MEMORABILIA

Avec l’attaque SolarWinds, la cybersécurité occidentale en pleine remise en cause

 Réservé aux abonnés

Des pirates naviguent depuis des mois dans des milliers de systèmes d’information d’entités publiques et privées.

Par Ingrid Vergara LE FIGARO 22 décembre 2020.

C’est la campagne d’intrusion aux conséquences les plus profondes jamais connue à ce jour. Toujours en cours, la cyberattaque SolarWinds– du nom de l’éditeur de logiciels utilisé à son insu comme principal vecteur de diffusion – a permis à des pirates de très haut niveau de pénétrer dans les systèmes d’information de dizaines de milliers de grandes entreprises, d’infrastructures et d’institutions gouvernementales critiques. Parmi elles, le département américain du Trésor, du Commerce, de l’Énergie – responsable entre autres de la sécurité de l’arsenal nucléaire – ou de la Sécurité intérieure.

Tous les mécanismes de cette opération, très sophistiquée dans son exécution, sont encore loin d’être connus. Certains l’attribuent à la Russie. Pour atteindre leurs cibles, les attaquants sont passés par un prestataire de services, l’éditeur SolarWinds. Ils ont réussi à infecter, au moins à partir du mois de mars, un fichier de mise à jour de la plateforme logicielle Orion de SolarWinds, très répandue dans le monde. En toute confiance, 18.000 de ses clients ont téléchargé cette mise à jour du logiciel, ouvrant malgré eux et sans s’en apercevoir un accès à leurs systèmes aux pirates. Pendant au moins six mois, ces derniers ont pu ainsi voler des données sensibles, en altérer ou en détruire, installer des accès (backdoors) vers d’autres systèmes, voler des clés d’encryptage ou bien poser des «bombes à retardement». Bouter les attaquants hors des systèmes et évaluer les dégâts est tout le travail mené actuellement, qui prendra des mois, voire des années.«Éliminer ces acteurs menaçant des environnements compromis sera très complexe et difficile pour les organisations», a prévenu l’agence de cybersécurité américaine (Cisa) dans son alerte mise à jour le 21 décembre. Selon elle, SolarWinds ne serait pas le seul vecteur de l’attaque. Et les investigations informatiques sont d’autant plus difficiles à mener qu’en six mois les «scènes de crime» ont été largement souillées.

Réactions en chaîne

C’est l’entreprise de cybersécurité FireEye – elle-même attaquée – qui a la première levé le pot aux roses et donné l’alerte le 13 décembre. Les pirates lui ont dérobé des armes numériques qu’ils pourraient utiliser ultérieurement ou revendre. Au vu des premières enquêtes en cours, les pirates ont jusqu’ici concentré leurs efforts sur leurs proies les plus critiques. Outre les ministères américains, plusieurs grandes entreprises technologiques ont été infectées par du code malveillant, dont Microsoft, Cisco, VMWare, Deloitte… La liste s’allonge tous les jours, et ne sera peut-être jamais entièrement connue. Les enquêteurs n’excluent pas des réactions en chaîne: chacune peut potentiellement avoir infecté à son tour ses clients. Selon une première analyse de Microsoft, 44 % des victimes de l’attaque SolarWinds identifiées sont des sociétés technologiques, 18 % des gouvernements et 18 % des ONG ou des think-tanks. 80 % d’entre elles sont aux États-Unis, mais d’autres pays ont été touchés comme le Canada, le Mexique, le Royaume-Uni, l’Espagne, la Belgique, Israël et les Émirats arabes unis. L’Otan et la Commission européenne sont en train d’évaluer les conséquences, au sein de leurs institutions et dans les différents États membres. La France a émis une alerte le 14 décembre. Plusieurs entreprises du CAC 40 sont clientes de SolarWinds.

À LIRE AUSSI : Cyberattaques contre les hôpitaux: appât du gain pour les hackers, danger de mort pour les patients

Aux États-Unis, cette attaque a suscité l’incrédulité des politiques face à l’impuissance totale du gouvernement et des grandes sociétés de cybersécurité à l’empêcher. «C’est comme si des bombardiers russes avaient survolé notre pays tout entier de façon répétée sans être repérés»,s’est indigné le sénateur républicain Mitt Romney. Les experts en sécurité sont moins surpris, qui alertent depuis des années sur les risques induits par une digitalisation accrue des institutions et des entreprises dans un monde ouvert, et d’une exigence de sécurisation insuffisante de la chaîne de sous-traitance. «La vraie question à se poser est quelles sont les pratiques de sécurité dans le développement des produits de l’éditeur SolarWinds et quel contrôle en est fait», selon Jacques de La Rivière, président de la société de cybersécurité Gatewatcher. «Il y a aussi un vrai enjeu global de robustesse des logiciels», ajoute-t-il, alors qu’en France l’Anssi prêche depuis des années pour un meilleur contrôle des développements informatiques et pour injecter plus de sécurité dès la conception des produits.

Priorité de Joe Biden

Dans sa nouvelle stratégie de cybersécurité présentée mi-décembre, la Commission européenne veut doter les réseaux de l’UE d’un bouclier cybernétique reposant sur l’intelligence artificielle pour détecter très en amont les signes faibles d’une cyberattaque et permettre ainsi une action proactive. «Avec un tel bouclier, nous aurions pu éviter une attaque comme SolarWinds», affirmait le commissaire au Marché intérieur, Thierry Breton. Cela suppose de très lourds investissements, qu’aucun État n’a voulu jusqu’ici consentir.

Joe Biden a promis de faire de la cybersécurité et de cette affaire SolarWinds «une priorité stratégique» à chaque niveau gouvernemental dès son entrée à la Maison-Blanche, le 20 janvier. La tâche est immense. «Nous devons perturber et dissuader nos adversaires d’entreprendre des cyberattaques importantes en premier lieu. Nous y parviendrons, entre autres, en imposant des coûts substantiels aux responsables de ces attaques malveillantes, y compris en coordination avec nos alliés et partenaires», a indiqué le président élu. Des deux côtés de l’Atlantique, les appels se multiplient pour accélérer des accords internationaux au niveau du G20 en matière de coopération, de collaboration et de sanctions. En attendant, «nous allons récolter une moisson de logiciels malveillants de deuxième niveau pendant des années à partir de celui-ci», prévient Alex Stamos, professeur au Centre pour la sécurité et la coopération internationales de l’université de Stanford et ancien responsable de la sécurité de Facebook.

****************

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :