Les effets du piratage chez SolarWinds plus importants qu’imaginé
Les pirates SolarWinds ont eu accès à des codes internes chez Microsoft. Voilà ce que l’entreprise a annoncé la semaine dernière. Entre-temps, 250 instances publiques et firmes auraient été touchées par le piratage au lieu des ‘douzaines’ annoncées précédemment.
Les hackers – peut-être russes – qui ont lancé plus tôt ce mois-ci des cyber-attaques sur des institutions publiques américaines, ont sans doute eu également accès à des codes-sources internes de Microsoft. Voilà ce qu’annonce la firme technologique dans un communiqué posté sur son blog. Mais cela n’aurait pas pour autant permis aux pirates de mettre la main sur des données de clients ou des services. Selon Microsoft, il fut question “d’activités inhabituelles” sur un petit nombre de comptes internes. Un examen plus approfondi a permis de découvrir qu’un compte avait été utilisé pour visionner divers emplacements, où des codes-sources étaient stockés, d’après Microsoft. Selon cette dernière, le compte concerné ne disposait d’aucun droit pour modifier des codes ou des systèmes. Et d’ajouter qu’aucun changement n’a été effectué.
250 entreprises
Début décembre, la firme de cyber-sécurité FireEye annonçait que des pirates avaient perpétré une attaque de la chaîne d’approvisionnement pour s’introduire par intrusion dans les serveurs de Microsoft et de toute une série d’instances publiques américaines notamment. Ils avaient détourné à cette fin une mise à jour logicielle du gestionnaire de réseaux SolarWinds. Les détails du piratage sont encore en grande partie inconnus, mais le New York Times indique aujourd’hui que 250 entreprises ont été à coup sûr touchées. Le journal se base ici sur des entretiens qu’il a eus avec des experts et des chercheurs, notamment chez Microsoft et Amazon.
Toujours selon le journal, les hackers ont utilisé des serveurs américains, parce que ces derniers ne peuvent être espionnés par des services de sécurité américains comme la NSA. Le timing des attaques poserait aussi question. Le piratage a été exécuté aux environs des élections présidentielles, lorsque toute l’attention était braquée sur la sécurité et moins sur les instances gouvernementales ciblées.
SolarWinds édite le logiciel Orion, qui permet à de nombreuses entreprises de gérer leur réseau. L’entreprise possède des milliers de clients, dont quelques très grandes firmes aux Etats-Unis, mais aussi dans notre pays. Lorsque le piratage fut révélé, il n’était encore question que de quelques ‘douzaines de victimes’, mais très rapidement, il est apparu que d’importantes firmes technologiques telles Cisco, Belkin, Intel et VMware avaient été potentiellement touchées elles aussi. Tous les clients de SolarWinds n’ont cependant pas été impactés, car les entreprises devaient pour ce faire avoir installé la mise à jour vulnérable, alors que les hackers (russes?) devaient l’exploiter pour pénétrer dans les réseaux de ces entreprises.