SolarWinds et Tim Brown, son responsable de la sécurité de l’information (RSSI), sont accusés de fraude par le gendarme américain de la finance (SEC).
Selon la SEC, l’éditeur savait qu’il y avait des fuites dans son système informatique avant la cyberattaque de sa chaîne d’approvisionnement en 2020.
« Ils ont fraudé les investisseurs en surestimant les pratiques de SolarWinds en matière de cybersécurité et en sous-estimant ou en omettant de divulguer les risques connus », déclare la SEC dans un communiqué. La SEC cite notamment une présentation interne – datant de 2018 – qui décrit la configuration de l’accès à distance de SolarWinds comme « pas très sécurisée ». « Un attaquant à distance peut fondamentalement faire n’importe quoi sans que nous le détections jusqu’à ce qu’il soit trop tard ».
Timothy Brown aurait fait plusieurs présentations en 2018 et 2019, et déclaré : « L’état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques (…), l’accès et les privilèges aux systèmes/données critiques étant inappropriés ».
Solarwinds estime les accusations de la SEC infondées et met en avant l’aspect géopolitique de l’attaque : « une cyberattaque russe contre une entreprise américaine ». La société déclare être « impatiente de clarifier la vérité face au tribunal ».
Pour rappel, en 2020, suite au piratage de l’outil de surveillance de réseau Orion de SolarWinds, 18.000 organisations clientes ont téléchargé un paquet ‘empoisonné’, y compris le géant logiciel Microsoft et l’Administration de la sécurité nucléaire du ministère américain de l’énergie. SolarWinds a laissé entendre que moins de 100 clients avaient été touchés. Or, tous les clients avaient été exposés à des risques et ont dû en supporter les conséquences.