SolarWinds 2020 : l'attaque supply chain qui a tout changé
> En bref : Analyse complète de l'attaque SolarWinds Orion par le groupe russe Nobelium : méthode, impact sur 18 000 organisations et leçons pour la sécurité.
L'attaque qui a redéfini la menace supply chain
En décembre 2020, la société de cybersécurité FireEye révèle avoir été piratée. L'investigation mène à une découverte bien plus grave : le logiciel de gestion réseau SolarWinds Orion, utilisé par 33 000 organisations dont les plus grandes entreprises et agences gouvernementales américaines, avait été compromis au niveau de sa chaîne de compilation.
Comment l'attaque a fonctionné
Étape 1 : compromission du build system. Les attaquants (attribués au groupe russe Nobelium, aussi connu comme APT29 ou Cozy Bear) ont infiltré l'environnement de développement de SolarWinds. Ils ont modifié le processus de compilation pour injecter une backdoor dans le code source d'Orion.
Étape 2 : la backdoor SUNBURST. Le code malveillant, nommé SUNBURST, a été intégré dans une DLL légitime (SolarWinds.Orion.Core.BusinessLayer.dll). Il était signé numériquement par SolarWinds, ce qui le rendait indétectable par les outils de sécurité classiques.
Étape 3 : distribution via les mises à jour. Entre mars et juin 2020, les mises à jour d'Orion contenant SUNBURST ont été distribuées à environ 18 000 organisations via le mécanisme de mise à jour officiel de SolarWinds.
Étape 4 : activation sélective. SUNBURST ne s'activait pas sur toutes les installations. Il restait dormant pendant environ deux semaines, puis communiquait avec un serveur C2 (Command and Control) via le DNS. Les attaquants sélectionnaient ensuite les cibles d'intérêt pour un accès approfondi.
Étape 5 : post-exploitation. Sur les cibles sélectionnées, les attaquants déployaient des outils supplémentaires (TEARDROP, RAINDROP) pour voler des données, accéder aux emails et pivoter dans le réseau.
Victimes
Sur les 18 000 organisations ayant installé la mise à jour compromise, environ 100 ont été activement exploitées. Parmi elles : le Département du Trésor américain, le Département de la Sécurité intérieure, le Département de la Justice, Microsoft, Intel, Cisco, et des dizaines d'entreprises du Fortune 500.
Pourquoi c'était presque indétectable
SUNBURST était exceptionnellement bien conçu :
Leçons
La supply chain logicielle est un vecteur d'attaque stratégique. Compromettre un éditeur de logiciel permet de toucher des milliers de cibles en une seule opération.
Les signatures numériques ne garantissent pas l'intégrité. Si le processus de compilation est compromis, le code malveillant sera signé comme le code légitime.
La détection doit aller au-delà des signatures. Les backdoors sophistiquées nécessitent de l'analyse comportementale, pas seulement de la détection de signatures.
Le zero trust n'est pas un concept marketing. Si SolarWinds Orion (un outil d'administration réseau avec des privilèges élevés) est compromis, le modèle de sécurité périmétrique s'effondre.
SolarWinds a changé la façon dont l'industrie pense la sécurité de la supply chain logicielle. Les organisations qui auditent régulièrement leurs dépendances et leurs services exposés sont mieux préparées. C'est exactement ce que CleanIssue vérifie lors de ses audits.
À retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
MOVEit 2023 : comment Cl0p a exploité un zero-day pour toucher 2 500 entreprises
Analyse technique de la campagne Cl0p contre MOVEit Transfer en 2023 : la vulnérabilité SQLi, la chaîne d'exploitation et les leçons.
Okta 2022 et 2023 : quand le fournisseur d'identité se fait pirater
Deux compromissions majeures d'Okta en deux ans. Analyse des vecteurs, de l'impact sur les clients, et des enseignements pour la sécurité des fournisseurs d'identité.
Attaques supply chain sur les logiciels de paie : comment ça fonctionne et comment s'en protéger
Les attaques par la chaîne d'approvisionnement ne visent plus seulement les grands groupes. Les éditeurs de logiciels de paie sont des cibles privilégiées. Décryptage.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.