Solarwinds: des clients belges touchés, mais pas (encore) piratés
Le problème de sécurité généré par le logiciel Orion de Solarwinds, à cause duquel plusieurs services publics américains ont été espionnés, touche aussi des entreprises belges. Mais on ignore encore si elles ont été piratées ou non.
Au début de cette semaine, les sonnettes d’alarme ont retenti aux Etats-Unis. Il est apparu en effet que l’éditeur de logiciels Solarwinds avait été piraté il y a des mois, ce qui fait que des mises à jour pour son programme Orion ont été manipulées. Il en est résulté que des mois durant, il a été possible pour des pirates très expérimentés d’entrer par intrusion chez les utilisateurs de ce logiciel et de les espionner. Dans un premier temps, il sembla que sur les réseaux, divers ministères et agences gouvernementales américains étaient ouverts et exposés aux hackers.
Solarwinds ou Orion ne sont pas les noms les plus ronflants dans le secteur technologique, mais ils représentent à coup sûr un acteur éminent en matière de contrôle de réseaux, de gestion de bases de données et de serveurs notamment.
Data News a rencontré à ce propos Donald Bakens, CEO d’Adfontes Software. A l’entendre, son entreprise est le principal distributeur de Solarwinds au Benelux. Il ne peut préciser combien d’organisations en Belgique utilisent le logiciel concerné, mais il parle ‘d’un potentiel important dans tous les secteurs du marché. Des pouvoirs publics jusqu’à l’industrie, les soins de santé’ et d’autres domaines encore.
‘Solarwinds a grandi grâce à la gestion de réseaux. Elle concurrence des produits de HP, Oracle ou Cisco et ce, chez des organisations tants petites que grandes.’
Au Centre pour la Cyber-sécurité Belgique (CCB, dont fait aussi partie le CERT), on a été informé de l’incident. Le CERT a ces derniers jours déjà publié une mise en garde.
‘A ce qu’on sache, on n’a pas encore découvert en Belgique d’attaques basées sur l’incident Solarwinds, mais nous suivons la situation de très près’, déclare Katrien Eggers, responsable de la communication, à Data News. Les entreprises touchées peuvent toujours prendre contact avec le CCB pour obtenir un éventuel support, sans que leur nom ne soit dévoilé.
Qui est-il vulnérable et quoi?
Solarwinds même a donné ces derniers jours divers détails sur l’incident. C’est ainsi qu’au niveau mondial, 18.000 clients seraient vulnérables. Il s’agit de clients qui utilisent la plate-forme Orion de Solarwinds, plus spécifiquement les versions 2019.4 HF5, 2020.2 (sans ‘hotfix’) et 2020.2 HF 1. Initialement, Solarwinds évoquait le nombre de 33.000 clients, mais elle a ensuite apporté une rectification.
Tout client qui fait tourner ces versions, a au printemps (entre mars et juin) probablement installé des patches (correctifs) qui ont rendu le logiciel vulnérable pour des hackers. Cela a pu arriver aussi par des mises à jour automatiques. Solarwinds recommande dans un premier temps que les utilisateurs installent un patch dans les plus brefs délais.
Le patch évite en principe l’intrusion de pirates, mais les précédents n’ont pas empêché un accès massif ces deniers mois. Si vous craignez que votre environnement IT en ait été la victime, vous pouvez entre autres bloquer l’accès DNS à plusieurs sites, et réinstaller le logiciel Orion. Solarwinds fournit dans un FAQ étoffé davantage d’explications techniques détaillées sur ce qu’il faut faire.
La fin n’est pas encore en vue
Le gros problème posé par cette cyber-attaque, c’est qu’elle a été exécutée de manière particulièrement précise et efficiente, ce qui fait qu’on n’en connaît absolument pas l’importance exacte. Tout semble indiquer qu’elle a été l’oeuvre de pirates très expérimentés qui sont passés inaperçus des mois durant. Aux Etats-Unis, on parle de ‘state sponsored hackers’ (des pirates parrainés par un pays) et d’aucuns pointent la Russie du doigt, même s’il n’y a aucune preuve qu’il en soit ainsi.
L’affaire a démarré après que la firme de sécurité FireEye a découvert la semaine dernière avoir été la victime d’un piratage. Dimanche, elle publia une analyse détaillée de ses résultats. Il en ressortait qu’il s’agissait d’une cyber-attaque à grande échelle, où un malware, baptisé Sunburst, avait été transféré par le biais de mises à jour pour le logiciel Orion.
Entre-temps, l’agence Reuters signale, sur la base de sources anonymes, que Microsoft aurait aussi été piratée via le logiciel en question. Politico informe aujourd’hui qu’il en est de même du ministère américain de l’énergie et de la National Nuclear Security Administration, le gestionnaire de l’arsenal d’armes atomiques américain.
Le risque est très élevé que dans les jours et semaines à venir, d’autres organisations en vue déclarent avoir été victimes de ce piratage sophistiqué à grande échelle.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici