Solar Winds : Les Etats-Unis victimes d’une campagne de cyber-espionnage humiliante
Fin décembre 2020 éclate l’affaire Solar Winds. Souvent qualifiée de cyber-attaque, l’affaire correspond en réalité à une large campagne de cyber-espionnage ayant duré plus d’un an et touché des milliers d’institutions privées ou publiques à travers le monde.
Une campagne de cyber-espionnage clandestine
Fin décembre 2020, FireEye, une entreprise privée de sécurité américaine, déclare être victime d’une intrusion sur ses réseaux (1). Outre la surprise suscitée par cette annonce, cette « cyber-attaque » aurait été réalisée par le biais de son logiciel de gestion informatique : Orion. Celui-ci est développé par l’entreprise Solar Winds, d’où l’affaire tire son nom. Cette compagnie texane est spécialisée dans l’édition de logiciels de gestion de réseaux informatiques. Elle compte parmi ses clients le gouvernement fédéral américain, des entreprises de défense, Microsoft, et encore bien d’autres institutions privées ou publiques à travers le monde.
Les derniers éléments de l’enquête n’ont pas permis l’identification finale de toutes les victimes de l’infiltration. Il est vrai que les hackers ont œuvré de sorte à rester le plus discret possible. Il faut aussi souligner l’habileté stratégique de leur plan. Ce-dernier consistait à toucher un maximum d’institutions, privées ou publiques, en ne ciblant qu’une seule entreprise, celle éditrice de logiciels. Ce genre d’opération s’appelle une « supply chain attack », ou une attaque sur les chaînes d’approvisionnement. L’attaque reposait essentiellement sur le piratage des serveurs de production d’Orion pour installer une « back door » – ou porte dérobée – dans la mise à jour du logiciel. Ainsi, en effectuant la mise à jour de leur système informatique, 18 000 entreprises et institutions clientes de Solar Winds se sont compromises.
Plus une campagne d’espionnage qu’une cyber-attaque
Selon des experts en cyber-sécurité (2), cette opération d’intrusion s’apparente plus à une opération d’espionnage d’envergure qu’à une cyber-attaque. En effet, la discrétion des hackers et la durée de l’opération montrent que celle-ci consistait plus en de la surveillance ou de la collecte de données. Les cyber-attaques se caractérisent plutôt par un piratage suivi d’une suppression de données ou de l’endommagement d’un système informatique ou d’infrastructures. L’originalité de l’affaire de SolarWinds, c’est la clandestinité avec laquelle les hackers ont opéré leur infiltration.
FireEye et Microsoft poursuivent l’enquête mais ne peuvent pour l’instant rendre compte des dégâts causés par ces opérations. Une chose est sure : le mal est fait puisque celles-ci ont duré pendant plus d’un an. Pendant ce temps, les hackers ont eu accès aux réseaux informatiques, fichiers et boites mails des plus grandes entreprises américaines. Cette opération pose de sérieux défis à l’administration Biden dans la réponse qu’elle apportera à cette atteinte sur son cyber-espace. En effet, il n’y a pas de consensus international autour de la licéité de l’espionnage, en particulier par les voies numériques. Au vu de la difficulté des décideurs politiques à appréhender l’affaire, il apparaît nécessaire d’imaginer une diplomatie du numérique.
Les premières leçons tirées de l’affaire
De leur côté, les experts de l’informatique peuvent déjà tirer de l’affaire Solar Winds plusieurs leçons. Cette affaire remet en cause la gestion du risque de sécurité au sein des chaînes d’approvisionnement. Plusieurs approches existent pour prévenir de futures campagnes d’infiltration dans le cyberespace. Il s’agit pour les prestataires de systèmes informatiques et d’application de réfléchir à la mise en place de normes de sécurité tout au long de la chaîne d’approvisionnement. Il faut la repenser intégralement, des principes de développement aux processus de gestion des mises à jour. Ces remises en question sont d’autant plus importantes que ce genre de cyber-attaques se multiplie. Le 15 février,l’Agence Française du Sécurité des Systèmes Informatiques rapportaient une intrusion de pirates sur tous les clients de l’éditeur de logiciel Centreon. On compte parmi les entreprises touchées Total, Airbus ou encore EDF (3).
Un contexte de conquête de l’espace numérique : les prémisses d’une guerre technologique ?
En décembre 2020, Donald Trump avait été réticent à se prononcer sur l’affaire. Joe Biden quant à lui, s’est rangé du côté de Mike Pompeo en pointant du doigt la Russie. Pour Washington l’attaque relève d’un tel niveau de sophistication qu’elle a nécessairement sollicité le concours d’un état . Néanmoins, les éléments les plus récents de l’enquête montrent que les Russes ne sont pas les seuls à s’être servi d’Orion comme d’un cheval de Troie (4). D’après le FBI, des hackers chinois ont parallèlement aux russes exploité une faille du logiciel Orion afin de mener leur propre campagne d’espionnage.
L’affaire s’inscrit plus généralement dans un contexte de conquête de l’espace numérique. Aujourd’hui, chaque outil des circuits numériques peut devenir un instrument de la cyber-guerre : puce, routeur, serveur ou algorithme… L’affaire Solar Winds illustre la nécessité pour les services de défense de repenser leur approche en matière de sécurité. Cela implique de laisser la place à l’innovation. Il est urgent que nos services de cyber défense et de sécurité nationale innovent. Ce, tant en matière de défense que d’attaque. Cela implique de nouvelles façons de rendre les données mobiles, développer de nouvelles formes de cryptage et d’utiliser de nouveaux modèles organisationnels.
Sources :
(2) TV5 Monde Info, entretien avec Rayna Stamboliyska et Julien Nocetti https://www.youtube.com/watch?v=cWWHFAwqhX0