Note de veille

Entreprises, travail - Recherche, sciences, techniques - Territoires, réseaux

Cybersécurité : leçons à tirer d’un désastre

Par

L’année 2021 débute avec une explosion de cyberattaques, de rançonnages, aussi bien nord-coréens que mafieux, mais « la plus importante cyberattaque enregistrée dans l’histoire est celle subie par SolarWinds », estime Fabrizio Baiardi de Haruspex. Cette vaste action de guerre est toujours en cours. Très efficace, l’agresseur, sans doute lié aux services secrets russes, s’en est pris par le haut, à la supply chain des fournisseurs de cyberprotections. SolarWinds vend de la sécurité à 350 000 organisations dans le monde. Depuis mars 2020, des mises à jour piégées ont été téléchargées par 18 000 clients, dont Microsoft et sept autres grands fournisseurs de cybersécurité. Leurs prestations vérolées ont pu infecter à leur tour leurs milliers de clients.

L’attaque a débuté dès septembre 2019, peut-être avant. Elle a été révélée le 8 décembre 2020 par la société de cybersécurité FireEye et non SolarWinds, laxiste pour sa propre sécurité. Les services fédéraux américains n’ont rien vu. L’attaque a aussi utilisé d’autres voies que SolarWinds. Elle a pénétré une dizaine d’agences fédérales aux États-Unis, des organismes militaires, nucléaires, les plus grandes entreprises. Le but serait d’espionner, non de saboter. Mais un bilan reste impossible : l’ennemi peut, dans plusieurs mois, ordonner à ses taupes d’entrer en action.

Les conséquences en politique intérieure américaine sont visibles, Joe Biden s’attaquant à la reconstruction d’une cybersécurité dégradée par Donald Trump, ami de Vladimir Poutine. Au plan international, on attend les mesures dissuasives promises par Joe Biden, que la Russie dénonce par avance.

Chronologie et processus de l’agression selon SolarWinds

Source :Ramakrishna Sudhakar, « New Findings from our Investigation of SUNBURST », OrangeMatter, 11 janvier 2021.

Un inventaire des fautes

Le plus urgent, pour toutes les organisations dans le monde, est de vérifier si elles ne sont pas vérolées depuis des semaines par des espions peut-être encore dormants. Aussitôt après, devrait s’imposer un examen critique de nos pratiques : celles-ci ne nous conduisent-elles pas à commettre les mêmes fautes que celles qui ont permis le désastre actuel ?

• La première faute a été double : légèreté menant à de périlleuses négligences et refus d’entendre les dénonciations de cette tare. Ces deux fautes vont de pair : dans tous les domaines, la gestion de la qualité implique l’écoute des acteurs de terrain. Fabrizio Baiardi rappelle que SolarWinds utilisait un mot de passe digne d’une comptine enfantine, « solarwinds123 ». Un chercheur, Vinoth Kumar, avait prévenu SolarWinds en 2019 que « n’importe qui pouvait accéder au serveur de ses mises à jour en utilisant un tel mot de passe ». Légèreté et surdité impardonnables de la part d’une entreprise réalisant près d’un milliard de dollars US de chiffre d’affaires en vendant de la sécurité aux autres. Ce mot de passe n’était qu’un exemple des sourdes négligences de la société à propos de sa propre sécurité. Dès 2017, un cadre avait adressé à trois dirigeants de SolarWinds une note expliquant que celui-ci « était une cible incroyablement facile à pirater ». Il préconisait la nomination d’un responsable de la sécurité avant que n’intervienne un accident majeur…, et a démissionné, vu l’indifférence générale.

• Le cloisonnement a été un autre facteur aggravant. Le danger des mises à jour a été négligé aussi dans les administrations fédérales concernées. Dès juillet 2018, le Government Accountability Officea, en vain, mis en garde contre les « supply chain risks affecting federal agencies [risques liés à la chaîne logistique affectant les agences fédérales] ». Et, en 2019, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une note sur le supply chain risk management (la gestion des risques liés à la chaîne logistique). Mais l’organisation en silo et la dilution des responsabilités ont empêché la CISA d’exploiter elle-même ses avertissements et elle a été piratée ! Les silos limitent aussi, explique Eric Antibi, de Palo Alto Network, l’efficacité de programmes de cybersécurité dissemblables utilisés sans concertation par des équipes différentes dans les mêmes grandes entreprises.

• Un effet « moutons de Panurge » a également fragilisé les milliers d’organisations qui avaient choisi les mêmes systèmes de protection. Beaucoup de clients de SolarWinds ont adopté Orion parce que se rallier au choix cautionné par la grande majorité des acteurs permet d’éviter les reproches en cas de dysfonctionnement. D’où le vieux dicton : « nul n’a été licencié pour avoir acheté de l’IBM ». En outre, non seulement un choix moutonnier s’avère souvent non optimal et anticréatif, mais aussi il peut introduire des vulnérabilités dans un monde en réseau. C’est ce qui vient d’être démontré.

• L’obsession des gains immédiats et une gestion plus boursière qu’industrielle fragilisent toute entreprise. Est-ce par hasard que les deux principaux actionnaires de SolarWinds, des sociétés de capital-risque, ont vendu pour 286 millions de dollars US d’actions deux jours avant que la révélation de l’attaque ne leur fasse perdre un quart de leur valeur ? Une plainte en action collective (class action) vient d’ailleurs d’être déposée contre SolarWinds et plusieurs de ses dirigeants pour informations fausses et trompeuses, et fourniture de versions d’Orion que l’on savait vérolées.

• Enfin, on a toujours intérêt à anticiper, ce qui n’a absolument pas été fait. L’affaire SolarWinds justifie la recommandation de Fabrizio Baiardi : anticiper est devenu un impératif de sécurité. Le professeur italien préconise de préparer, dès la conception d’un système, sa sécurité tout au long de sa vie ; c’est ce que les Anglo-Saxons appellent le security by design. Il s’agit d’imaginer et analyser les attaques qui pourraient être commises pendant le fonctionnement du système en gestation, à tous les stades de sa vie future, en identifiant ce qui faciliterait ces attaques. La sécurité prédictive s’efforce de signaler aussi les conséquences possibles d’éventuelles modifications du système après son entrée en fonction.

Simuler des millions d’attaques

Haruspex, spin-off de l’université de Pise, construit, à l’aide d’un moteur d’intelligence artificielle, le jumeau numérique de la future infrastructure informatique et de communication d’un système en cours de conception. Ce jumeau est une représentation virtuelle, une modélisation numérique des propriétés qu’aurait l’infrastructure en fonction des options envisagées. L’objectif est de prévoir comment le système réagirait à une attaque, d’identifier des points faibles, de proposer des solutions pour les éliminer, d’accroître la résilience. Tout cela est effectué, explique Fabrizio Baiardi, de façon automatisée, pour réduire coûts et délais, car on a besoin de simuler des milliers, voire des millions d’attaques différentes, et l’on cherche à obtenir des certitudes à 99,99 %.

L’anticipation des risques, ajoute Filippo Lubrano d’Haruspex, coûte bien moins cher que les interventions après attaque. Sur son site, Haruspex indique qu’il travaille avec de grands acteurs comme Fincantieri, Leonardo, Snam, Sogei, Terna, la Marine militaire italienne, IBM… Il estime être la seule société capable de définir, dès la conception, avec une probabilité suffisante, l’ensemble des contre-mesures nécessaires pour neutraliser un danger d’attaque. Il construit des courbes de tension (stress curves) montrant jusqu’à quand une infrastructure résisterait à une agression, avant que celle-ci ait lieu ou, en temps réel, pendant celle-ci.

Jumeaux numériques et vision globale anticipatrice

L’exploitation par Haruspex de jumeaux numériques illustre la montée de leurs applications dans tous les domaines, de l’industrie à la santé. En France, le groupe Dassault est particulièrement actif. « Toutes les industries auront leur modèle virtuel, synchronisé avec le réel », annonçait, il y a deux ans, François Bichet, responsable de la stratégie de la technologie chez Dassault Systèmes. L’erreur serait de n’exploiter les jumeaux qu’avec une vision technique. L’exemple à suivre vient de Toyota qui utilise la modélisation en mobilisant l’expérience de terrain et la créativité de tout son personnel.

La démarche de Fabrizio Baiardi transpose à l’ère du numérique des préconisations formulées il y a un demi-siècle déjà. Dans les années 1970, des pionniers recommandaient de prendre en compte, dès la conception d’un immeuble, son coût global jusqu’à sa destruction éventuelle. On avait compris que les possibilités d’économies dans tous les secteurs diminuent rapidement lorsque l’on passe de la conception au développement puis à la production. À présent, SolarWinds et les agences fédérales américaines nous montrent que non seulement les performances, mais aussi notre sécurité sont fragilisées par des organisations et des cultures devenues périlleuses à l’ère des guerres numériques.

---------------------------------
Pour plus de détail, voir la version détaillée de cette note sur le blog d’André-Yves Portnoff. URL : https://ayportnoff.wordpress.com/2021/02/03/cyberattaque-historique-lecons-du-desastre-solarwinds/. Consulté le 3 février 2021 (NDLR).

À lire également

Devenir membre

Cet article est en accès libre jusqu'au 21/03/2021. Devenez membre pour accéder à l'ensemble des productions de l'association.

Adhérer