C’est probablement le pire piratage informatique de ces dernières années, si ce n’est de tous les temps. Le week-end dernier Solarwinds révélait que des hackers travaillant probablement pour la Russie avaient pénétré son système et intégré une porte dérobée commandée à distance dans la dernière mise à jour d’Orion, une plateforme logicielle de surveillance et de gestion centralisée, leur permettant ainsi de s’introduire dans les réseaux de plusieurs entreprises et organisations gouvernementales américaines et, probablement, d’autres pays.
Les pirates ont très vraisemblablement utilisé Orion pour s’introduire dans le réseau de FireEye – justement très impliqué dans la lutte contre le hacking d’Etat – qui avait révélé son piratage quelques jours auparavant, sans connaître pour autant la méthode utilisée. Le CEO de l’éditeur de solutions de cybersécurité, Kevin Mandia, estimait alors que les pirates souhaitaient notamment obtenir des informations sur certains de ses clients gouvernementaux mais n’avaient probablement rien dérobé. Il reconnaissait toutefois que certains outils d’évaluation de sa Red Team utilisés pour tester la sécurité des clients avaient été dérobés.
Les révélations de SolarWinds démontrent que l’attaque attribuée à APT29, alias Cozy Bear (un groupe lié au services secrets russes), est bien pire que ce que l’on pensait. Les systèmes informatiques du ministère américain du Trésor, du Pentagone, du Département d’État, des instituts nationaux de la santé et de la sécurité intérieure auraient été infectés reconnaissent ces organisations. Forbes indique que son côté que SolarWinds est un fournisseur important du gouvernement US et que le FBI et le département de la Sécurité intérieure des États-Unis figurent également parmi les victimes. Et la liste n’est pas exhaustive.
L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a appelé dimanche soir toutes les agences fédérales à examiner immédiatement leurs réseaux et à désactiver Orion. En France, le CERT-FR a recommandé de déconnecter les serveurs, de recherche d’éventuelles compromissions et de passer version 2020.2.1 HF 1 de la plateforme en attendant la version 2020.2.1 HF 2 attendue. Officiellement, SolarWinds affirme que parmi ses 300.000 clients, 33.000 utilisaient Orion, et que moins de 18.000 de ces derniers utilisaient une version compromise.
L’éditeur indique par ailleurs que ses comptes de messagerie Office 365 avaient été compromis. L’attaquant s’en serait servi pour se propager dans les systèmes de nombreuses organisations publiques et privées. Les courriels de l’Administration nationale des télécommunications et de l’information (NTIA) du département du Commerce ont ainsi été surveillés pendant des mois selon Reuters qui s’appuie sur « des sources proches du dossier ». Ce vecteur d’attaque aurait permis aux pirates d’accéder aux autres données contenues dans le système Office 365 de SolarWinds et, selon Microsoft, d’apporter « des modifications aux paramètres d’Azure Active Directory pour faciliter l’accès à long terme ».