En français, on parle d’ « attaques par la chaîne d’approvisionnement » ou par la chaîne logistique. Les supply chain-attacks passent par les systèmes informatiques des prestataires de l’entreprise visée, ce qui les rend ardues à repérer.

SolarWinds, Kaseya, NotPetya ont toutes un point en commun : ce sont des supply chain attacks, ou third party attacks. En français, des « attaques par la chaîne d’approvisionnement ». Ce type de cyber-agression est redoutable, car très difficile à parer pour les entreprises victimes. Pour comprendre pourquoi, détaillons leur fonctionnement.

Supply quoi ? 

Comme son nom l’indique, une attaque par la chaîne d’approvisionnement vise sa victime par un chemin détourné : elle infecte un tiers, par exemple, un fournisseur de services logiciels, pour ensuite aller s’en prendre à sa cible finale. Cela peut servir à masquer l’attaque pour en démultiplier l’effet ou atteindre une cible très sécurisée. Dans le cas de SolarWinds, l’outil de gestion des systèmes Orion a été infecté, ce qui a permis aux attaquants d’accéder à 18 000 réseaux à travers le monde. Partant de là, ils ont pu entrer discrètement jusque dans les systèmes d’au moins cinq agences fédérales américaines. Cet impressionnant piratage demande d’importantes ressources et qui d’autre que Nobelium, un groupe de hackers sous la tutelle du Kremlin, pour le mener.

Dans une attaque comme celle qui a visé Asus en 2019, si 57 000 personnes ont installé le logiciel vérolé, les criminels ne s’intéressaient en réalité qu’à 600 machines bien précises.

Logo de Solar Winds. // Source : Wikimedia/CC/B.tavakkoli ; montage Numerama
SolarWinds a été touché par une supply chain attack. // Source : Wikimedia/CC/B.tavakkoli ; montage Numerama

Comment ça fonctionne ? 

Une supply chain attack utilise souvent une série d’outils pour parvenir à son but — le nom désigne davantage le vecteur par lequel passent les attaquants que les technologies utilisées.

Un phishing peut servir à entrer dans le système du service tiers, par exemple, puis à le transformer en cheval de Troie, c’est-à-dire en logiciel d’apparence légitime, mais intégrant une composante malveillante, qui vise à espionner ou à détruire. Les attaquants n’ont ensuite qu’à attendre patiemment que la technologie soit fournie puis installée par les sociétés cibles… Puis, à lancer leur vrai projet, qu’il s’agisse de bloquer les systèmes, d’en prendre le contrôle, de voler des données, etc. NotPetya, la cyberattaque la plus coûteuse de l’histoire, a commencé par l’infection d’un logiciel de comptabilité ukrainien, MEDoc, avant de se répandre un peu partout sur la planète. Les chercheurs en sécurité de Google et plusieurs gouvernements ont imputé ces attaques au gouvernement russe, plus précisément au groupe de pirates Sandworm, membre des services de renseignement du Kremlin.

Celle qui a visé Kaseya a même joué d’un effet de cascade : les attaquants ont d’abord infecté le logiciel VSA, qui servait à gérer des flottes informatiques à distance. Cela signifie que la technologie avait accès à un niveau de privilège relativement large sur ces machines : elle permettait d’y opérer un grand nombre de modifications. Parmi les 36 000 clients revendiqués par Kaseya, plusieurs étaient des « fournisseurs de services managés », des MSP, qui proposaient leurs services à leur propre réseau de petites entreprises. Lorsque le groupe de cybercriminels REvil a décidé d’activer son rançongiciel, en juillet 2021, il a donc, non seulement touché la clientèle de Kaseya, mais encore celle du niveau du dessous, en utilisant des profils comme ceux des MSP.

Quelles pistes de protection ? 

Comme toujours, en cybersécurité, le combat est inégal : pour être parfaitement sûres, les entreprises auraient besoin de bloquer l’intégralité des trous, failles, défauts susceptibles de permettre une agression. Les attaquants, eux, n’ont besoin que de trouver une seule de ces brèches pour s’y faufiler, puis passer à l’étape suivante de leur plan. Mais, les attaques par tiers posent un problème supplémentaire : pour les éviter, il faudrait parvenir à se protéger des potentielles compromissions des logiciels et services utilisés, tout en évitant de tomber dans une paranoïa qui éloignerait l’entreprise de ses prestataires. Pour les particuliers (qui peuvent en être victimes à leur échelle), c’est comme si le fournisseur de services téléphoniques était compromis et permettait d’espionner les conversations : quasiment impossible à repérer. 

Les experts de la cybersécurité recommandent tout de même quelques bonnes pratiques, parmi lesquelles l’usage de technologies de détection et de réponse aux menaces de sécurité informatique. Une autre piste, à l’échelle des politiques d’entreprise, serait de décider de réduire le nombre de fournisseurs pour faciliter la coopération et le contrôle des outils utilisés.