Comment se manigancent les attaques à la supply chain?
L’affaire SolarWinds illustre l’ampleur de la menace que représentent les attaques à la supply chain de logiciels. Quels vecteurs sont utilisés et quelles méthodes caractérisent ces opérations souvent perpétrées par des groupes de pirates sponsorisés par des Etats?
Considérée comme l’une des plus massives opérations de cyber-espionnage conduites contre les Etats-Unis, l’affaire SolarWinds révélée en décembre dernier est emblématique des attaques à la supply chain. Menée en exploitant des mises à jour corrompues du produit de surveillance de réseau Orion de SolarWinds, la campagne malveillante a touché des agences fédérales américaines et de nombreuses entreprises, y compris des firmes tech et de cybersécurité, dont FireEye, Malwarebytes et Microsoft.
Qu’est-ce qu’une attaque à la supply chain?
Les attaques à la supply chain consistent à s’en prendre à un fournisseur tiers pour atteindre une, voire des milliers d’organisations. Dans un rapport consacré à ces cybermenaces, le think tank américain Atlantic Council explique qu’elles se produisent lorsqu’un attaquant parvient à accéder à un logiciel et le modifie pour compromettre une cible située plus loin dans la chaîne d’approvisionnement des logiciels. «Les produits logiciels modernes contiennent un grand nombre de dépendances sur d’autres codes, de sorte que la recherche des vulnérabilités qui compromettent tel ou tel produit est une prouesse organisationnelle et technique non négligeable», notent les auteurs du rapport.
Les codes ciblés en priorité
Les attaques à la supply chain profitent des canaux établis de vérification des systèmes pour obtenir un accès privilégié aux systèmes et pour compromettre des réseaux à vaste échelle. Basé sur les données liées à 115 attaques du genre réalisées entre 2010 et 2020 (avant l’affaire SolarWinds), le rapport montre que les attaquants ciblent le plus souvent le code d’applications tierces, suivi des systèmes d’exploitation open-source. Les cybercriminels emploient aussi leurs propres applications (via les apps stores) et passent également par des firmwares tiers.
Les différentes méthodes employées par les attaquants
Dans passablement de cas, les attaquants utilisent différentes techniques plus ou moins complexes pour exploiter les vulnérabilités liées aux certificats de signature de code censés en garantir l’intégrité. Ces techniques permettent de se faire passer pour n’importe quel programme de confiance et de contourner certains outils de sécurité.
Comme dans le cas de l’affaire SolarWinds, près d’un tiers des attaques à la supply chain s’appliquent à détourner des mises à jour de logiciels. «Il s’agit généralement d’attaques menées par des acteurs extrêmement compétents et qui empoisonnent les mises à jour des fournisseurs légitimes», soulignent les auteurs. Le piratage des mises à jour nécessite généralement l’accès à un certificat ou à un compte de développeur.
Une autre stratégie d’attaques contre la chaîne d’approvisionnement de logiciels consiste à infecter du code open source. Code qui sera alors intégré dans des briques logicielles et qui pourrait y loger des mois durant, les projets open source n’informent pas toujours automatiquement sur la disponibilité de correctifs.
Près d’un quart des attaques répertoriées par l’Atlantic Council ont visé le Google Play Store, l’App Store d’Apple et d’autres plateformes d’applications tierces pour diffuser des malwares sur les appareils mobiles. Les cibles sont parfois des outils de développement qui, une fois infectés, pourraient compromettre les applications que ces outils ont servi à mettre au point.
Des Etats souvent impliqués
Le rapport du think tank souligne par ailleurs que les Etats seraient particulièrement friands d’attaques à la supply chain de logiciels. Dans le cas de SolarWinds, experts et représentants des autorités US ont pointé du doigt la Russie (la Chine aurait aussi profité de la faille). Parmi les 115 attaques prises en compte par l’Atlantic Council, au moins 27 étaient soutenues par un Etat (dont la Russie, la Chine, la Corée du Nord, l’Iran, l’Inde, l’Egypte, le Vietnam et les Etats-Unis). Ces attaques ont souvent pour conséquence une exécution de code à distance. Elles touchent fréquemment de nombreuses entreprises et des millions d’utilisateurs, à l’instar de NotPetya ou du vol des données d’Equifax en 2017.
Recommendations
S’adressant aux décideurs politiques et aux entreprises impliquées dans la supply chain de logiciels, l’Atlantic Council fournit trois recommandations pour lutter contre ces attaques. Il convient premièrement de soutenir des normes et des outils compatibles pour que les développeurs consacrent moins de temps à devoir gérer la sécurité de la chaîne d’approvisionnement en logiciels.
Deuxièmement, le think tank conseille de soutenir les efforts visant à davantage sécuriser les projets open source.
Enfin, il apparaît nécessaire que les pays s’entendent pour contrer les menaces systémiques visant à saper la confiance parmi les partis impliqués dans la chaîne d’approvisionnement en logiciels.
