Sunburst et SolarWinds : que faut-il savoir de la cyberattaque d'ampleur qui a touché les États-Unis ?

04 janvier 2021 à 17h27
11
Malware © Pixabay

En l'espace d'une semaine, le gouvernement américain et la firme de
cybersécurité FireEye ont été victimes d'une opération de cyberespionnage gargantuesque. Un malware «
 extrêmement sophistiqué » nommé Sunburst a été déployé durant plusieurs mois par des hackers de très haut niveau. Il menace plus de 18 000 organisations dans le monde utilisant le logiciel Orion.

Si, au vendredi 18 novembre, le cheval de Troie a été scellé et ne semble plus pouvoir se diffuser, on ne connaît pas ses ramifications dans le monde. L'ampleur des dégâts, des deux côtés de l'Atlantique, reste encore inconnue. Retour en détail sur cette opération de cyberespionnage dont on n'a pas fini d'entendre parler.

Rappel des faits : le gouvernement américain visé par une cyberattaque

C'est ce dimanche 13 décembre que Reuters a révélé l'existence de cette
cyberattaque d'ampleur. Selon l'agence de presse, deux branches du
gouvernement américain, le Trésor et le département du Commerce, ont été victimes il y a plusieurs mois d'une opération de cyberespionnage ayant permis aux pirates d'observer tous les échanges d'e-mails, notamment confidentiels. Un événement qui a conduit à la réunion d'un Conseil de sécurité à la Maison Blanche.

Selon les sources de Reuters, cette attaque n'était pas sans rapport avec une autre agression numérique, découverte quelques jours plus tôt : celle de FireEye, fleuron américain de la cybersécurité spécialisée dans la chasse aux hackers d'État. Dans un communiqué, la firme révélait en début de semaine dernière s'être fait dérober une partie de ses outils offensifs par des pirates informatiques « probablement soutenus par un État ». Un événement à lui seul exceptionnel dans le monde de la cybersécurité.

Dès le lendemain, lundi 14 décembre, plusieurs médias américains comme le New York Times ont révélé la contamination d'autres branches du gouvernement américain. En vrac : le ministère des Affaires étrangères, celui de la Défense, et même le Department of Homeland Security, qui lutte contre la cybercriminalité. La France, de son côté, a émis ce même jour un bulletin d'alerte à l'attention des administrations et des entreprises.

Un cheval de Troie dans Orion, un logiciel de SolarWinds

L'origine de la faille logicielle est rapidement découverte. Dans une déclaration à la Security and Exchange Commission, organisme de régulation des marchés financiers, l'entreprise SolarWinds précise ce qu'il s'est passé.

SolarWinds est un fournisseur de logiciels américain qui compte plus de 350 000 clients dans le monde et a produit notamment la plateforme Orion. Celle-ci est utilisée par de grandes institutions publiques à travers le monde, et par 450 des 500 plus grandes entreprises mondiales.

C'est à partir d'Orion que les pirates informatiques ont mené leur
assaut. Ils ont infecté le logiciel à partir mars dernier en profitant d'une mise à jour de la plateforme. Une attaque via la chaîne d'approvisionnement, qui consiste à infecter un produit en altérant son processus même de fabrication en ciblant des éléments moins sécurisés de celui-ci. Ils y ont introduit une backdoor qui a transformé le logiciel en cheval de Troie, permettant aux pirates, après deux semaines de sommeil du malware, de faire les manipulations qu'ils voulaient à distance.

Le programme malveillant Sunburst, comme l'a nommé la firme FireEye,
aurait touché 18 000 clients de SolarWinds, sur les 33 000 qui utilisent Orion.

Qui est à l'origine de cette cyberattaque ?

Depuis la découverte de Sunburst, Microsoft, SolarWinds et FireEye font tout ce qu'ils peuvent pour se débarrasser du logiciel malveillant.
Un patch a été déployé par SolarWinds ce mardi 15 décembre pour supprimer toutes traces du logiciel malveillant. FireEye, de son côté, explique traquer le logiciel pour comprendre son origine et son fonctionnement précis. Microsoft, enfin, a publié un guide pour ses utilisateurs afin de de traquer l'activité de Sunburst dans leurs réseaux, mais a aussi déployé une mise à jour de l'antivirus Defender qui met automatiquement Orion en quarantaine si une activité suspecte est détectée.

Si Sunburst ne devrait plus pouvoir se diffuser, il reste à connaître l'étendue de ses dégâts et son origine. SolarWinds, FireEye et Microsoft pointent tous du doigt l'implication d'un acteur étatique, étant donné le haut niveau de sophistication nécessaire à la manœuvre. « Cette campagne fait montre d'un artisanat opérationnel et de ressources de haut niveau qui sont cohérentes avec [la présence] d'acteurs sponsorisés
par des États 
» explique FireEye dans un communiqué récent . « Chacune des attaques requiert un niveau méticuleux de planification et d'interactions manuelles. »

Dès le dimanche 13 décembre, les sources de Reuters pointaient du doigt
la Russie. De son côté, le Washington Post accuse le groupe Cozy Bear, aussi connu sous le nom APT29, qui ferait partie des services de renseignement de Moscou.

Des informations qui ne peuvent pas être confirmées pour le moment. Le
ministère des Affaires étrangères Russe a d'ailleurs réagi dans un communiqué partagé sur Facebook , affirmant que les accusations sont sans fondement.

Les suites de la cyberattaque

Comme nous l'avons dit, l'étendue des dégâts causés par Sunburst n'est pas encore connue. Ce matin du vendredi 18 novembre, le département de l'Énergie des États-Unis a confirmé avoir été visée par l'opération. Alors que le FBI, la CIA et la CISA enquêtent sur l'affaire, le président-élu américain Joe Biden s'est dit « très préoccupé » par l'affaire qui cause déjà de nouvelles tensions avec la Russie.

De son côté, les actions du groupe SolarWinds ont chuté de 22 % depuis la semaine dernière et la Security and Exchange Commission a annoncé qu'une enquête serait ouverte à propos d'un sujet tout aussi épineux. En effet, selon le Washington Post, deux des plus importants investisseurs de l'entreprise ont vendu pour 280 millions de dollars d'actions au début du mois, quelques jours à peine avant que FireEye rende publique la menace.

Sources : BBC , CNN

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
12
Kriz4liD
J’ai la réponse ! à coup sur ce sont les chinois du PCC depuis des IP russes utilisant des PC Huawei connectés à des bornes 5G Huawei couvrant un hotel suspect à Moscow.<br /> Ne me remerciez pas !
jcc137
A vrai dire, j’ai été étonné que les chinois ne soient pas accusés, une nouvelle fois LOL
Oldtimer
Avant c’était toujours un coup des chinois du FBI, maintenant c’est un coup des chinois du KGB… pardon je voulais dire du FSB.
bmustang
voila que c’est d’utiliser les outils de Solarwinds aussi inutiles et par dessus le marché véreux.
fg03
En tout cas le fond d’écran est très beau. Vous l’avez en Full HD
orionb1
que font ces outils exactement ? je suis curieux, j’aimerais d’ailleurs savoir si je risque quelque chose pour mes données perso si mon entreprise a été touchée
BricoleurDuDimanche83
Ne laisse jamais de données perso en entreprise ! trop dangereux !<br /> #1 Fais tes sauvegardes,<br /> #2 Fais tes mises à jours de sécurité,<br /> #3 utilise un compte utilisateur (ainsi les virus et autres saloperies ne pouront s’installer à son insu)
Kriz4liD
L’outil ciblé est Orion , il permet d avoir une vision globale des routeurs et de pare-feu , il remonte les alarmes et les problèmes du réseau , il peut même superviser des basses de données et des antivirus .<br /> Genre un outil qui centralise tout et qui a accès à tout , l outil idéal à pirater si tu veux prendre en otage un réseau ou une entreprise.
orionb1
Ok merci, c’est très intéressant !
BBlake
Il faut faire attention beaucoup rigole du discours «&nbsp;les Chinois et les Russes sont les méchants&nbsp;» parce que derrière ça ce cache une vérité vérifiable. Les Russes et les Chinois sont les premiers contre lesquelles on se défend en cybersécurité.<br /> Je parle en tout cas de leurs serveurs, il est très simple de vérifier cela, il faut juste mettre en place un phpmyadmin et retirer les sécurités de bannissement d’IP ensuite vous regardez le trafiques sur le portail phpmyadmin et vous verrez le nombre de serveurs Chinois et Russes qui vous attaque à la minute
micquer2
on est tous foutu ?<br /> si toutes les + grosses entreprises mondiales sont infectees par ce virus …<br /> relire : «&nbsp;&nbsp;» Celle-ci est utilisée par de grandes institutions publiques à travers le monde, et par 450 des 500 plus grandes entreprises mondiales. «&nbsp;&nbsp;»<br /> … pour savoir d’ou ca vient il «&nbsp;suffira&nbsp;» de regarder le pays le moins affecte !
Kriz4liD
SolarWinds est une entreprise qui bosse beaucoup avec Nokia dans les télécoms , Orion est systématiquement vendu avec les solutions Nokia (3G et 4G) pour superviser le réseau IP, tes craintes peuvent s’avérer vraies !<br /> Aussi , pour la derniere remarque , on pourrait dire que la chine est affecté à 0% car son réseau est basé sur les Solutions Huawei ce n’est donc pas une solution pour savoir d’ou sa vient , Orange par exemple travail beaucoup avec Ericsson , Bouygue avec Huawei , donc pas d’Orion ou de solarWinds.
micquer2
moi j 'ai «&nbsp;souligne&nbsp;» le fait que 450 sur les 500 plus grandes entreprise mondiales utiliaient cette aplication logicielle …<br /> en telephonie , Orange &amp; Bouygues sont donc preserves de ce virus …<br /> qu’en est il pour SFR &amp; FREE que tu n’as pas cite ?
Voir tous les messages sur le forum

Derniers actualités

Amazon brade le casque SteelSeries Arctis Prime et son support de rangement en lot
Fuite chez Samsung  : découvrez à quoi ressemblent les futurs Galaxy Z Fold 4, Z Flip 4, Watch 5 et Buds 2 Pro !
Avec Danuri, il y a maintenant deux sondes en route pour l'orbite lunaire
Les jeux vidéo proposés par Netflix n'ont clairement pas la cote
La tablette pliante de Samsung arrive bientôt. Êtes-vous sensibles à ce genre d'avancée technologique ?
Moins de 150€ pour ce très bel écran gamer signé Acer
Microsoft et Unity s'associent dans le but de créer une infrastructure cloud pour les développeurs
À son tour, Google traîne Sonos en justice pour violation de brevets
Craquez pour le smartphone 5G Google Pixel 5 à son plus bas prix
ColorOS 13 arrive en bêta, découvrez la liste des smartphones compatibles
Haut de page