Un an après le piratage de SolarWinds, les menaces de la chaîne d’approvisionnement se profilent toujours

Il y a un an aujourd’hui, la firme de sécurité FireEye a fait une annonce aussi surprenante qu’alarmante. Des pirates informatiques sophistiqués s’étaient infiltrés en silence dans le réseau de l’entreprise, adaptant soigneusement leur attaque pour échapper aux défenses de l’entreprise. C’était un fil qui allait se dérouler dans ce qui est maintenant connu sous le nom de piratage SolarWinds, une campagne d’espionnage russe qui a entraîné la compromission d’innombrables victimes.

Dire que l’attaque de SolarWinds était un signal d’alarme serait un euphémisme. Il a mis en évidence l’étendue des retombées des attaques dites de chaîne d’approvisionnement, lorsque les attaquants compromettent à la source des logiciels largement utilisés, leur donnant à leur tour la possibilité d’infecter toute personne qui les utilise. Dans ce cas, cela signifiait que les services de renseignement russes avaient potentiellement accès à jusqu’à 18 000 clients de SolarWinds. Ils ont finalement fait irruption dans moins de 100 réseaux de choix, y compris ceux de sociétés Fortune 500 comme Microsoft et le département américain de la Justice, le département d’État et la NASA.

Les attaques de la chaîne d’approvisionnement ne sont pas nouvelles. Mais l’ampleur de la crise de SolarWinds a considérablement augmenté la sensibilisation, déclenchant une année d’investissements frénétiques dans les améliorations de la sécurité dans l’industrie technologique et le gouvernement américain.

« Si je ne reçois pas d’appel le 12 décembre, je considérerai cela comme un succès », déclare le président et chef de la direction de SolarWinds, Sudhakar Ramakrishna. À cette date, il y a un an, SolarWinds a lui-même appris qu’Orion, son outil de gestion informatique, était à l’origine de l’intrusion FireEye, et de ce qui allait finalement devenir des dizaines d’autres. Ramakrishna ne travaillait pas encore chez SolarWinds, mais il devait rejoindre le 4 janvier 2021.

Alors que cette semaine marque le premier anniversaire des découvertes en cascade autour du piratage de SolarWinds, l’incident remonte en fait à mars 2020. Les pirates russes APT 29, également connus sous le nom de Cozy Bear, UNC2452 et Nobelium, ont passé des mois à préparer le terrain. Mais cette dissonance même illustre la nature des menaces de la chaîne d’approvisionnement logicielle. La partie la plus difficile du travail est en amont. Si la phase de préparation est réussie, ils peuvent basculer un commutateur et accéder simultanément à de nombreux réseaux victimes à la fois, le tout avec un logiciel de confiance qui semble légitime.

Dans l’ensemble du secteur de la sécurité, les praticiens ont universellement déclaré à WIRED que le piratage de SolarWinds, également appelé piratage Sunburst, d’après le malware de porte dérobée distribué via Orion, a considérablement élargi la compréhension du besoin de transparence et de compréhension de la provenance et de l’intégrité des logiciels. Il y avait certainement eu d’autres attaques percutantes de la chaîne d’approvisionnement logicielle avant décembre 2020, comme la compromission de l’outil de nettoyage informatique CCleaner et la tristement célèbre distribution par la Russie du malware destructeur NotPetya via le logiciel de comptabilité ukrainien MEDoc. Mais pour le gouvernement américain et l’industrie technologique, la nouvelle campagne a frappé particulièrement près de chez nous.

« Ce fut définitivement un tournant », déclare Eric Brewer, vice-président de l’infrastructure cloud de Google. « Avant d’expliquer aux gens que l’industrie a un défi ici, nous devons le relever. Et je pense qu’il y avait une certaine compréhension, mais ce n’était pas très prioritaire. Les attaques que les gens n’ont pas vues directement ne sont que abstraites. Mais après SolarWinds, ce message a résonné d’une manière différente.

Cette prise de conscience a également commencé à se traduire en action, notamment en créant l’équivalent logiciel des listes d’ingrédients et des moyens de mieux surveiller le code. Mais c’est un travail lent ; le problème de la supply chain nécessite autant de solutions qu’il existe de types de développement logiciel.