Le compteur de victimes de la cyberattaque contre SolarWinds mondiale grandit chaque jour. Pourtant, très peu d'organisations communiquent sur le sujet.

Même lors d’une cyberattaque d’ampleur mondiale, les victimes font tout pour rester anonymes. Résultat, si SolarWinds a déclaré que 18 000 organisations ont téléchargé une des mises à jour piratées qui contenait la porte dérobée Sunburst, à peine une dizaine d’entre elles se sont déclarées victimes. Et encore, sur cette petite dizaine, presque toutes sont des agences et départements gouvernementaux américains, qui communiquent régulièrement sur l’évolution de la situation.

Dans le secteur privé, seules l’entreprise de cybersécurité FireEye (dès le 7 décembre) et Microsoft depuis le 17 décembre ont rendu leur piratage public. Si deux des meilleures entreprises du secteur se sont faites pirater, nul doute que ce ne sont pas des cas isolés. D’ailleurs, en parallèle de la gestion de leurs enquêtes internes respectives, FireEye et Microsoft mènent l’effort de lutte contre Sunburst.

L’attaque est désormais sous contrôle, mais le long processus d’identification des victimes est encore en cours, puis viendra le bilan des dégâts.

Microsoft affirme que ses produits n’ont pas été compromis par les attaquants

Dans un communiqué à la presse américaine, le Department of Homeland Security (DHS), équivalent américain du ministère de l’Intérieur, suggère que les hackers n’ont pas utilisé que Sunburst pour s’infiltrer sur les systèmes des victimes. Le CISA, sa branche de cybersécurité, aurait des « preuves de vecteurs d’accès initiaux supplémentaires, autres que la plateforme Orion de SolarWinds ». Forcément, certains regards se sont portés sur Microsoft, nommée comme victime par Reuters le même jour.

L’agence de presse, citant des sources anonymes « proches de l’enquête », explique que les hackers ont pu utiliser l’accès offert par Sunburst pour s’immiscer sur le réseau interne de Microsoft, et exploiter les logiciels de l’entreprise (Windows, Office 365…) pour s’en prendre à d’autres cibles. D’après le CISA, des services de Microsoft Azure, numéro 2 de l’industrie du cloud, auraient pu aussi être infiltrés pour compromettre certaines victimes.

Microsoft a confirmé l’attaque à ZDNet : « comme d’autres clients de SolarWinds, nous avons cherché activement les indicateurs de compromission et nous pouvons confirmer que nous avons détecté du code malveillant de SolarWinds dans notre environnement, que nous avons isolé et supprimé. » Mais elle réfute tout détournement de ses services, et n’aurait trouvé « aucune indication que ses systèmes ont été utilisés pour en attaquer d’autres ». ZDNet évoque la possibilité que l’offre de Microsoft ait pu être utilisée par les hackers sans que les infrastructures de l’entreprise soient touchées.

L’armement nucléaire américain également touché ?

Dans le même temps, les noms de victimes tombent au compte-goutte, à la faveur d’enquêtes journalistiques. Politico a révélé que la National Nuclear Security Administration (NNSA) et son ministère de tutelle, celui de l’Énergie, était aussi concerné. La NNSA est chargée de la gestion des armes nucléaires du pays, autant dire qu’elle est une cible de choix pour les cyberespions. Le ministère de l’Énergie a confirmé qu’il avait été infiltré, mais défend que le malware n’a touché que ses divisions commerciales. D’après lui, la sécurité nationale américaine ne serait pas menacée, et la NNSA n’aurait pas été infiltrée.

The Intercept a de son côté mis les projecteurs sur la ville d’Austin, capitale du Texas. Les hackers ont « théoriquement eu accès » à des informations sur la politique de la ville, les élections, le plan d’énergie ou encore le trafic aérien des alentours. D’après le site spécialisé, si l’espionnage a été permis par Sunburst, il serait orchestré par un autre groupe de hackers russes que celui qui suspecté d’avoir infiltré SolarWinds.

Si l’administration américaine passe tous ses réseaux au peigne fin, elle n’est pas la seule concernée. Microsoft, encore lui, a identifié 40 de ses clients chez qui la version vérolée d’Orion a été exploitée par les hackers pour lancer d’autres attaques. Pour y parvenir, le géant de la sécurité a analysé les données de Microsoft Defender, son antivirus gratuit installé par défaut sur toutes les versions de Windows. 80 % de ces nouvelles victimes connues sont Américaines. Dans les 20 % de victimes restantes se trouvent des organisations européennes (Belgique, Espagne, Grande-Bretagne). Jusqu’ici la France paraît épargnée.

Crédit photo de la une : CCO/DavidRockDesign de Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux