Certains articles de veille peuvent faire l'objet de traduction automatique.
Les truismes de la cybersécurité ont longtemps été décrits en termes simples de confiance : Méfiez-vous des pièces jointes d’un courriel provenant de sources inconnues et ne donnez pas vos informations d’identification à un site Web frauduleux. Mais de plus en plus, des pirates sophistiqués sapent ce sentiment de confiance élémentaire et soulèvent une question qui incite à la paranoïa : Que faire si le matériel et les logiciels légitimes qui composent votre réseau ont été compromis à la source ?
Cette forme de piratage insidieuse et de plus en plus courante est connue sous le nom d' »attaque de la chaîne d’approvisionnement », une technique dans laquelle un adversaire glisse un code malveillant ou même un composant malveillant dans un logiciel ou un matériel de confiance. En compromettant un seul fournisseur, les espions ou les saboteurs peuvent détourner ses systèmes de distribution pour transformer en chevaux de Troie toutes les applications qu’il vend, toutes les mises à jour logicielles qu’il diffuse et même les équipements physiques qu’il expédie à ses clients. Avec une seule intrusion bien placée, ils peuvent créer un tremplin vers les réseaux des clients d’un fournisseur – qui comptent parfois des centaines, voire des milliers de victimes.
« Les attaques de la chaîne d’approvisionnement sont effrayantes parce qu’elles sont vraiment difficiles à gérer et parce qu’elles montrent clairement que vous faites confiance à toute une écologie », explique Nick Weaver, chercheur en sécurité à l’International Computer Science Institute de l’UC Berkeley. « Vous faites confiance à tous les fournisseurs dont le code se trouve sur votre machine, et vous faites confiance au vendeur de chaque vendeur. »
La gravité de la menace pesant sur la chaîne d’approvisionnement a été démontrée à grande échelle en décembre dernier, lorsqu’il a été révélé que des pirates informatiques russes – identifiés par la suite comme travaillant pour le service de renseignement extérieur du pays, connu sous le nom de SVR – avaient piraté la société de logiciels SolarWinds et implanté un code malveillant dans son outil de gestion informatique Orion, permettant l’accès à pas moins de 18 000 réseaux utilisant cette application dans le monde. Le SVR s’est servi de ce point d’appui pour pénétrer profondément dans les réseaux d’au moins neuf agences fédérales américaines, dont la NASA, le département d’État, le département de la défense et le département de la justice.
Mais aussi choquante qu’ait été cette opération d’espionnage, SolarWinds n’était pas unique. De graves attaques de la chaîne d’approvisionnement ont frappé des entreprises du monde entier pendant des années, avant et après la campagne audacieuse de la Russie. Le mois dernier encore, il a été révélé que des pirates avaient compromis un outil de développement de logiciels vendu par une société appelée CodeCov. qui a permis aux pirates d’accéder aux réseaux de centaines de victimes. Un groupe de pirates chinois connu sous le nom de Barium a mené au moins six attaques de la chaîne d’approvisionnement au cours des cinq dernières années, en cachant un code malveillant dans les logiciels du fabricant d’ordinateurs Asus et dans l’application de nettoyage de disque dur CCleaner. En 2017, les pirates russes connus sous le nom de Sandworm, qui font partie du service de renseignement militaire GRU du pays, ont détourné les mises à jour logicielles du logiciel de comptabilité ukrainien MEDoc et l’ont utilisé pour diffuser un code destructeur auto-répandu connu sous le nom de NotPetya, qui a finalement infligé 10 milliards de dollars de dommages dans le monde entier – la cyberattaque la plus coûteuse de l’histoire.
En fait, les attaques de la chaîne d’approvisionnement ont été démontrées pour la première fois il y a environ quarante ans, lorsque Ken Thompson, l’un des créateurs du système d’exploitation Unix, a voulu voir s’il pouvait cacher une porte dérobée dans la fonction de connexion d’Unix. Thompson ne s’est pas contenté de planter un morceau de code malveillant qui lui permettait de se connecter à n’importe quel système. Il a construit un compilateur – un outil permettant de transformer un code source lisible en un programme exécutable lisible par une machine – qui a secrètement placé la porte dérobée dans la fonction lors de sa compilation. Il est ensuite allé un peu plus loin en corrompant le compilateur qui a permis de créer la porte dérobée. compilé le compilateur, de sorte que même le code source du compilateur de l’utilisateur ne présenterait aucun signe évident de falsification. « La morale est évidente », Thompson a écrit dans une conférence expliquant sa démonstration en 1984. « Vous ne pouvez pas faire confiance à un code que vous n’avez pas totalement créé vous-même. (Surtout le code des entreprises qui emploient des gens comme moi). »
Poster un commentaire