Cette semaine, le gouvernement fédéral américain et la plupart des entreprises américaines ont déployé de gros moyens pour enquêter sur l’implantation d’un malware dans le logiciel de surveillance réseau Orion de SolarWinds, et atténuer l’attaque peut-être la plus préjudiciable de l'histoire des États-Unis. Le malware, que l'entreprise de cybersécurité FireEye (elle-même, première victime déclarée de cette attaque dite de la chaîne d'approvisionnement) a baptisé Sunburst, ouvre une porte dérobée par laquelle il peut transférer et exécuter des fichiers, profiler des systèmes, redémarrer des machines et désactiver des services système. Reuters a révélé qu'un hacker étranger avait utilisé Sunburst pour surveiller le courrier électronique des départements américains du Trésor et du Commerce. Par la suite, d'autres sources ont émis l’hypothèse que ce même hacker pouvait être APT29, ou le groupe de pirates Cozy Bear à la solde de l'agence de renseignement russe SVR. D’autres articles de presse publiés ensuite ont indiqué que l'infection du gouvernement fédéral par le malware pourrait être très étendue et concernerait - du moins pour l’instant - le Département d'État, les Instituts nationaux de la santé (National Institutes of Health, NIH), le Département de la sécurité intérieure (DHS) et probablement certains services du Pentagone.

Chris Kreb, l'ancien directeur de l'Agence de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) du Département de la sécurité intérieure (DHS), a déclaré dans un tweet après l'annonce de l'intrusion : « ce n’est que le début ». Ce qui signifie qu'il faudra probablement des mois, voire des années, avant de connaître la véritable étendue des dégâts. SolarWinds a déclaré que jusqu'à 18 000 de ses 300 000 clients avaient téléchargé la mise à jour contaminée. Mais cela ne veut pas dire que l'adversaire a exploité la porte dérobée dans toutes les entreprises infectées. Dans un rare avis d'urgence, la CISA a appelé toutes les agences fédérales à « effectuer un audit de leurs réseaux pour rechercher des signes de compromission et déconnecter ou cesser d’utiliser immédiatement les produits SolarWinds Orion ». Le FBI, la CISA et le Bureau du Directeur du Renseignement National (Office of the Director of National Intelligence, ODNI) ont publié une déclaration commune annonçant la création d’un Groupe de Coordination Cyber Unifié (UCG) pour préparer une réponse gouvernementale globale sous la direction du FBI. Le 17 décembre, la CISA a émis une alerte expliquant en détail les tactiques et techniques de l'acteur de la menace. Elle propose également aux entreprises des mesures d'atténuation qu’elles peuvent appliquer sur les réseaux utilisant le produit Orion. L'alerte indique que la CISA cherche également à savoir si des vecteurs d'accès, autres que la plateforme SolarWinds Orion, ont été utilisés.

De nouvelles attaques de type SolarWinds, très probables

Alors que le gouvernement fédéral américain et les entreprises commencent à comprendre et à atténuer les dommages, la question se pose de savoir s’il aurait été possible d’empêcher cette catastrophe. Déjà, il semble que le gouvernement fédéral a attendu trop longtemps pour mettre à jour son système Einstein de détection de plusieurs milliards de dollars, exploité par la CISA et spécialement conçu pour détecter les malwares sur les réseaux gouvernementaux. En 2018, le Government Accountability Office (GAO), « l'organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis chargé du contrôle des comptes publics du budget fédéral des États-Unis », avait recommandé l'ajout de nouvelles fonctionnalités au système qui auraient pu aider à détecter Sunburst plus tôt.

« Il n'y a aucun moyen de garantir à 100% que l’on pourra empêcher qu'un tel événement se reproduise à l'avenir », a déclaré Michael Daniel, président et CEO de la Cyber Threat Alliance et coordinateur de la cybersécurité sous le président Obama. « J'ai répété plusieurs fois au Président Obama que si quelqu'un lui promettait de résoudre le problème de la cybersécurité, ou s'il lui garantissait 100% de protection, il devrait le mettre dehors, parce que, soit il était stupide, soit il mentait », a-t-il déclaré. « Il est impossible d’assurer une sécurité à 100 %, surtout contre un adversaire soutenu par un État-nation, avec les ressources d'un État-nation, qui peut prendre son temps et y consacrer beaucoup de ressources », a-t-il ajouté. « Généralement, ces attaques sont très difficiles à protéger car SolarWinds est lui-même un fournisseur de logiciels tiers de confiance et utilise des pratiques comme la signature de code », a déclaré Dave Kennedy, co-fondateur de TrustedSec et spécialiste du piratage. « La plupart des entreprises considèrent les logiciels tiers comme des entités de confiance, et du point de vue des risques, la probabilité a toujours été perçue comme faible dans l'ensemble ».

Malgré les difficultés à prévenir et à détecter des attaques importantes comme celle-ci, les experts estiment que les entreprises peuvent faire plus pour minimiser leurs risques. En voici quelques unes.

Ne pas négliger les changements de comportement

Selon Dave Kennedy, le co-fondateur de TrustedSec, la surveillance de la détection basée sur le comportement pour repérer une activité inhabituelle du serveur aurait pu permettre de détecter le malware plus tôt. « Dans le cas de Sunburst, la résolution de noms de domaines inconnus au niveau des serveurs aurait pu servir de premier signal d’alerte. Ces changements de comportement doivent être identifiés et étudiés », a-t-il déclaré. « Dans le cas de SolarWinds, il aurait fallu s’en rendre compte beaucoup plus tôt ».

Accorder plus d’importance à l'hygiène de sécurité de base

Selon Michael Daniel, président et CEO de la Cyber Threat Alliance, « il s'agit majoritairement de s'assurer que vous appliquez les principes de base et que vos réseaux sont correctement segmentés, notamment, ou encore, que vous accordez le moins de privilèges possible. Il est important de mettre en place plusieurs fils-pièges pour empêcher la progression de l’adversaire, de sorte que, même s'il arrive à s’introduire dans la chaîne d'approvisionnement, il aura plus de mal à se déplacer une fois qu'il sera entré dans votre réseau », a-t-il ajouté. Dave Kennedy approuve la méthode. « La segmentation du réseau et les contrôles d'accès sont aussi importants que la surveillance du réseau, ou que le cryptage et la sauvegarde des données. Il est également important d'auditer votre réseau, d'évaluer vos actifs, d’anticiper les imprévus et de procéder régulièrement à des tests de réseau », a-t-il recommandé.

Adopter une bonne gestion des risques de la chaîne d'approvisionnement

Selon un rapport publié cette semaine par le GAO, que la faille SolarWinds soit ou non une attaque de la chaîne d'approvisionnement, il est clair qu’une bonne gestion des risques de cette dernière pourrait, à l’avenir, minimiser ce type de menace. Or, cette pratique est rarement prise en compte par les agences fédérales. En fait, aucune ou presque des 23 agences civiles examinées par le GAO n'a mis en œuvre les sept pratiques fondamentales de gestion des risques relatifs à l‘usage des technologies de l'information et de la communication (TIC) dans la chaîne d'approvisionnement, recommandées par l'Institut National des Standards et Technologies (National Institute of Standards and Technology, NIST). Du fait de leur défaillance dans la gestion des risques de la chaîne d'approvisionnement, « les agences ont plus de chances que des acteurs malveillants parviennent à exploiter avec succès les vulnérabilités des TIC utilisés dans la chaîne d'approvisionnement ». Quant aux mesures que le gouvernement fédéral doit adopter, Michael Daniel déclare qu'il doit poursuivre les efforts de nettoyage. « Ils doivent continuer à évaluer les dégâts pour comprendre ce qui s'est passé. Á partir de là, il faudra passer au peigne fin toutes les pratiques de cybersécurité des agences », a-t-il ajouté.

Inclure les attaques de la chaîne d'approvisionnement dans ses modèles

Dave Kennedy pense également que « les entreprises doivent vraiment intégrer les attaques de la chaîne d'approvisionnement par des tiers dans leurs modèles de menace globale et concevoir leur architecture, leur infrastructure et leur accès privilégié autour de ces modèles pour assurer un cloisonnement sur les logiciels et les services ». Une compréhension exhaustive de l'attaque SolarWinds aiderait les entreprises à évaluer correctement les risques pour leurs modèles de menace. Sauf qu’on est loin de tout savoir sur cette attaque. La plupart des experts en cybersécurité n'ont encore qu'une vague idée de ce qui s'est passé. « Le plus inquiétant, c’est que nous ne savons pas encore quels autres types de malwares les attaquants ont pu installer après la phase d’intrusion initiale. Si les hackers ont implanté des outils personnalisés ou des « zero days », il faudra encore pas mal de temps avant de reprendre le contrôle », a expliqué M. Kennedy.