Les investisseurs ont-ils été alertés d’une attaque imminente imputant la responsabilité de l’entreprise ? Le timing interroge.

Les investisseurs de chez SolarWinds ont-ils eu connaissance d’une cyberattaque imminente permise par l’exploitation d’une faille dans leurs produits ? C’est ce que pourrait suggérer un important volume de vente des actions de l’entreprise dans les jours qui ont précédé plusieurs cyberattaques.

Près de 280 millions de dollars d’actions SolarWinds ont été vendues par plusieurs gros investisseurs de l’entreprise, six jours avant que FireEye n’annonce avoir été la victime d’une cyberattaque, révèle le Washington Post ce 16 décembre 2020. Quelques jours plus tard, ce sont les départements du Trésor et du Commerce américains qui ont été la cible d’une cyberattaque similaire.

FireEye a révélé dans un communiqué que l’attaque avait été permise par l’exploitation d’une faille dans les mises à jour de logiciels de SolarWinds, fournisseur de certaines administrations américaines dont les deux départements victimes de l’attaque. Les actions de SolarWinds ont depuis perdu 22 % de leur valeur, précise le Washington Post.

Si il est difficile d’établir la date de prise de connaissance de l’information par les investisseurs de l’entreprise, le timing devrait inciter certains services de sécurité fédérale à diligenter une enquête, ajoute le Washington Post.

Les hackers ont introduit un malware, dénommé Sunburst, dans chacune des versions d’Orion entre mars et juin 2020, a révélé l’entreprise dans un communiqué de presse paru le 13 décembre dernier, tout en précisant dans une note d’information qu’aucun autre produit n’avait été compromis.

Ces informations n’ont pas empêché Microsoft de placer l’ensemble des applications de SolarWinds en quarantaine dès ce mercredi 8h du matin, rapporte le journal ZDNet.

Vulnérabilité dans Orion

Les tentacules de la responsabilité dans le hacking de plusieurs administrations et entreprises américaines – désormais appelé Solorigate – n’en finissent plus de s’étendre. L’entreprise JetBrains se retrouve éclaboussée par le scandale mais nie toute responsabilité.

Le Federal Bureau of Investigation (FBI) ainsi que plusieurs experts en cybersécurité enquêteraient sur la responsabilité de l’entreprise tchèque JetBrains - l’un des fournisseurs de SolarWinds - dans l’affaire dite du Solorigate, ont appris plusieurs médias, le 6 janvier 2021.

SolarWinds est au cœur du scandale après qu’une faille dans l’un de ses logiciels ait permis de s’introduire dans les systèmes de plusieurs administrations et entreprises américaines, dont Google. Les États-Unis pensent que le hacking est l’œuvre de la Russie.

Recherche de backdoors dans TeamCity

Les enquêtes visent à montrer si les hackers ont introduit des backdoors dans le logiciel TeamCity, un outil CI/CD de jetBrains utilisé par SolarWinds, pour mener ce qui serait à ce jour la plus grande cyberattaque de l’histoire des États-Unis, rappelle le New York Times.

JetBrains a nié toute responsabilité et indiqué ne pas être au courant des enquêtes dans un communiqué rédigé par son directeur Maxim Shafyrov et publié sur son site, le 6 janvier.

« JetBrains n’a pas pris part ni n’est lié à l’attaque [sur SolarWinds] d’une quelconque manière. […] SolarWinds ne nous a pas contacté ni informé d’une faille dans ses systèmes. La seule information dont nous disposons est celle qui a été rendue publique », écrit-il.

De son côté, SolarWinds vient d’embaucher Christopher Krebs, l'ancien chef de la cybersécurité de la Maison-Blanche renvoyé par Donald Trump en deux tweets en novembre dernier pour avoir remis en question les suspicions de fraudes électorales soulevées par Donald Trump. Il interviendra comme consultant indépendant pour aider l’entreprise dans sa communication de crise, a indiqué le Financial Times.

Au sommaire de ce numéro 2, deux dossiers - Gestion de crise et Identités & accès (IAM) - ainsi qu'une analyse de la cyberattaque contre SolarWinds et une enquête sur l'affaire de rançongiciel dont Sopra Steria a été victime.

L'1FO-CR journal des risque cyber n°2 daté 1er trimestre 2021 est disponible. Édité par PC Presse tout comme L'Informaticien, L'1FO-CR devait paraître à l'occasion du Forum International de la Cybersécurité à Lille fin janvier. Comme on le sait, en raison de la pandémie, cet événement a été reporté d'abord en avril puis en juin avec une option sur septembre. PC Presse adapte donc son calendrier de parutions aux circonstances. Pas d'édition "papier" de L'1FO-CR n°2 pour le moment mais une parution immédiate en format numérique PDF puis une parution physique augmentée d'un cahier supplémentaire dès que les conditions sanitaires permettront à nouveau la tenue des rencontres professionnelles essentielles pour la communication des partenaires annonceurs du journal.

A lire sur cette page un extrait de l'article "Comment Sopra Steria a déjoué l'attaque du rançongiciel Ryuk ?"

S'abonner à L'1FO-CR journal des risques cyber

Plusieurs employés du Department of Homeland Security (DHS) ont été la cible de l’attaque SolarWinds. Ni l’étendue ni le contenu de la compromission ne sont pour l’instant connus.

Après les révélations de plusieurs administrations et entreprises américaines ayant été ciblées par l’une des cyberattaques les plus importantes de l’histoire américaine, voici qu’une nouvelle administration – beaucoup plus sensible – vient s’ajouter à une liste dont il semble, pour l’heure, impossible à mesurer la longueur.

Le Department of Homeland Security (DHS), c'est-à-dire le département de la sécurité intérieure américain, a été la cible de la cyberattaque SolarWinds, a révélé l’Associated Press, le 29 mars, auprès d’une douzaine de sources anonymes.

Certains emails de Chad Wolf, ancien secrétaire à la sécurité intérieure des États-Unis sous la présidence de Donald Trump, ainsi que plusieurs membres de son équipe ont notamment été compromis. « Un petit nombre de comptes d’employés » auraient été attaqués, selon Sarah Peck, porte-parole de la DHS, citée par AP, qui indique qu’aucune trace de compromission n’est à observer depuis. L’étendue et le contenu des informations compromises n’ont pas été renseignés.

« Du jamais vu »

Les autorités américaines continuent à soupçonner la cyberattaque comme étant liée à l’État russe même si ce dernier a toujours nié un quelconque rôle dans cette attaque. Selon Associated Press, l’administration Biden réfléchirait à « un arsenal d’options » en réponse à cette attaque, sans pour l’instant les préciser.

Dans une interview pour la chaîne américaine CBS, le directeur de Microsoft Brad Smith avait estimé que plus de 1000 ingénieurs étaient derrière l’attaque de SolarWinds, la qualifiant de la « plus sophistiquée et importante que le monde ait jamais vu ».