La cyberattaque, qui a commencé à être exploitée au printemps dernier, a visé de nombreuses entités de l'administration américaine, outre des organisations publiques et privées à travers le monde. Potentiellement attribuée à la Russie, il s'agirait de l'une des plus inquiétantes identifiées depuis des années.
Des pirates informatiques surveillent le courrier électronique interne des départements du Trésor et du Commerce des États-Unis, révèle l'agence Reuters. L'attaque serait si grave qu'elle a entraîné une réunion du Conseil de sécurité nationale à la Maison Blanche samedi, a déclaré l'une des personnes au courant du dossier.
Le gouvernement américain n'a pas identifié publiquement qui pourrait être à l'origine du piratage, mais trois des personnes proches de l'enquête ont déclaré à l'agence que la Russie serait responsable de l'attaque.
Des cyber-espions seraient entrés en falsifiant subrepticement des mises à jour publiées par la plateforme Orion de la société informatique SolarWinds, qui sert des clients gouvernementaux, de l'armée et des services de renseignement, selon deux personnes proches du dossier. L'astuce – souvent appelée « attaque de la chaîne d'approvisionnement » (Supply chain attack, en VO) – fonctionne en cachant le code malveillant dans les mises à jour logicielles légitimes fournies aux cibles par des tiers.
Dans un communiqué publié dimanche soir, la société basée à Austin, au Texas, a déclaré que les mises à jour de son logiciel de surveillance publiées entre mars et juin de cette année avaient peut-être été corrompues par ce qu'elle a décrit comme une « attaque de la chaîne d'approvisionnement très sophistiquée, ciblée et manuelle, par un État-nation. »
SolarWinds indique sur son site Web que ses clients comprennent la plupart des entreprises américaines du Fortune 500, les 10 principaux fournisseurs de télécommunications américains, les cinq branches de l'armée américaine, le département d'État, la National Security Agency et le bureau du président des États-Unis.
La campagne est au niveau « 10 » sur une échelle de un à 10
Plusieurs sources ont décrit l'attaque au Wall Street Journal comme l'une des plus inquiétantes depuis des années, car elle a peut-être permis à la Russie d'accéder à des informations sensibles des agences gouvernementales, des industriels de la défense et d'autres industries. L'une d'entre elles a déclaré que la campagne était au niveau « 10 » sur une échelle de un à 10, en termes de gravité probable et de conséquences pour la sécurité nationale.
L'ambassade de Russie à Washington a nié toute responsabilité et a déclaré que les allégations étaient des « tentatives non fondées des médias américains de blâmer la Russie ».
Signe de la sévérité de la menace, la Cybersecurity and Infrastructure Security Agency a publié une directive d'urgence demandant à toutes les agences civiles fédérales d'examiner leurs réseaux pour d'éventuels compromis et d'arrêter immédiatement l'utilisation des produits SolarWinds Orion. Depuis sa création en novembre 2018, la CISA n'avait jusque là émis que quatre directives de ce genre.
L'attaque aurait « peut-être commencé dès le printemps 2020 »
La société de cybersécurité FireEye, qui en a elle-même été victime, estime que « les acteurs derrière cette campagne ont eu accès à de nombreuses organisations publiques et privées à travers le monde ». Les victimes d'ores et déjà identifiées comprenaient des entités gouvernementales, de conseil, de technologie, de télécommunications et d'extraction en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
L'attaque aurait « peut-être commencé dès le printemps 2020 », serait toujours en cours et serait « l'œuvre d'un acteur hautement qualifié et l'opération a été menée avec une sécurité opérationnelle importante » :
« L'activité post-compromission de cette campagne a été menée avec une grande considération pour la sécurité opérationnelle, en tirant souvent parti d'une infrastructure dédiée par intrusion. Il s'agit de l'une des meilleures sécurités opérationnelles observées par FireEye lors d'une cyberattaque ».
Pour permettre à la communauté de détecter cette porte dérobée, surnommée SUNBURST, FireEye décrit les détails techniques de l'attaque, met en ligne des indicateurs et des signatures sur son GitHub et explique les recommandations et instructions à suivre.
Microsoft a de son côté constaté que la porte dérobée, qu'elle a dénommée Solorigate, a permis aux attaquants d'ajouter des informations d'identification (clés x509 ou informations d'identification de mot de passe) et d'obtenir des jetons d'accès leur permettant de lire le contenu des courriels à partir d'Exchange Online. Dans de nombreux cas, les utilisateurs ciblés sont les personnels clés de l'informatique et de la sécurité, précise Microsoft.
Ironie de l'histoire, SolarWinds avait publié sur LinkedIn il y a 3 semaines une offre d'emploi de vice-président à la sécurité, « responsable de la sécurité globale de l'organisation ». Plus de 200 candidats ont d'ores et déjà postulé.
Commentaires (27)
Ha ben ça ils sont habitués après 4 ans de fake news
Ça sentait la suite avec l’histoire de FireEye dévoilée il y a quelques jours.
Quelques uns vont nous presser des litres d’huile avec juste le noyau.
M’est avis que ça va toucher tout l’international avec de potentiels effets devastateurs si l’on se fie aux clients de Solarwinds.
Tournée de popcorn et hâte de voir la suite, merci pour l’article
Profitez de 25 % de REMISE sur les outils
sélectionnés en cette période de fêtes
Ainsi que “Il est temps de prendre le contrôle de vos configurations.
Network Configuration Manager”
Dommage pour eux…
Les russes ? les médias américains ne se seraient pas trompés ?
J’attends de voir les tweets de Donald Trump, je pense plutôt à HUAWEI
Non mais là clairement ce n’est plus une légère fuite de données, c’est une voie d’eau carrément …
Bon, c’est pas tout, on veut des révélations maintenant.
/s Ils ne sont pas passés par NordVPN pour sécuriser leurs connexion ?
Ils ont fait trainer leurs identifiants ftp sur Github l’année dernière, et ces identifiants permettaient de pourrir le FTP utilisé pour les mises à jour :
https://www.itwire.com/security/solarwinds-ftp-credentials-were-leaking-on-github-in-november-2019.html
Et le mot de passe en question est à priori le super méga sécurisé : “admin123”…
Des pirates ont par contre aussi utilisés une technique de contournement de la double authentification, suite à une première infiltration :
https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/
Ils se sont bien fait pawné… ça laisse songeur…
Oui et la version de la maj compromise est toujours en ligne. Ils ont juste supprimé la page de leurs clients.
https://www.itwire.com/security/backdoored-orion-binary-still-available-on-solarwinds-website.html
De plus l’attaque semble avoir commencé bien plus tôt
Ils étaient une cible facile pour n’importe quel pirate, pas besoin de groupe étatique, c’est une excuse pour justifier leur sécurité moisie.
J’ai du mal à croire que les américains sont assez stupides pour confier leurs infrastructures ultra sensibles à une seule entreprise de cyber sécurité.
Pour que les gens comprennent un peu mieux l’étendu de la chose (et pourquoi 10⁄10) outre le fait que le processus de mise à jour à été compromis, jusqu’à la signature numérique… Oui, oui la mise à jour est signée numériquement par le vrai certif et tout et tout ….
Voilà pourquoi c’est le branle-bas de combat pour tout le monde and beaucoup transpire à grosse goutte et sers les fesses pour en croisant les doigts qu’ils n’ont pas eu de problèmes.
Orion (produit en cause) à une architecture server/probe avec des serveurs relais dans les sites distants, le hack était sur une mise à jour global sur la partie “business logic”.
Suivant la configuration il peut contenir des informations d’indentification de haut niveau ce qui entraine une cascade d’accès sur d’autre système.
Donc pour résumer si Orion est compris bah dans le c.. lulu
Fake news!!
Vous racontez l’histoire d’intrusions illégales, mais si on ne prend en compte que les intrusions légales, on a largement gagné !!
Enfin quelqu’un qui prend de la hauteur sur les évenements :) La Russie n’a rien à voir avec tout cela, c’est un coup des démocrates pour détourner l’attention sur les fraudes massives dont l’élection de novembre a fait l’objet. Biden est vraiment prêt à tout, le scélérat !!
Je pense que le plus important, c’est le sous-titre :
Est-ce qu’il y a une contre-péterie ? Quelle est-elle ?
Et pourquoi Firefox n’affiche pas correctement ce satané caractère unicode ? 
(Quoi, c’est pas ça le sujet ?
)
Je vois le caractère unicode sur Frefox version Android mais pas sur Linux Mint (ou Chromium me l’affiche). Après il est bizarre cet unicode [OBJ].
C’est juste une traduction mot à mot de SUNBURST SolarWind. 😁
Accusé la Russie est facile, elle ne fait réellement peur à personne. Accuser la Chine aurait plus de conséquence et si c’est la corée du nord, les USA seraient ridiculisés.
Bref, la Russie est un ennemi pratique.
Il ne s’affiche pas non plus sur mon Firefox 83.0 sous Ubuntu.
Sinon, c’est ce caratère (caractère de remplacement d’objet).
Je suis déçu !
Moi je tire mon chapeau aux attaquants : “logiciel SOLAR wind” -> attaque “SUNBURST”
c’est très poétique et ironique en même temps (de là à traiter les Américains d’Icares, ou dénoncer leur politique “I (don’t) care” il n’y a qu’un pas).
4 ans ?
Il y a eu quoi comme truc important il y a 4 ans aux USA?
Je sais pas, la propagande US c’est que depuis 4 ans ?
Les fakenews à un niveau jamais vu, oui. Depuis qu’un psychopathe est au pouvoir…
C’est vrai qu’il a utilisé une fiole de pisse à l’ONU pour déclencher une guerre en Irak ou qu’il a falsifié les rapports militaires du Vietnam… Ah non c’est pas lui ?
On se croirait dans le Bureau des Légendes. Cette série quand même niveau vulgarisation c’est du lourd.
Ce qui me fait dire que le vrai problème est ailleurs. Là on parle de falsification d’un outlook d’entreprise, très étendu mais sans plus, non ?
Plus exactement l’accès aux mails Outlook de beaucoup d’administrations stratégiques.