Solarwinds est victime d’une attaque de virus sur son logiciel Orion. C’est un outil de travail utilisé par de nombreux départements dont le département de la défense, le ministère de la Justice et le département de la sécurité intérieure des états unissent. Nous verrons en détail comment les pirates ont réussi à le hacker et quelles sont les mesures à prendre.
État des faits
Les cybercriminels ont caché un code malveillant, un cheval de Troiesunburst lors de la mise à jour du logiciel Orion de Solarwinds, affectant le système des départements du commerce et du trésor ainsi que de nombreuses entités. Cet outil utilise un seul panneau pour administrer les parties d’un réseau et simplifier l’informatique. Le virus a été propagé entre mars et juin 2020 par des pirates. Ces derniers ont pu accéder et espionné les courriels et contenus confidentiels des clients. Ils se sont servis d’une application vulnérable dans l’espace Microsoft office 365.
Nombreuses sont les branches qui utilisent ce logiciel comme le Pentagone, la marine, l’armée de terre, le ministère des anciens Combattants des États-Unis, le FBI et les instituts américains de la santé ou encore le ministère de l’Énergie. Le virus pourrait atteindre le Conseil de sécurité national américain. Comme la NSA ne pouvait pas surveiller les réseaux informatiques américains, elle contrôlé uniquement les réseaux étrangers. Les pirates ont profité de cette occasion pour attaquer le territoire américain. Au total une centaine d’entreprises sont touchées par ce rancongiciel ou 30 % ne sont pas des clients de Solarwinds. De ce fait, la campagne d’espionnage est d’une grande ampleur cotée en bourse basée à Austin au Texas, Solarwinds a un chiffre d’affaires de 6 milliards de dollars et ses clients comptent 425 entreprises du Fortune 500 : des universités mondiales, des cabinets comptables américains et des fournisseurs de télécommunications. La CISA ou cybersecurity and Infrastructure Securit Agency ont acheté 36 800 euros de licence en 2019. Le United States Cyber Command a aussi dépensé 9 840 euros.
Conséquences et mesures à prendre
Sur les 18 000 clients de Solarwinds qui ont téléchargé cette mise à jour, seules quelques dizaines d’entre eux ont été exploités par sunburst. Ceux qui ne sont clients de Solarwinds ont été touchés avant le déploiement du logiciel. La société elle-même a été victime des hackeurs en septembre 2019. Soit les pirates ont déjà espionné depuis 6 mois.
La plupart des organismes civils du gouvernement ont cessé d’utiliser le logiciel Solarwinds. Cette attaque aurait un impact mondial et tous ceux qui l’utilisent doivent être installés derrière un pare-feu et déconnectés d’Internet.
Dans le passé, les attaques informatiques ont été démantelées par la chaîne d’approvisionnement. Pour rappel, un fournisseur ukrainien avait vendu des logiciels connus sous le nom de Notpeya. C’est un logiciel de comptabilité Medoctroyenises qui ont touché de nombreuses entreprises. Pour ce malware sunburst, la faille est inévitable, car des spécialistes-en cyber sécurité de Forbes ont déjà averti Solarwinds d’un problème de sécurité avant que FireEyen’identifie sunburst. Malgré l’enquête interne qu’elle amenée, l’entreprise n’a pas détecté ce logiciel malveillant.