FireEye, SolarWinds, Microsoft, VMware… la liste des défaillances qui ont permis aux hackers, très probablement russes, de pénétrer des sites sensibles aux Etats-Unis et ailleurs dans le monde s’allonge. Une vulnérabilité VMware permettant l’accès à des données protégées a en effet été utilisée par les pirates de SolarWinds pour attaquer des « cibles de grande valeur », a rapporté KrebsOnSecurity. Le blog spécialisé rapporte que l’Agence nationale de sécurité américaine (NSA) avait averti le 7 décembre qu’une faille dans le logiciel de l’éditeur permettait à des pirates russes de se faire passer pour des utilisateurs légitimes sur des réseaux piratés. La NSA expliquait que pour exploiter cette vulnérabilité, les pirates avaient accédé au réseau interne de la cible, comme cela semble être le cas dans le piratage de SolarWinds.
« Bien que nous ayons identifié des instances limitées du logiciel vulnérable SolarWinds Orion dans notre environnement, notre propre enquête interne n’a révélé aucune indication d’exploitation », a fait aussitôt savoir dans un communiqué la filiale de Dell, ajoutant qu’une mise à jour logicielle corrigeant la faille avait été publiée.
Précisons que l’avis de la NSA a été publié moins de 24 heure avant que FireEye n’indique avoir été victime d’une cyberattaque, visant à obtenir des informations sur certains clients gouvernementaux de la société. Finira-t-on par découvrir d’autres failles servant de point d’entrée pour les hackers ?
La semaine dernière SolarWinds révélait que ses comptes de messagerie Office 365 avaient été compromis, permettant ainsi à l’attaquant de se propager dans les systèmes de nombreuses organisations publiques et privées. Ce sont plus de 40 clients Microsoft qui ont été précisément ciblés et compromis grâce aux mises à jour infectées de la plateforme de surveillance de réseau Orion de SolarWinds, a fait savoir jeudi le président de Microsoft, Brad Smith, sur le blog de la société. Si environ 80% de ces clients sont situés aux États-Unis, l’éditeur de Redmond a également identifié des victimes dans sept pays supplémentaires. Il s’agit du Canada et du Mexique en Amérique du Nord, de la Belgique, de l’Espagne et du Royaume-Uni en Europe, ainsi que d’Israël et des Etats-Arabes-Unis au Moyen-Orient. « Il est certain que le nombre et l’emplacement des victimes continueront d’augmenter », a toutefois prévenu Brad Smith. La liste dressée à ce jour comprend non seulement des agences gouvernementales (18%), mais aussi des entreprises de sécurité et autres entreprises technologiques (44%) ainsi que les organisations non gouvernementales.
Sous le texte présidentiel figure une déclaration de l’éditeur, publiée « à la suite de reportages sur l’impact sur Microsoft du problème SolarWinds ». « Comme d’autres clients de SolarWinds, nous recherchons activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n’avons pas trouvé de preuve d’accès aux services de production ou aux données clients. Nos enquêtes, qui sont en cours, n’ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d’autres personnes », peut-on lire. Alors compromises ou pas compromises, ces victimes ?
A la liste des entreprises affectées par la cyberattaque de l’année on peut déjà ajouter Cisco. Dans un article publié ce week-end, Bloomberg révèle en effet que des ordinateurs utilisés par des chercheurs de la firme de San Jose ont été infectés. « Pour le moment, il n’y a aucun impact connu sur les offres ou les produits Cisco. Nous continuons à étudier tous les aspects de cette situation en évolution avec la plus haute priorité », assure l’équipementier dans un communiqué transmis à nos confrères. Le point d’enrée du malware n’est pas précisé, mais il ne s’agit apparemment pas d’Orion. « Bien que Cisco n’utilise pas SolarWinds Orion pour la gestion ou la surveillance de son réseau d’entreprise, nous avons identifié et atténué les logiciels affectés dans un petit nombre d’environnements de laboratoire et un nombre limité de points de terminaison d’employés », indique en effet la société. Celle-ci a refusé de fournir d’autres précisions à nos confrères mais à en croire une « source proche de l’incident », environ deux douzaines d’ordinateurs ont été touchés.