cyber target security on intentionally blurred United States flag

SolarWinds : tout savoir sur la cyberattaque historique des États-Unis

Le piratage SolarWinds est considéré comme la pire cyberattaque dirigée contre le gouvernement des États-Unis. Comment les hackers s’y sont pris et quel type de données a été compromis? Pourquoi les responsables du gouvernement américain et les politiciens ont-ils nommé la Russie?

L’attaque

Le piratage SolarWinds a ciblé le gouvernement américain, ses agences fédérales et plusieurs autres entreprises privées. En fait, il s’agit probablement d’une cyberattaque mondiale. Il a été découvert pour la première fois par la société américaine de cybersécurité FireEye le 8 décembre 2020. Depuis lors, de nouveaux développements continuent à apparaître chaque jour. 

Dans un article paru sur le New York Times, Thomas P Bossert, qui était conseiller à la sécurité intérieure du président Donald Trump, affirme détenir des preuves sur l’implication de la Russie, notamment de l’agence de renseignement russe connue sous le nom de SVR. Kremlin a nié.

Une attaque sophistiquée ciblant le gouvernement

La toute première attaque aurait ciblé les systèmes de FireEye. L’entreprise aide à la gestion de la sécurité de plusieurs grandes entreprises privées et agences gouvernementales fédérales. FireEye déclare avoir été attaquée par un acteur de la menace hautement sophistiqué et que l’attaquant recherchait principalement des informations relatives à certains clients gouvernementaux. Le PDG de l’entreprise évoque également l’usage de nouvelles méthodes.

Le 13 décembre, FireEye a déclaré que la cyberattaque, baptisée Campagne UNC2452, n’avait pas été transmise à la société, mais avait ciblé diverses organisations publiques et privées à travers le monde. La campagne a probablement commencé en mars 2020 et dure depuis des mois. Pire encore, l’étendue des données volées ou compromises est encore inconnue, l’attaque dans son ampleur étant toujours en cours de découverte. 

Une attaque de chaîne d’approvisionnement

Au lieu d’attaquer directement le gouvernement fédéral ou le réseau d’une organisation privée, les pirates ciblent un fournisseur tiers, qui leur fournit des logiciels. Dans ce cas, la cible était un logiciel de gestion informatique appelé Orion, fourni par la société texane SolarWinds. Plus de 33 000 entreprises utiliseraient Orion. SolarWinds affirme que 18 000 de ses clients ont été touchés dont 425 entreprises du Fortune 500.

Selon FireEye, les pirates ont obtenu un accès  via des mises à jour trojanized du logiciel de surveillance et de gestion informatique Orion de SolarWinds. Fondamentalement, une mise à jour logicielle a été exploitée pour installer le malware Sunburst dans Orion, qui a ensuite été installé par plus de 17 000 clients. Une fois installé, le malware a donné une porte dérobée aux pirates aux systèmes et réseaux des clients de SolarWinds.

Les réactions

À l’heure actuelle, SolarWinds recommande à tous les clients de mettre immédiatement à jour la plateforme Orion existante qui dispose d’un correctif pour ce malware. Sinon, il faudrait modifier les mots de passe pour les comptes ayant accès aux serveurs / infrastructures SolarWinds. L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié une directive d’urgence 21-01 demandant de  déconnecter ou éteindre immédiatement les produits SolarWinds Orion.

Le FBI, la CISA et le bureau du directeur du renseignement national ont publié une déclaration commune et annoncé ce qu’on appelle le Cyber ​​Unified Coordination Group (UCG) afin de coordonner la réponse du gouvernement à la crise. La Maison-Blanche n’a pas encore réagi.