En l'espace d'une semaine, le géant de la cybersécurité FireEye et deux organismes du gouvernement américain ont concédé qu'ils étaient victimes d'opérations de cyberespionnage. Ils ont été visés par un « malware extrêmement sophistiqué » fraîchement baptisé « Sunburst » par FireEye. Embarqué frauduleusement dans la version officielle d'un logiciel de gestion réseau édité par l'entreprise SolarWinds, le malware installe une porte dérobée chez ses victimes.

« Sunburst ». Retenez ce nom, il devrait revenir dans l’actualité de la fin d’année 2020. C’est ainsi que le géant de la sécurité FireEye a baptisé un malware jusqu’ici inconnu, dont lui-même a été victime en ce début de décembre 2020. Des « hackers très sophistiqués », l’exploiteraient au moins depuis le printemps dans des manœuvres d’espionnage contre des organisations gouvernementales ou proches de celles-ci.

Dimanche 13 décembre, Reuters a révélé que deux branches du gouvernement américain, le Trésor et le département du Commerce ont subi une opération d’espionnage. Pendant plusieurs mois, des hackers ont pu regarder à la loupe des échanges d’emails confidentiels. L’agence de presse précise que l’incident a conduit à la réunion d’un Conseil de sécurité nationale à la Maison-Blanche, preuve des inquiétudes du gouvernement.

3 victimes des hackers se sont déclarées, mais il y en aurait plusieurs autres encore inconnues. // Source : Louise Audry pour Numerama

Ces attaques auraient la même origine que celle contre FireEye, mais la connexion entre les deux n’a pas encore été officiellement déclarée. Elles seraient dues à une modification frauduleuse et particulièrement sophistiquée de Orion, une suite logicielle éditée par l’entreprise américaine SolarWinds. Orion comporte toute une palette d’outils qui permettent à des ingénieurs spécialisés de gérer, surveiller et analyser un réseau informatique. Autrement dit, le logiciel a une vue plutôt complète des flux d’informations sur un réseau et sur d’éventuelles anomalies. Problème : avec Sunburst (aussi appelé Solarigate par Microsoft), les hackers sont parvenus à transformer Orion en porte dérobée pour accéder aux réseaux de leurs cibles.

Le gouvernement américain a confié l’enquête sur l’attaque aux deux agences qui interviennent sur les incidents d’ampleur, le FBI et le CISA (une des sous branches de l’équivalent ministère de l’Intérieur). Parallèlement, Microsoft et FireEye continuent aussi leurs investigations.

« Supply chain attack », l’attaque qui se cache dans la mise à jour officielle

SolarWinds ? Le nom de ce gestionnaire de réseau ne vous dit peut-être rien, et pourtant il compte plus de 300 000 clients. Sur son site, le groupe met en avant les plus prestigieux d’entre eux : 425 des 500 plus grandes entreprises américaines (selon le classement de Fortune), les 5 branches de l’armée américaine, les 10 principales entreprises de télécom du pays, la Nasa ou encore le bureau du président des États-Unis.

Potentiellement, ces organisations critiques sont autant de cibles vulnérables à Sunburst. Si FireEye, le Trésor et le département du Commerce américains sont les premières victimes connues, elles pourraient n’être que la face émergée de l’iceberg. Dans une déclaration administrative sur l’incident, SolarWinds précise que seulement 33 000 de ses clients utilisent Orion, et seulement 18 000 d’entre eux seraient sensibles à Sunburst.

Sunburst sommeille pendant deux semaines avant de s’activer

Maintenant que les chercheurs ont publié des indicateurs de compromission, d’autres organisations pourraient détecter l’attaque et se déclarer victimes. Mais la cyberattaque serait d’ores et déjà mondiale : FireEye l’a détectée au sein de nombreux réseaux et a déjà contacté les organisations concernées, domiciliées États-Unis, mais aussi en Europe, en Asie et au Moyen-Orient. Afin d’endiguer d’autres exploitations de Sunburst, le CISA a de son côté publié une alerte nationale sur le sujet, à l’aide d’un dispositif d’urgence qu’il ne mobilise que très rarement.

Concrètement, les hackers sont parvenus à modifier les mises à jour officielles de Orion publiées par SolarWinds. Dans le jargon, cette manipulation prend le nom de « supply-chain attack » : l’attaquant injecte son code malveillant dans le processus même de création ou de modification du produit. Si l’entreprise ne s’en rend pas compte, elle légitime le déploiement du malware sur le réseau de la victime. Ici, Orion, dont le rôle est entre autres de détecter les problèmes de sécurité, implantait lui-même une faille de sécurité. Le code malveillant injecté par les hackers ouvre une backdoor (ou porte dérobée) qui permet aux pirates de faire toutes sortes de manipulations sur le réseau depuis un centre de commande à distance. Mais avant de se déployer, il sommeille pendant deux semaines, bien caché par les protections développées par les hackers.

Sunburst doit être lancée manuellement (et c’est rassurant)

C’est ici que l’attaque brille par sa technicité : non seulement les hackers ont dû trouver l’angle le plus fragile de la chaîne de production pour injecter le code, mais surtout, ils ont dû dissimuler ce code suffisamment pour qu’il échappe aux outils de détection de SolarWinds, ainsi qu’à ceux des appareils où la version vérolée sera déployée. Étant donné la complexité de l’opération et son objectif non financier, tous les doigts pointent donc vers un même type de suspect « un État-nation », ou du moins un groupe commandité par un gouvernement.

Dans un communiqué envoyé à la presse américaine, SolarWinds évoque une attaque « extrêmement sophistiquée, ciblée », qui aurait affecté les versions d’Orion déployées entre mars et juin 2020. Elle précise que la cyberattaque a été « effectuée manuellement ». C’est un détail important, puisqu’il expose une véritable limite : Sunburst ne serait pas automatisable.

« Chacune des attaques requiert une organisation méticuleuse »

Autrement dit, difficile d’imaginer que les malfrats aient tenté de pirater un à un les 33 000 utilisateurs de Orion. Ils se sont plus vraisemblablement concentrés sur un nombre réduit de cibles. Cela signifie également que Sunburst n’est pas une attaque exploitable par n’importe qui : il faut un niveau technique important. « Chacune des attaques requiert une organisation méticuleuse et des interactions manuelles », abonde FireEye.

Ironiquement, la « supply chain attack » pénalise les bons élèves, qui mettent régulièrement leurs logiciels à jour. Et à l’inverse, elle épargne les mauvais élèves. D’habitude, en sécurité informatique, les mises à jour apportent des corrections à diverses failles de sécurité, de sorte que les entreprises qui les oublient s’exposent à des cyberattaques connues.

La Russie désignée responsable ?

Les organes officiels restent pour l’instant muets sur l’affiliation de l’attaque. Reuters pointe quant à elle vers des « hackers Russes » en citant des sources gouvernementales anonymes proches du dossier. Le Washington Post, de son côté, nomme un coupable : le groupe de cybercriminels « Cozy Bear », affilié par différents chercheurs à un des organes du renseignement russe, le SRV. Ce serait un point positif : le SRV ne publie habituellement pas les informations qu’il dérobe, contrairement à d’autres agences russes.

Malgré l’absence d’accusations officielles, le pouvoir russe s’insurge tout de même contre les écrits des médias américains. L’ambassade de Russie aux États-Unis a commenté l’incident sur ses réseaux. La publication dénonce « une autre tentative sans fondement des médias américains d’accuser la Russie de pirater les autorités américaines », et a été reprise par l’homologue russe de l’Agence France-Presse. 

Les détails techniques de cet article sont issus des premiers rapports techniques sur Sunburst. Les enquêtes devraient dévoiler d’autres précisions dans les jours à venir. Au moins une partie des informations additionnelles devrait être publiée, afin que les entreprises concernées puissent se protéger contre l’attaque.

Article mis à jour le 15/12/2020 à 8:57 avec le nombre de clients qui utilisent Orion

Crédit photo de la une : Pixabay (photo recadrée)

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux