Définition SolarWinds

La cyberattaque de SolarWinds a marqué les esprits. Elle est aujourd’hui considérée comme l’une des attaques d’espionnage les plus marquantes, ciblant les organisations américaines. Le piratage du logiciel Orion de SolarWinds, perpétré par un groupe de pirates toujours inconnu, a mis en péril de nombreuses données sensibles. Découvrez toute l’histoire de la SolarWinds Attack, son impact et ses conséquences sur la sécurité des systèmes.

 

Qu’est-ce que SolarWinds ?

SolarWinds est un fournisseur de logiciels professionnels et d’outils de gestion pour la surveillance des réseaux et des infrastructures. L’entreprise américaine, basée au Texas, fournit de nombreux services IT pour les entreprises et les organisations gouvernementales. Le produit concerné dans l’attaque est un outil de surveillance appelé Orion.

SolarWinds Orion offre une visibilité globale des réseaux, permettant aux équipes IT d’intervenir pour résoudre les problèmes. La plateforme de surveillance centralise toutes les informations et les outils pour analyser et assurer le bon fonctionnement de l’infrastructure. À l’époque, Orion aurait équipé plus de 30 000 clients, dont des entreprises privées et des agences du gouvernement américain.

 

Hack de SolarWinds Orion : une attaque d’espionnage informatique

Le hack de SolarWinds Orion de 2020 se base sur le piratage de la chaîne d’approvisionnement (supply chain attack) de l’outil. Ce type d’attaque consiste à utiliser un fournisseur tiers (ici SolarWinds) pour atteindre les systèmes de leur cible.

Les pirates se sont introduits dans les systèmes informatiques de SolarWinds. Ils ont pu, ensuite, déposer une porte dérobée dans le logiciel Orion. En installant la mise à jour de routine de l’outil, les clients ont, sans le savoir, téléchargé un malware.

Les pirates ont pu ensuite accéder à toutes les données, les réseaux et les systèmes de ces clients, parmi lesquels des organisations fédérales et des agences locales. Les cybercriminels ont réalisé un tri parmi les victimes pour ne conserver que les organisations étatiques et les agences actrices de la sécurité américaine.

 

Le déroulement de la SolarWinds Attack

Comme mentionné plus haut, les pirates informatiques ont procédé à une attaque de la chaîne d’approvisionnement. Les nombreuses informations sur cette cyberattaque ne mentionnent pas le mode d’intrusion dans le système SolarWinds. Les pirates ont-ils exploité une faille de sécurité ? Ont-ils eu un complice parmi les développeurs ? Ont-ils réussi à voler des identifiants et des codes d’accès ? De nombreuses zones d’ombre persistent encore sur cette attaque.

 

Toujours est-il que les pirates ont pu insérer du code malveillant dans la mise à jour d’Orion. Leur porte dérobée (fonctionnant comme une backdoor attack) s’est ainsi propagée à de nombreux systèmes parmi les clients de SolarWinds. Les pirates n’ont pas choisi SolarWinds à l’aveugle. Ils avaient connaissance du succès de l’outil auprès des grandes entreprises et des agences gouvernementales américaines. SolarWinds n’était donc pas la cible première, mais un moyen d’accès à des victimes plus intéressantes.

 

Chronologie du piratage de SolarWinds

Selon le ministère américain de la Sécurité intérieure, les versions infectées de SolarWinds Orion seraient les versions 2019.4 à la 2020.2.1.HF1.

  • Septembre 2019 : les hackers trouvent un accès au système de SolarWinds.
  • Octobre 2019 : un mois plus tard, les pirates réalisent des essais sur la possibilité d’injecter un code malveillant.
  • Février 2020 : le code malveillant, que SolarWinds a révélé sous le nom de Sunburst, est introduit dans Orion.
  • Mars 2020 : un mois plus tard, SolarWinds envoie à ses clients la mise à jour d’Orion compromise, sans avoir détecté sa présence.
  • Décembre 2020 : détectée par l’entreprise FireEye dans ses propres systèmes, l’attaque est révélée au public.

Les hackers ont travaillé leur attaque en prenant leur temps, signe qu’il s’agit d’une équipe bien entraînée. Aujourd’hui encore, personne ne sait avec exactitude combien de temps cette cyberattaque a duré sans être remarquée. Il est question de 14 mois, voire plus.

Les victimes de la SolarWinds Attack

Les rapports d’enquêtes menés par les autorités américaines ont établi que près de 18 000 clients de SolarWinds ont été touchés par l’attaque. Parmi ces clients se trouvaient de nombreuses agences gouvernementales américaines, comme :

  • le Département de la Défense ;
  • le National Institutes of Health (NIH) ,
  • Le Département du Trésor ;
  • le Département du Commerce ;
  • le Département de la Sécurité intérieure (DHS)
  • des administrations locales et fédérales.

Les grandes entreprises, comme Microsoft, Cisco, Intel ont elles aussi connu des dommages internes, comme le vol d’informations ou la compromission de fichiers internes, impactant l’activité. Cette attaque avait pour objectif principal d’espionner les autorités américaines et de compromettre la sécurité des États-Unis.

Pourquoi la détection de l’attaque a-t-elle été aussi longue ?

Si cette cyberattaque a mis du temps à être détectée, cela est dû avant tout au travail des pirates professionnels, qui ont su parfaitement mener leur intrusion. Dans un premier temps, les hackers ont décidé de mettre en place une backdoor attack, qui compte parmi les plus discrètes. Par ailleurs, ils ont réussi à compromettre une mise à jour. Qui se méfie d’un correctif censé améliorer un outil ?

Autre atout des pirates : leur discrétion. Ils ont procédé avec patience, activant petit à petit leur porte dérobée pour éviter d’attirer l’attention. Une fois introduits dans les systèmes, ils ont pu réaliser des actions légitimes, masquant un peu plus leur présence. La longue inactivité du malware dans Orion a empêché sa détection, mais aussi rendu plus difficile l’identification de la source compromise.

Enfin, les cybercriminels se sont introduits dans un vaste réseau de systèmes de clients multiples et divers. Ils ont choisi leur cible avec intelligence, lançant leurs attaques avec finesse. Ils ont pu ainsi opérer tranquillement, avant que l’entreprise FireEye, spécialiste de la sécurité informatique, ne détecte une anomalie dans ses systèmes en décembre 2020.

Les conséquences de l’attaque SolarWinds

La SolarWinds Attack a exposé de nombreux renseignements sensibles du gouvernement à des hackers dont le pays d’origine n’est à ce jour pas déterminé. Le gouvernement russe a été soupçonné, tout comme des hacktivistes chinois. Des communications, des informations confidentielles et des codes sources ont pu ainsi être consultés.

Les entreprises touchées ont dû investir dans des opérations de cybersécurité, pour connaître l’étendue de la compromission des systèmes et mettre en place une stratégie de sécurité plus avancée. Quant à SolarWinds, sa réputation a été directement impactée. Outre la perte de clients, sa valeur en bourse a également baissé. Un an plus tard, en 2021, SolarWinds est de nouveau la cible d’une cyberattaque exploitant une autre faille de sécurité.

Quels enseignements les organisations peuvent-elles tirer de l’attaque SolarWinds ?

L’attaque SolarWinds a véritablement eu un impact sur la perception de la cybersécurité au sein des sociétés. Après cet épisode, toutes les entreprises et les organisations gouvernementales se sont dotées de nouvelles politiques de sécurité. Cet épisode a également mis le doigt sur la fragilité des éditeurs tiers. Les entreprises faisant appel à des logiciels d’un fournisseur tiers ont mis en place des process de vérification pour éviter de nouvelles attaques sur la chaîne d’approvisionnement.

 

Détecter une attaque SolarWinds : quels sont les signes ?

Aujourd’hui, avec une surveillance accrue, la détection d’une SolarWinds Attack peut se faire de différentes façons. L’analyse des systèmes de gestion est essentielle pour déceler une activité anormale. L’enquête sur l’attaque a révélé la communication entre le logiciel Orion compromis vers des serveurs externes. Les communications entre un logiciel et un domaine inconnu doivent attirer l’attention des équipes.

De nombreuses anomalies dans les journaux d’audit, dans les changements de configuration d’accès ou dans le volume de données sortant sont autant de points à surveiller par les équipes expertes en sécurité informatique.

 

Comment se protéger d’une SolarWinds attack ?

Le premier point à mettre en place pour se prémunir d’une attaque de type SolarWinds est de renforcer la sécurité de la chaîne d’approvisionnement. Réaliser des contrôles de cybersécurité et vérifier l’authenticité des mises à jour des logiciels vous préservent d’attaques sous-jacentes. La surveillance constante et une analyse approfondie de l’activité aident également à détecter les menaces.

Pensez à sensibiliser vos équipes sur différentes cyberattaques et leur mode de fonctionnement peut aussi vous préserver d’autres types d’attaques. La vigilance est aujourd’hui cruciale pour protéger vos propres systèmes internes. Envisagez une approche globale de la sécurité. Mettez en place une réponse aux incidents efficace en cas de compromission détectée.

L’attaque SolarWinds a marqué les esprits et mis en avant de nombreuses lacunes en matière de cybersécurité. L’expertise de professionnels de la sécurité informatique est nécessaire pour réussir à détecter ce type d’attaque le plus rapidement possible. À la Cyber Management School, nous formons nos étudiants à répondre aux menaces les plus sophistiquées.