Les truismes en matière de cybersécurité ont longtemps été décrits en termes simples de confiance : méfiez-vous des pièces jointes provenant de sources inconnues et ne transmettez pas vos informations d’identification à un site Web frauduleux. Mais de plus en plus, des pirates informatiques sophistiqués sapent ce sentiment fondamental de confiance et soulèvent une question qui suscite la paranoïa : et si le matériel et les logiciels légitimes qui composent votre réseau ont été compromis à la source ?
Cette forme de piratage insidieuse et de plus en plus courante est connue sous le nom d'”attaque de la chaîne d’approvisionnement”, une technique dans laquelle un adversaire glisse un code malveillant ou même un composant malveillant dans un logiciel ou un matériel de confiance. En compromettant un seul fournisseur, des espions ou des saboteurs peuvent détourner ses systèmes de distribution pour transformer n’importe quelle application qu’ils vendent, n’importe quelle mise à jour logicielle qu’ils diffusent, même l’équipement physique qu’ils expédient aux clients, en chevaux de Troie. Avec une seule intrusion bien placée, ils peuvent créer un tremplin vers les réseaux des clients d’un fournisseur, faisant parfois des centaines voire des milliers de victimes.
“Les attaques de la chaîne d’approvisionnement sont effrayantes parce qu’elles sont vraiment difficiles à gérer et parce qu’elles montrent clairement que vous faites confiance à toute une écologie”, explique Nick Weaver, chercheur en sécurité à l’Institut international d’informatique de l’UC Berkeley. “Vous faites confiance à chaque fournisseur dont le code est sur votre machine, et vous faites confiance au fournisseur de chaque fournisseur.
La gravité de la menace de la chaîne d’approvisionnement a été démontrée à grande échelle en décembre dernier, lorsqu’il a été révélé que des pirates informatiques russes, identifiés plus tard comme travaillant pour le service de renseignement étranger du pays, connu sous le nom de SVR, avaient piraté la société de logiciels SolarWinds et planté un code malveillant. dans son outil de gestion informatique Orion, permettant d’accéder à pas moins de 18 000 réseaux qui utilisaient cette application dans le monde. Le SVR a utilisé cette emprise pour s’enfoncer profondément dans les réseaux d’au moins neuf agences fédérales américaines, dont la NASA, le département d’État, le ministère de la Défense et le ministère de la Justice.
Mais aussi choquante que soit cette opération d’espionnage, SolarWinds n’était pas unique. De graves attaques contre la chaîne d’approvisionnement frappent des entreprises du monde entier depuis des années, avant et depuis la campagne audacieuse de la Russie. Le mois dernier, il a été révélé que des pirates avaient compromis un outil de développement logiciel vendu par une société appelée CodeCov qui leur donnait accès à des centaines de réseaux de victimes. Un groupe de piratage chinois connu sous le nom de Barium a mené au moins six attaques de chaîne d’approvisionnement au cours des cinq dernières années, cachant du code malveillant dans le logiciel du fabricant d’ordinateurs Asus et dans l’application de nettoyage de disque dur CCleaner. En 2017, les pirates informatiques russes connus sous le nom de Sandworm, qui font partie du service de renseignement militaire GRU du pays, ont détourné les mises à jour logicielles du logiciel de comptabilité ukrainien MEDoc et l’ont utilisé pour faire sortir un code destructeur auto-propagé connu sous le nom de NotPetya, qui a finalement infligé 10 milliards de dollars en dommages dans le monde, la cyberattaque la plus coûteuse de l’histoire.
En fait, les attaques de la chaîne d’approvisionnement ont été démontrées pour la première fois il y a environ quatre décennies, lorsque Ken Thompson, l’un des créateurs du système d’exploitation Unix, a voulu voir s’il pouvait cacher une porte dérobée dans la fonction de connexion d’Unix. Thompson n’a pas simplement planté un morceau de code malveillant qui lui a permis de se connecter à n’importe quel système. Il a construit un compilateur – un outil pour transformer un code source lisible en un programme exécutable lisible par une machine – qui a secrètement placé la porte dérobée dans la fonction lors de sa compilation. Puis il est allé plus loin et a corrompu le compilateur qui compilé le compilateur afin que même le code source du compilateur de l’utilisateur ne présente aucun signe évident de falsification. “La morale est évidente”, a écrit Thompson dans une conférence expliquant sa démonstration en 1984. “Vous ne pouvez pas faire confiance à un code que vous n’avez pas totalement créé vous-même. (Surtout le code d’entreprises qui emploient des gens comme moi.)”
Cette astuce théorique – une sorte de double attaque de la chaîne d’approvisionnement qui corrompt non seulement un logiciel largement utilisé, mais les outils utilisés pour le créer – est également devenue depuis une réalité. En 2015, des pirates ont distribué une fausse version de XCode, un outil utilisé pour créer des applications iOS, qui a secrètement planté du code malveillant dans des dizaines d’applications iPhone chinoises. Et la technique est réapparue en 2019, lorsque les pirates chinois Baryum ont corrompu une version du compilateur Microsoft Visual Studio afin qu’il leur permette de cacher des malwares dans plusieurs jeux vidéo.
L’augmentation des attaques de la chaîne d’approvisionnement, selon Berkeley’s Weaver, peut être due en partie à l’amélioration des défenses contre des assauts plus rudimentaires. Les pirates ont dû rechercher des points d’entrée moins facilement protégés. Et les attaques de la chaîne d’approvisionnement offrent également des économies d’échelle ; piratez un fournisseur de logiciels et vous aurez accès à des centaines de réseaux. “C’est en partie que vous voulez en avoir pour votre argent, et en partie c’est juste que les attaques de la chaîne d’approvisionnement sont indirectes. Vos cibles réelles ne sont pas celles que vous attaquez”, explique Weaver. “Si vos cibles réelles sont difficiles, cela pourrait être le point le plus faible pour vous permettre de les atteindre.”
Prévenir les futures attaques de la chaîne d’approvisionnement ne sera pas facile ; il n’existe aucun moyen simple pour les entreprises de s’assurer que les logiciels et le matériel qu’elles achètent n’ont pas été corrompus. Les attaques de chaîne d’approvisionnement matérielle, dans lesquelles un adversaire place physiquement du code ou des composants malveillants à l’intérieur d’un équipement, peuvent être particulièrement difficiles à détecter. Alors qu’un rapport explosif de Bloomberg en 2018 affirmait que de minuscules puces espion avaient été cachées dans les cartes mères SuperMicro utilisées dans les serveurs des centres de données Amazon et Apple, toutes les entreprises impliquées ont nié avec véhémence l’histoire, tout comme la NSA. Mais les fuites classifiées d’Edward Snowden ont révélé que la NSA elle-même avait détourné des expéditions de routeurs Cisco et les avait détournées à des fins d’espionnage.
La solution aux attaques de la chaîne d’approvisionnement, tant sur les logiciels que sur le matériel, n’est peut-être pas tant technologique qu’organisationnelle, fait valoir Beau Woods, conseiller principal de la Cybersecurity and Infrastructure Security Agency. Les entreprises et les agences gouvernementales doivent savoir qui sont leurs fournisseurs de logiciels et de matériel, les contrôler et les faire respecter certaines normes. Il compare ce changement à la façon dont des entreprises comme Toyota cherchent à contrôler et à limiter leurs chaînes d’approvisionnement pour garantir la fiabilité. La même chose doit maintenant être faite pour la cybersécurité. « Ils cherchent à rationaliser la chaîne d’approvisionnement : moins de fournisseurs et des pièces de meilleure qualité de ces fournisseurs », explique Woods. « Le développement de logiciels et les opérations informatiques ont, à certains égards, réappris ces principes de la chaîne d’approvisionnement. »
Le décret exécutif de la Maison Blanche sur la cybersécurité publié plus tôt ce mois-ci pourrait aider. Il définit de nouvelles normes de sécurité minimales pour toute entreprise qui souhaite vendre des logiciels à des agences fédérales. Mais le même contrôle est tout aussi nécessaire dans l’ensemble du secteur privé. Et les entreprises privées, tout autant que les agences fédérales, ne devraient pas s’attendre à ce que l’épidémie de compromis sur la chaîne d’approvisionnement se termine de si tôt, dit Woods.
Ken Thompson avait peut-être raison en 1984 lorsqu’il a écrit que vous ne pouvez pas faire entièrement confiance à un code que vous n’avez pas écrit vous-même. Mais faire confiance au code de fournisseurs en qui vous avez confiance – et que vous avez vérifiés – peut être la meilleure chose à faire.
Cette histoire est apparue pour la première fois sur wired.com.
