Interrogé dans l'émission 60 minutes de CBS, Brad Smith, Président de Microsoft, estime que Solarwinds est, « du point de vue du génie logiciel, probablement l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue », et que « plus de 1000 ingénieurs » y auraient contribué.
Lorsque l'attaque a été identifiée, en novembre dernier, Microsoft aurait affecté 500 de ses ingénieurs « pour s'attaquer à l'attaque ». SolarWinds Orion, le logiciel infecté, est composé de millions de lignes de codes. Smith explique que « 4032 d'entre elles ont été réécrites clandestinement et distribuées aux clients dans le cadre d'une mise à jour de routine, ouvrant une porte dérobée secrète aux 18 000 réseaux infectés », visant tant ceux de l'administration américaine que d'entreprises privées.
Après avoir analysé le code, « nous nous sommes demandé combien d'ingénieurs avaient probablement travaillé sur ces attaques. Et la réponse à laquelle nous sommes arrivés était, eh bien, certainement plus de 1000 ». Brad Smith se dit en outre « presque certain que les pirates ont créé des portes dérobées supplémentaires et se sont propagés à d'autres réseaux ».
« Le gouvernement russe a vraiment développé cette tactique en Ukraine », précise-t-il : « Pendant des années, les Russes ont testé leurs cyberarmes sur l'Ukraine. NotPetya, une attaque de 2017 par le GRU, l'agence d'espionnage militaire russe, a utilisé les mêmes tactiques que l'attaque SolarWinds, sabotant un logiciel largement utilisé pour pénétrer dans des milliers de réseaux ukrainiens, mais au lieu d'espionner, il a ordonné aux appareils de s'auto-détruire et littéralement endommagé plus de 10% des ordinateurs de ce pays en une seule journée ».
Kevin Mandia, l'ancien officier du renseignement de l'armée de l'air qui dirige FireEye, explique de son côté comment sa société de cybersécurité a détecté l'attaque : « comme tout le monde travaillant à domicile, nous utilisons l'authentification à deux facteurs. Un employé de FireEye se connectait, mais notre personnel de sécurité a remarqué que l'individu avait deux téléphones enregistrés à son nom. Notre employé a donc appelé cette personne : "Hé, avez-vous réellement enregistré un deuxième appareil sur notre réseau ? Non, ce n'était pas moi." »
Les pirates n'avaient laissé aucune trace de la manière dont ils s'étaient introduits : pas de phishing, ni de logiciels malveillants, mais ils se faisaient bien passer pour des employés.
Interrogé pour savoir ce pourquoi le gouvernement n'avait pas repéré l'attaque, Chris Inglis, qui a passé 28 ans à la National Security Agency, dont sept en tant que directeur adjoint, explique pour sa part que « le gouvernement ne surveille pas les réseaux informatiques américains du secteur privé. C'est une responsabilité qui est confiée au secteur privé. Les Russes ont donc lancé leurs attaques à partir de serveurs installés de manière anonyme aux États-Unis ».
Il estime en outre qu'« il est difficile de sortir complètement quelque chose comme ça du système. Et ils ne comprennent certainement pas tous les endroits où il est allé, toutes les manifestations de l'endroit où ce virus, où ce logiciel vit toujours. Et ça va prendre du temps. Et la seule façon dont vous aurez la certitude absolue que vous vous en êtes débarrassé est de vous débarrasser du matériel, de vous débarrasser des systèmes ».
Commentaires (17)
#1
Microsoft, une source sûre de news Infosec
#1.1
Ils ont des équipes plutôt actives dans ce domaine oui ;)
#1.2
Il n’empêche, ce n’est ici que l’avis de Brad Smith. Il n’a aucune preuve de ce qu’il avance en parlant de mille ingénieurs impliqués, même si on estimation s’avère proche de la réalité (ce qui reste encore à démontrer).
#1.3
Microsoft possède un des SOCs les plus dingue de la planète. Pour superviser Azure, le Xbox Live (2ème ou 3ème service le plus attaqué au monde il me semble) et les nombreux services grand public avec du milliard d’utilisateurs je te laisse imaginer le bordel qu’il faut mettre en oeuvre.
Niveau threat intell ils sont plutôt “biens” ouais.
#2
Donc un ingénieur MS vaut 2 Russes.
#3
Et dans 6 mois, on va découvrir que c’était 3 étudiants dans leur chambre qui voulaient pirater leurs notes à l’université…
Bon, en vrai, ça semble quand même être sacrément sérieux cette affaire. Et peut-être que là, ce sont les russes mais à quel point en sont les USA, les Chinois, Israéliens, Iraniens, Corée du Nord, Anglais, Français (ouais on est pas si nuls…), etc
Ça doit être une vraie orgie… Je pense qu’on saura qu’on entame la 3e guerre mondiale lorsque le monde se retrouvera dans le blackout en moins de qq heures parce que les différents pays commenceront par mettre hors service les systèmes informatiques adverses.
#4
“et littéralement endommagé plus de 10% des ordinateurs de ce pays en une seule journée”
Je croyais qu’on a arrêté les virus flambeurs de matériel avec windows XP.
#5
Ce serait pas plutôt 1000 contributeurs au code, plutôt que 1000 ingénieurs ? Une confusion qui viendrait de l’expression “engineering the attack” qui se traduirait par “monte/préparer l’attaque”.
#5.1
suffit de lire la source pour voir qu’il s’agit bien de 1000 ingénieurs
#5.2
#6
Si c’est en un mois, je fais à peine plus… ;)
#7
“Si 1 ingénieur écrit 4,032 lignes de code en 1 mois, combien de lignes de code écrivent 1000 ingénieur en 10 mois ?”
#7.1
Environ 5. Le temps en plus est passer dans des réunion sur Teams.
#8
1000 ingés ? En un mois ça fera toujours en moyenne 4032 lignes mais dans 1000 frameworks différents.
Après, le deuxième mois tout est possible :
les clairvoyants arrêtent le projet ;
les anxieux font auditer leur code ;
les attentistes font du googlefight entre frameworks ;
les nouveaux proposent qu’on reprennent tout à zéro (il est encore temps);
les perfectionnistes pensent déjà refactoring;
ceux en cours de reconversion essayent de faire rentrer leurs nouveaux concepts dans le projet au chausse-pieds;
les optimistes pensent qu’on pourra rattraper un mois de perdu;
les réalistes constatent qu’on a déjà pris 2 mois de retard;
les architectes se demandent qu’est-ce qu’ils font sur ce projet vu qu’on les écoute pas;
les inclusifs en sont encore à établir une liste des mots à bannir;
#9
Surtout qu’il n’est pas précisé que le code avait été réécrit par 1000 ingé, mais que 1000 ingé avaient contribués au projet.
Je suppose qu’avant de réécrire quoi que ce soit, il faut lire un peu le code existant, code de millions de lignes semble t’il. Ca fait un peu de lecture, de compréhension, de préparation, avant de réécrire, puis de test, etc…
#10
Et ça tombe bien, on vous propose notre matériel ! Achetez !
#11
Je n’ai pas été clair :
Dans mon code poussé en production en 2020 je dois être à moins de 200 lignes. Et pourtant c’est du Cobol.
Je ne compte pas le code qui a permis de faire les tests permettant de valider mes évolutions, code dont le nombre de lignes est bien plus conséquent. :-)