derniers incidents les plus médiatisés, afin d'identifier les faiblesses dans la chaîne de confiance, d'en tirer des leçons, et d'anticiper les problèmes susceptibles de survenir à l'avenir.

La confiance en ligne de mire

Lorsque l’on pense « confiance », on pense tout d’abord aux proches qui, on le sait, seront toujours là pour nous, en toutes circonstances. Si l’on fait un parallèle avec le secteur de la sécurité informatique, et des outils et systèmes tiers qui sont mis en œuvre pour sécuriser les entreprises, les mêmes principes s’appliquent. Nous faisons confiance aux systèmes de sécurité de nos partenaires, qui ont su en général prouver leur fiabilité et leur cohérence, en démontrant – entre autres – leur intégrité, leur valeur et leur respect de la confidentialité. Cette confiance nous aide à gérer les risques, et nous permet par ricochet de gagner la confiance d’autres relations professionnelles. Une chaîne de confiance inter-entreprises, inter-fournisseurs et inter-vendeurs s’établit alors. Mais ces chaînes comportent parfois des failles qui peuvent, en effet, être utilisées par des hackers  pour s’infiltrer  dans les différents maillons. Il est intéressant de se replonger dans les derniers incidents les plus médiatisés, afin d’en tirer des leçons, d’identifier les faiblesses dans la chaîne de confiance et d’anticiper les problèmes susceptibles de survenir à l’avenir :

·       RSA Security, 2011

A la suite d’une attaque menée contre RSA, la division sécurité d’EMC, des informations sensibles liées à la solution token d’authentification forte SecurID, ont été dérobés. Ce système de mots de passe à six chiffres et à usage unique était utilisé par les entreprises pour s’affranchir du traditionnel « nom d’utilisateur / mot de passe ». Lorsque le hacker s’est introduit chez RSA, il a accédé aux données initiales ou de base du produit et compromis jusqu’à 40 millions de jetons actifs. Pour arriver à leurs fins, les assaillants ont contourné la fiabilité du système en ciblant directement le fournisseur de ces jetons.

·       CCleaner, mars 2017

CCleaner, logiciel de nettoyage d’ordinateur, a été compromis par un attaquant qui a diffusé un code malveillant sur les machines d’utilisateurs, peu méfiants et faisant confiance à leur CCleaner.Cette attaque aurait provoqué près de 1,6 million de téléchargements de la version infectée. Les assaillants ont compromis le réseau de l’éditeur pour injecter leur logiciel ShadowPad dans l’application. Ils visaient spécifiquement un petit groupe d’entreprises et onze d’entre elles ont été compromises par l’application CCleaner dans laquelle une porte dérobée avait été injectée.

·       NotPetya, juin 2017

Un ransomware a été utilisé pour chiffrer des données et détruire les zones d’amorce ou MBR (Master Boot Record) de certains ordinateurs infectés. Pour agir, les hackers ont utilisé sur un mécanisme de mise à jour légitime de M.E.Doc., éditeur d’un progiciel financier principalement dédié aux institutions financières ukrainiennes. Fait intéressant : il n’était pas prévu que les ordinateurs chiffrés puissent être déchiffrés et s’il était clair que la cible était l’Ukraine, l’attaque s’est rapidement propagée ailleurs. Les répercussions financières de cette attaque avoisineraient les 10 milliards de dollars US.

·       Mise à jour du logiciel ASUS, 2019

Lorsque le constructeur ASUS, identifie en 2019 un problème avec son service de mise à jour en direct, il apprend par la même occasion qu’il a été compromis en 2018. Conséquence de l’attaque : le logiciel de mise à jour, supposé fiable et légitime, a diffusé un malware à des milliers de clients. 13 000 ordinateurs auraient été touchés, dont 80 % appartenaient à des particuliers. Le plus intéressant dans cette attaque est le fait que la version d’ASUS Live Update compromise pour diffuser le malware était signée de façon tout à fait légitime par un certificat ASUSTek Computer. En obtenant l’accès à l’autorité signataire pour l’application de mise à jour, les attaquants ont pu contourner efficacement la relation de confiance conférée par l’infrastructure de certification.

·       SolarWinds, décembre 2020

Éditeur de logiciels de gestion et de surveillance des systèmes, SolarWinds bénéficie de la confiance de quelque 300 000 clients. La chronologie des faits a cependant clairement démontré que son logiciel Orion avait été gravement compromis. Les attaquants sont parvenus à incorporer leur logiciel malveillant dans un certificat Symantec légitime, qui a ensuite été utilisé pour mettre à jour le logiciel SolarWinds. D’après l’entreprise, près de 18 000 clients auraient été impactés.

L’analyse de ces exemples montre que les adversaires trafiquent souvent les procédures de signature de code en utilisant une signature numérique de certificats compromise, mais légitime ; qu’ils détournent le réseau de distribution des mises à jour logicielles d’un éditeur ; ou qu’ils compromettent le code source original.

Prévenir et limiter les attaques

Les hackers tentent toujours d’emprunter la voie la plus facile. Aujourd’hui, ils compromettent d’abord l’un des fournisseurs en amont de leur cible finale, puis abusent de la relation de confiance qu’ils entretiennent avec la véritable cible pour atteindre leurs objectifs. Côté technologies, on mise naturellement sur des défenses tournées vers l’extérieur étant donné que les attaques sont censées venir de l’extérieur. Or, ce type d’attaques exploitent un élément de confiance interne.

Le véritable défi que posent ces attaques sophistiquées tient à l’exploitation de la confiance implicite que l’entreprise accorde à ses partenaires tiers et aux outils utilisés pour mener à bien ses activités. Si un assaillant réussit une attaque, il peut considérablement augmenter le nombre de cibles infectables tout en ayant la capacité de rester parfaitement indétectable pendant plusieurs semaines, voire plusieurs mois.

Il est indispensable que les entreprises revoient leurs exigences en matière de cybersécurité et qu’elles améliorent leur visibilité sur les liens de dépendances dans cette chaîne de confiance. Autre point essentiel, elles doivent également déployer une plateforme XDR récente capable d’identifier et de contenir une violation, même si elle provient des profondeurs de cette chaîne.