IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage,
Mais son plan pour réduire les risques aurait été ignoré

Le , par Stan Adkens

154PARTAGES

9  0 
Un ancien conseiller en sécurité de SolarWinds a récemment déclaré qu'il avait averti la direction des risques liés à la cybersécurité et avait élaboré un plan il y a des années pour les améliorer. Ian Thornton-Trump avait déclaré à SolarWinds en 2017 que « la survie de l'entreprise dépend d'un engagement interne en matière de sécurité ». Mais les suggestions ont finalement été ignorées. Des clients d’un logiciel de gestion de réseaux de SolarWinds, dont plusieurs principales agences fédérales américaines et des sociétés privées, ont été victimes d’un cyberespionnage qui a duré plusieurs mois.

Ian Thornton-Trump travaillait chez LogicNow, une entreprise de Cloud Computing basée au Royaume-Uni, lorsqu'elle a été rachetée par SolarWinds en juin 2016. Avec près de deux décennies d'expérience dans le domaine de la cybersécurité, Thornton-Trump a déclaré qu'il avait aidé LogicNow à développer sa marque sur le marché de la sécurité.


Une présentation PowerPoint de 23 pages dans laquelle Thornton-Trump a recommandé aux dirigeants de l'entreprise en 2017 que SolarWinds nomme un directeur principal de la cybersécurité afin de s’engager dans une stratégie interne en matière de sécurité. Le conseiller en sécurité a remis le PowerPoint à au moins trois dirigeants de SolarWinds, tant du côté du marketing que de la technologie de la société, a-t-il dit.

Le mois suivant, il mettait fin à sa relation avec l'entreprise, affirmant que sa direction n'était pas intéressée par des changements qui auraient eu « un impact significatif », considérant une brèche majeure comme inévitable.

Dans un e-mail qu'il a envoyé à un dirigeant de SolarWinds le 15 mai 2017, qui expliquait les raisons de son départ, Thornton-Trump avait expliqué avoir « perdu confiance dans le leadership » de l'entreprise, qui selon lui semblait « réticent à apporter les corrections » qu'il jugeait nécessaires pour continuer à soutenir la marque de sécurité qu'il avait créée chez LogicNow.

« Il y avait un manque de sécurité au niveau du produit technique, et il y avait un leadership minimal en matière de sécurité au sommet », a déclaré Thornton-Trump dans une interview. « Nous savions en 2015 que les pirates cherchaient n'importe quelle voie vers une entreprise. Mais SolarWinds ne s'est pas adapté. C'est ça la tragédie. Il y avait beaucoup de leçons à apprendre, mais SolarWinds ne prêtait pas attention à ce qui se passait. »

Thornton-Trump ainsi qu'un ancien ingénieur en logiciel de SolarWinds ont déclaré qu'étant donné les risques de cybersécurité dans l'entreprise, ils considéraient une brèche majeure comme inévitable. Leurs inquiétudes concernant SolarWinds sont partagées par plusieurs chercheurs en cybersécurité, qui ont découvert ce qu'ils ont décrit comme des failles de sécurité flagrantes dans l'entreprise, dont les logiciels ont été utilisés dans une campagne de piratage informatique russe présumée.

« Je pense que du point de vue de la sécurité, SolarWinds était une cible incroyablement facile à pirater », a déclaré Thornton-Trump, aujourd'hui directeur de la sécurité informatique de la société de renseignements Cyjax Ltd.

Depuis la semaine dernière, 200 clients de la société SolarWinds, dont des agences gouvernementales américaines - le Département d'État, le DHS, le Trésor, le Département du Commerce et même l'Administration nationale de la sécurité nucléaire - et un nombre encore inconnu d'entreprises privées, y compris Microsoft et FireEye, ont vu leurs réseaux informatiques infectés par des pirates informatiques.

Au cours d'une opération que les experts en cybersécurité ont décrite comme extrêmement sophistiquée et difficile à détecter, les pirates ont installé un code malveillant dans les mises à jour du logiciel Orion de SolarWinds, largement utilisé, qui a été envoyé à pas moins de 18 000 clients.

D’autres failles découvertes dans les pratiques de sécurité de SolarWinds avant le piratage

En réagissant à une demande de commentaire à propos de la présentation de 2017 et sur d'autres problèmes de sécurité identifiés par des chercheurs, un porte-parole de SolarWinds a déclaré : « Notre priorité absolue est de travailler avec nos clients, nos partenaires industriels et les agences gouvernementales pour déterminer si un gouvernement étranger a orchestré cette attaque, pour mieux comprendre toute sa portée et pour aider à répondre aux besoins des clients qui se développent. Nous faisons ce travail aussi rapidement et de manière transparente que possible. Nous aurons tout le temps de regarder en arrière et nous prévoyons de le faire de manière tout aussi transparente ».

Un ancien employé de SolarWinds, qui a travaillé comme ingénieur logiciel dans l'un des bureaux américains de la société, a dit dans une déclaration que SolarWinds semblait donner la priorité au développement de nouveaux produits logiciels plutôt qu'aux défenses internes de cybersécurité. L'employé a déclaré qu'il n'était pas rare que certains des systèmes informatiques de l'entreprise fonctionnent avec des navigateurs Web et des systèmes d'exploitation obsolètes, ce qui pouvait les rendre plus vulnérables aux pirates.

D’autres chercheurs en cybersécurité ont également déclaré avoir découvert des failles dans les pratiques de sécurité de SolarWinds. L'un d'entre eux, Vinoth Kumar, a déclaré avoir informé SolarWinds en 2019 que le mot de passe d'un de ses serveurs avait fait l'objet d'une fuite en ligne. Le mot de passe, selon Kumar, était "solarwinds123". SolarWinds a dit à Kumar à l’époque que le mot de passe avait été visible en raison d'une « mauvaise configuration », et l'a supprimé.

En outre, jusqu'à récemment, SolarWinds conseillait à ses clients sur son site Web de désactiver le scannage de virus pour les produits de la plateforme Orion afin que ces produits puissent fonctionner plus efficacement, selon plusieurs chercheurs en cybersécurité qui ont publié un article à ce sujet sur Twitter. La page Web de SolarWinds a par la suite été retirée.

Jake Williams, un ancien hacker de l'Agence de sécurité nationale américaine qui est maintenant président de la société de cybersécurité Rendition Infosec, a déclaré que les entreprises technologiques telles que SolarWinds qui produisent du code informatique « ne font souvent pas bien la sécurité ».

« La sécurité est un centre de coûts, pas un centre de profit », a déclaré Williams. « Je pense que cela a probablement beaucoup à voir avec cela. Un problème sous-jacent à SolarWinds s'est probablement glissé dans certaines bonnes pratiques de sécurité manquantes ».


Tim Brown, ancien directeur de la technologie chez Dell Security, a été recruté par SolarWinds pour occuper le poste de vice-président de l'architecture de sécurité après le départ de Thornton-Trump. Dans une interview accordée à une publication spécialisée l'année dernière, Brown a déclaré qu'il travaillait à la protection des systèmes de SolarWinds contre les attaques. « Nous testons notre processus de réponse aux incidents tous les jours - au cas où quelque chose d'important nous arriverait de l'extérieur », a-t-il déclaré. « Nous avons eu de la chance, et c'est génial ». Lorsque des entreprises sont piratées, a ajouté Brown, c'est souvent de leur propre faute. « Si vous regardez les attaques qui ont réussi, la plupart d'entre elles ont été des erreurs stupides », a-t-il dit.

« La sécurité n'est pas une considération importante ni même bien comprise », a déclaré cette semaine Bryan Ware, ancien directeur adjoint de la CISA. « De nombreux directeurs de l'information ont acheté et déployé des logiciels SolarWinds sophistiqués, donc je ne m'interroge pas seulement sur le vendeur ».

Selon un rapport publié cette semaine, les pirates informatiques ont pu exploiter une vulnérabilité logicielle pour pénétrer dans les infrastructures critiques des agences américaines parce que le gouvernement fédéral ne procède qu'à des inspections de sécurité superficielles des logiciels qu'il achète à des entreprises privées pour un large éventail d'activités, de la gestion de bases de données à l'exploitation d'applications de chat internes.

Le sénateur démocrate Ron Wyden a déclaré que « Le gouvernement a désespérément besoin de fixer des exigences minimales de sécurité pour les logiciels et les services, et de refuser d'acheter tout ce qui ne répond pas à ces normes ». « Il est incroyablement contre-productif pour les agences fédérales de dépenser des milliards pour la sécurité et de donner ensuite des contrats gouvernementaux à des entreprises avec des produits non sécurisés ».

Sources : Ian Thornton-Trump, Tweet

Et vous ?

Qu’en pensez-vous ?
Que pensez-vous des sociétés comme SolarWinds qui ne tiennent pas compte des avertissements de sécurité ?
Peut-on se prémunir contre ce type de piratage qui a utilisé le produit Orion de SolarWinds ?

Voir aussi :

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Comment la confiance des agences US dans des logiciels non testés a ouvert la porte aux piratages, les autorités devraient fixer des exigences minimales de sécurité pour les logiciels et services
Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
L'Union européenne prononce ses premières sanctions liées à la cybercriminalité, contre des Russes, Chinois et Nord-Coréens, impliqués dans des attaques comme WannaCry, NotPetya ou Cloud Hopper

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de der§en
Membre éclairé https://www.developpez.com
Le 01/03/2021 à 14:26
Rhooo, la faute d'un stagiaire, franchement quel manque d'imagination...
6  0 
Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 14/03/2021 à 11:05
« Wow, je suis complètement sans voix ici », a écrit sur Twitter Dave Kennedy, fondateur de la société de sécurité TrustedSec. « Microsoft a vraiment retiré le code PoC de Github. C'est énorme, retirer de GitHub le code d'un chercheur en sécurité contre leur propre produit et qui a déjà été patché ».

Wow, le mec, il déconne à donf ! Microsoft à pris cette décision car il restait 125 000 serveurs non encore "patchés". Ben ouais, c'est ballot, mais ils protègent un peu leurs clients aussi.
Si des chercheur en securité sont en désaccord, ils peuvent aller voir ailleurs que sur GitHub.

Quant au fond de l'affaire, des groupes terroristes soutenus par l'Etat chinois, ils en pensent quoi, ces "chercheurs" ?
6  1 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 16/04/2021 à 13:50
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
5  0 
Avatar de
https://www.developpez.com
Le 17/02/2021 à 7:33
Haa ! Les américains ! Tellement fiers de leur Quick and Dirty ! Et voilà...
4  0 
Avatar de Daïmanu
Membre émérite https://www.developpez.com
Le 24/12/2020 à 11:07
À chaque fois que je vois ce genre de news je suis aussi dégoûté que ce personnage de CommitStrip.

3  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 22/03/2021 à 10:56
Comment peut-on critiquer les actions de ses ennemis lorsque l'on démontre que l'on tout aussi mauvais que lui ? Ça ressemble juste à une banale rivalité enfantine... Et dans ces cas là, tout le monde fini toujours trempé
3  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 22/03/2021 à 10:58
Les USA disposent de 18 agences de renseignement disposant d'un effectif supérieur à 100'000 collaborateurs avec un budget annuel supérieur à 55 milliards de dollar. A cela s'ajoute des milliers d'entreprises privées sous contrat avec le gouvernement américain portant l'effectif des services de renseignement américains à plus de 400'000 personnes...

Et donc, on veut nous faire croire que c'est seulement dans quelques semaines que les USA ayant perdu patience vont finir par organiser une action cybernétique "agressive"... C'est une farce?
5  2 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 23/03/2021 à 20:23
Citation Envoyé par Arya Nawel Voir le message
Le déclenchement d'une cyberguerre est très mauvais pour toutes les parties concernées au niveau mondial.
Pas forcément: c'est très mauvais pour nous, pas pour certains.

Avant, il fallait dire qu'un pays fabriquait des armes de destruction massive pour le piller/mettre sous sanctions se défendre. Maintenant il suffira de dire que l'on a reçu des cyberattaques!
4  1 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
Avatar de weed
Membre expérimenté https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0