Une attaque informatique d'envergure frappe plusieurs ministères et entreprises depuis mars, par le biais d'un logiciel développé par la société texane SolarWinds.
Les dégâts, encore difficiles à mesurer, s'annoncent considérables. Une campagne d'espionnage numérique ayant potentiellement débuté en mars 2020 vient tout juste d'être identifiée. Dévoilée le 13 décembre, elle a été mise au jour par la société de cybersécurité FireEye. Toujours en cours, l'attaque pourrait avoir touché des milliers de clients de la société américaine SolarWinds, qui fournit des solutions de gestion et de supervision de leurs réseaux informatiques à de nombreuses institutions publiques et grosses entreprises internationales. Vendredi 19 décembre, le secrétaire d'Etat américain Mike Pompeo a explicitement accusé la Russie d'en être responsable.
SolarWinds a indiqué que jusqu'à 18 000 de ses clients, parmi lesquels figurent plusieurs entreprises du CAC 40 et des ministères américains, ont téléchargé les mises à jour compromises d'un de leur logiciel. Ce qui a pu les exposer à de nombreux risques, allant du vol d'information à la destruction de données sensibles. Et ce pendant près de neuf mois. Après ces révélations, des correctifs ont été proposés, et plusieurs pays dont la France ont émis un bulletin d'alerte à l'attention des administrations et des entreprises concernées.
Une attaque via une mise à jour d'un logiciel de SolarWinds
Il s'agit d'une "attaque par la chaîne d'approvisionnement", précise le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), qui a publié l'alerte française. Pour atteindre leur cible, les pirates s'attaquent, dans cette configuration, à un acteur secondaire en général moins bien défendu. Pour accéder aux données des entreprises et administrations visées, leurs efforts se sont concentrés sur une société tierce, SolarWinds, qui fournit des services de sécurité à ces premières.
La "campagne d'intrusion" a été réalisée "par le biais d'une compromission de mise à jour de la plateforme de gestion et de supervision Orion", précise le CERT-FR. Ce logiciel proposé par SolarWinds permet aux entreprises et administrations de centraliser la gestion de différentes parties de leur réseau. Un code malveillant dénommé "Sunburst" a été intégré aux mises à jour de la plateforme, permettant aux hackeurs d'accéder, une fois la mise à jour réalisée sur le matériel des organisations visées, aux systèmes informatiques et donc à leurs données.
"L'opération semble avoir été une opération d'espionnage visant à voler des informations (...), plutôt qu'à perturber, nier ou dégrader les données ou les réseaux", analyse le magazine américain Wired (en anglais).
Plusieurs ministères américains et grandes entreprises touchés
Impossible à ce stade d'établir une liste exhaustive des victimes : des investigations sont en cours pour déterminer quelles structures ont effectivement été compromises. Les entreprises concernées n'ont par ailleurs pas l'obligation de rendre public leur piratage. Les 18 000 clients qui disposaient du logiciel Orion ne sont probablement pas tous victimes de l'attaque, mais cette dernière pourrait avoir touché par ricochet de nombreuses entités publiques et privées à travers le monde. En effet, les structures compromises pourraient avoir servi de vecteurs aux hackers pour toucher d'autres cibles.
Parmi les clients de SolarWinds figurent plus de 425 des 500 entreprises américaines les plus riches, des grosses entreprises françaises, des centaines d'universités mondiales et plusieurs multinationales, dont Microsoft. "Comme d'autres clients de SolarWinds, nous pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants, que nous avons isolés et supprimés", a déclaré vendredi 18 décembre un porte-parole de Microsoft, ajoutant que la société n'avait trouvé "aucune indication" que leurs "systèmes avaient été utilisés pour attaquer d'autres usagers".
Plusieurs sites du gouvernement fédéral américain ont été touchés par la cyberattaque "Sunburst", ont déclaré mercredi 17 décembre les agences de sécurité américaines. Parmi elles figurent les départements du Trésor et du commerce. Les ministères de l'Intérieur, de la Santé, certaines divisions du Pentagone et même l'agence du ministère de l'Energie, chargée de gérer le stock d'armes nucléaires, ont été visités par les attaques. Des mails ont été exfiltrés dans certains cas, ont fait savoir les autorités américaines. Le président élu Joe Biden s'est déclaré "très préoccupé" par cette cyberattaque. Il s'agit d'"un des piratages les plus sophistiqués et peut-être les plus importants depuis plus de cinq ans", souligne le New York Times (en anglais).
Une contre-attaque en cours
Depuis près de neuf mois, les pirates ont pu accéder à des données sensibles et même maintenir un accès aux réseaux compromis pour réaliser des attaques ultérieures. Il faut donc prendre connaissance de l'ampleur des dégâts et sécuriser les systèmes atteints. Des mesures "extrêmement complexes et difficiles", a prévenu jeudi l'agence américaine en charge de la cybersécurité et de la sécurité des infrastructures (Cisa).
Pour ce faire, un plan de défense se déploie : SolarWinds a mis sur pied plusieurs correctifs de son logiciel Orion permettant de supprimer les traces du code malveillant. Microsoft a actualisé son logiciel Defender pour qu'il détecte et bloque les versions infectées d'Orion. Avec d'autres entreprises, le développeur de Windows a également mené une opération à l'encontre du serveur utilisé par les pirates, rapporte le site ZDnet (en anglais). L'objectif est de le mettre hors d'état de nuire et d'établir, via les données enregistrées, une liste des structures compromises.
Côté institutionnel, la Cisa a ordonné à l'ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds. L'agence a formé, avec le FBI et le directeur du Renseignement, une unité de coordination pour élaborer une riposte coordonnée du gouvernement américain.
La société SolarWinds sous le feu des critiques
Une telle cyberattaque aurait-elle pu être évitée ? Depuis cette révélation, la société texane SolarWinds a vu le cours de ses actions chuter en bourse. Elle présentait des failles, affirme le chercheur en sécurité Vinoth Kumar à Reuters : l'année dernière, il indique avoir prévenu SolarWinds que n'importe qui pouvait accéder au serveur hébergeant les mises à jour de leurs produits en utilisant le mot de passe "solarwinds123". Mais rien ne prouve que cette vulnérabilité ait pu permettre aux pirates d'accéder au système informatique de l'éditeur.
Par ailleurs, la vente d'actions par des investisseurs de la société quelques jours avant que la cyberattaque ne soit révélée pose question. Quelque 280 millions de dollars auraient ainsi été vendus, rapporte le Washington Post (en anglais), soulevant la question d'un éventuel délit d'initié.
Une attaque perpétrée par un acteur étatique
Les acteurs derrière l'opération ne sont pas encore identifiés avec certitude. Mais le très haut niveau de complexité de la cyberattaque fait penser à une attaque soutenue par un gouvernement et non pas induite pas un groupuscule de cybercriminels. Microsoft confirme que les méthodes employées portent la marque d'un acteur étatique, mais n'a pas désigné de pays.
Les autorités américaines pointent du doigt la Russie. "Je crois que nous pouvons maintenant dire assez clairement que ce sont les Russes qui se sont engagés dans cette activité", a déclaré le secrétaire d'Etat américain Mike Pompeo, vendredi, dans une émission de radio, "The Mark Levin Show". Lundi, il l'avait déjà fortement suggéré, rappelant que le gouvernement russe avait effectué dans le passé des tentatives répétées pour pénétrer dans les réseaux du gouvernement américain.
Le Washington Post (en anglais) va même jusqu'à parler du groupe de hackers russe APT29, connu sous le nom de Cozy Bear. Selon le quotidien américain, il ferait partie des services de renseignement russe et aurait déjà piraté l'administration américaine pendant la présidence de Barack Obama. L'ambassade de Russie aux Etats-Unis a réfuté ces accusations, assurant que "la Russie ne mène pas d'opérations offensives dans le cyberespace".