Cybersécurité : les 4 failles informatiques qui ont marqué 2021

SolarWinds, Microsoft Exchange, PrintNightmare, Log4j... l'année 2021 fut dense en failles informatiques exceptionnelles, qui ont imposé un rythme éreintant aux équipes de cybersécurité, chacune sur un plan différent. Et malgré les correctifs déployés pour les réparer, ces vulnérabilités devrait encore faire parler d'elles en 2022.
François Manens

9 mn

(Crédits : TIM WIMBORNE)

Encore un bilan record pour le monde de la cybersécurité. Début décembre, le nombre de failles informatiques enregistrées en 2021 a dépassé le record établi l'année dernière, qui s'élevait à 18.351. Autrement dit, plus de 50 vulnérabilités dans des logiciels ont été découvertes chaque jour en 2021. Cette tendance suit une certaine logique : intrinsèquement, les logiciels, composés de milliers de lignes de codes, contiendront toujours des erreurs qui seront exploitables. Or, avec la numérisation de nombreux industries et services, le nombre de logiciels et leur complexité augmentent, ce qui résulte d'une hausse du nombre de faille.

Mais si le volume impressionne, il faut garder à l'esprit que toutes ces vulnérabilités ne sont pas forcément critiques. Quatre critères entrent principalement en compte pour évaluer leur dangerosité : ce que la faille permet de faire sur la machine vulnérable ; la difficulté pour l'exploiter ; le nombre d'appareils exposés ; et la facilité à déployer un correctif pour réparer la faille. Et parmi les dizaines de failles majeures de 2021, quatre se sont particulièrement distingués sur ces critères.

SolarWinds, l'opération de cyberespionnage qui a secoué les Etats-Unis

Extrême complexité, cyberespionnage et poids diplomatique important : la faille du logiciel de gestion de réseau Orion, édité par l'entreprise américaine SolarWinds, a tout les ingrédients d'une recette exceptionnelle. Découverte en décembre 2020 par les entreprises FireEye et Microsoft, cette attaque avait en réalité frappé encore plus tôt, avant l'été. Mais même si l'action s'est déroulé en 2020, cette opération de cyberespionage à tout à fait sa place dans une rétrospective de l'année 2021. Pour cause : de janvier à avril, les détails de l'affaire sont tombés au compte-goutte au gré des rapports.

Concrètement, SolarWinds a été victime d'un type de manipulation particulièrement redouté, la supply-chain attack. Des hackers - appartenant à une branche du renseignement russe, d'après la Maison-Blanche - ont réussi à s'infiltrer sur le serveur de production du logiciel Orion. Grâce à cet accès, ils ont ajouté quelques lignes de code aux milliers qui composent le logiciel. Autrement dit, ils ont eux-mêmes introduit une vulnérabilité dans le logiciel, qu'ils ont pu exploiter par la suite. Puisque l'entreprise n'a détecté ni la présence des hackers ni leurs modifications, elles les a validés de son tampon, puis a envoyé la mise à jour infectée d'Orion à ces clients. Ces derniers n'ont pas non plus détecté l'attaque, car SolarWinds était considéré comme un acteur de confiance dans leurs réseaux.

Lire aussi 5 mnL'attaque cyber Solarwinds contre les Etats-Unis : saura-t-on jamais si c'en est fini ? Non !

Le problème, c'est que les hackers ont ainsi transformé Orion en un cheval de Troie, capable d'ouvrir une porte dérobée (un accès parallèle) sur le réseau des clients de SolarWinds. Heureusement, cet accès devait être activé manuellement par les hackers, et sur 18.000 portes entrouvertes vers des organisations, ils n'en ont exploité qu'un peu moins d'une centaine. Dans leur viseur : les différentes branches du gouvernement américain et des entreprises technologiques. Leur objectifs précis et les dégâts réels causés restent confidentiels, mais ils seraient de l'ordre de l'espionnage et donc du vol d'information.

Cette affaire restera dans l'histoire. D'une part, car elle a remis sur la table le danger des supply-chain attack : la compromission d'une seule entreprise a permis d'ouvrir un accès aux réseaux de milliers d'autres, ce qui remet en cause la dépendance à des services tiers. D'autre part, elle a attisé à nouveau les tensions entre les pouvoirs américain et russe dans le cyberespace, les premiers accusant frontalement les seconds, une attribution rare dans le milieu.

Microsoft Exchange, le terrible contre-la-montre entre attaquants et défenseurs

Microsoft Exchange est de ces logiciels que beaucoup d'employés utilisent sans le savoir. Il sert à centraliser tous les emails reçus par les membres d'une organisation et à les faire suivre aux destinataires, et il se cache sûrement derrière votre messagerie Outlook.

Début mars, Microsoft a réparé une chaîne de quatre vulnérabilités dans Exchange, qui était exploitée depuis janvier par des hackers. Ils s'en servaient pour installer des webshells - sortes de panneaux de commande alternatifs - sur les serveurs vulnérables. Cette manipulation leur permettait, en bout de chaîne, d'espionner le contenu des boîtes email, de diffuser des logiciels malveillants dans le réseau de l'entreprise ou encore d'usurper l'identité des employés de l'organisation victime.

Lire aussi 3 mnComment Microsoft compte limiter les cyberattaques contre sa messagerie Exchange

La publication de Microsoft a déclenché un contre-la-montre entre attaquants et défenseurs. Les hackers, qui lançaient jusque-là un faible nombre d'attaque pour ne pas se faire repérer, ont démultiplié leurs tentatives contre les serveurs vulnérables. En face, les défenseurs devaient quant à eux déployer la mise à jour de Microsoft au plus vite avant de se faire pirater. Mais ce n'est pas une tâche aussi simple qu'il n'y paraît, puisque ce processus implique de rendre les emails de l'organisation indisponibles pendant une certaine durée, alors que le travail à distance battait son plein. Au final, des milliers de victimes auraient été touchées par l'attaque.

En plus de son ampleur, cette attaque sort du lot car Microsoft a frontalement accusé Hafnium, un groupe de hacker affilié au gouvernement chinois, d'en être à l'origine. Ce genre de groupe, appelé « advanced persistent threats » ou APT dans le jargon, a des objectifs géopolitiques (espionnage industriel ou politique, destruction de fichiers) et non financiers, contrairement aux cybercriminels. Cette affaire a exposé à nouveau la capacité de ces unités avancées de hackers à découvrir plusieurs failles critiques dans des logiciels très largement utilisés et audités.

PrintNightmare, la gaffe devenue hors de contrôle

Fin juin, des chercheurs de l'entreprise chinoise Sangfor ont publié en urgence le détail de leur recherche sur une vulnérabilité qu'ils ont baptisé PrintNightmare - littéralement, le "cauchemar de l'impression" - située dans le "spouleur d'impression" de Windows. Ce petit composant logiciel intégré à presque toutes les versions du logiciel de Microsoft (et donc à des milliers d'ordinateurs) est essentiel pour envoyer les commandes de son ordinateur à une imprimante.

Si les chercheurs ont précipité leur publication, c'est parce qu'ils avaient peur de se faire griller l'exclusivité de leurs travaux par une autre équipe. Résultat : ils ont publié tout le détail de leur recherche, et notamment leur preuve de concept, c'est-à-dire leur méthode pour exploiter la faille. Ils pensaient le faire sans risque : un correctif publié un peu plus tôt dans le mois par Microsoft réparait une faille dans le spouleur d'impression de Windows... une faille que les chercheurs pensaient être la même que PrintNightmare. Raté : les deux vulnérabilités était distinctes, et donc à peine quelques heures après leur boulette, les chercheurs ont retiré leur documentation d'internet. Mais le mal était déjà fait, et des malfaiteurs se sont saisis des informations pour exploiter la faille.

Concrètement PrintNightmare se range dans la catégorie des RCE, c'est-à-dire qu'elle permet à un hacker sans accès physique à la machine vulnérable d'y faire des manipulations. A partir de ce genre de failles, des attaquants compétents peuvent se frayer un chemin jusqu'au cœur du réseau de la victime et y lancer toutes sortes d'actes malveillants.

Si PrintNightmare a autant fait parler d'elle, ce n'est pas seulement pour sa dangerosité. C'est aussi parce que Microsoft, dépassé par l'annonce des chercheurs, a peiné à développer un correctif pour réparer la faille. Son premier correctif, publié plus d'une semaine après les premières tentatives d'exploitation de la vulnérabilité s'est avéré inefficace. Et ce n'est que le 14 septembre, soit un mois et demi après le début du PrintNightmare que l'éditeur américain a enfin publié son correctif final. Pendant l'entre deux, les équipes de sécurité ont dû composer avec des mesures partiels, comme la désactivation du spouleur d'impression - et donc de la possibilité d'imprimer des documents.

Log4Shell, la bombe à retardement pour 2022

C'était la (très) mauvaise surprise de la fin d'année. Le 10 décembre, l'Apache Software Foundation a publié un correctif pour une faille critique dans Log4j, un composant logiciel relativement méconnu chargé de "logger" les informations, c'est-à-dire de tenir un carnet de bord des interactions avec le logiciel ou l'app. Et cette vulnérabilité s'est vite présentée comme un casse-tête presque insoluble pour les équipes de sécurité.

Premier problème : ce composant open-source, utilisable gratuitement et développé bénévolement, est utilisé dans des centaines de logiciels et est donc présent sur des millions de machines, ordinateurs et objets connectés en tout genre. Deuxièmement, exploiter la vulnérabilité s'avère être un jeu d'enfant, puisqu'il suffit d'envoyer une commande composée d'une vingtaine de signes pour lancer le téléchargement d'un logiciel malveillant sur la machine vulnérable. Troisièmement, lors du déclenchement de l'alerte, bon nombre d'éditeurs de logiciels ne savaient pas exactement s'ils utilisaient Log4j, ni comment le localiser. Quatrièmement, le déploiement d'un correctif sur ce genre de composant n'est pas automatique et il doit donc être effectué manuellement. Pour finir, l'Apache Software Foundation a dû publier plusieurs mises à jour avant que le problème soit résolu, le premier patch s'étant avéré insuffisant.

Résultat : à ce jour, la faille de Log4j a déjà servi à lancer de premiers actes malveillants, dont des attaques rançongiciels. Mais la vraie vague d'attaque serait à venir, d'après les experts. Et ce, dès 2022.

Lire aussi 7 mnFaille informatique Log4Shell : « nous vivons un séisme, mais il faut se préparer au tsunami »

François Manens

9 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 04/01/2022 à 8:41
Signaler
Ha facile ! 1- Les non vaccinés 2- Les immigrés 3- Trump et 4- Le brexit ! Bon après l'ordre dépend selon les jours hein... ^^

à écrit le 31/12/2021 à 12:37
Signaler
Gérer les "conséquences" est bien plus rémunérateur que d'en éliminer la cause surtout avec un appui publicitaire!

à écrit le 31/12/2021 à 11:56
Signaler
Qui prendra le risque d'acheter une voiture autonome, de monter dans un avion ou un train sans conducteur dans de telles conditions ? Pas moi😃.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.