L’attaque par supply chain Sunburst
Il y a quelque temps, la société FireEye avait été victime d’une attaque en supply chain. Un malware particulièrement sophistiqué dont les acteurs et les raisons restent encore incertains. Retour sur cet événement en examinant les causes et les impacts de cette attaque supply chains reconnue désormais sous le nom de Sunburst (aussi appelé malware).
L’attaque en supplychain Sunburst
Qu’est-ce qu’une attaque en supply chain ?
Supply chain est un terme générique décrivant l’écosystème de fournisseurs de produits et services et les partenaires. Une attaque est dite supply chain lorsque l’un des éléments logiciels faisant partie de cet écosystème a été piraté. En intégrant des malwares (logiciels malveillants) dans le code d’un logiciel, les pirates peuvent attaquer leur cible lorsque celle-ci télécharge le logiciel.
L’attaque peut ensuite toucher automatiquement d’autres cibles. Les attaques en supply chain sont longues et complexes. Leur mise en œuvre ne peut se faire que par des cybercriminels expérimentés avec des moyens importants.
Concernant le cas de Sunburst, il s'agit bel et bien d’une attaque par supply chain car Solarwinds est un fournisseur de Orion (solutions techniques que les entreprises utilisent pour gérer leur infrastructure informatique). En étant victime d’une compromission de leur système d’information via Orion, c’est donc par le biais d’un tiers.
Qu’est-ce que le malware Sunburst ?
Sunburst est le nom attribué par FireEye, une société spécialisée en cybersécurité, a un malware dont elle annonce, dans un communiqué du 8 décembre 2020, avoir été victime et par lequel des cybercriminels ont dérobé une partie des outils de test d’intrusion (Red Team tool set). L’entreprise indique qu’il s’agit de cybercriminels hautement qualifiés et certainement sponsorisés par un état nation.
Les hypothèses d’attribution pointent vers des groupes très organisés, disposant de moyens considérables et très probablement soutenus par la Russie. Une attaque d’envergure dont Brad Smith, PDG de Microsoft, estime l’intervention de près de 1 000 ingénieurs nécessaires à la conduite des attaques sur la durée alors que 500 ingénieurs de Microsoft ont été mobilisés afin d’y répondre.
Quelles sont les motivations cachées derrière l’attaque Sunburst ?
Les motivations de l’attaque sont plutôt celle d’un état nation cherchant des données confidentielles (économiques et financières, ou relatives à la défense et aux services d’importance vitale). Plusieurs ministères ont été ciblés et des emails et données exfiltrés.
Certains experts et commentateurs ont d’ailleurs qualifié cet évènement de cyberespionnage plutôt que de cyberattaque car les données et systèmes d’information compromis n’ont pas été endommagés ni interrompus. Il n’y a pas eu non plus de dommage physique au réseau électrique ou à l'infrastructure de communication.
Le lien entre la collecte frauduleuse d’information ou d’identifiant et les dommages réels est long et difficile à faire comme l’ont montré les attaques sur Equifax par la Chine, ou encore NotPetya en 2017 car les gains espérés par les sponsors états nation sont d’ordre stratégiques et long terme. À l’inverse, lorsque la motivation est d’abord financière, les liens sont établis plus rapidement, comme dans le cas récent de l’attaque Colonial Pipeline.
Qu’est-ce que l’attaque par supply chain Sunburst ?
Une attaque supply chain consiste à installer un malware via un fournisseur. Les pirates peuvent ainsi attaquer leur cible une fois le virus téléchargé. Sunburst est le nom donné par l’entreprise FireEye pour désigner l’attaque qu’ils ont subie.
Quelles sont les motivations de l’attaque Sunburst ?
L’attaque par supply chain Sunburst avait pour ambition de récupérer des données confidentielles, (économiques, financières, en lien avec la défense et des services). Il s’agit de cyberespionnage plus que d’une cyberattaque.
L’attaque par supply chain Sunburst
Pour éviter ou diminuer la fréquence des sinistres, il faut sécuriser l’environnement informatique. Il faut également développer la capacité de l’entreprise à se remettre le plus rapidement possible d’un sinistre.