L’entreprise texane par qui le mal s’est invité dans les réseaux d’entreprises et d’agences gouvernementales américaines prenait à la légère sa sécurité. Et avait relocalisé la maintenance de ses logiciels dans ses bureaux d’Europe de l’Est. Une découverte qui fait tache.
Trois semaines après que l’intrusion de hackers, a priori à l’initiative de la Russie, ait été découverte dans les réseaux de nombreuses organisations américaines, les motivations et l’impact de cette attaque restent sujettes à caution. Surtout suite à l’annonce de Microsoft : les attaquants ont pu consulter le code source de certains de ses programmes.
L’enquête que débute le New York Times, quoique le journal souligne qu’il faudra des mois sinon des années pour connaître l’étendue des dégâts, va dans le sens d’une attaque de plus grande ampleur qu’initialement estimée. En effet, ce ne sont pas une trentaine de réseaux auxquels les hackers ont eu accès par le biais des failles des logiciels de SolarWinds, mais au moins 250 réseaux. Et ce nombre continue d’augmenter alors que Microsoft ou encore Amazon mènent l’enquête de leur côté. Les premières estimations, du FBI notamment, étaient donc bien en-deçà de la réalité.
Négligence
SolarWinds est de plus en plus pointé du doigt et sa responsabilité mise en cause. L’entreprise texane n’a certes pas été le seul élément de la chaîne logistique à avoir été utilisé par les attaquants. CrowdStrike a ainsi révélé avoir été ciblé par les hackers, mais sans succès, par le biais d’un autre revendeur de produits Microsoft. SolarWinds, pour sa part, se présente comme une victime d’une attaque “particulièrement sophistiquée”.
Pourtant, l’enquête du NYT pointe les nombreuses lacunes de la part de l’entreprise d’Austin. A commencer par la politique de rationalisation des dépenses menée par la direction de SolarWinds, qui ne considérait pas la sécurité comme une priorité quand bien même elle compte parmi ses clients moult agences gouvernementales. Bilan, une marge annuelle qui a triplé en une décennie, mais des failles nombreuses. Ce n’est qu’en 2017, sous la menace d’une sanction des autorités européennes à l’aune du RGPD, que SolarWinds a commencé à se pencher sur la sécurité de ses solutions.
L’arrière-cour de la Russie
D’autant que, pour réduire ses coûts, l’entreprise a délocalisé une bonne partie de ses activités d’ingénierie en République Tchèque, en Pologne et en Biélorussie. Où ses ingénieurs avaient accès à l’outil de gestion de réseaux Orion, exploité par les attaquants. Or SolarWinds elle-même souligne que l’exploitation de ses solutions était l'œuvre d’humains, et non d’un programme informatique... La menace était-elle interne ?
Néanmoins, le problème est moins la localisation de ces équipes d’ingénieurs en Europe de l’Est que l’absence d’information des clients de SolarWinds à ce sujet. Ceux interrogés par le New York Times expliquent ne pas être au courant qu’ils utilisaient des logiciels dont la maintenance était assurée à l’étranger. La plupart ignoraient d’ailleurs utiliser Orion, ou d’autres programmes de SolarWinds, jusqu’à très récemment...