IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ,
Les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

Le , par Stan Adkens

113PARTAGES

4  0 
Le piratage de SolarWinds, attribué aux agents russes, qui a focalisé l'attention des principales agences fédérales américaines et des entreprises privées pourrait également être pire que ce que les officiels ont d'abord réalisé. Jusqu’à présent, les autorités américaines croient que quelque 250 agences américaines et sociétés privées sont maintenant affectées, d’après un rapport du New York Times. Les réseaux informatiques des Départements du Trésor, du Commerce, de l’Énergie, de l'administration nationale de la sécurité nucléaire des États-Unis, de FireEye et de Microsoft ont été piratés entre autres.

Trois semaines après que l'intrusion a été révélée, les responsables américains essaient toujours de comprendre si ce que les Russes ont fait n'était qu'une opération d'espionnage à l'intérieur des systèmes de la bureaucratie américaine ou quelque chose de plus sinistre, insérant un accès via une "porte dérobée" dans les agences gouvernementales, les grandes entreprises, le réseau électrique et les laboratoires qui développent les nouvelles générations d'armes nucléaires.


Alors que les enquêteurs du gouvernement et du secteur privé continuent leurs investigations, la campagne de cyberattaque a soulevé des questions sur la manière et les raisons de l'échec si spectaculaire des cyberdéfenses de la nation. Ces questions ont pris un caractère particulièrement urgent étant donné que la brèche n'a été détectée par aucune des agences gouvernementales qui partagent la responsabilité de la cyberdéfense – le Cyber Commandement militaire et l'Agence de sécurité nationale –, mais par une société privée de cybersécurité, FireEye.

« Cela semble bien pire que ce que je craignais au départ », a dit dans une déclaration le sénateur démocrate de Virginie Mark Warner, membre de la commission sénatoriale du renseignement. « La taille de l’intrusion ne cesse de croître. Il est clair que le gouvernement américain l'a manquée ». « Et si FireEye ne s'était pas manifesté, » a-t-il ajouté, « je ne suis pas sûr que nous en serions pleinement conscients à ce jour ».

Les intentions derrière l'attaque restent cachées, mais étant donné le nombre d’agences fédérales américaines déclarées victimes par rapport aux sociétés privées ayant déjà vu leurs réseaux infectés, on peut dire que le gouvernement américain était clairement le principal objectif de la cyberattaque. Certains analystes affirment que les Russes pourraient tenter d'ébranler la confiance de Washington dans la sécurité de ses communications et de démontrer leur cyberarsenal pour avoir une influence sur le président élu Joe Biden avant les pourparlers sur les armes nucléaires.

« Nous ne savons toujours pas quels étaient les objectifs stratégiques de la Russie », a déclaré Suzanne Spaulding, qui était la principale cyberofficielle au Département de la sécurité intérieure sous l'administration Obama. « Mais nous devrions nous inquiéter du fait qu'une partie de ces objectifs pourrait aller au-delà de la reconnaissance. Leur but peut être de se mettre en position d'avoir une influence sur la nouvelle administration, comme de tenir un pistolet sur notre tête pour nous dissuader d'agir pour contrer Poutine ».

Microsoft a déclaré que les pirates ont compromis le logiciel de surveillance et de gestion Orion de SolarWinds, leur permettant de se faire passer pour n'importe quel utilisateur et compte existant de l'organisation, y compris des comptes hautement privilégiés. La Russie aurait exploité des couches de la chaîne d'approvisionnement pour accéder aux systèmes des agences du gouvernement.

Les capteurs d'« alerte précoce » placés par le Cyber Commandement militaire et la NSA au sein des réseaux étrangers pour détecter les attaques en cours ont clairement échoué. Rien n'indique non plus qu'un quelconque renseignement humain ait alerté les États-Unis de ce piratage. En outre, il semble probable que l'attention portée par le gouvernement américain à la protection des élections de novembre contre les pirates informatiques étrangers a pu regrouper beaucoup de ressources afin de se concentrer sur la chaîne d'approvisionnement en logiciels, selon le quotidien.

Aussi, le fait de mener l'attaque depuis les serveurs aux États-Unis a apparemment permis aux pirates informatiques d'échapper à la détection des cyberdéfenses déployées par le ministère de la Sécurité intérieure. Certains des logiciels SolarWinds compromis ayant été conçus en Europe de l'Est, les enquêteurs américains seraient maintenant en train d’examiner si l'incursion a eu lieu dans cette région, où les agents des services de renseignement russes sont profondément enracinés, a rapporté The Times.

Il pourrait se passer des mois avant que l’ensemble des victimes soit débarrassé du code espion

La branche cybersécurité du Département de la Sécurité intérieure a conclu en décembre que les pirates travaillaient également par d'autres canaux que SolarWinds. Il y a une semaine, CrowdStrike, une autre société de cybersécurité, a révélé qu'elle était également visée, sans succès, par les mêmes pirates, mais par une société qui revend des logiciels Microsoft. Comme les revendeurs sont souvent chargés de mettre en place les logiciels des clients, ils ont un large accès aux réseaux des clients de Microsoft. Par conséquent, ils peuvent être un cheval de Troie idéal pour les pirates informatiques russes.

« Ils ont ciblé les points faibles de la chaîne d'approvisionnement et par le biais de nos relations les plus fiables », a déclaré Glenn Chisholm, un des fondateurs de la société Obsidian Security.

Toutefois, Microsoft a dit n’avoir « aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes ». Cependant, le fabricant de logiciels a déclaré jeudi dernier qu'il avait découvert que ses systèmes étaient infiltrés « au-delà de la simple présence de code SolarWinds malveillant », comme la société l’avait prétendu auparavant. Les pirates ont pu « voir le code source dans un certain nombre de dépôts de code source », mais le compte piraté qui leur a donné accès n'avait pas la permission de modifier le code ou les systèmes.

Selon certains experts en sécurité, il est peut-être inutile de débarrasser tant d'agences fédérales tentaculaires du Service des renseignements extérieurs russe (S.V.R.) pointé du doigt dans le cyberespionnage, et que la seule façon de progresser était peut-être de fermer les systèmes et de repartir à zéro. Mais d'autres ont déclaré que le faire en plein milieu d'une pandémie coûterait trop cher et prendrait trop de temps, et que la nouvelle administration devrait s'efforcer d'identifier et de contenir chaque système compromis avant de pouvoir calibrer une réponse adéquate.

« Le S.V.R. est délibéré, il est sophistiqué et n'a pas les mêmes contraintes légales que nous, en Occident », a déclaré Adam Darrah, un ancien analyste des renseignements du gouvernement qui est maintenant directeur des renseignements de Vigilante, une société de sécurité. Les sanctions, les mises en accusation et les autres mesures, a-t-il ajouté, n'ont pas réussi à dissuader le S.V.R., qui a montré qu'il pouvait s'adapter rapidement. « Ils nous surveillent de très près en ce moment », a déclaré Darrah. « Et ils vont pivoter en conséquence ».

Selon les responsables des services de renseignement, il pourrait se passer des mois, voire des années, avant qu'ils n'aient une compréhension complète du piratage.

Source : New York Times

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que le nombre de victimes des pirates de SolarWinds pourrait encore s’étendre au-delà des victimes déjà relevées ? Pourquoi ?

Voir aussi :

Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
L'Union européenne prononce ses premières sanctions liées à la cybercriminalité, contre des Russes, Chinois et Nord-Coréens, impliqués dans des attaques comme WannaCry, NotPetya ou Cloud Hopper
L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Le cabinet de campagne Biden frappé par un piratage informatique présumé du Kremlin, l'échec de l'attaque décelé par Microsoft, qui révèle que les hackers russes ont atteint 200 autres cibles

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de der§en
Membre éclairé https://www.developpez.com
Le 01/03/2021 à 14:26
Rhooo, la faute d'un stagiaire, franchement quel manque d'imagination...
6  0 
Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 14/03/2021 à 11:05
« Wow, je suis complètement sans voix ici », a écrit sur Twitter Dave Kennedy, fondateur de la société de sécurité TrustedSec. « Microsoft a vraiment retiré le code PoC de Github. C'est énorme, retirer de GitHub le code d'un chercheur en sécurité contre leur propre produit et qui a déjà été patché ».

Wow, le mec, il déconne à donf ! Microsoft à pris cette décision car il restait 125 000 serveurs non encore "patchés". Ben ouais, c'est ballot, mais ils protègent un peu leurs clients aussi.
Si des chercheur en securité sont en désaccord, ils peuvent aller voir ailleurs que sur GitHub.

Quant au fond de l'affaire, des groupes terroristes soutenus par l'Etat chinois, ils en pensent quoi, ces "chercheurs" ?
6  1 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 16/04/2021 à 13:50
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
5  0 
Avatar de
https://www.developpez.com
Le 17/02/2021 à 7:33
Haa ! Les américains ! Tellement fiers de leur Quick and Dirty ! Et voilà...
4  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 22/03/2021 à 10:56
Comment peut-on critiquer les actions de ses ennemis lorsque l'on démontre que l'on tout aussi mauvais que lui ? Ça ressemble juste à une banale rivalité enfantine... Et dans ces cas là, tout le monde fini toujours trempé
3  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 22/03/2021 à 10:58
Les USA disposent de 18 agences de renseignement disposant d'un effectif supérieur à 100'000 collaborateurs avec un budget annuel supérieur à 55 milliards de dollar. A cela s'ajoute des milliers d'entreprises privées sous contrat avec le gouvernement américain portant l'effectif des services de renseignement américains à plus de 400'000 personnes...

Et donc, on veut nous faire croire que c'est seulement dans quelques semaines que les USA ayant perdu patience vont finir par organiser une action cybernétique "agressive"... C'est une farce?
5  2 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 23/03/2021 à 20:23
Citation Envoyé par Arya Nawel Voir le message
Le déclenchement d'une cyberguerre est très mauvais pour toutes les parties concernées au niveau mondial.
Pas forcément: c'est très mauvais pour nous, pas pour certains.

Avant, il fallait dire qu'un pays fabriquait des armes de destruction massive pour le piller/mettre sous sanctions se défendre. Maintenant il suffira de dire que l'on a reçu des cyberattaques!
4  1 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
Avatar de weed
Membre expérimenté https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 23:40
Citation Envoyé par TotoParis Voir le message
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.
3  0