Le Bulletin Cyber – Octobre 2021

Thématiques associées EY Consulting Cybersécurité

Le Bulletin Cyber EY : un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur.

Introduction

Cette nouvelle édition du Bulletin Cyber se penche sur une évolution du paysage de la cybersécurité offensive avec l’éclosion en 2021 des « attaques de tierces parties » ou « attaque sur la chaîne d’approvisionnement ». En filigrane depuis de nombreuses années, ces méthodes de compromission auront su, cette année, trouver leur chemin jusqu’aux gros titres de la presse généraliste. Seront en premier lieu abordées plusieurs attaques significatives ayant eu lieu cette année, pour mieux saisir les mécanismes ayant mené à ces compromissions. Ces constats permettront d’en tirer des leçons qui aideront à comprendre comment réduire les risques sur ces thématiques.

Avec la transformation des entreprises vers une numérisation accrue, de nombreuses fonctionnalités essentielles des SI sont externalisées vers des prestataires dont la sensibilisation aux problématiques de cybersécurité est mal maîtrisée.

Marc Ayadi
Associé, EY Consulting, Cyber leader, WEM, France

Le tremblement de terre « Solarwinds »

Si l’attaque « Solarwinds » est médiatisée à l’aube de 2021, elle prend sa source en janvier 2019. C’est à cette date que l’entreprise fait remonter les premières traces de reconnaissance par des attaquants. A l’automne 2019, ces derniers prennent pied sur le réseau de « Solarwinds » et après quelques mouvements latéraux parviennent à atteindre le réseau de développement de l’entreprise. Car « Solarwinds » est une entreprise éditrice de logiciels, spécialisée dans la sécurité. Elle édite le logiciel « Orion », un outil de surveillance et d’administration pour les grands réseaux. Étant parvenus sur le réseau de développement, les pirates attaquent et compromettent la machine de « build », permettant de compiler et signer le logiciel « Orion ». Ils ont enfin atteint leur cible, le « Saint des Saints ».

Ils vont prendre leur temps pour mettre au point leur attaque. Les analystes ayant réalisé la réponse à incident recenseront plusieurs essais d’injection de code dans la plateforme d’Orion entre septembre et novembre. Fin octobre, ils parviennent à insérer dans le logiciel une souche inoffensive de leur malware. Enfin, le 20 février 2020 ils passent à l’action et infectent le logiciel Orion d’une charge hautement offensive et discrète. Ce malware est conçu pour se propager en mémoire et ne s’active que lorsque les conditions sont optimales. La machine de compilation va alors signer cette nouvelle version du logiciel « Orion », une version infectée mais totalement légitime, et cette mise à jour va être poussée auprès des 18 000 clients.

D’un point de vue de l’ingénierie logicielle, il est honnête de dire que l’attaque Solarwinds est la plus large et la plus complexe de tous les temps.
Brad Smith
Président de Microsoft

C’est « FireEye », un poids lourd de la cybersécurité aux Etats-Unis, qui va détecter les premières traces de l’attaque en décembre 2020. Des intrus ont accédé à la « salle des coffres », la partie du réseau où elle stocke ses recherches et exploits « 0 Day ». La piste encore fraîche semble conduire au logiciel « Orion ». Quelques jours plus tard, c’est au tour de Microsoft d’annoncer être victime d’un piratage. Brad Smith, le CEO de Microsoft déclarera plus tard que « d’un point de vue de l’ingénierie logicielle, il est honnête de dire que c’est l’attaque la plus large et la plus complexe de tous les temps ». On estime qu’au moins neuf des principales agences gouvernementales américaines et plus de cent entreprises technologiques ont été impactées mais les dégâts réels demeurent encore inconnus.

L’entreprise suisse de sécurité PRODRAFT, au cours d’investigations pour un client, parviendra à remonter jusqu’à un serveur de « Command & Control » utilisé par des attaquants. Celui-ci hébergeait 4 720 cibles dont toutes celles qui avaient publiquement admises avoir été impactées par l’attaque « Solarwinds ». Sur ce serveur C&C, des équipes de travail distinctes s’organisent en horaires alternés pour approfondir la compromission ou exfiltrer des données de ces différentes cibles. Des équipes ayant leurs propres forums de discussions par cible, le plus souvent en russe.

L’attaque aura des répercussions en dehors du cyberespace. Le président Biden déclarera une série de sanctions contre la Russie, rendue responsable de l’attaque – ou à minima accusée de protéger les cyberattaquants résidant sur son territoire. Et l’affaire n’est pas encore close aujourd’hui. Des rapports et témoignages font état de diverses enquêtes menées au niveau fédéral. Le 13 septembre dernier, la « US Securities and Exchange Commission » (ou SEC) a commencé à demander aux entreprises cotées des secteurs de la technologie, de l’énergie et des finances de lui communiquer tous les incidents de sécurité depuis octobre 2019. Un comité bipartisan composé d’avocats a demandé des comptes au Département de la Justice sur les compromissions supposées de 3 450 boîtes mails critiques. Le système de gestion des dossiers de justice dématérialisé aurait lui aussi pu être compromis, donnant accès aux dossiers scellés contenant propriétés intellectuelles, informateurs et secrets d’affaires.

Les attaques de « tierces parties » à la hausse

Codecov touché par une attaque de « tierces parties »

22 000

clients de l’utilitaire menacés

L’attaque de « Solarwinds », bien qu’emblématique par sa taille, n’est malheureusement pas un cas isolé.

Le 16 décembre 2020 sont détectées les premières traces de l’exploitation par un groupe non identifié de quatre failles « 0 Days » sur les serveurs « Accellion ». Ce produit permet la gestion et le transfert sécurisé de larges fichiers. Le 20 décembre « Accellion » émet un patch corrigeant deux vulnérabilités. Mais la remédiation s’avérera finalement incomplète et, le 20 janvier, l’utilisation d’un nouvel exploit est détectée visant de nouvelles failles sur la plateforme. « Accellion » presse alors ses clients d’éteindre leur produit et le 25 janvier, une nouvelle mise à jour est publiée. Dans ces courts laps de temps, ce qui se présentait comme un incident mineur prend des proportions inquiétantes. Le groupe d’attaquants s’avère travailler de consort avec le groupe de malware « _CL0P_ ». La liste de victimes, elle, ne cesse de s’allonger et certains clients de l’entreprise commencent à recevoir des mails d’extorsion faisant planer la menace de voir leurs données les plus sensibles mises en accès libre sur Internet.

Le 1er avril 2021, c’est au tour de « Codecov » d’admettre avoir été touché par une attaque qui menace de mettre en péril ses 22 000 clients. « Codecov » fournit un outil d’analyse de couverture de code source, intégrable dans la plupart des outils de CI (intégration continue) dont la fameuse plateforme « Github ». C’est par une vulnérabilité dans la configuration de Docker que les hackers vont s’introduire. Ils parviennent à exécuter une commande non prévue lors du processus de création d’une image dans le « Cloud » et dérobent des identifiants à forts privilèges.  Ces identifiants leur permettre alors de modifier le code de « Codecov » en y ajoutant une seule ligne. Et durant les quatre mois qui suivirent, chaque processus d’intégration envoyait les secrets du projet associé vers une machine contrôlée par les pirates. Les rapports de réponse à incident publiés montrent que ces derniers ont profité de ces secrets pour s’infiltrer dans d’autres dépôts de code privés sur « Github », dérobant d’autres clefs ou insérant des portes dérobées dans les codes source.

L’hébergement est aussi une cible

Données mises à disposition du public

180

gigas disponibles sur « Distributed Denial of Secrets »

Le 14 septembre dernier, c’est au tour de l’hébergeur Texan « Epik » de subir une attaque critique. Les attaquants sont cette fois des hacktivistes proches de la mouvance Anonymous. Car « Epik » n’est pas un hébergeur comme les autres. Il est apprécié par l’ultra-droite américaine et héberge des sites qui ont été bannis des autres services plus classiques comme « Godaddy ». Les réseaux sociaux conservateurs comme « Gab » et « Parler » y ont élu domicile, ainsi qu’un site controversé de dénonciation des avortements. Les données dérobées par les pirates touchent à tous les clients de l’entreprise et permettent, suivant le communiqué des attaquants, « de tracer les possessions et la gestion de la face fachiste d’Internet qui a échappé aux chercheurs, aux activistes et à tout le monde ». Plus de 180 gigas de données s’étalant sur dix ans sont mises à disposition du public, quelques jours plus tard, sur la plateforme pro-transparence héritière de « Wikileaks » : « Distributed Denial Of Secrets ».

Le chemin de compromission des pirates n’est pas encore connu. Mais les analystes s’accordent à dire que « la protection de ses clients ne faisait pas partie de la culture de Epik ». Dans la fuite de données apparaissent mots de passe et numéro de cartes de crédit en clair. L’absence de segmentation entre les clients semble avoir facilité le travail des pirates et un identifiant d’anonymisation des clients était utilisé pour générer une information WHOIS annulant cette fonctionnalité pourtant facturée.  

Conclusion

 

La seule règle semble qu’il n’y ait pas de règle.

 

Cette série d’attaques de haut vol ont toutes conduit à des compromissions critiques dont les conséquences sont encore difficiles à estimer. Dans chacun de ces cas, la compromission a un effet domino. L’affaire « Solarwinds » a imposé aux entreprises technologiques américaines un audit interne pour déterminer si leurs propres produits n’avaient pas été infectés. Les projets utilisant l’utilitaire « Codecov » ont pu être infectés et propager des backdoors sur un nombre inestimable d’applications, menant à des compromissions en cascade. Quant à l’ultra-droite américaine, elle se voit dans l’obligation de changer tous ses identifiants. Ses méthodes, ses habitudes et ses secrets sont durablement exposés aux quatre vents.

L’autre leçon de ces attaques c’est leur diversité. Un outil de pilotage réseau pour « Solarwinds » ou de sécurité des données pour « Accellion », un utilitaire de développement pour « Codecov » et un service d’hébergement pour le cas « Epik ». Diversité des attaquants aussi, avec un groupe soutenu par un état pour « Solarwinds », un groupe de type mafieux pour « Accellion » et un groupe hacktiviste pour le cas « Epik ». Ces attaques touchent autant les ressources « On Premises » que le « Cloud ». La seule règle semble qu’il n’y ait pas de règle.

Ces attaques posent la question de la dépendance technologique. Avec la transformation des entreprises vers une numérisation accrue, de nombreuses fonctionnalités essentielles des systèmes d’informations sont externalisées vers des prestataires dont la sensibilisation aux problématiques de cybersécurité est mal maîtrisée. Ces prestataires deviennent des cibles de choix pour les attaquants, leur permettant, en cas de faille, de compromettre rapidement tous les clients ayant confié une fonctionnalité critique à sa responsabilité.

Pour aller plus loin

Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations

Nos atouts

  • Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
  • War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
  • Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
  • CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
  • ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.