Du point de vue de l’attaquant, un système informatique peut-être compromis de plusieurs façons, l’une d’elles consiste à utiliser une tierce partie pour atteindre la cible principale. C’est ce qui s’appelle une attaque par la chaîne d’approvisionnement. Ce type d’attaque est plus long et complexe à accomplir et les plus sophistiqués sont l’œuvre d’État-nation.
Un exemple est l’incident SolarWind où la compagnie du même nom a été utilisée pour atteindre des cibles pour importantes. Solarwind est une compagnie qui offre un produit de gestion d’outils informatiques nommés Orion. Les fonctionnalités d’Orion lui permettent d’avoir accès à des informations privilégiées sur les outils qu’il doit gérer ce qui fait de lui un élément critique dans la gestion d’une infrastructure informatique. Quelque part en 2019, un compte de l’équipe de développement du logiciel a été piraté et les acteurs malicieux derrière cette attaque ont eu accès au code source de l’application. Plusieurs mois après s’être infiltrés dans les systèmes de Solarwind, les pirates ont développé un code malveillant contenant un logiciel espion et l’ont inséré dans le code de l’application du programme Orion. Au printemps 2020, une mise à jour contenant le logiciel espion a été distribuée depuis les canaux officiels de Solarwind, les organisations utilisatrices du logiciel Orion l’ont téléchargée et installée. Cela a permis au maliciel d’infiltrer ces organisations ainsi que leurs propres fournisseurs. L’étendue de l’attaque a été énorme; des compagnies privées et publiques, différents niveaux de gouvernement ainsi que plusieurs états ont été impactés par cet incident. En fait, c’est un des clients de Solarwind, une compagnie de sécurité nommée FireEyes, qui a détecté en premier le logiciel malveillant en l’observant dans l’infrastructure informatique de ses propres clients puis dans ses systèmes internes par la suite. Malgré sa découverte, l’attaque ne s’est pas arrêtée là, car le logiciel utilisait une panoplie de méthodes pour couvrir ses traces, se camoufler, se répliquer en cas de découverte et maintenir un canal de communication avec les pirates. À ce jour, il n’est pas certain que toutes les victimes se soient débarrassées complètement de ce logiciel.
L’incident SolarWind est certainement un cas d’école et même si les attaques par la chaîne d’approvisionnement ne sont pas toutes aussi évoluées, ce type d’attaque est plus difficilement repérable étant donné qu’elle utilise le lien de confiance et les structures établies entre des partenaires pour atteindre la cible recherchée.
De plus, d’un point de vue de préparation, une entité qui voudrait tester sa résilience et sa préparation contre ce genre d’agression devrait se préparer à investir temps et argent pour y arriver. Même d’un point de vue d’une équipe de sécurité offensive, il faudrait obtenir des contrats entre l’entité principale ainsi que les tierces parties pour opérer dans un cadre légal, ce qui certainement plus ardu à faire.
En conclusion, l’attaque par la chaîne d’approvisionnement est définitivement là pour rester et comme il est difficile de se défendre contre celle-ci, la connaissance du phénomène ainsi que la vigilance sont les meilleurs moyens pour amenuiser les potentiels dégâts.
Par Simon Benoit
Consultant en cybersécurité
