Début février, les dirigeants de SolarWinds avaient attribué l'origine de la cyberattaque dont l'entreprise était victime à une erreur de stagiaire. 3 mois plus tard, le CEO de l'entreprise s'est excusé de ces propos hâtifs, et a émis des hypothèses plus crédibles.

5 mois après avoir réalisé qu’il était le point de départ d’une des plus grandes opérations de cyberespionnage du 21e siècle, SolarWinds n’a toujours pas terminé son enquête interne. L’entreprise, aidée par deux autres firmes et par le gouvernement américain, cherche encore la réponse à l’une des grandes questions de l’affaire  ; comment les hackers se sont-ils infiltrés sur ses serveurs ?

À l’occasion d’une prise de parole lors la conférence RSA rapportée par The Record Media le 19 mai, le CEO Sudhakar Ramakrishna s’est excusé pour la façon dont l’entreprise a blâmé un stagiaire pour l’incident. Interrogés par le Congrès américain en février, le CEO et son prédécesseur avaient attribué à l’employé précaire l’histoire de la fuite d’un mot de passe — « solarwinds123 » — qui aurait pu donner accès à des serveurs internes de l’entreprise. Comme nous l’avions détaillé à l’époque, le récit de cet incident paraissait confus, tant chronologiquement que dans son rapport avec l’affaire de cyberespionnage. « Ce qui s’est passé à l’audition au Congrès où nous avons attribué l’erreur à un stagiaire était inapproprié et ne correspond pas à nos valeurs », a déclaré Ramakrishna.

À droite de l’image, le CEO de SolarWinds depuis janvier 2021, Sudhakar Ramakrishna. // Source : SolarWinds

On ne sait toujours pas comment les hackers ont pénétré SolarWinds

La piste ridicule de la boulette du stagiaire étant écartée, l’éditeur de logiciel a réduit son enquête à trois hypothèses. Les hackers pourraient avoir :

  • Exploité une vulnérabilité zero-day (c’est-à-dire inconnue et donc sans correctif) dans une application ou un appareil tiers, afin de s’introduire sur le réseau.
  • Deviné le mot de passe d’un compte administrateur grâce à une attaque de « brute-force » (essais répétés de plusieurs mots de passe plausibles) sur plusieurs comptes.
  • Récupéré les identifiants grâce à « un phishing très sophistiqué » contre un employé de SolarWinds.

Pour rappel, SolarWinds avait envoyé la mise à jour infectée du logiciel Orion à 18 000 de ses clients. Le malware ouvrait une porte sur le réseau des victimes, que les hackers pouvaient activer manuellement à distance. En dehors du gouvernement américain et de quelques entreprises de sécurité (Malwarebytes, FireEye, Microsoft, ou encore, bien plus tard, l’Union européenne), peu de victimes se sont déclarées publiquement. D’après l’enquête interne, leur nombre serait «  inférieur à 100 », un bilan similaire aux premières estimations des recherches externes.

Sudhakar Ramakrishna a aussi indiqué à la conférence RSA que les hackers auraient débuté leur opération de reconnaissance au sein du réseau de SolarWinds dès janvier 2019. Jusqu’ici, on savait seulement qu’ils avaient lancé des premières manipulations de test en septembre 2019, plus de 6 mois avant le déploiement de la véritable cyberattaque, et 1 an avant sa découverte. Ce détail est encore un signe supplémentaire de l’extrême discrétion des hackers. Ils ont longuement étudié leur cible avant de passer à l’action, et ils l’ont infiltrée progressivement.

La Maison-Blanche a officiellement accusé le SVR, une branche du renseignement russe, d’avoir piloté l’opération, ce qui explique la sophistication de la cyberattaque. Malgré une escalade diplomatique entre les États-Unis et la Russie, le gouvernement de Vladimir Poutine continue de nier toute implication. Interrogé par la BBC début mai, le chef du SVR Sergei Naryshkin a balayé l’attribution de l’attaque non sans sarcasme : « je ne peux pas réclamer des réussites aussi créatives si elles ne sont pas les miennes ». Pour lui, la cyberattaque viendrait de l’ouest, plus précisément de la Grande-Bretagne ou des États-Unis eux-mêmes. Son hypothèse n’est appuyée d’aucune preuve, alors que plusieurs rapports publics comme privés insistent sur le lien des hackers avec la Russie.

Crédit photo de la une : CCO/Pxhere

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux