Depuis plus de huit semaines, SolarWinds mène une enquête minutieuse à l’intérieur de son réseau informatique. Victime d’un des plus grands piratages de ces dernières années, l’entreprise passe au crible ses téraoctets de données à la recherche de toute trace laissée par ses hackers.

Les assaillants ont pénétré son système informatique si profondément qu’ils sont parvenus à insérer du code malveillant dans le moteur de production d’Orion, son logiciel à succès utilisé par bon nombre de grandes entreprises et de gouvernements. Ces modifications ont transformé Orion en un véritable cheval de Troie, envoyé au cœur des réseaux des milliers de clients de l’entreprise par une mise à jour validée par SolarWinds elle-même.

Si les enquêteurs ont réussi à décortiquer le détail technique de la manipulation d’Orion, ils n’ont toujours pas trouvé de réponse à leur principale question : par quel biais les hackers ont-ils pénétré le réseau interne de SolarWinds ?

m6.png

À droite de l’image, le nouveau CEO de SolarWinds, Sudhakar Ramakrishna. // Source : SolarWinds

Plusieurs hypothèses sont étudiées, et l’une d’entre elles vient de gagner en crédibilité avec la dernière prise de parole du CEO de l’entreprise, Sudhakar Ramakrishna, dans le Wall Street Journal le 2 février. « Des comptes emails ont été compromis. Les hackers s’en sont servis pour compromettre d’autres comptes email, et au final, c’est notre environnement Office 365 entier qui a été compromis », a-t-il déclaré.

Les enquêteurs avaient déjà retrouvé des traces de l’activité des hackers dans les systèmes datant de septembre 2019, et ils ont désormais identifié un compte email manipulé dès décembre 2019. Les cyberespions seraient parvenus à l’utiliser pour corrompre d’autres adresses email, et se répandre au final sur l’intégralité des boîtes email. Résultat, pendant au moins neuf mois, et peut-être plus d’un an, les hackers ont pu épier les emails internes de l’entreprise et les discussions avec ses partenaires.

Reste que les enquêteurs n’ont toujours pas tranché : la compromission des boîtes email est-elle un nouveau symptôme de la cyberattaque, ou bien sa cause première ?

Des « millions de dollars » pour l’enquête interne de SolarWinds

Le chantier interne lancé par Sudhakar Ramakrishna semble porter ses fruits : l’enquête progresse certes lentement, mais elle apporte des réponses. Le CEO a pris ses fonctions le 7 janvier, à peine deux semaines après le déclenchement de la crise, et a donc dû prendre en main le dossier dès son arrivée. Le dirigeant avait accepté le poste début décembre, peu avant la découverte de l’opération de cyberespionnage.

Cette coïncidence est tombée à pic pour SolarWinds : le prédécesseur de Ramakrishna, Kevin Thompson, comptable de formation, avait dirigé la tête du groupe pendant 10 ans. Il a certes fait exploser les bénéfices de l’entreprise, mais il a aussi vivement été critiqué pour ses décisions budgétaires. Et pour cause : il aurait grandement réduit les coûts de la division de sécurité de l’entreprise (et donc son financement), notamment en délocalisant une partie des équipes.

À l’inverse, Sudhakar Ramakrishna vient du monde de la sécurité. Il a fondé et dirigé pendant 5 ans Pulse Secure, un éditeur de VPN d’entreprise. Pendant cette période, il a déjà dû gérer une importante crise : un bug du VPN était exploité pour lancer des attaques rançongicielles. Débarqué chez SolarWinds, il a donc immédiatement renforcé les mesures de sécurité, et dépêché au chevet de l’entreprise des spécialistes du secteur parmi lesquels Crowdstrike et Microsoft. Pour marquer le coup médiatiquement, il a également fait appel à un duo composé de Chris Krebs, l’ancien M. Cybersécurité du gouvernement américain, et Alex Stamos, ancien directeur de la sécurité de Facebook.

Ces investissements ont pour objectif de redorer la réputation de SolarWinds, après un épisode qui a forcément endommagé la confiance des clients. Pour l’instant, les résultats progressifs de l’enquête interne marquent le succès de cette stratégie. Mais elle a un coût : au WSJ, Ramakrishna chiffre en « millions de dollars » la facture de cette mise à niveau. Et encore, l’affaire n’a pas révélé tous ses secrets.

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.