Recevez chaque jour toute l'actualité du numérique

x

La suite Orion de SolarWinds aurait été détournée par une autre équipe de hackers

La suite logicielle Orion de SolarWinds, entreprise qui fournit des outils de gestion des infrastructures informatiques, a été compromise. L'ampleur de l'attaque est colossal car cet outil est utilisé par de nombreux organismes gouvernementaux et grandes entreprises aux Etats-Unis, en Asie, en Europe et au Moyen-Orient, tels que la NSA, le Pentagone, Nestlé, Cisco, Ericsson, Volvo. Mais de nouvelles révélations indiquent qu'un autre groupe de hackers était déjà à l'œuvre "plus tôt dans l'année".
mis à jour le 21 décembre 2020 à 10H52
Twitter Facebook Linkedin Flipboard Email
×

La suite Orion de SolarWinds aurait été détournée par une autre équipe de hackers
La suite Orion de SolarWinds aurait été détournée par une autre équipe de hackers © SolarWinds/Glassdoor

[Mise à jour 21/12/2020] L’existence d’un deuxième groupe de pirates informatiques, distinct de l’équipe russe soupçonnée d'avoir compromis la suite logicielle Orion, a été détectée, selon un billet de blog Microsoft spécialisé dans la sécurité. Les produits de SolarWinds auraient été ciblés "plus tôt cette année" par un autre malware – "probablement sans rapport" avec l’attaque révélée la semaine dernière.

Connu sous le nom "Supernova" selon Reuters, il copie le logiciel Orion mais sans partager l’accès aux systèmes internes de la société texane, ce qui le distingue de l’autre malware. SolarWinds ne s’est pas exprimée sur cette révélation. Un porte-parole a déclaré que l’entreprise américaine restait "concentrée sur la collaboration avec les clients et les experts pour partager des informations et travailler pour mieux comprendre ce problème".

[Article original] L'entreprise américaine SolarWinds, éditrice de solutions de gestion et de surveillance informatique, a reconnu dans un communiqué avoir été victime d'une attaque informatique qui a débouché sur la compromission des versions 2019.4 HF5 à 2020.2.1 de son logiciel Orion, publiées entre mars et juin 2020.

300 000 organismes compromis
Cet incident de sécurité est loin d'être anodin car la plateforme Orion est très populaire au sein des organismes gouvernementaux – tels que le Pentagone, la NSA, la NASA, le département de la Justice, des établissements d'enseignement supérieur… – et des grandes entreprises comme Nestlé, Cisco, Volvo, EMC, le Crédit Suisse… SolarWinds revendique 425 entreprises du classement Fortune 500 (les 500 plus grosses entreprises américaines).

Au total, l'entreprise fournit ses services à 300 000 organismes publics et privés dans le monde, dont trois principaux en Europe, Ericsson, Swisscom et Telecom Italia. L'ampleur de l'attaque est donc colossale.

Compte tenu de la gravité de la situation, la Cybersecurity and Infrastructure Security Agency (CISA), une agence du département de la Sécurité intérieure des États-Unis (Homeland Security), a émis un bulletin d'alerte enjoignant "toutes les agences fédérales à examiner leurs réseaux à la recherche de marqueurs techniques et à déconnecter ou éteindre immédiatement les produits SolarWinds Orion".

A l'origine de la cyberattaque contre FireEye
Cette attaque aurait notamment permis aux hackers d'accéder au réseau de FireEye, qui révélait la semaine dernière avoir justement été victime d'une cyberattaque. Dans un communiqué, le spécialiste de la cybersécurité a dévoilé quelques détails sur l'incident. 

Cette attaque de la chaine d'approvisionnement (supply chain) s'appuie sur une porte dérobée (backdoor), un programme informatique qui permet à une tierce personne d'accéder à un système sans y être autorisé. Ainsi, "Sunburst" a permis d'insérer un cheval de Troie dans un programme d'amélioration d'Orion (OIP), principalement utilisé pour collecter des données statistiques de performance et d'utilisation à des fins d'amélioration de la solution logicielle. Après une période d'inactivité pouvant aller jusqu'à deux semaines, le malware "récupère et exécute des commandes (…) qui incluent la possibilité de transférer et d'exécuter des fichiers, de redémarrer la machine et de désactiver les services système", détaille le communiqué.

Selon FireEye, des entreprises américains, européennes, asiatiques et du Moyen-Orient utilisant Orion auraient été infectées dès le printemps 2020. Cette attaque a provoqué des vols de données, affirme la société américaine qui précise que l'incident continue de faire des victimes.

La Russie est pointée du doigt
Ce piratage serait également à l'origine de la campagne malveillante menée à l'encontre du ministère du Commerce et du Trésor américain, révélée par Reuters ce week-end. L'identité des cyberattaquants reste inconnue. Mais FireEye pencherait plutôt pour un acteur étatique car l'attaque démontre un "savoir-faire opérationnel de premier plan" et des "ressources" significatives. La Russie est pointée du doigt.

SolarWinds prévoit de publier une nouvelle mise à jour (2020.2.1 HF 2) mardi 15 décembre, afin de "remplacer le composant compromis et apporter plusieurs améliorations supplémentaires en matière de sécurité".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.