Et si un mot de passe affreusement simple et exposé en ligne était le point de départ d'une des plus grandes opérations de cyberespionnage de l'histoire ?

Plus de deux mois après la découverte de l’attaque contre SolarWinds, les enquêteurs continuent de reconstituer, pièce par pièce, le chemin pris par les hackers, qui leur a permis d’infiltrer 9 branches du gouvernement américain et plus d’une centaine d’entreprises privées. Malgré les progrès de l’investigation, une inconnue reste : comment les hackers se sont-ils introduits dans le système interne de SolarWinds ? Toutes les hypothèses ont été évoquées, de la corruption d’un employé, à la réussite d’un phishing, en passant par une fuite d’un mot de passe. C’est justement cette dernière théorie qui est revenue sur la table vendredi 26 février, à la faveur d’une audition des dirigeants de SolarWinds devant le Congrès américain, comme l’a remarqué Business Insider.

Une des interrogatrices, l’élue californienne Katie Porter, a rappelé une information qui avait fait grand bruit au début de l’enquête en décembre 2020, mais quelque peu oubliée depuis. Un chercheur, Vinoth Kumar, affirmait qu’il avait trouvé, en novembre 2019, un duo d’identifiants permettant d’accéder aux serveurs internes de SolarWinds. Plus précisément, il permettait d’après lui d’accéder au moteur de production, le serveur chargé des mises à jour des logiciels du groupe, celui-là même où les hackers ont déposé leur cheval de Troie. Les identifiants étaient affichés en clair sur un dépôt GitHub — la plus populaire des plateformes de partage de code –, alors qu’ils n’étaient pas censés l’être.

  • Vous avez raté un épisode de l’affaire SolarWinds ? Nous avons une vidéo pour rattraper : 

Non seulement les identifiants étaient exposés sans protection, mais en plus ils étaient risibles. Le nom d’utilisateur « solarwinds.net » et le mot de passe, « solarwinds123 », avaient de quoi horrifier n’importe quel responsable de sécurité. Choisissez votre adjectif : faible, simple à deviner, et surtout indigne d’une entreprise qui fournit des organisations sensibles comme le gouvernement américain. La députée Katie Porter a donc demandé aux dirigeants de commenter ce raté colossal dans la sécurité du groupe.

Petite erreur de stagiaire ou fuite critique de plus de 2 ans ?

Interrogés séparément, l’ancien CEO Kevin Thompson et le nouveau CEO Sudhakar Ramkrishna ont répondu de façon similaire : si les identifiants se sont retrouvés en ligne et sans protection, ce serait d’après eux à cause d’un stagiaire qui n’aurait pas respecté la politique de sécurité de l’entreprise.  «  Je crois que c’était un mot de passe qu’un stagiaire a utilisé pour un de ses serveurs en 2017, qui a été signalé à notre équipe de sécurité puis immédiatement retiré » a balayé Ramkrishna.

Cette version des faits est contestée par le chercheur à l’origine de la révélation, qui a fourni à Business Insider un email de remerciement de l’équipe de sécurité SolarWinds, reçu le 22 novembre 2019. « Nous nous sommes occupés de la mauvaise configuration du dépôt GitHub, et il n’est plus accessible publiquement. De plus un traitement a été appliqué aux identifiants exposés », peut-on lire. La chronologie des faits paraît floue : est-ce que la fuite du mot de passe de 2017 et celle de 2019 sont indépendantes ? Est-ce que le mot de passe était accessible publiquement pendant deux ans ? Pourquoi est-ce que le mot de passe n’aurait pas été changé après le premier incident ?

Simple coïncidence ou causalité ?

Pour rappel, dans les premiers retours de son enquête interne, SolarWinds a conclu que les hackers s’étaient infiltrés sur son système dès septembre 2019, soit un mois avant la fuite d’identifiants relevée par le chercheur. Rien ne prouve pour l’instant que les deux événements sont liés, mais ce pourrait être une piste suivie pour les enquêteurs. Plus généralement, la confusion autour de cette affaire dans l’affaire prouve que SolarWinds était loin d’être irréprochable dans ses pratiques de sécurité. Et ces lacunes pourraient avoir profité aux hackers…

Crédit photo de la une : CCO/Pxhere

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux