Quel a été limpact du piratage de SolarWinds ?

Les incidents de piratage dominent toujours l'actualité, et à juste titre. Ils sont la preuve que personne n'est en sécurité, surtout lorsque la victime est une grande entreprise dotée d'un système de cybersécurité sophistiqué. Un piratage qui a eu un impact substantiel sur le paysage de la cybersécurité était le piratage SolarWinds.

Mais contrairement à d'autres piratages à grande échelle, les dommages causés par l'attaque SolarWinds ne se sont pas limités aux finances et à la réputation de l'entreprise. Les effets étaient si répandus que l'impact du piratage a impliqué le gouvernement américain et ses agences.

Quelle était l'ampleur du piratage ?

SolarWinds est une société informatique basée aux États-Unis spécialisée dans le développement de logiciels de gestion pour les entreprises et les agences gouvernementales. Ainsi, dès le départ, il était clair que tout piratage aurait des effets catastrophiques au-delà des actifs et de la réputation de SolarWinds.

Il est sûr de dire que la société SolarWinds elle-même n'était pas la cible de l'attaque, mais seulement la méthode d'attaque. SolarWinds a signalé qu'un peu plus de 18 000 de leurs clients ont téléchargé une version affectée, bien que tous n'aient pas été activement piratés.

Parmi les victimes, environ 20 % étaient des institutions et agences gouvernementales américaines telles que le Department of Homeland Security, le State Department, la National Nuclear Security Administration et le Department of Energy, entre autres.

Les 80 pour cent restants des victimes étaient des sociétés privées, mais elles étaient de grands acteurs de leur industrie avec leur juste part de clients de premier plan. Le piratage a affecté des entreprises comme Cisco, Intel, Deloitte et Microsoft, ainsi que certains établissements médicaux, hôpitaux et universités.

Il est important de noter que l'ampleur de l'incident n'est pas encore entièrement connue. Bien que les pirates aient réussi à accéder à près de 20 000 clients de SolarWinds, cela ne signifie pas qu'ils ont pu contourner leurs systèmes de sécurité internes et compromettre des fichiers et des données. Les chiffres exacts n'ont pas été publiés, mais il a été rapporté que moins de 100 clients ont été piratés.

Par exemple, Microsoft a pu détecter le malware intrusif dans son environnement et l'isoler à temps. Ils n'ont signalé aucune preuve de données client compromises ou divulguées lors de l'attaque, ce qui leur a permis de s'en sortir pratiquement indemne.

Mais tout le monde n'a pas eu cette chance. Les pirates ont réussi à se frayer un chemin dans des dizaines d' e-mails appartenant à des hauts fonctionnaires du département du Trésor américain et peut-être dans les propriétés cloud du département.

Qu'est-ce qui rend le piratage SolarWinds différent ?

Souvent, un incident de piratage est le résultat d'un système de sécurité défaillant ou d'une collaboration interne. Mais ce n'était pas le cas pour les entreprises affectées par le piratage dit "Sunburst", un peu moins de 100 de toutes celles qui ont téléchargé la mise à jour infectée.

Les pirates n'avaient besoin que de contourner la cybersécurité de SolarWinds. Ils ont ensuite ajouté du code malveillant dans l'un des services logiciels les plus utilisés de l'entreprise, Orion. L'incident de piratage était furtif et non destructif, ce qui lui a permis de passer sous le radar de SolarWinds et d'y rester pendant des mois.

Le code s'est propagé à d'autres clients en utilisant l'une des mises à jour logicielles régulières que SolarWinds envoie à ses clients. Là, le code malveillant a mis en place une porte dérobée pour les pirates , leur permettant d'installer des logiciels malveillants encore plus invasifs et d'espionner leurs cibles et de divulguer toute information qu'ils jugeaient importante.

Le piratage Sunburst a créé un précédent pour les entreprises à qui les entreprises peuvent et ne peuvent pas faire confiance en matière de cybersécurité. Après tout, les mises à jour logicielles sont censées être accompagnées de corrections de bogues et de mises à niveau de sécurité pour protéger vos systèmes des vulnérabilités et des lacunes exploitées.

Ce type d'attaque est connu sous le nom d'attaque de la chaîne d'approvisionnement . Dans ce document, les pirates ciblent la partie la plus vulnérable de la chaîne d'approvisionnement d'une entreprise au lieu d'atteindre directement leur cible. Ils emballent ensuite leurs logiciels malveillants dans des navires de confiance et les expédient vers leurs cibles réelles. Dans cet incident, il s'agissait d'une mise à jour logicielle de routine.

Qui était derrière le piratage de SolarWinds ?

On ne sait toujours pas quelle organisation ou quel groupe de personnes était à l'origine du piratage, car aucun groupe de pirates n'a jusqu'à présent revendiqué l'incident. Cependant, les enquêteurs fédéraux et les principaux experts en cybersécurité soupçonnent principalement le service russe de renseignement extérieur, également connu sous le nom de SVR.

Cette conclusion était une accumulation sur les précédents incidents de piratage de 2014 et 2015. À l'époque, les enquêtes ont également épinglé l'intrusion dans les serveurs de messagerie de la Maison Blanche et du Département d'État sur le SVR. Mais jusqu'à présent, la Russie nie avoir quoi que ce soit à voir avec le piratage de SolarWinds, ne laissant aucun coupable clair.

Qu'est-ce qui vient après le piratage Sunburst ?

En ce qui concerne les effets directs du piratage, les entreprises et les agences gouvernementales continuent de rechercher dans leurs systèmes toutes les portes dérobées supplémentaires que les attaquants pourraient avoir laissées, ainsi que toute vulnérabilité de sécurité qu'ils auraient pu découvrir et les empêcher de l'exploiter à l'avenir attaque.

Mais en ce qui concerne le paysage de la cybersécurité des entreprises et des gouvernements, les choses changent à jamais. Après qu'Orion de SolarWinds ait été utilisé comme cheval de Troie pour infiltrer leurs systèmes, le concept d'ami et d'ennemi et de cybersécurité de confiance zéro doit changer pour suivre le rythme.

Connexes : Qu'est-ce qu'un réseau Zero Trust et comment protège-t-il vos données ?

Les gouvernements, les entreprises et les utilisateurs devraient changer leur vision de leurs relations coopératives et financières en échange d'un solide bouclier de cybersécurité et d'un avenir plus sûr.

Faut-il s'inquiéter ?

Les pirates informatiques prennent rarement ce pour quoi ils sont venus et laissent le reste intact. Tout ce qui se trouve dans la base de données d'une entreprise ou d'un gouvernement a une valeur immense.

Alors que les entreprises qui font affaire avec SolarWinds et les entreprises affiliées aux entreprises concernées ont toutes vérifié leurs systèmes après le piratage, il n'y a pas grand-chose que vous puissiez faire en tant qu'utilisateur individuel.

Il n'y a pas besoin de s'inquiéter d'avoir le malware ou la porte dérobée sur l'un de vos appareils car l'attaque ciblait principalement les entreprises et les institutions. Mais vous êtes peut-être un client de géants de la technologie comme Intel ou Microsoft, et ils ont des dossiers personnels et financiers vous concernant provenant d'achats antérieurs.

Gardez une trace de toutes les notifications urgentes que vos fournisseurs envoient et s'ils publient des annonces publiques concernant des incidents de sécurité. Plus tôt vous êtes informé d'une éventuelle violation de vos données, meilleures sont vos chances de vous en sortir indemne.

Y aura-t-il une autre attaque de type Sunburst ?

On ne sait toujours pas si les agences gouvernementales et les entreprises seraient en mesure de mettre à niveau leurs systèmes de sécurité à temps avant une autre attaque.

Mais tant que les entreprises et les institutions transporteront des données sensibles et précieuses, elles seront toujours une cible pour les groupes de pirates, à la fois locaux et internationaux.