Les attaques par supply chain, l'avenir de la cybercriminalité ?
Le ransomware et le phishing sont aujourd'hui les deux modes de rémunération principaux des pirates informatiques, mais cela pourrait bientôt changer. Demain, une partie des groupes de pirates leur préféreront sans doute les attaques par supply chain, qui, on le verra, ont bien des avantages (pour eux !). Mais d'abord, qu'est-ce qu'une attaque par supply chain ?
Toutes les entreprises utilisent des applications et des logiciels et toutes sont en contact constant avec leurs partenaires via des échanges de données. C'est cet ensemble que va viser une attaque cyber à la supply chain. Des attaques qui peuvent suivre deux chemins. Premier chemin, les hackers déploient une équipe de recherche qui inspecte tous les logiciels et applications utilisés par la cible, ainsi que leurs mises à jour. Le but de ces "chercheurs" est de trouver une faille pour pénétrer dans le système de l'entreprise. Le deuxième chemin d'attaque possible est de passer par une structure partenaires de la cible et une fois son système pénétré voir si ce partenaire possède un réseau commun avec la cible, ce qui n'est pas toujours le cas.
L'attaque par supply chain n'est pas à la portée de tous
Conséquence de ces deux modes opératoires, l'attaque par supply chain n'est pas à la portée de tous. Mobiliser une importante équipe de chercheurs régulièrement doublée d'un processus d'automatisation implique un effectif important de hackers. Et cette recherche peut se dérouler sur plusieurs mois et demande un haut niveau de savoir faire en matière de piratage, d'analyse de données et d'automatisation de process. Il faut pouvoir assumer cette masse salariale le temps de la recherche.
Après plusieurs mois de recherche, nos hackers trouvent enfin la faille dans un logiciel utilisé par l'entreprise cible, deux choix s'offre à eux. Soient ils restent avec l'unique objectif d'utiliser cette faille contre l'entreprise cible, soit ils utilisent cette faille contre toutes les entreprises clientes du logiciel. Les cybercriminels optent généralement pour la deuxième option, ainsi les le butin sera plus élevé, sauf s'ils sont en service commandé. Une fois la faille exploitée, tout est possible : du vol de données jusqu'au verrouillage du système.
Il est à noter qu'aucun système de défense ne pourra minimiser ou parer l'attaque car les défenseurs ne sont pas informés de l'existence de la faille utilisée par les assaillants. Cette attaque a donc l'avantage de ne laisser aucune tactique défensive à l'entreprise cible. De plus, si cette attaque sert à du cyber espionnage, la victime ne pourra s'en rendre compte que si elle procède à un audit de sécurité.
Des précédents dévastateurs
7 décembre 2020, Etats-Unis. La NSA et les contractuels de FireEye, désormais Trellix procèdent à un audit de sécurité. Rien d'étonnant, la NSA applique cette procédure mensuellement. Mais ce jour-là, les analystes vont faire une terrible découverte. Une importante quantité de données quittent les serveurs des plus importantes instances du gouvernement américain. Tous les ministères sont concernés, certaines entreprises privées du secteur de la cybersécurité comme Solarwinds également. La NSA sonne l'alarme, immédiatement elle verrouille la fuite de donnés et ordonne à toutes les instances fédérales et régionales de mener des audits de sécurité pour connaitre l'étendue des dommages. Après une enquête prolongée, les enquêteurs découvrent que les assaillants se sont infiltrés via une faille inconnue présente sur un des logiciels de la société Solardwinds. Grâce à cette faille, les assaillants ont pu pénétrer chez tous les clients de Solarwinds, dont le gouvernement américain. Des milliers de données ont été subtilisées, dont certaines relèvent de la sécurité nationale. C'est une attaque par supply chain.
Les responsables de cette attaque sont deux groupes de hackers russophones, Cozy Bear et Berseker Bear, mais ce ne sont pas des cybercriminels communs et surtout ce ne sont même pas des cybercriminels. Ces groupes se trouvent dans la zone grise du monde cybercriminel. Ils travaillent comme mercenaires pour le FSB et le GRU, les services de renseignement intérieur et les services de renseignement militaire de la Fédération russe. Ces groupes de hackers ont donc de grandes ressources à leur disposition, cela explique leur capacité à lancer une attaque de type supply chain.
Un groupe de cybercriminels classique en 2020 n'aurait pas été capable de lancer une telle attaque, cependant elle a créé un précédent que les cybercriminels tenteront de reproduire. Il est très probable que dans un avenir proche, d'importants groupes de cybercriminels en soient capable. Une autre attaque par supply chain a d'ailleurs été découverte le 7 décembre 2022 par les experts d'ESET. Le groupe de cybercriminels iraniens Agrius avait pénétré l'industrie du diamant en passant par une faille d'un logiciel israélien que les diamantaires utilisent dans leurs installations. Nom de code l'attaque : Fantasy. Même si on peut supposer que l'état iranien est pu appuyer Agrius, il n'en reste pas moins que la menace va crescendo.
Les cyberattaques par supply chain ne vont pas remplacer les autres types de cyberattaque, car le monde cybercriminel est très divers. Il est composé de hackers autonomes, de petits groupes, de groupes de taille intermédiaire, de cyber-mercenaires et de véritables majors du hacking. Les seuls groupes qui auront la capacité de mener ce genre de cyberattaque sont les cyber-mercenaires, car leurs commanditaires vont leur allouer les ressources nécessaires, et les grandes majors du cybercrime. Mais la supply chain sera l'attaque la plus dangereuse car pour le moment on ne sait pas encore comment la contrer et surtout elle est parfaite pour mener des opérations de renseignements.