On s'en souvient : des hackers avaient réussi à diffuser auprès des clients de Solarwinds, une version modifiée de Orion, un logiciel de gestion et de supervision de leurs réseaux, et ce, depuis l'intérieur même de l'entreprise. Tous les clients, dont des agences gouvernementales américaines, qui avaient installé la version modifiée ont permis aux hackers de se promener librement chez eux.

Du jamais-vu. On avait incriminé la Russie et les superlatifs ne manquaient pas...

Sauf que la SEC, le régulateur boursier américain, dans sa plainte, 3 ans plus tard,  montre l'impensable en termes de manque de culture de sûreté, de négligence et de mensonge de la part de Solarwinds.

Un développement sans sécurité

Cela commence par le logiciel Orion, développé sans guidance de sécurité. L'enquête de la SEC a bien décelé l'intention d'y aller en 2018 avec, doucement, un training d'initiation aux développeurs, des expériences pilotes et un déploiement graduel alors qu'on parle du b.a.-ba. Solarwinds prétendait pourtant vers l'extérieur développer en suivant les cadres de sécurité ad hoc.

Il y avait une politique de changement de mot de passe tous les 90 jours, avec une composition spéciale obligatoire, mais elle n'était pas implémentée partout et Solarwinds le savait. Un audit avait mis en évidence plusieurs systèmes informatiques critiques sans cette politique de mot de passe. Des mots de passe partagés existaient et un serveur public web de la société en contenait en libre accès !

Les mises à jour des logiciels de Solarwinds étaient distribuées via le réseau tiers Akamai. Un chercheur fit savoir que le mot de passe pour accéder au compte Akamai de Solarwinds se trouvait sur Internet.

Des accès trop larges

Entre 2017 et 2020, on donnait, en routine et à grande échelle, des autorisations d'accès trop étendus à tout employé, une pratique très dangereuse et bien connue du directeur IT et du CIO. Un hacker n'avait donc qu'à voler un identifiant d'un employé lambda.

Vient ensuite le vecteur par lequel les hackers ont pénétré chez Solarwinds pour modifier incognito Orion.  Solarwinds permettait à ses employés d'accéder au réseau via un VPN, un tunnel sécurisé à travers Internet, sauf que tout appareil, même non connu de Solarwinds, pouvait l'utiliser. Avec un identifiant volé, un hacker pouvait bouger dans le réseau sans se faire repérer ou extraire massivement des données. Un autre mécanisme de détection de fuite de données existait bien sauf qu'il n'était pas appliqué au VPN.

En 2018, un ingénieur, lit-on dans la plainte de la SEC, fit remarquer qu'avec ce VPN, un hacker pouvait y charger du code informatique corrompu ou compromis et  le stocker pour pouvoir y accéder en suite. En octobre 2018, avec tout cela, Solarwinds faisait son entrée en bourse  sur base d'informations erronées pour l'investisseur : tout était en ordre, disait SolwarWinds, sur les bonnes pratiques de sécurité. Solarwinds, la main sur le cœur affirmait partout que ses cyberpratiques étaient  conformes et elle en rajoutait sur ses communiqués de presse, podcasts et ses blogs.

La SEC attaque Solarwinds pour avoir trompé les investisseurs en cachant ses manquement et en mentant. Elle va même plus loin et dit que la direction de Solarwinds, alertée à plusieurs reprises en interne de ces déficiences aurait dû anticiper qu'elle ferait l'objet d'une cyberattaque.

Alerté par les clients

Le pire est que Solarwinds fut averti de l'attaque par des clients et n'a rien fait. C'est bien par le VPN que les hackers sont entrés, par des machines non identifiées. Les accès ont eu lieu entre novembre 2019 et janvier 2020. De là, les hackers ont circulé dans le réseau à la recherche de mots de passe et autres passerelles. En fin de compte, les hackers réussirent à ajouter des lignes de code malicieuses au programme Orion.  On apprend que les hackers n'eurent aucun problème à accéder aux zones de développement des logiciels depuis les zones corporate, un peu comme si un laboratoire à haute sécurité travaillait à porte ouverte.

Les hackers ont pu éteindre les antivirus et autres sécurité, avec des accès lambda, ce qui leur a permis d'accéder et exfiltrer les lignes de code sans alerte. Ils ont d'abord testé si des lignes de code supplémentaires mais qui ne faisaient rien allaient être détectées. La réponse fut non.

La suite, on la connait : 18.000 clients dont des agences gouvernementales américaines ont reçu le programme avec un code modifié d'Orion qui permettait aux hackers de pénétrer leur réseau puisqu'il servait à le gérer. C'était tellement gros que Solarwinds a prétendu faire face à une attaque d'un Etat, mais c'était faux. Solarwinds fut incapable de comprendre la cause des attaques. Elle prétendit qu'il s'agissait d'une vulnérabilité sur son produit qu'il fallait corriger alors que non, c'était un produit modifié !

Solarwinds a menti au cours des attaques, pour la SEC : elle avait simplement averti que du code avait été modifié dans la dernière version de son logiciel téléchargé sans dire qu'une attaque en cours l'exploitait déjà.

La leçon est rude : des fournisseurs connus  peuvent donc mentir des années durant. Si la sécurité se resserre autour des fournisseurs, avec notamment la régulation DORA, se contenter de la bonne foi de ne suffit pas : due diligence, inspection sur site (au cours desquelles des langues se seraient déliée, dans de cas de Solarwinds), certifications à vérifier. Il faut du tangible !

________________

Pour en savoir plus

CHRISTOPHER BRUCKMANN, (SDNY Bar No. CB-7317), SECURITIES AND EXCHANGE COMMISSION, Plaintiff, Civil Action No. 23-cv-9518,against SOLARWINDS CORP. and TIMOTHY G. BROWN.