SolarWinds : retour sur la cyber-attaque qui fait vaciller les Etats-Unis

SolarWinds : retour sur la cyber-attaque qui fait vaciller les Etats-Unis
Réglementaire

C’est mi-décembre 2020 que l’affaire a éclaté au grand jour. Une opération de cyber-attaque, probablement la plus importante de l’histoire, a permis à un groupe de hacker de pénétrer dans 18 000 systèmes informatiques utilisant le logiciel de gestion de réseau Orion de l’entreprise américaine SolarWinds. Parmi les clients infectés figurent (au moins) plusieurs branches du gouvernement américain, deux géants de l’informatique (FireEye et Microsoft) et trois Etats américains. La Russie serait probablement derrière le groupe de hackers qui ont remis en question les fondements de la cybersécurité aux Etats-Unis.

Une véritable onde de choc. Depuis l’élection présidentielle de 2016, les Etats-Unis et la Russie vivent, en matière de cybersécurité, dans un équilibre de la terreur qui rappelle la guerre froide. Mais des hackers au service de la Russie viennent régulièrement envoyer des piqûres de rappel de leurs capacités de nuisance.

La cyber-attaque est parvenu à infiltrer physiquement les serveurs de SolarWinds

Mais la cyber-attaque révélée mi-décembre 2020 est d’une ampleur inédite, tant par le nombre que par l’identité de ses cibles. Elle montre également que le groupe de hackers qui l’a pilotée maîtrise à la perfection toutes les techniques de cyber-agression.

La complexité technique de l’attaque prouve qu’il s’agit d’un groupe rentrant dans la catégorie des « advanced persistent threat », ou APT – ces hackers, financés par un Etat, qui n’ont pas pour objectif premier le gain financier, mais la collecte d’informations confidentielles et la déstabilisation.

En effet, les hackers sont parvenus à accéder physiquement aux serveurs responsables des mises à jour d’Orion, un logiciel de gestion de réseau de l’entreprise américaine SolarWinds, réputé justement pour sa robustesse et, pour cette raison, largement utilisé par des administrations gouvernementales, des collectivités et des grandes entreprises.

Un cheval de Troie pour installer une porte dérobée, puis accéder à toutes les informations du réseau informatique…

Les pirates ont ensuite réussi à installer un cheval de Troie à l’intérieur desdites mises à jour, de façon à ce que ni SolarWinds, ni ses clients ne le détectent. Toutes les mises à jour d’Orion téléchargées entre mars et juin 2020 contenaient ce cheval de Troie. Soit un total de… 18 000 téléchargements !

Une fois installé avec la mise à jour, le cheval de Troie mettait en place une porte dérobée, qui permettait l’installation de malwares supplémentaires par les hackers. Les pirates pouvaient alors obtenir les privilèges administrateurs sur le serveur en question, pour, notamment, créer des jetons d’authentification SAML (Security Assertion Markup Language) pour accéder à des comptes cloud et en exfiltrer des données.

FireEye, Microsoft et, surtout, le gouvernement américain au premier rang des victimes

C’est l’entreprise de cybersécurité FireEye, victime elle-même de cette attaque, qui l’a identifiée et rendue publique le 13 décembre 2020. Par la suite, la liste des victimes connues n’a fait que s’allonger, avec Microsoft, trois Etats américains, la ville d’Austin, mais surtout plusieurs branches du gouvernement américain : le Trésor, le département du Commerce, celui de la Sécurité intérieure, celui de l’Énergie, celui des Affaires étrangères, celui de la sécurité nucléaire…

Microsoft a analysé finement cette cyberattaque, et a identifié une quarantaine d’organisations où la porte dérobée a été exploitée, dont 80% aux Etats-Unis, et le reste dans 7 autres pays : Canada, Mexique, Belgique, Espagne, Royaume-Uni, Israël et les Émirats arabes unis. 44% des organisations visées sont des acteurs de l’informatique.

Du code source de Microsoft exposé

Microsoft lui-même a reconnu, le 1er janvier 2021, que les pirates avaient eu accès au code source de plusieurs logiciels de la firme de Redmont : « Nous avons détecté une activité inhabituelle sur un petit nombre de comptes internes et après vérification, nous avons découvert qu’un compte avait été utilisé pour voir le code source dans un certain nombre de référentiels. Le compte n’avait pas l’autorisation de modifier le code ou les systèmes d’ingénierie et notre enquête a confirmé ensuite qu’aucune modification n’avait été apportée. Ces comptes ont été examinés et modifiés », a précisé Microsoft dans une note de blog.

Le 18 décembre 2020, portes dérobées et malwares identifiés avaient été mis hors d’état de nuire. Toutes les organisations utilisant Orion étaient invité à mettre à jour leur logiciel avec une version récente, ou, à défaut, à désactiver totalement Orion.

La Russie pointée du doigt

Concernant l’origine de la cyberattaque, les yeux se sont immédiatement tournés vers la Russie. Si le président américain Donald Trump s’est montré flou sur la question, son secrétaire d’Etat, Mike Pompeo, a été limpide : «C’était une entreprise très importante, et je crois que nous pouvons maintenant dire assez clairement que ce sont les Russes qui se sont engagés dans cette activité», a-t-il déclaré dans une interview, le 19 décembre 2020.

“Ce n’est pas seulement une attaque contre des cibles spécifiques, mais aussi contre la confiance et la fiabilité d’une infrastructure mondiale essentielle, au profit de l’agence de renseignement d’une seule nation”, a réagi Brad Smith, président de Microsoft.

Le Kremlin dément

Le Kremlin a, bien évidemment, démenti, en demandant aux Etats-Unis d’arrêter de “rejeter la faute sur les Russes, sans preuves”. Certains analystes estiment d’ailleurs que l’affaire relève davantage du cyber-renseignement que d’une cyber-attaque, dans la mesure où aucune donnée n’a été modifiée ou détruite, et aucune infrastructure endommagée.

Jack Goldsmith, professeur de droit à Harvard, a également rappelé que la Russie n’avait pas, loin s’en faut, le monopole de ce type d’agissements : les révélations du lanceur d’alerte Edward Snowden “ont clairement démontré que les États-Unis pénètrent régulièrement dans les ordinateurs de gouvernements étrangers”.

Reste que l’affaire ébranle profondément la sécurité des infrastructures informatiques des Etats-Unis. Le président élu Joe Biden est d’ailleurs immédiatement monté au créneau : «Mon administration fera de la cybersécurité une priorité à tous les niveaux du gouvernement et nous ferons de la réponse à cette cyberattaque une priorité dès notre prise de fonctions», a déclaré le démocrate.