L'attaque cyber Solarwinds contre les Etats-Unis : saura-t-on jamais si c'en est fini ? Non !

CHRONIQUE. S'il est une leçon à retenir de l'audition au Sénat américain des principaux protagonistes (et victimes) de la spectaculaire cyber-attaque Solarwinds contre les Etats-Unis, c'est l'absolue nécessité de partager, contraint et forcé s'il le faut, les informations quand on est victime d'une attaque. Par Jean-Jacques Quisquater, université de Louvain, Ecole Polytechnique de Louvain, et Charles Cuvelliez, université de Bruxelles, Ecole Polytechnique de Bruxelles.
Jean-Jacques Quisquater et Charles Cuvelliez.
Jean-Jacques Quisquater et Charles Cuvelliez. (Crédits : DR)

Au fond, personne, à part ceux à l'origine de l'attaque contre Solarwinds, n'a une vue globale de ce qui s'est vraiment passé et encore moins de ce qui se passera encore.

Car rien ne dit que l'attaque est terminée : c'est l'autre constat glaçant de cette audition de 2 h 30 fin février. Au moins, ne rechignera-t-on plus devant toutes ces régulations cyber qui forcent d'abord toutes les sociétés à signaler les attaques qu'elles subissent, un vœu pieux jusqu'à présent.

La fausse note aura été l'absence remarquée d'Amazon qui n'a même pas daigné se déplacer alors que son cloud a été clairement utilisé comme relais et centre de contrôle à distance des attaques pour mieux passer inaperçu. Ils ne sont pas venus, ont-ils dit, parce qu'ils n'avaient pas été attaqués : être un complice involontaire ne les dérangerait donc pas ?

Depuis plusieurs mois dans le réseau

L'entreprise de cybersécurité, Fireeye, a été la première à repérer l'attaque. Elle a admis que les attaquants étaient déjà depuis plusieurs mois dans son réseau. C'est que Solarwind, un logiciel de contrôle de réseau justement, permettait alors sans effort aux assaillants de connaître parfaitement l'architecture du réseau et donc de s'y déplacer comme un utilisateur normal. Aucune alerte n'allait se déclencher pour trafic anormal.

Les attaquants n'étaient pas actifs en permanence, un jour quelques heures, un autre jour pas du tout. Pour Fireeye, c'est aussi dû au nombre de victimes activement exploitées : plus de 100. Il n'y avait sans doute pas, de l'autre côté, suffisamment de ressources pour gérer ce butin. Les criminels avaient des commandes précises puisqu'au lieu de faire des dégâts, une fois dans le réseau, ils se sont contentés de voler des données. La question est de savoir si les hackers n'ont pas laissé des backdoors dans les réseaux des entreprises où ils ont volé des données pour y revenir plus tard. Le groupe à l'origine de l'attaque serait actif depuis 10 ans.

Microsoft pas indemne

C'est Microsoft qui a le mieux expliqué combien il est difficile de faire le lien entre toutes les manifestations de la présence des criminels chez les victimes, ce qu'ils y cherchent et pourquoi. Si on sait les agences fédérales US impactées et qu'on imagine qu'elles s'échangeront de l'information entre elles, que dire des sociétés privées également visées : elles ne sont même pas tenues de déclarer une intrusion si aucune donnée sensible n'a été mise en danger. L'information cyber existe trop en silos. Microsoft a également estimé que 1.000 ingénieurs ont dû contribuer à ce projet cyber. Ce chiffre, contesté, est pourtant bien de l'ordre de grandeur d'autres attaques étatiques.

Et Microsoft de donner une image glaçante de l'attaque : en parlant des cybers criminels qui avaient pénétré le réseau, c'est comme si les voleurs pour pénétrer une maison avait désactivé le système d'alarme de toutes les maisons de toute une ville. Et de fait, si seules 100 sociétés et organisations ont été réellement visées et exploitées, ce sont 18.000 sociétés qui ont téléchargé la mise à jour vérolée par laquelle les hackers peuvent pénétrer dans leurs réseaux. Microsoft a pu mieux cerner ce que les criminels ont perpétré chez lui. Ils ont pu lire le code par lequel Microsoft authentifie les utilisateurs et chez beaucoup de victimes, les hackers ont manipulé ces programmes pour accéder à d'autres endroits du réseau. Le souci, semble-t-il, c'est que grâce à ce bout de code, les/des hackers ont essayé de pénétrer le réseau de CrowdStrike, qui témoignait aussi, donc, sans avoir besoin d'utiliser Solarwinds, pour aller plus loin dans le réseau. Ce même Crowdstrike s'en est pris à l'architecture antique à ses yeux de Windows pour authentifier les utilisateurs, le bien nommé Active Directory et Azure Active Directory pour se mouvoir latéralement dans le réseau sans être repéré et même de passer du réseau interne au cloud Azure sans souci.

Curieusement, Microsoft, dans on blog de suivi de Solarwinds, met fortement en avant le concept de réseau zero-trust qui a comme principe de départ qu'on ne fait plus jamais confiance à une autre machine que la sienne même au sein du réseau de son entreprise. C'est d'ailleurs ce qui est à l'œuvre sur Internet comme principe mais pas du tout dans Active Directory.

Peur de punir la Russie !

Devant la crainte que les hackers soient toujours présents dans les réseaux qu'ils ont pénétrés et qu'ils pourraient faire pire encore, il se pourrait même que Joe Biden qui veut prendre des sanctions contre la Russie, le commanditaire désigné, n'oserait pas y aller comme il le voudrait. Et il sera difficile de convaincre les alliés des Etats-Unis de se joindre aux sanctions car punir la Russie pour hacking sans discrimination (on pense aux 18.000 sociétés potentiellement vulnérables après avoir téléchargé la mise à jour) n'est pas aisé : les Etats-Unis font la même chose.

Si les hackers ont réussi à pénétrer les réseaux des plus grands fabricants de softwares, cela ne présage rien de bon. Ce sont des opportunités pour de futures intrusions pour des années à venir. Il faut absolument organiser au niveau mondial un meilleur échange d'informations entre entreprises et administrations, entre pays, et mettre en place un cadre législatif comparable à l'interdiction de s'en prendre aux ambulances en temps de guerre.

Il y a bien eu un projet de loi au Congrès, a-t-on rapporté, pour obliger à passer une loi nationale pour rapporter les brèches de données mais les républicains s'y sont opposés. Pour le patron de Solarwinds qui témoignait aussi, un peu penaud, ce qui est arrivé à sa société ne pourrait être qu'un seul des fronts ouverts par la Russie (qu'il n'a pas nommé) dans sa cyber offensive. Solarwinds n'a toujours pas trouvé comment les Russes, si ce sont bien eux, ont pu compromettre son réseau d'abord pour contaminer ensuite une mise à jour de son logiciel. Ses équipes ont trois hypothèses mais il n'a rien dit de plus.

A quel logiciel faire confiance encore ? Qu'on se le dise !

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 04/03/2021 à 18:41
Signaler
Qu'ils lèvent le secrets sur les ovnis et leurs passager , le hackers à mon avis changerons de cible .

à écrit le 04/03/2021 à 10:43
Signaler
Vous oubliez tous, sans exception, que internet est un réseau peer to peer, d'égal à égal, vos réflexes oligarchiques de base vous empêchent de penser à ce puissant phénomène généré par ce réseau, à savoir l'idéologie inverse de notre dictature oliga...

à écrit le 04/03/2021 à 10:41
Signaler
C'est une bonne leçon que les dogmatiques n’enregistrerons pas, leur vision du futur est préconçue et seul des réformes ont droit de citer, pour rectifier le tir!

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.