Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

La Russie n'est pas la seule à avoir hacké SolarWinds

C'est un pan annexe de l'affaire SolarWinds qui s'était fait oublier. Fin décembre 2020,  Microsoft commençait son enquête sur la cyberattaque contre SolarWinds, connue sous le nom de Sunburst ou Solarigate. En disséquant le logiciel Orion de SolarWinds, celui infiltré par les hackers, l'entreprise avait exhumé des détails sur Sunburst, mais aussi découvert une seconde porte dérobée, nommée Supernova.

Sans identifier précisément l'origine de ce second malware, Microsoft écartait la possibilité qu'il soit lié à la « supply chain attack » au cœur de son enquête, attribuée à un groupe de hackers russes. Les chercheurs relevaient que si Supernova était moins élaborée que Sunburst, elle n'en restait pas moins dangereuse et avait une finalité similaire : exfiltrer des informations.

Depuis, les recherches se sont concentrées sur Sunburst, qui a mené à la compromission de plus de 18 000 organisations, dont une dizaine de branches du gouvernement américain. Le cumul des efforts a mené à la découverte de tout un arsenal créé sur mesure par les hackers. Mais pendant plus de deux mois, personne n'a fait mention de Supernova... jusqu'au lundi 8 mars. Secureworks, l'unité de recherche de Dell, a identifié le groupe à l'origine de l'attaque, et a livré le détail de ses conclusions à Cyberscoop.

Supernova, une attaque chinoise ?

Les chercheurs ont (re)découvert Supernova lors d'une enquête sur un incident subi par une entreprise (dont ils ne donnent pas le nom) en novembre 2020. Les hackers étaient passés par Orion pour s'immiscer dans certaines parties du réseau de leur victime. Plus précisément, ils s'étaient servis de la porte d'entrée ouverte par Supernova sur le système pour dérober des identifiants et ensuite accéder à des fichiers sensibles hébergés dans Microsoft 365.

Secureworks avait déjà observé ce mode opératoire lors d'une précédente intervention, sur un incident subi par Zoho Mail. Il avait attribué l'incident à un groupe de hacker chinois nommé Spiral, et plusieurs détails techniques indiquaient qu'ils étaient de nouveau derrière l'attaque. Spiral serait un APT (advanced persistent threat) un de ces groupes de hackers d'élite financés par un État, dans ce cas le gouvernement chinois. Comme souvent, Secureworks fait preuve de prudence sur cette attribution, en utilisant abondamment le conditionnel. Il faut dire que l'attribution d'attaque est un exercice périlleux tant d'un point de vue technique que diplomatique.

L'exemple d'utilisation de Supernova mis en avant par Secureworks est pour l'instant le seul connu publiquement. L'ampleur de la faille n'a donc rien à voir avec celle de Sunburst. Et surtout, pour exploiter Supernova, les hackers doivent obtenir un accès à la version d'Orion installée chez la victime, là où Sunburst a été distribué à tous les clients de SolarWinds.

Le timing de cette découverte est plutôt cocasse : Microsoft vient d'accuser un groupe de hackers à la solde du gouvernement chinois d'avoir exploité des failles dans son service d'email Exchange. De cette faille résulte une campagne de cyberattaques de grande ampleur, qui a poussé la Maison-Blanche à avertir les entreprises américaines. Déjà dans une position diplomatique délicate avec la Russie, les États-Unis pourraient se retrouver dans une position similaire avec la Chine.