Un ancien conseiller en sécurité de SolarWinds a récemment déclaré qu'il avait averti la direction des risques liés à la cybersécurité et avait élaboré un plan il y a des années pour les améliorer. Ian Thornton-Trump avait déclaré à SolarWinds en 2017 que « la survie de l'entreprise dépend d'un engagement interne en matière de sécurité ». Mais les suggestions ont finalement été ignorées. Des clients d’un logiciel de gestion de réseaux de SolarWinds, dont plusieurs principales agences fédérales américaines et des sociétés privées, ont été victimes d’un cyberespionnage qui a duré plusieurs mois.
Ian Thornton-Trump travaillait chez LogicNow, une entreprise de Cloud Computing basée au Royaume-Uni, lorsqu'elle a été rachetée par SolarWinds en juin 2016. Avec près de deux décennies d'expérience dans le domaine de la cybersécurité, Thornton-Trump a déclaré qu'il avait aidé LogicNow à développer sa marque sur le marché de la sécurité.
Une présentation PowerPoint de 23 pages dans laquelle Thornton-Trump a recommandé aux dirigeants de l'entreprise en 2017 que SolarWinds nomme un directeur principal de la cybersécurité afin de s’engager dans une stratégie interne en matière de sécurité. Le conseiller en sécurité a remis le PowerPoint à au moins trois dirigeants de SolarWinds, tant du côté du marketing que de la technologie de la société, a-t-il dit.
Le mois suivant, il mettait fin à sa relation avec l'entreprise, affirmant que sa direction n'était pas intéressée par des changements qui auraient eu « un impact significatif », considérant une brèche majeure comme inévitable.
Dans un e-mail qu'il a envoyé à un dirigeant de SolarWinds le 15 mai 2017, qui expliquait les raisons de son départ, Thornton-Trump avait expliqué avoir « perdu confiance dans le leadership » de l'entreprise, qui selon lui semblait « réticent à apporter les corrections » qu'il jugeait nécessaires pour continuer à soutenir la marque de sécurité qu'il avait créée chez LogicNow.
« Il y avait un manque de sécurité au niveau du produit technique, et il y avait un leadership minimal en matière de sécurité au sommet », a déclaré Thornton-Trump dans une interview. « Nous savions en 2015 que les pirates cherchaient n'importe quelle voie vers une entreprise. Mais SolarWinds ne s'est pas adapté. C'est ça la tragédie. Il y avait beaucoup de leçons à apprendre, mais SolarWinds ne prêtait pas attention à ce qui se passait. »
Thornton-Trump ainsi qu'un ancien ingénieur en logiciel de SolarWinds ont déclaré qu'étant donné les risques de cybersécurité dans l'entreprise, ils considéraient une brèche majeure comme inévitable. Leurs inquiétudes concernant SolarWinds sont partagées par plusieurs chercheurs en cybersécurité, qui ont découvert ce qu'ils ont décrit comme des failles de sécurité flagrantes dans l'entreprise, dont les logiciels ont été utilisés dans une campagne de piratage informatique russe présumée.
« Je pense que du point de vue de la sécurité, SolarWinds était une cible incroyablement facile à pirater », a déclaré Thornton-Trump, aujourd'hui directeur de la sécurité informatique de la société de renseignements Cyjax Ltd.
Depuis la semaine dernière, 200 clients de la société SolarWinds, dont des agences gouvernementales américaines - le Département d'État, le DHS, le Trésor, le Département du Commerce et même l'Administration nationale de la sécurité nucléaire - et un nombre encore inconnu d'entreprises privées, y compris Microsoft et FireEye, ont vu leurs réseaux informatiques infectés par des pirates informatiques.
Au cours d'une opération que les experts en cybersécurité ont décrite comme extrêmement sophistiquée et difficile à détecter, les pirates ont installé un code malveillant dans les mises à jour du logiciel Orion de SolarWinds, largement utilisé, qui a été envoyé à pas moins de 18 000 clients.
D’autres failles découvertes dans les pratiques de sécurité de SolarWinds avant le piratage
En réagissant à une demande de commentaire à propos de la présentation de 2017 et sur d'autres problèmes de sécurité identifiés par des chercheurs, un porte-parole de SolarWinds a déclaré : « Notre priorité absolue est de travailler avec nos clients, nos partenaires industriels et les agences gouvernementales pour déterminer si un gouvernement étranger a orchestré cette attaque, pour mieux comprendre toute sa portée et pour aider à répondre aux besoins des clients qui se développent. Nous faisons ce travail aussi rapidement et de manière transparente que possible. Nous aurons tout le temps de regarder en arrière et nous prévoyons de le faire de manière tout aussi transparente ».
Un ancien employé de SolarWinds, qui a travaillé comme ingénieur logiciel dans l'un des bureaux américains de la société, a dit dans une déclaration que SolarWinds semblait donner la priorité au développement de nouveaux produits logiciels plutôt qu'aux défenses internes de cybersécurité. L'employé a déclaré qu'il n'était pas rare que certains des systèmes informatiques de l'entreprise fonctionnent avec des navigateurs Web et des systèmes d'exploitation obsolètes, ce qui pouvait les rendre plus vulnérables aux pirates.
D’autres chercheurs en cybersécurité ont également déclaré avoir découvert des failles dans les pratiques de sécurité de SolarWinds. L'un d'entre eux, Vinoth Kumar, a déclaré avoir informé SolarWinds en 2019 que le mot de passe d'un de ses serveurs avait fait l'objet d'une fuite en ligne. Le mot de passe, selon Kumar, était "solarwinds123". SolarWinds a dit à Kumar à l’époque que le mot de passe avait été visible en raison d'une « mauvaise configuration », et l'a supprimé.
En outre, jusqu'à récemment, SolarWinds conseillait à ses clients sur son site Web de désactiver le scannage de virus pour les produits de la plateforme Orion afin que ces produits puissent fonctionner plus efficacement, selon plusieurs chercheurs en cybersécurité qui ont publié un article à ce sujet sur Twitter. La page Web de SolarWinds a par la suite été retirée.
Jake Williams, un ancien hacker de l'Agence de sécurité nationale américaine qui est maintenant président de la société de cybersécurité Rendition Infosec, a déclaré que les entreprises technologiques telles que SolarWinds qui produisent du code informatique « ne font souvent pas bien la sécurité ».
« La sécurité est un centre de coûts, pas un centre de profit », a déclaré Williams. « Je pense que cela a probablement beaucoup à voir avec cela. Un problème sous-jacent à SolarWinds s'est probablement glissé dans certaines bonnes pratiques de sécurité manquantes ».
Tim Brown, ancien directeur de la technologie chez Dell Security, a été recruté par SolarWinds pour occuper le poste de vice-président de l'architecture de sécurité après le départ de Thornton-Trump. Dans une interview accordée à une publication spécialisée l'année dernière, Brown a déclaré qu'il travaillait à la protection des systèmes de SolarWinds contre les attaques. « Nous testons notre processus de réponse aux incidents tous les jours - au cas où quelque chose d'important nous arriverait de l'extérieur », a-t-il déclaré. « Nous avons eu de la chance, et c'est génial ». Lorsque des entreprises sont piratées, a ajouté Brown, c'est souvent de leur propre faute. « Si vous regardez les attaques qui ont réussi, la plupart d'entre elles ont été des erreurs stupides », a-t-il dit.
« La sécurité n'est pas une considération importante ni même bien comprise », a déclaré cette semaine Bryan Ware, ancien directeur adjoint de la CISA. « De nombreux directeurs de l'information ont acheté et déployé des logiciels SolarWinds sophistiqués, donc je ne m'interroge pas seulement sur le vendeur ».
Selon un rapport publié cette semaine, les pirates informatiques ont pu exploiter une vulnérabilité logicielle pour pénétrer dans les infrastructures critiques des agences américaines parce que le gouvernement fédéral ne procède qu'à des inspections de sécurité superficielles des logiciels qu'il achète à des entreprises privées pour un large éventail d'activités, de la gestion de bases de données à l'exploitation d'applications de chat internes.
Le sénateur démocrate Ron Wyden a déclaré que « Le gouvernement a désespérément besoin de fixer des exigences minimales de sécurité pour les logiciels et les services, et de refuser d'acheter tout ce qui ne répond pas à ces normes ». « Il est incroyablement contre-productif pour les agences fédérales de dépenser des milliards pour la sécurité et de donner ensuite des contrats gouvernementaux à des entreprises avec des produits non sécurisés ».
Sources : Ian Thornton-Trump, Tweet
Et vous ?
Qu’en pensez-vous ?
Que pensez-vous des sociétés comme SolarWinds qui ne tiennent pas compte des avertissements de sécurité ?
Peut-on se prémunir contre ce type de piratage qui a utilisé le produit Orion de SolarWinds ?
Voir aussi :
L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Comment la confiance des agences US dans des logiciels non testés a ouvert la porte aux piratages, les autorités devraient fixer des exigences minimales de sécurité pour les logiciels et services
Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
L'Union européenne prononce ses premières sanctions liées à la cybercriminalité, contre des Russes, Chinois et Nord-Coréens, impliqués dans des attaques comme WannaCry, NotPetya ou Cloud Hopper
Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage,
Mais son plan pour réduire les risques aurait été ignoré
Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage,
Mais son plan pour réduire les risques aurait été ignoré
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !