SolarWinds : Une mise à jour est disponible

Le cyber-espionnage contre SolarWinds, révélé en décembre 2020, illustre une attaque par chaîne d’approvisionnement d’une sophistication sans précédent. Des acteurs affiliés au renseignement russe ont compromis l’outil de supervision Orion en injectant le malware SUNBURST dans une mise à jour livrée à près de 18 000 clients, dont plusieurs agences gouvernementales américaines et grands groupes privés. Cette compromission, initialement déployée dès septembre 2019 et restée indétectée pendant des mois, a eu des répercussions majeures sur la sécurité nationale, les opérations IT et la confiance dans l’écosystème logiciel.

Quelle est la vulnérabilité exploitée ?

SolarWinds Orion présentait la vulnérabilité CVE-2020-10148, permettant de contourner l’authentification de son API REST et d’exécuter des commandes arbitraires à distance.
Par ailleurs, la véritable faille résidait dans la chaîne de build : le backdoor SUNBURST a été injecté directement dans l’installateur de la version 2019.4, distribué comme mise à jour légitime.

Comment l’attaque s’est-elle déroulée ?

  1. Compromission des serveurs de build (sept. 2019)
    Les attaquants ont accru leurs privilèges sur l’infrastructure de développement de SolarWinds pour insérer SUNBURST dans l’installeur Orion.
  2. Distribution via mise à jour (mars 2020)
    La version 2019.4 compromise a été téléchargée et installée par près de 18 000 clients sans suspicion.
  3. Connexion au centre de commande
    SUNBURST établissait discrètement des liaisons chiffrées vers des serveurs C2, puis téléchargeait et exécutait le second-stage Teardrop.
  4. Mouvements latéraux et exfiltration
    Une fois implantés, les acteurs ont exploré les réseaux, escaladé leurs privilèges, volé emails et données sensibles, et déployé des outils de collecte.

Qui a été touché ?

  • Agences fédérales américaines : Commerce, Défense, Énergie, Trésor, Sécurité intérieure, État, Agriculture, etc.
  • Entreprises technologiques : Microsoft, Cisco, Intel, VMware, Deloitte, et autres fournisseurs de services cloud ou de gestion IT.
  • Autres secteurs : universités, hôpitaux, PME et fournisseurs TI ayant déployé Orion.

Quels ont été les impacts ?

  • Opérationnel : enquêtes d’urgence, quarantaines de serveurs, arrêts ou ralentissements de projets IT.
  • Financier : SolarWinds a provisionné près de 19 M $ pour la réponse et la remédiation sur les premiers trimestres 2021 ; les victimes ont subi en moyenne une baisse de chiffre d’affaires de 11 %.
  • Réglementaire et réputationnel : auditions au Congrès, renforcement des exigences sur la chaîne d’approvisionnement logicielle et perte de confiance des clients.

Coût estimé selon la taille d’entreprise

TailleCoût moyen estimé
Petite500 000 $ – 1 M $ (audit SBOM, threat hunting, patching)
Moyenne2 M $ – 5 M $ (forensique, interruption d’activité, renforcement de la sécurité)
Grande10 M $ – 50 M $ (redéploiement d’infrastructures, amendes, coûts juridiques)

Comment s’en protéger ?

  • SBOM et audit de la chaîne d’approvisionnement : recenser tous les composants tiers et auditer les environnements de build.
  • Validation stricte des mises à jour : sandboxing et contrôle de signatures avant déploiement.
  • Segmentation et privilèges minimaux : limiter l’accès aux serveurs de supervision et appliquer le principe du moindre privilège.
  • Détection proactive : règles IDS/IPS, EDR et SOC spécialisées pour les indicateurs IOCs SUNBURST/Teardrop.
  • Exercices de crise : simulations d’attaques supply chain et plans de réponse aux incidents détaillés.

Pourquoi est-ce difficile à éviter ?

  • Confiance implicite : les organisations supposent la légitimité des mises à jour officielles sans visibilité sur la build interne.
  • Complexité IT : microservices, conteneurs et dépendances croisées rendent le suivi des composants laborieux.
  • Evasion et dormance : le malware sait rester inactif pour retarder sa découverte et utilise des communications chiffrées.
  • Ressources et expertise limitées : peu d’équipes disposent des compétences pour auditer en profondeur les chaînes de production logicielle.

Dans le contexte de votre entreprise, que feriez-vous ?

  1. Inventaire et SBOM
    Mettre à jour immédiatement un SBOM complet de tous les outils et bibliothèques tiers.
  2. Pipeline CI/CD sécurisé
    Intégrer des étapes de sandboxing et de vérification de signatures pour chaque build de production.
  3. Micro-segmentation réseau
    Isoler les plateformes de monitoring et appliquer des ACL strictes.
  4. SOC et surveillance
    Déployer ou externaliser un SOC avec cas d’usage spécifiques à SUNBURST et Teardrop.
  5. War-games et formations
    Organiser des exercices réguliers sur l’attaque de la chaîne logistique et former les équipes DevOps et Sécurité.

Sources

  1. CVE-2020-10148 – NVD
  2. SUNBURST: The SolarWinds Compromise – FireEye
  3. SolarWinds Supply Chain Attack Overview – CISA
  4. SolarWinds Orion code compromise – Microsoft Security
  5. SolarWinds hack timeline – CSO Online
  6. Analysis of Teardrop second-stage payload – Palo Alto Networks Unit 42
  7. Supply Chain Attack Mechanics – TechTarget
  8. SolarWinds Response Costs – SolarWinds Q1 2021 Report
  9. Why Detection Was Difficult – Breaking Defense
  10. Executive Order on Cybersecurity – White House (2021)

Tubercule

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *