Pour Microsoft, il a fallu plus de 1 000 ingénieurs pour créer l’attaque de SolarWinds

Spread the love
  • Yum

Pour Microsoft, il a fallu plus de 1 000 ingénieurs pour créer l'attaque de SolarWinds

La campagne de piratage Solarwinds, qui a duré des mois et a durement touché les agences gouvernementales américaines et les fournisseurs de cybersécurité, était « la plus grande attaque, et la plus sophistiquée, que le monde ait jamais connue », a déclaré le président de Microsoft, Brad Smith. Pour ce dernier, aucun doute possible, celle-ci a impliqué un grand nombre de développeurs.

L’attaque, révélée par la société de sécurité FireEye et Microsoft en décembre, pourrait avoir touché jusqu’à 18 000 organisations en raison du malware Sunburst (ou Solorigate) implanté dans le logiciel de gestion de réseau Orion de SolarWinds. « Je pense que du point de vue du génie logiciel, il est probablement juste de dire qu’il s’agit de l’attaque la plus importante et la plus sophistiquée que le monde ait jamais vue », affirmait le PDG de Microsoft lors de son passage sur le plateau de la célèbre émission américaine 60 Minutes, diffusée sur CBSNews.

Microsoft, qui a également été percée par la mauvaise mise à jour d’Orion, a chargé 500 ingénieurs d’enquêter sur l’attaque, précise le dirigeant. Mais l’équipe (très probablement soutenue par la Russie) derrière l’attaque disposait de plus du double de ressources d’ingénierie. « Lorsque nous avons analysé tout ce que nous avons vu chez Microsoft, nous nous sommes demandé combien d’ingénieurs avaient probablement travaillé sur ces attaques. Et la réponse à laquelle nous sommes parvenus est, eh bien, certainement plus de 1 000 », indique le patron de Microsoft.

publicité

De nombreuses agences touchées

Parmi les agences américaines touchées par les attaques figurent le département du Trésor américain, l’Agence de la cybersécurité et des infrastructures (CISA), le département de la sécurité intérieure (DHS), le département d’Etat américain et le département de l’énergie américain (DOE). Brad Smith n’a pas hésité à tirer la sonnette d’alarme à propos de cette attaque. Pour lui, les cyberattaques soutenus par des gouvernements pour se concentrer sur la chaîne d’approvisionnement technologique représentent un risque pour l’économie au sens large.

« Alors que les gouvernements s’espionnent depuis des siècles, les récents attaquants ont utilisé une technique qui a mis en danger la chaîne d’approvisionnement technologique pour l’économie au sens large », alertait le patron de Microsoft après l’annonce des attaques. Pour ce dernier, il s’agissait d’une attaque « contre la confiance et la fiabilité des infrastructures critiques du monde afin de faire progresser l’agence de renseignement d’une nation ».

Kevin Mandia, PDG de FireEye, a également expliqué comment les attaquants ont déclenché une alarme, mais seulement après avoir réussi à enregistrer un deuxième smartphone connecté au compte d’un employé de FireEye pour son système d’authentification à deux facteurs.

Détournement du 2FA

Les employés ont besoin de ce code à deux facteurs pour se connecter à distance au VPN de l’entreprise. De son côté, le patron de Microsoft ajoute que les attaquants n’ont réécrit que 4 032 lignes de code dans Orion, qui se compose de millions de lignes de code.

Charles Carmakal, vice-président senior et directeur de la technologie de l’équipe de réponse aux incidents de FireEye Mandiant, expliquait précédemment à Yahoo News que le système de sécurité de FireEye avait alerté l’employé et l’équipe de sécurité de la société sur le dispositif inconnu qui aurait appartenu à l’employé. Les attaquants ont eu accès au nom d’utilisateur et au mot de passe de l’employé via la mise à jour de SolarWinds. Ces informations d’identification ont permis à l’attaquant d’enregistrer le dispositif dans son système d’authentification à deux facteurs.

Les mises à jour d’Orion n’ont pas été le seul moyen d’infiltrer les entreprises pendant la campagne, qui a également permis aux pirates d’accéder aux applications cloud. Selon un rapport publié dans le Wall Street Journal, 30 % des organisations infiltrées n’avaient aucun lien direct avec Solarwinds.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: