Pourquoi vous devriez vous intéresser à Sunburst, la cyberattaque qui bouscule le monde de la sécurité
Depuis le 13 décembre, pas un seul jour ne se passe sans que plusieurs enquêtes journalistiques et rapports de recherche ne soient publiés sur Sunburst.
Depuis le 15 décembre, les outils utilisés par les hackers sont hors d'état de nuire. Mais le bilan final de l'attaque est loin d'être définitif. Les victimes sont connues une par une, et de nombreuses questions tant sur la finalité de la campagne de cyberespionnage que sur sa mise en place restent en suspens.
Une seule chose est sûre : l'ampleur de l'incident est d'ores et déjà inédite, et il pourrait bousculer la situation géopolitique mondiale. Autrement dit, Sunburst ne concerne pas que les États-Unis, loin de là.
Qu'est-ce que Sunburst, et qui est SolarWinds ?
« Sunburst » c'est le nom donné par l'entreprise de cybersécurité FireEye à une cyberattaque (dont elle est elle-même victime) présentée publiquement le 13 décembre. Microsoft, de son côté, lui a affublé le surnom « Solarigate ».
Plus précisément, Sunburst est un programme malveillant qui a été inséré dans le logiciel de gestion de réseau Orion, édité par l'entreprise américaine SolarWinds (d'où le champ lexical du soleil). Orion est utilisé par plus de 33 000 organisations parmi lesquelles de nombreux organismes gouvernementaux et les plus grandes entreprises américaines.
Dans le jargon, Sunburst est considéré comme un cheval de Troie : il pénètre le réseau de la victime sous une apparence inoffensive et sans faire de dégâts. Une fois sur place, il aide à déployer d'autres programmes, qui vont accomplir la mission envisagée par les hackers. Sunburst va installer une porte dérobée (ou backdoor), qui servira de pont entre le système de la victime et un serveur de commande tenu par les hackers. Grâce à cette mise en place, les pirates peuvent envoyer des logiciels malveillants sur le réseau de la victime depuis leurs appareils, et récupérer des informations confidentielles dans le sens inverse.
Les hackers ont mis en place Sunburst grâce à une « supply chain attack ». Autrement dit, ils sont parvenus à accéder physiquement aux serveurs responsables des mises à jour d'Orion, et à insérer un programme malveillant dans son contenu. C'est une prouesse technique : ils ont déployé des subterfuges très avancés pour que ni SolarWinds ni ses clients ne détectent la présence de leur cheval de Troie. Résultat : toutes les mises à jour d'Orion, signées et déployées officiellement par SolarWinds entre mars et juin 2020, contenaient Sunburst. D'après l'entreprise, 18 000 clients les auraient téléchargées. À la date du 18 décembre, la façon dont les hackers sont parvenus à s'introduire sur le serveur de mise à jour de SolarWinds n'est pas connue.
À quoi a servi Sunburst ?
Les hackers n'ont exploité qu'une petite partie des 18 000 accès dont ils disposaient. Pour l'instant, le nom des victimes est révélé au compte-goutte, principalement par le biais de médias comme Reuters, Politico ou encore The Intercept.
Résultat, parmi les victimes connues ne se trouvent que deux entreprises privées, et ce sont deux géants de la cybersécurité : FireEye et Microsoft. Les autres victimes connues sont toutes des branches du gouvernement américain : le Trésor, le département du Commerce, celui de la Sécurité intérieure, celui de l'Énergie, celui des Affaires étrangères... Chaque jour, la liste s'agrandit, et un constat se dessine à l'horizon : c'est l'intégralité du gouvernement américain que les hackers ont infiltré, afin de faire de mener une gigantesque opération de cyberespionnage. Les autorités ont précisé que le processus de l'élection présidentielle n'a pas été affecté par ces événements, et Joe Biden a déjà annoncé qu'il ferait de la cybersécurité une priorité au début de son mandat.
Au 18 décembre, on ne sait pas précisément quelles informations les hackers ont dérobées, ni s'ils les ont exploitées. C'est un des éventuels tournants de l'affaire, car l'ampleur du vol et la qualité des informations dérobées pourraient elles aussi être inédites.
Qui sont les hackers derrière l'attaque ?
Pour l'instant, tous les acteurs impliqués dans l'affaire s'accordent sur un point : l'attaquant à l'origine de Sunburst est un groupe de hackers d'élite, qui rentre dans la catégorie des « advanced persistent threat », ou APT. Contrairement à la vaste majorité des organisations cybercriminelles, les APT n'ont pas pour objectif direct le gain financier. Eux se spécialisent dans la collecte d'informations confidentielles et les tentatives de déstabilisation.
Si ces organisations ont autant de moyens humains et financiers, c'est parce qu'elles sont soutenues et commanditées par un État. Mais ce mode opératoire n'est pas utilisé par tous les pays. Lorsque les APT sont affiliés à des États par des chercheurs privés, quatre noms reviennent le plus souvent : Russie, Chine, Corée du Nord, Iran. Malheureusement, l'affiliation précise d'une attaque est complexe d'un point de vue technique, et peut-être brouillée par les enjeux géopolitiques, en plus du risque de crise diplomatique. C'est pourquoi, la majorité du temps, les autorités n'appuient pas l'attribution effectuée par les entreprises privées.
Pour Sunburst, c'est à nouveau le cas. De nombreuses entreprises et médias attribuent l'attaque à un APT à la solde du gouvernement russe. Le Washington Post va même plus loin en nommant APT29, un groupe connu sous le nom de Cozy Bear, qui avait déjà lancé une campagne d'attaque contre l'administration Obama. Les autorités russes, par le biais de leur ambassade aux États-Unis ont déjà vivement dénoncé ces accusations.
Le gouvernement américain, de son côté, n'a pas encore nommé officiellement la Russie. [Mise à jour du 19 décembre à 11h : Mike Pompeo, équivalent du ministre des Affaires étrangères américain, a déclaré dans une émission de télévision, le Mark Levin Show, à propos de l'attaque : « C'est un effort significatif, et je pense que nous pouvons dès maintenant dire assez clairement que tout ce sont les Russes qui ont orchestré cette manœuvre ».] La campagne de cyberespionnage, à mesure qu'elle est dévoilée, semble être la plus importante de l'histoire. Les propos de Pompeo n'ont pas pour l'instant fait l'objet d'une déclaration officielle, mais elle semble se profiler. Puisque l'attaque sort des règles officieuses du renseignement, elle pourrait aussi mener à des déclarations et une crise diplomatique inédite.
Je ne suis pas américain, est-ce que ça me concerne ?
Pour l'instant, à peine une dizaine de victimes se sont déclarées, et elles sont toutes américaines. Mais des centaines d'organisations enquêtent afin de savoir si les hackers ont manipulé leur réseau. Ces victimes potentielles se trouvent aux quatre coins du monde et notamment en Europe. Microsoft a déjà identifié que les hackers avaient exploité Sunburst pour s'en prendre à plusieurs de ses clients en Belgique, Espagne ou encore en Grande-Bretagne. Pour l'instant, aucune organisation française n'est citée, mais cette situation pourrait évoluer dans les jours à venir.
Ensuite, l'intensité de la campagne de cyberespionnage, si elle est confirmée, pourrait marquer un véritable virage des relations diplomatiques dans le cyberespace, et mener à une escalade des cyberattaques. Nous n'en sommes pas encore là, mais c'est une des nombreuses raisons pour lesquelles autant d'yeux sont rivés sur l'évolution de l'affaire.