Image default
Economie

que sait-on de la cyberattaque massive «Sunburst» ?


Une cyberattaque d’envergure a touché par ricochet les réseaux de nombreuses administrations et des entreprises dans le monde entier. Les dégâts sont en cours d’évaluation.

L’affaire met toutes les autorités et des entreprises en émoi des deux côtés de l’Atlantique. La France a émis un bulletin d’alerte le 14 décembre à l’attention des administrations et des entreprises. Une cyberattaque sophistiquée de très grande ampleur touche par ricochet de nombreuses entités publiques et privées aux États-Unis en Europe, en Asie et au Moyen-Orient. Retour sur cette affaire, dont on ignore encore l’étendue des conséquences.

Que s’est-il exactement passé ?

C’est typiquement ce qu’on appelle une cyberattaque via la chaîne d’approvisionnement, un savant coup de billard à deux ou trois bandes. Les auteurs de l’attaque sont passés par la plateforme logicielle d’un fournisseur de solutions Solarwinds pour atteindre les systèmes de ses clients, parmi lesquelles de puissantes administrations publiques et de nombreuses entreprises. Cette plateforme logicielle, baptisée Orion, est utilisée pour piloter et surveiller un ensemble d’applications d’un système d’information. Plus précisément, les attaquants ont réussi à infecter une mise à jour d’Orion en passant par des comptes d’office 365 et y ont introduit une «backdoor» pour pénétrer les systèmes informatiques de ses clients. D’après Solarwinds, cette mise à jour a été déployée par plus de 18.000 clients dans le monde, mais il a notifié les 33.000 utilisateurs d’Orion de son piratage.

Cette attaque a donc commencé en mars 2020, mais ne se fait connaître que maintenant. C’est une société de cybersécurité privée, FireEye qui a la première découvert qu’elle avait été attaquée par ce biais.

Les dégâts causés sont en cours d’évaluation, mais cela peut aller du vol d’informations et de données sensibles à leur destruction. Depuis au moins 6 mois, les hackers ont eu le temps d’inspecter les systèmes, voir d’y introduire des «bombes à retardement». Dans le cas de FireEye, les pirates ont pu, entre autres, accéder au «coffre» d’armes logicielles qu’elle utilise pour les tests d’intrusion chez ses clients, c’est-à-dire les outils pour simuler les attaques de hackers professionnels.

«Il s’agit d’une situation évolutive et nous continuons à travailler pour prendre toute la mesure de cette campagne tout en sachant que des réseaux ont été affectés à l’intérieur du gouvernement fédéral», ont indiqué mercredi soir dans un communiqué commun le FBI (police fédérale), le directeur du renseignement national et l’agence de cybersécurité et de sécurité des infrastructures (Cisa). Les agences fédérales américaines ont eu ordre de se déconnecter immédiatement de la plateforme de SolarWinds.

Qu’est ce que Solarwinds ?

Solarwinds est un éditeur de logiciel américain, basé au Texas, qui compte plus de 350.000 clients. Sa plateforme Orion, est utilisée par de très grandes institutions publiques et par 450 des 500 plus grosses entreprises mondiales. Orion leur permet de centraliser la surveillance, l’analyse et la gestion de leur informatique. Aux États-Unis, elle est utilisée par plusieurs administrations dont le Département du Trésor, de la Sécurité intérieure, du Commerce et plusieurs agences fédérales. Parmi ses clients aussi, de nombreuses entreprises dont certains gros acteurs dans des secteurs stratégiques (énergie, industrie, cybersécurité…)

« Nous avons scanné le code de tous nos produits logiciels à la recherche de marqueurs similaires à ceux utilisés dans l’attaque de nos produits Orion Platform identifiés ci-dessus, et nous n’avons trouvé aucune preuve que d’autres versions de nos produits Orion Platform ou de nos autres produits contiennent ces marqueurs » a expliqué la société. Sur les neuf premiers mois de 2020, les revenus de la gamme de produits Orion ont représenté 45 % du son chiffres d’affaires total (343 millions de dollars).

Fondée en 1999, la société s’est introduite au New York Stock Exchange en 2018. La révélation de cette affaire a fait chuter son action.

Quelles sont les victimes ?

On ne les connaît pas encore toutes, elles ne se connaissent même pas forcément encore elles-mêmes, l’attaque est toujours en cours, mais elles sont très nombreuses. Côté américain, le département du Trésor, l’Administration nationale des télécommunications et de l’information (NTIA) ont indiqué avoir été impactées.

En Europe, la Commission européenne a indiqué regarder attentivement les répercussions de cette attaque, sans donner pour l’heure plus de précisions. D’autres pays sont aussi touchés en Asie et au Moyen Orient selon FireEye.

Outre FireEye, on ne connaît pas encore d’autres noms d’entreprises privées. La France a émis un bulletin d’alerte le 14 décembre mais n’avait pas encore de retour. Plusieurs du CAC40 sont clientes de SolarWinds.

Il sera difficile de savoir l’étendue complète. Les sociétés n’ont pas l’obligation de révéler publiquement qu’elles sont parmi les victimes.

Qui est à l’orgine de cette attaque ?

Il est toujours difficile délicat d’attribuer l’origine d’une cyberattaque. Seule certitude à l’heure actuelle, cette attaque de très haut niveau a bénéficié d’un appui au niveau étatique. Les regards se tournent vers la Russie, avec un groupe russe APT29, également connu sous le nom de Cozy Bear. Selon le Washington Post, ce groupe fait partie des services de renseignement de Moscou et a déjà piraté l’administration américaine pendant la présidence de Barack Obama.

Microsoft confirme que les méthodes employées portent la marque d’un acteur étatique, mais il n’a pas désigné de pays.

L’ambassade de Russie aux États-Unis a assuré que «la Russie ne mène pas d’opérations offensives dans le cyberespace«.

Quelles mesures d’urgence à prendre ?

SolarWinds devait publier mardi une mise à jour d’Orion contenant un code pour supprimer toute trace du logiciel malveillant dans les systèmes de ses clients.

En France, le CERT-FR donne plusieurs recommandations pour sécuriser les systèmes des utilisateurs d’Orion potentiellement affectés par ce piratage. (Accéder à l’alerte en cliquant ici)



Source link

Autres articles

l’économie française sous anesthésie générale

administrateur

À Paris, des «soldes monstres» mais des clients en vacances

administrateur

Quand les couches-culottes des bébés parisiens finissent en compost

administrateur

Au chômage partiel depuis deux mois et demi, «ma vie est comme un jeu vidéo mis sur pause»

administrateur

Comment mener à bien votre négociation immobilière ?

administrateur

Comment Dunkerque a mis en place son service de bus gratuits

administrateur