Publié le 06 août 2021 à 16h48

Poursuivie en justice, SolarWinds affirme qu’elle ne « pouvait pas anticiper » la cyberattaque

Temps de lecture : 4 min

9 mois plus tard, l’affaire SolarWinds se poursuit encore en justice. Petit rappel des faits : des hackers ont réussi à s’introduire discrètement sur le moteur de production du logiciel phare de l’entreprise, Orion, dès la fin 2019. Ils ont utilisé l’accès à ce serveur en charge des mises à jour de l’outil de gestion de réseau pour y insérer un malware — surnommé Sunburst. Comme SolarWinds n’a pas détecté l’infection, elle a elle-même envoyé une version vérolée d’Orion à plus de 18 000 organisations entre mars et juin 2020. Dans le jargon, cette méthode est connue sous le nom de « supply chain attack ».

Une fois Sunburst déployé chez les clients de Solarwinds, les hackers devaient activer manuellement la deuxième étape de leur attaque, et ils n’ont visé que quelques dizaines d’organisations parmi les milliers touchées. Sunburst n’était qu’un cheval de Troie destiné à leur permettre de s’introduire sur les réseaux de leurs cibles principales : le gouvernement américain, l’Union européenne ou encore de grandes entreprises de la tech comme Microsoft et Malwarebytes. Toute cette manipulation a pour la première fois été découverte en décembre 2020 par l’entreprise de cybersécurité FireEye.

SolarWinds a réussi à se relever de Sunburst, mais n’en a pas fini. // Source : CCO/Wikimedia

Dès le mois suivant, en janvier 2021, une partie des actionnaires de l’entreprise a lancé une procédure de justice en janvier 2021. Les plaignants affirment qu’ils n’ont pas été correctement informés par les dirigeants de l’époque sur l’état de la sécurité de l’entreprise en amont de l’attaque russe. Le CEO Kevin Thompson — dont le départ était prévu avant la découverte du scandale — et le directeur financier Barton Kalsu auraient « déformé et omis de divulguer » une partie des détails critiques de l’affaire. La position de sécurité de l’entreprise n’étant pas été claire aux yeux des actionnaires, le cours de l’action se serait, selon eux, retrouvé indûment « gonflé ». Le document (mis en ligne par TheRegister) précise que l’annonce a engendré un « déclin précipité de l’action », qui a mené à des « pertes et dommages significatifs. »

Dans les chiffres, le cours de l’action SolarWinds s’est effondré de près de 25 dollars à moins de 15 dollars dans la foulée des révélations. Et ce n’est que très récemment qu’il s’est de nouveau approché de sa valeur d’avant l’attaque. Reuters rapporte également que la première version de la plainte accusait Kevin Thompson d’avoir coupé certains budgets de cybersécurité dans l’objectif de proposer de plus gros dividendes aux deux principaux actionnaires du groupe, qui détenaient 40% des parts à eux deux. Les plaignants demandent des dommages et intérêts, sans en préciser le montant.

« On ne pouvait pas anticiper »

De son côté SolarWinds plaide qu’elle serait « victime d’une des cyberattaques les plus sophistiquées de l’Histoire », et que ce « cybercrime sophistiqué » ne doit pas être déformé en une histoire de manquements de sécurité, comme l’a repéré The Register. En effet, pour appuyer leur cause, les plaignants citent l’histoire du mot de passe « solarwinds123 », qui a resurgi au moment de la découverte de l’attaque. Le chercheur Vinoth Kumar affirmait qu’il avait trouvé le mot de passe simpliste en novembre 2019 sur un dépôt GitHub mal configuré. L’identifiant lui aurait permis d’accéder au serveur de SolarWinds visé par l’attaque russe, mais quelques mois avant ces derniers. Reste que le lien entre cet incident et la supply chain attack n’a jamais été prouvé. De son côté, SolarWinds affirme qu’elle a réglé l’incident sur le moment, et elle rappelle que lien du mot de passe avec le moteur de production n’a pas été prouvé par l’équipe légale des investisseurs.

L’entreprise demande désormais à la justice fédérale de prendre en compte le caractère exceptionnel de la cyberattaque subie, et de ne pas donner suite à la plainte. Si le terme « plus sophistiqué de l’Histoire » peut être débattu, SolarWinds a effectivement subi une attaque hors norme. D’après plusieurs enquêtes privées et celle de la Maison-Blanche elle-même, l’attaque est attribuée au SVR une branche du renseignement russe, qui s’appuie sur des équipes de hackers de haut niveau. Les rapports relèvent par exemple les excellentes capacités des malwares lancés contre SolarWinds à éviter les outils de détection. Le groupe affirme ainsi qu’il « ne pouvait pas anticiper ces techniques et mettre en place des mesures de préventions adéquates ». C’est désormais à la justice fédérale d’évaluer sa défense.

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !

Crédit photo de la une : CCO/ A. Owen pour Pixabay

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Des hacktivistes russes s'attaquent à des sites institutionnels.. // Source : Numerama avec Midjourney

Site du Sénat hors service : des hackers russes s’attaquent encore au Parlement français

Le jeu devrait quand même sortir en 2003. // Source : Stalker 2

Stalker 2 : les hackers russes s’acharnent contre le jeu ukrainien

Des données sur des magistrats sont en ligne. // Source : Wikimedia Commons

Après les émeutes, des infos personnelles de juges publiées par des hackers

Hamza Bendelladj. // Source : Midjourney ; retravaillé par Claire Brakeh pour Humanoid

Hamza Bendelladj, l’énigmatique « hacker souriant » soupçonné de cyberattaques en France

Les hacktivistes passent leur temp à harceler des cibles. // Source : Numerama avec Midjourney

Zarya Legion, le groupe de hackers russes qui a la haine contre Microsoft

Les derniers articles cyberguerre

cyberguerre hygiène numérique gestionnaires de mots de passe

Une attaque par phishing tente de piéger les internautes sur LastPass

19.04.2024 16:40

Une porte dérobée

Le renseignement russe a développé de nouveaux logiciels. // Source : Numerama avec midjourney

« Kapeka », un nouveau logiciel malveillant du renseignement russe, a été repéré

17.04.2024 13:07

Les sociétés de logiciel espion travaillent sur des programmes de pubs malveillantes. // Source : Numerama avec midjourney

cyberguerre hygiène numérique

Cliquer sur une pub en ligne pourrait installer un logiciel espion sur votre smartphone

16.04.2024 11:55

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

tech smartphone apple iphone

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

12.04.2024 10:17

Le Parc des Princes, le stade du PSG. // Source : Numerama

cyberguerre cybercriminalité

La billetterie du PSG a été piratée

09.04.2024 17:45

Le message des hackers turcs laissé sur le site du CERC // Source : Capture d'écran Numerama

cyberguerre cybercriminalité

Qui sont les hackers turcs responsables du piratage d’un site gouvernemental français ?

08.04.2024 17:34

Les hackers vont fouiller dans l'organisation de l'entreprise pour piéger de employés précis. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Qui est la cible favorite des hackers parmi vos collègues

07.04.2024 12:59

Des hackers pro-russes ont ciblé les ministères. // Source : Numerama avec Midjourney

cyberguerre hygiène numérique phishing

Les hackers du Kremlin envoient une fausse invitation à diner à la sphère politique allemande

05.04.2024 19:20

Fini le stockage sur le navigateur

Google Chrome est victime de nombreux vol de cookie d'authentification. // Source : deepanker70

Google veut mettre fin au vol de cookie sur Chrome avec une nouvelle fonctionnalité

03.04.2024 13:32

tech smartphone applications

Keeper déploie enfin le nécessaire pour en finir avec les mots de passe sur smartphone

03.04.2024 08:33