Interrogé dans l'émission 60 minutes de CBS, Brad Smith, Président de Microsoft, estime que Solarwinds est, « du point de vue du génie logiciel, probablement l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue », et que « plus de 1000 ingénieurs » y auraient contribué.
Lorsque l'attaque a été identifiée, en novembre dernier, Microsoft aurait affecté 500 de ses ingénieurs « pour s'attaquer à l'attaque ». SolarWinds Orion, le logiciel infecté, est composé de millions de lignes de codes. Smith explique que « 4032 d'entre elles ont été réécrites clandestinement et distribuées aux clients dans le cadre d'une mise à jour de routine, ouvrant une porte dérobée secrète aux 18 000 réseaux infectés », visant tant ceux de l'administration américaine que d'entreprises privées.
Après avoir analysé le code, « nous nous sommes demandé combien d'ingénieurs avaient probablement travaillé sur ces attaques. Et la réponse à laquelle nous sommes arrivés était, eh bien, certainement plus de 1000 ». Brad Smith se dit en outre « presque certain que les pirates ont créé des portes dérobées supplémentaires et se sont propagés à d'autres réseaux ».
« Le gouvernement russe a vraiment développé cette tactique en Ukraine », précise-t-il : « Pendant des années, les Russes ont testé leurs cyberarmes sur l'Ukraine. NotPetya, une attaque de 2017 par le GRU, l'agence d'espionnage militaire russe, a utilisé les mêmes tactiques que l'attaque SolarWinds, sabotant un logiciel largement utilisé pour pénétrer dans des milliers de réseaux ukrainiens, mais au lieu d'espionner, il a ordonné aux appareils de s'auto-détruire et littéralement endommagé plus de 10% des ordinateurs de ce pays en une seule journée ».
Kevin Mandia, l'ancien officier du renseignement de l'armée de l'air qui dirige FireEye, explique de son côté comment sa société de cybersécurité a détecté l'attaque : « comme tout le monde travaillant à domicile, nous utilisons l'authentification à deux facteurs. Un employé de FireEye se connectait, mais notre personnel de sécurité a remarqué que l'individu avait deux téléphones enregistrés à son nom. Notre employé a donc appelé cette personne : "Hé, avez-vous réellement enregistré un deuxième appareil sur notre réseau ? Non, ce n'était pas moi." »
Les pirates n'avaient laissé aucune trace de la manière dont ils s'étaient introduits : pas de phishing, ni de logiciels malveillants, mais ils se faisaient bien passer pour des employés.
Interrogé pour savoir ce pourquoi le gouvernement n'avait pas repéré l'attaque, Chris Inglis, qui a passé 28 ans à la National Security Agency, dont sept en tant que directeur adjoint, explique pour sa part que « le gouvernement ne surveille pas les réseaux informatiques américains du secteur privé. C'est une responsabilité qui est confiée au secteur privé. Les Russes ont donc lancé leurs attaques à partir de serveurs installés de manière anonyme aux États-Unis ».
Il estime en outre qu'« il est difficile de sortir complètement quelque chose comme ça du système. Et ils ne comprennent certainement pas tous les endroits où il est allé, toutes les manifestations de l'endroit où ce virus, où ce logiciel vit toujours. Et ça va prendre du temps. Et la seule façon dont vous aurez la certitude absolue que vous vous en êtes débarrassé est de vous débarrasser du matériel, de vous débarrasser des systèmes ».
Commentaires