Retour au blog
Hacks célèbressupply chainAPT

SolarWinds 2020 : l'attaque supply chain qui a tout changé

Publié le 2026-04-059 min de lectureFlorian

L'attaque qui a redéfini la menace supply chain

En décembre 2020, la société de cybersécurité FireEye révèle avoir été piratée. L'investigation mène à une découverte bien plus grave : le logiciel de gestion réseau SolarWinds Orion, utilisé par 33 000 organisations dont les plus grandes entreprises et agences gouvernementales américaines, avait été compromis au niveau de sa chaîne de compilation.

Comment l'attaque a fonctionné

Étape 1 : compromission du build system. Les attaquants (attribués au groupe russe Nobelium, aussi connu comme APT29 ou Cozy Bear) ont infiltré l'environnement de développement de SolarWinds. Ils ont modifié le processus de compilation pour injecter une backdoor dans le code source d'Orion.

Étape 2 : la backdoor SUNBURST. Le code malveillant, nommé SUNBURST, a été intégré dans une DLL légitime (SolarWinds.Orion.Core.BusinessLayer.dll). Il était signé numériquement par SolarWinds, ce qui le rendait indétectable par les outils de sécurité classiques.

Étape 3 : distribution via les mises à jour. Entre mars et juin 2020, les mises à jour d'Orion contenant SUNBURST ont été distribuées à environ 18 000 organisations via le mécanisme de mise à jour officiel de SolarWinds.

Étape 4 : activation sélective. SUNBURST ne s'activait pas sur toutes les installations. Il restait dormant pendant environ deux semaines, puis communiquait avec un serveur C2 (Command and Control) via le DNS. Les attaquants sélectionnaient ensuite les cibles d'intérêt pour un accès approfondi.

Étape 5 : post-exploitation. Sur les cibles sélectionnées, les attaquants déployaient des outils supplémentaires (TEARDROP, RAINDROP) pour voler des données, accéder aux emails et pivoter dans le réseau.

Victimes

Sur les 18 000 organisations ayant installé la mise à jour compromise, environ 100 ont été activement exploitées. Parmi elles : le Département du Trésor américain, le Département de la Sécurité intérieure, le Département de la Justice, Microsoft, Intel, Cisco, et des dizaines d'entreprises du Fortune 500.

Pourquoi c'était presque indétectable

SUNBURST était exceptionnellement bien conçu :

  • Il était signé par un certificat légitime de SolarWinds
  • Il attendait deux semaines avant de s'activer
  • Il communiquait via le DNS, un protocole rarement bloqué
  • Il vérifiait la présence d'outils de sécurité et ne s'activait pas si certains étaient détectés
  • Il imitait le trafic légitime d'Orion

    • Leçons

    La supply chain logicielle est un vecteur d'attaque stratégique. Compromettre un éditeur de logiciel permet de toucher des milliers de cibles en une seule opération.

    Les signatures numériques ne garantissent pas l'intégrité. Si le processus de compilation est compromis, le code malveillant sera signé comme le code légitime.

    La détection doit aller au-delà des signatures. Les backdoors sophistiquées nécessitent de l'analyse comportementale, pas seulement de la détection de signatures.

    Le zero trust n'est pas un concept marketing. Si SolarWinds Orion (un outil d'administration réseau avec des privilèges élevés) est compromis, le modèle de sécurité périmétrique s'effondre.

    SolarWinds a changé la façon dont l'industrie pense la sécurité de la supply chain logicielle. Les organisations qui auditent régulièrement leurs dépendances et leurs services exposés sont mieux préparées. C'est exactement ce que CleanIssue vérifie lors de ses audits.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Hacks célèbresransomware

    MOVEit 2023 : comment Cl0p a exploité un zero-day pour toucher 2 500 entreprises

    Analyse technique de la campagne Cl0p contre MOVEit Transfer en 2023 : la vulnérabilité SQLi, la chaîne d'exploitation et les leçons.

    2026-04-04 · 8 min de lecture
    Hacks célèbresAuthentification

    Okta 2022 et 2023 : quand le fournisseur d'identité se fait pirater

    Deux compromissions majeures d'Okta en deux ans. Analyse des vecteurs, de l'impact sur les clients, et des enseignements pour la sécurité des fournisseurs d'identité.

    2026-04-07 · 7 min de lecture
    Hacks célèbresingénierie sociale

    Uber 2022 : l'attaque par ingénierie sociale qui a tout compromis

    Un attaquant de 18 ans a compromis l'intégralité des systèmes d'Uber via du social engineering et du MFA fatigue. Chronologie et leçons.

    2026-04-08 · 7 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-05

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit