• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Le DSSI de Solarwinds poursuivi en justice, l'épilogue d'une cyberattaque (soi-disant) russe

Charles Cuvelliez et Philippe Debrue

Publié le 04 décembre 2023 à 12:48 - Mis à jour le 04 décembre 2023 à 13:01

Photo d'illustration

Photo d'illustration

DR

L'essentiel de l'actualité

jeudi 9 juillet

  • Les États-Unis frappent à nouveau l'Iran, qui riposte dans le Golfe
  • Marchés : les places asiatiques divisées, le pétrole monte
  • L'Europe occidentale a enregistré le mois de juin le plus chaud de son histoire (institut Copernicus)
  • Puces IA : SK hynix va fixer le prix de son introduction à Wall Street
  • IA : l'américain Cerebras, rival de Nvidia, va investir « plusieurs milliards de dollars » en Europe
Voir plus

Le Quotidien Numérique

09 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    « On ne joue pas avec la cybersécurité » : Bruxelles attaque la France en justice pour son retard sur la directive NIS 2

  • 2

    Détroit d'Ormuz : comment l'Iran a bâti son péage, entre « frais de services » et droit contesté

  • 3

    500 plus grandes fortunes de France : de nouveaux milliardaires propulsés grâce à l'intelligence artificielle

  • 4

    Le Burkina Faso mobilise plus de 457 millions d'euros pour moderniser ses infrastructures routières

  • 5

    Taxe de séjour : la faille juridique qu'Airbnb espère faire sauter dans toute la France

  • 6

    Charles Emond (Caisse de dépôt et placement du Québec) : « Nous devons absolument nous tourner vers l’Europe »

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. Voir un régulateur des marchés financiers poursuivre le DSSI (Directeur de la Sécurité des Systèmes d'information) d'une entreprise cotée en bourse n'est pas fréquent. C'est la mésaventure, avec de la prison à la clé sans doute, qui arrive à une entreprise américaine et c'est justifié. Par Charles Cuvelliez, Université de Bruxelles, Ecole Polytechnique de Bruxelles et Jean-Jacques Quisquater, Université de Louvain et Ecole Polytechnique de Louvain

On s'en souvient : des hackers avaient réussi à diffuser auprès des clients de Solarwinds, une version modifiée de Orion, un logiciel de gestion et de supervision de leurs réseaux, et ce, depuis l'intérieur même de l'entreprise. Tous les clients, dont des agences gouvernementales américaines, qui avaient installé la version modifiée ont permis aux hackers de se promener librement chez eux.

Du jamais-vu. On avait incriminé la Russie et les superlatifs ne manquaient pas...

Sauf que la SEC, le régulateur boursier américain, dans sa plainte, 3 ans plus tard,  montre l'impensable en termes de manque de culture de sûreté, de négligence et de mensonge de la part de Solarwinds.

Un développement sans sécurité

Cela commence par le logiciel Orion, développé sans guidance de sécurité. L'enquête de la SEC a bien décelé l'intention d'y aller en 2018 avec, doucement, un training d'initiation aux développeurs, des expériences pilotes et un déploiement graduel alors qu'on parle du b.a.-ba. Solarwinds prétendait pourtant vers l'extérieur développer en suivant les cadres de sécurité ad hoc.

Il y avait une politique de changement de mot de passe tous les 90 jours, avec une composition spéciale obligatoire, mais elle n'était pas implémentée partout et Solarwinds le savait. Un audit avait mis en évidence plusieurs systèmes informatiques critiques sans cette politique de mot de passe. Des mots de passe partagés existaient et un serveur public web de la société en contenait en libre accès !

Les mises à jour des logiciels de Solarwinds étaient distribuées via le réseau tiers Akamai. Un chercheur fit savoir que le mot de passe pour accéder au compte Akamai de Solarwinds se trouvait sur Internet.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Des accès trop larges

Entre 2017 et 2020, on donnait, en routine et à grande échelle, des autorisations d'accès trop étendus à tout employé, une pratique très dangereuse et bien connue du directeur IT et du CIO. Un hacker n'avait donc qu'à voler un identifiant d'un employé lambda.

Vient ensuite le vecteur par lequel les hackers ont pénétré chez Solarwinds pour modifier incognito Orion.  Solarwinds permettait à ses employés d'accéder au réseau via un VPN, un tunnel sécurisé à travers Internet, sauf que tout appareil, même non connu de Solarwinds, pouvait l'utiliser. Avec un identifiant volé, un hacker pouvait bouger dans le réseau sans se faire repérer ou extraire massivement des données. Un autre mécanisme de détection de fuite de données existait bien sauf qu'il n'était pas appliqué au VPN.

En 2018, un ingénieur, lit-on dans la plainte de la SEC, fit remarquer qu'avec ce VPN, un hacker pouvait y charger du code informatique corrompu ou compromis et  le stocker pour pouvoir y accéder en suite. En octobre 2018, avec tout cela, Solarwinds faisait son entrée en bourse  sur base d'informations erronées pour l'investisseur : tout était en ordre, disait SolwarWinds, sur les bonnes pratiques de sécurité. Solarwinds, la main sur le cœur affirmait partout que ses cyberpratiques étaient  conformes et elle en rajoutait sur ses communiqués de presse, podcasts et ses blogs.

La SEC attaque Solarwinds pour avoir trompé les investisseurs en cachant ses manquement et en mentant. Elle va même plus loin et dit que la direction de Solarwinds, alertée à plusieurs reprises en interne de ces déficiences aurait dû anticiper qu'elle ferait l'objet d'une cyberattaque.

Alerté par les clients

Le pire est que Solarwinds fut averti de l'attaque par des clients et n'a rien fait. C'est bien par le VPN que les hackers sont entrés, par des machines non identifiées. Les accès ont eu lieu entre novembre 2019 et janvier 2020. De là, les hackers ont circulé dans le réseau à la recherche de mots de passe et autres passerelles. En fin de compte, les hackers réussirent à ajouter des lignes de code malicieuses au programme Orion.  On apprend que les hackers n'eurent aucun problème à accéder aux zones de développement des logiciels depuis les zones corporate, un peu comme si un laboratoire à haute sécurité travaillait à porte ouverte.

Les hackers ont pu éteindre les antivirus et autres sécurité, avec des accès lambda, ce qui leur a permis d'accéder et exfiltrer les lignes de code sans alerte. Ils ont d'abord testé si des lignes de code supplémentaires mais qui ne faisaient rien allaient être détectées. La réponse fut non.

La suite, on la connait : 18.000 clients dont des agences gouvernementales américaines ont reçu le programme avec un code modifié d'Orion qui permettait aux hackers de pénétrer leur réseau puisqu'il servait à le gérer. C'était tellement gros que Solarwinds a prétendu faire face à une attaque d'un Etat, mais c'était faux. Solarwinds fut incapable de comprendre la cause des attaques. Elle prétendit qu'il s'agissait d'une vulnérabilité sur son produit qu'il fallait corriger alors que non, c'était un produit modifié !

Solarwinds a menti au cours des attaques, pour la SEC : elle avait simplement averti que du code avait été modifié dans la dernière version de son logiciel téléchargé sans dire qu'une attaque en cours l'exploitait déjà.

La leçon est rude : des fournisseurs connus  peuvent donc mentir des années durant. Si la sécurité se resserre autour des fournisseurs, avec notamment la régulation DORA, se contenter de la bonne foi de ne suffit pas : due diligence, inspection sur site (au cours desquelles des langues se seraient déliée, dans de cas de Solarwinds), certifications à vérifier. Il faut du tangible !

________________

Pour en savoir plus

CHRISTOPHER BRUCKMANN, (SDNY Bar No. CB-7317), SECURITIES AND EXCHANGE COMMISSION, Plaintiff, Civil Action No. 23-cv-9518,against SOLARWINDS CORP. and TIMOTHY G. BROWN.

Charles Cuvelliez et Philippe Debrue

Sur le même sujet

Sébastien Guinard

OPINION. « Le paradoxe chinois de l’IA : une nanoseconde derrière et pourtant déjà devant »

Oubliez les tokens et les gigawatts ! L'IA ne se contente plus de calculer, elle agit. La véritable course à l'intelligence artificielle est la capacité industrielle.

Idées & Débats
Catherine Baudeneau

OPINION. « Pourquoi les Français épargnent-ils autant… mais investissent-ils si peu ? »

Les Français épargnent beaucoup. Trop, disent parfois certains observateurs. Avec un taux d'épargne qui dépasse régulièrement les 17 % du revenu disponible des ménages et plus de 6 000 milliards d’euros d’actifs financiers détenus par les Français, notre pays ne manque manifestement pas de ressources financières. Pourtant, une question demeure : pourquoi cette épargne abondante se transforme-t-elle si difficilement en investissement ?

Idées & Débats
Photo d'illustration de l'article

OPINION. « Canicule, le symptôme de plus d’une grande crise de la ville »

La canicule met en lumière une vérité implacable : nos villes sont mal adaptées. Au-delà de la climatisation, c'est une refonte profonde de notre urbanisme qui s'impose. L'industrie de l'immobilier et de la ville, forte de son expertise, dévoile un plan d'action pour relever ces défis cruciaux.

Idées & Débats
private equity

OPINION. « Votre argent est disponible... Presque ! » (Michel Santi)

Le crédit privé, un marché de milliers de milliards, promettait des rendements stables. Mais derrière le « blanchiment de volatilité » se cache une liquidité illusoire. Les fonds ferment leurs guichets, révélant une sortie de secours en trompe-l'œil. Le risque est-il sous-estimé ?

Idées & Débats
Sébastien Boussois

OPINION. « France-Maroc : derrière le quart de finale, la stratégie gagnante du soft power marocain »

À l’approche du quart de finale de la Coupe du monde qui opposera la France au Maroc, tous les regards seront naturellement tournés vers le terrain. Pourtant, l’essentiel est peut-être ailleurs.

Idées & Débats
Michel-Henry Bouchet

OPINION. « Aide au développement en berne : constat de cinq décennies d’échec ? »

Malgré des décennies d'aides massives, le développement en Afrique subsaharienne stagne. Alors que le FMI s'inquiète d'une baisse des fonds, ces aident n'ont pas atteint les objectifs.

Idées & Débats
Véronique Chabourine

OPINION. « Sommet de l’OTAN : vers une accélération de la logique capacitaire ? »

En plaçant le développement des capacités au cœur de son agenda, l’OTAN confirme une évolution déjà engagée. Le sommet d’Ankara permettra-t-il d’en accélérer la mise en œuvre ?

Idées & Débats
Sébastien Lefébure

OPINION. « Les canicules ont un coût caché : celui d’une économie qui peine encore à anticiper »

Les épisodes de chaleur extrême qui ont frappé une grande partie de l’Europe ces dernières semaines ont été largement commentés sous l’angle sanitaire ou environnemental. Pourtant, une autre conséquence mérite aujourd’hui toute l’attention des dirigeants : leur impact économique. Car une canicule ne ralentit pas uniquement les individus. Elle ralentit aussi les entreprises.

Idées & Débats