Sur toute la planète, des milliers de sociétés et institutions doivent vérifier si elles utilisent une version piégée du logiciel de l'entreprise texane SolarWinds, au coeur d'une cyberattaque contre plusieurs agences du gouvernement des Etats-Unis. Voici ce que l'on sait de cette attaque sophistiquée.

Comment ont procédé les pirates?

Les hackers ont réussi à compromettre le logiciel Orion de la firme américaine SolarWinds, utilisé pour la gestion et la supervision de réseaux informatiques de grandes entreprises ou d'administrations. Ce logiciel a connu un grand succès commercial grâce notamment à une ergonomie réputée très attractive.

L'attaque est passée par des mises à jour du logiciel. Les pirates ont réussi à faire émettre par SolarWinds des mises à jour piégées qui ouvraient une brèche dans les réseaux de la victime, permettant d'exfiltrer des données, par exemple des courriers électroniques.

L'offensive a commencé au printemps 2020 et se poursuit depuis, selon la société spécialisée FireEye.

Les pirates ont pu atteindre les serveurs de compilation de SolarWinds, c'est-à-dire les machines qui transforment le code produit par les développeurs - donc par des humains - en code exécutable par les ordinateurs.

Qui sont les victimes de ces attaques ?

Selon SolarWinds, 18 000 utilisateurs d'Orion ont potentiellement une brèche dans leurs réseaux, tant qu'ils n'ont pas téléchargé les mises à jour préparées en urgence pour contrer l'attaque.

Pour l'instant, il semble selon les experts que les hackers aient surtout utilisé cette faille - baptisée Sunburst - pour s'introduire dans les réseaux d'agences gouvernementales américaines et avoir accès à leurs données, à des fins d'espionnage.

Le ministère de la Sécurité intérieure (DHS), les départements du Trésor et du Commerce ont été touchés, selon les autorités et la presse américaine.

FireEye, société de cybersécurité américaine mondialement connue, a découvert la faille car elle utilisait elle-même SolarWinds et a été affectée sur certains des outils qu'elle utilise pour tester la sécurité informatique de ses clients. Selon cette société, des gouvernements et des entreprises du domaine du conseil, de la technologie et de l'énergie ont été ciblés en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.

Selon Jacques de la Rivière, qui dirige la société de cybersécurité française Gatewatcher, il est encore "trop tôt" pour savoir si d'autres entreprises ou institutions à travers le monde ont été attaquées. Les contenus que les pirates ont cherché à dérober et l'éventuel succès de leurs tentatives ne sont pas connus à ce jour.

Tous les outils de cybersécurité ont été mis à jour à travers le monde pour détecter des activités suspectes signalant la présence d'une compromission via SolarWinds. Les entreprises ou institutions qui ont utilisé les mises à jour piégées sont invitées à déconnecter leurs serveurs, puis à chercher les "marqueurs" d'une compromission éventuelle avec leurs outils de cybersécurité.

Qui se cache derrière cette attaque?

FireEye et Microsoft ont estimé qu'il s'agissait d'une attaque venant d'un Etat. Les regards d'experts ou commentateurs se sont immédiatement tournés vers la Russie, réputée pour abriter un véritable écosystème de pirates informatiques directement ou indirectement au service du gouvernement.

La Russie est mise en cause par des sources anonymes des services de sécurité américains, relayées par la presse américaine, mais il n'y a pas eu pour l'instant de mise en cause officielle de la part de Washington.

Ces sources anonymes américaines désignent le groupe "APT29" ou "Cozy Bear", qui selon le Washington Post fait partie des services de renseignement russes et qui a déjà piraté l'administration américaine pendant la présidence Obama.

Quelles leçons en tirer?

Sur un plan pratique, Jacques de la Rivière indique qu'il a encore renforcé la protection de ses propres serveurs de compilation.

D'une manière générale, il espère que l'attaque rendra entreprises et institutions plus exigeantes sur les certifications de sécurité des logiciels, qui n'étaient pas très élevées dans le cas d'Orion.

"Cette affaire peut être un tournant, où plein de clients vont se mettre à dire 'je ne veux plus acheter de logiciel qui ne soit pas certifié par une tierce partie'", espère-t-il.