Si la liste des victimes de la cyberattaque SolarWinds continue de s’allonger – aux administrations américaines et aux grandes entreprises technologiques comme Microsoft, FireEye, Intel, Cisco, VMware et Nvidia, il faut à présent ajouter le gouvernement allemand et Malwarebytes -, elle ne contiendra jamais Google Cloud. C’est du moins ce qu’assurent sur le blog de l’entité Phil Venables, RSSI de Google Cloud, et Heather Adkins, directrice de la sécurité de l’information de Google. « Sur la base de ce que l’on sait de l’attaque aujourd’hui, nous sommes convaincus qu’aucun système Google n’a été affecté par l’événement SolarWinds. Nous n’utilisons que très peu les logiciels et services concernés, et notre approche pour atténuer les risques de sécurité de la chaîne d’approvisionnement signifie que toute utilisation fortuite est limitée et contenue. Ces contrôles ont été renforcés par une surveillance sophistiquée de nos réseaux et systèmes », déclarent-ils, précisant que pour atténuer les risques de sécurité « aussi petits soient-ils » la pile technologique a été modernisée, permettant de fournir un environnement plus défendable à grande échelle. Celui-ci s’appuie sur le modèle zéro confiance BeyondCorp, les clés de sécurité censées neutraliser les attaques de phishing contre les employés et Chrome OS « conçu pour être plus résistant aux logiciels malveillants ».
Selon les deux responsables, des cadres de développement sécurisé et des tests continus permettent de détecter et d’éviter les erreurs de programmation courantes. « Notre approche intégrée de la sécurité par défaut prend également en compte une grande variété de vecteurs d’attaque sur le processus de développement lui-même, y compris les risques liés à la chaîne d’approvisionnement », précisent-ils. « Pour offrir une défense en profondeur à grande échelle nous ne comptons pas sur une seule chose pour assurer notre sécurité, mais nous construisons plutôt des couches de vérifications et de contrôles qui incluent des systèmes propriétaires conçus par Google, un micrologiciel contrôlé par Google, des images de système d’exploitation sélectionnées par Google, un hyperviseur renforcé par Google, auxquels s’ajoutent la sécurité physique et les services du centre de données. Nous fournissons des assurances dans ces couches de sécurité grâce à des sources de confiance, telles que les puces Titan pour les machines hôtes Google et les machines virtuelles protégées. »
Google vérifie également que les logiciels sont développés dans un environnement isolé et approuvé, à partir d’un code correctement enregistré, examiné et testé. Ces contrôles sont appliqués pendant le déploiement, en fonction de la sensibilité du code. « Les binaires ne sont autorisés à s’exécuter que s’ils réussissent ces vérifications de contrôle, et nous nous assurons de leur conformité pendant toute la durée d’utilisation », assurent Phil Venables et Heather Adkins. Par ailleurs, les modifications de code et de configuration sont vérifiées par au moins une personne autre que le développeur « pour éviter les changements inattendus, qu’il s’agisse d’erreurs ou d’insertions malveillantes ».