Lexique des hackers : qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?

Les truismes de la cybersécurité ont longtemps été décrits en termes simples de confiance : méfiez-vous des pièces jointes aux e-mails provenant de sources inconnues et ne transmettez pas les informations d’identification à un site Web frauduleux. Mais de plus en plus, des pirates sophistiqués sapent ce sentiment de confiance fondamental et soulèvent une question paranoïaque : que se passe-t-il si le matériel et les logiciels légitimes qui composent votre réseau ont été compromis à la source ?

Cette forme de piratage insidieuse et de plus en plus courante est connue sous le nom d’« attaque de la chaîne d’approvisionnement », une technique dans laquelle un adversaire glisse un code malveillant ou même un composant malveillant dans un logiciel ou un matériel de confiance. En compromettant un seul fournisseur, des espions ou des saboteurs peuvent détourner ses systèmes de distribution pour transformer n’importe quelle application qu’ils vendent, n’importe quelle mise à jour logicielle qu’ils proposent, même l’équipement physique qu’ils expédient aux clients, en chevaux de Troie. Avec une intrusion bien placée, ils peuvent créer un tremplin vers les réseaux des clients d’un fournisseur, qui comptent parfois des centaines, voire des milliers de victimes.

“Les attaques de la chaîne d’approvisionnement sont effrayantes parce qu’elles sont vraiment difficiles à gérer et parce qu’elles montrent clairement que vous faites confiance à toute une écologie”, déclare Nick Weaver, chercheur en sécurité à l’International Computer Science Institute de l’UC Berkeley. “Vous faites confiance à chaque fournisseur dont le code se trouve sur votre machine, et vous faites confiance au fournisseur de chaque fournisseur.”

La gravité de la menace de la chaîne d’approvisionnement a été démontrée à grande échelle en décembre dernier, lorsqu’il a été révélé que des pirates russes – identifiés plus tard comme travaillant pour le service de renseignement étranger du pays, connu sous le nom de SVR – avaient piraté la société de logiciels SolarWinds et planté du code malveillant. dans son outil de gestion informatique Orion, permettant l’accès à pas moins de 18 000 réseaux utilisant cette application dans le monde. Le SVR a utilisé cette prise de pied pour pénétrer profondément dans les réseaux d’au moins neuf agences fédérales américaines, dont la NASA, le département d’État, le ministère de la Défense et le ministère de la Justice.

Mais aussi choquante que soit cette opération d’espionnage, SolarWinds n’était pas unique. De graves attaques contre la chaîne d’approvisionnement frappent des entreprises du monde entier depuis des années, avant et depuis la campagne audacieuse de la Russie. Le mois dernier, il a été révélé que des pirates avaient compromis un outil de développement logiciel vendu par une société appelée CodeCov qui donnait aux pirates l’accès à des centaines de réseaux de victimes. Un groupe de piratage chinois connu sous le nom de Barium a mené au moins six attaques de chaîne d’approvisionnement au cours des cinq dernières années, cachant du code malveillant dans le logiciel du fabricant d’ordinateurs Asus et dans l’application de nettoyage de disque dur CCleaner. En 2017, les pirates informatiques russes connus sous le nom de Sandworm, qui fait partie du service de renseignement militaire GRU du pays, ont détourné les mises à jour logicielles du logiciel de comptabilité ukrainien MEDoc et l’ont utilisé pour sortir un code destructeur à propagation automatique connu sous le nom de NotPetya, qui a finalement infligé 10 milliards de dollars de dommages. mondiale – la cyberattaque la plus coûteuse de l’histoire.

En fait, les attaques de la chaîne d’approvisionnement ont été démontrées pour la première fois il y a environ quatre décennies, lorsque Ken Thompson, l’un des créateurs du système d’exploitation Unix, a voulu voir s’il pouvait cacher une porte dérobée dans la fonction de connexion d’Unix. Thompson ne s’est pas contenté d’implanter un morceau de code malveillant lui permettant de se connecter à n’importe quel système. Il a construit un compilateur – un outil pour transformer le code source lisible en un programme exécutable et lisible par machine – qui a secrètement placé la porte dérobée dans la fonction lors de sa compilation. Puis il est allé plus loin et a corrompu le compilateur qui compilé le compilateur afin que même le code source du compilateur de l’utilisateur ne présente aucun signe évident d’altération. “La morale est évidente”, a écrit Thompson dans une conférence expliquant sa démonstration en 1984. “Vous ne pouvez pas faire confiance à un code que vous n’avez pas totalement créé vous-même. (En particulier le code d’entreprises qui emploient des gens comme moi.)”

Cette astuce théorique – une sorte de double attaque de la chaîne d’approvisionnement qui corrompt non seulement un logiciel largement utilisé, mais aussi les outils utilisés pour le créer – est également devenue une réalité. En 2015, des pirates ont distribué une fausse version de XCode, un outil utilisé pour créer des applications iOS, qui a secrètement planté du code malveillant dans des dizaines d’applications iPhone chinoises. Et la technique est réapparue en 2019, lorsque les pirates chinois de Barium ont corrompu une version du compilateur Microsoft Visual Studio afin qu’il leur permette de cacher des logiciels malveillants dans plusieurs jeux vidéo.

L’augmentation des attaques de la chaîne d’approvisionnement, selon Berkeley’s Weaver, peut être due en partie à l’amélioration des défenses contre des agressions plus rudimentaires. Les pirates ont dû rechercher des points d’entrée moins facilement protégés. Et les attaques de la chaîne d’approvisionnement offrent également des économies d’échelle ; piratez un fournisseur de logiciels et vous pourrez accéder à des centaines de réseaux. “C’est en partie parce que vous voulez en avoir pour votre argent, et en partie parce que les attaques de la chaîne d’approvisionnement sont indirectes. Vos cibles réelles ne sont pas celles que vous attaquez”, explique Weaver. “Si vos objectifs réels sont difficiles, cela pourrait être le point le plus faible pour vous permettre de les atteindre.”

Prévenir les futures attaques de la chaîne d’approvisionnement ne sera pas facile ; il n’y a pas de moyen simple pour les entreprises de s’assurer que les logiciels et le matériel qu’elles achètent n’ont pas été corrompus. Les attaques de la chaîne d’approvisionnement matérielle, dans lesquelles un adversaire installe physiquement du code ou des composants malveillants à l’intérieur d’un équipement, peuvent être particulièrement difficiles à détecter. Alors qu’un rapport explosif de Bloomberg en 2018 affirmait que de minuscules puces d’espionnage avaient été cachées à l’intérieur des cartes mères SuperMicro utilisées dans les serveurs des centres de données d’Amazon et d’Apple, toutes les entreprises impliquées ont nié avec véhémence l’histoire, tout comme la NSA. Mais les fuites classifiées d’Edward Snowden ont révélé que la NSA elle-même avait détourné des cargaisons de routeurs Cisco et les avait détournées à ses propres fins d’espionnage.

La solution aux attaques de la chaîne d’approvisionnement – à la fois logicielles et matérielles – n’est peut-être pas tant technologique qu’organisationnelle, affirme Beau Woods, conseiller principal de la Cybersecurity and Infrastructure Security Agency. Les entreprises et les agences gouvernementales doivent savoir qui sont leurs fournisseurs de logiciels et de matériel, les contrôler et les obliger à respecter certaines normes. Il compare ce changement à la façon dont des entreprises comme Toyota cherchent à contrôler et à limiter leurs chaînes d’approvisionnement pour assurer la fiabilité. Il faut maintenant faire la même chose pour la cybersécurité. “Ils cherchent à rationaliser la chaîne d’approvisionnement : moins de fournisseurs et des pièces de meilleure qualité provenant de ces fournisseurs”, déclare Woods. “Le développement de logiciels et les opérations informatiques ont, à certains égards, réappris ces principes de la chaîne d’approvisionnement.”

Le décret exécutif sur la cybersécurité de Biden White House publié plus tôt ce mois-ci pourrait aider. Il établit de nouvelles normes de sécurité minimales pour toute entreprise qui souhaite vendre des logiciels aux agences fédérales. Mais le même contrôle est tout aussi nécessaire dans le secteur privé. Et les entreprises privées, tout comme les agences fédérales, ne devraient pas s’attendre à ce que l’épidémie de compromissions de la chaîne d’approvisionnement se termine de si tôt, dit Woods.

Ken Thompson avait peut-être raison en 1984 lorsqu’il écrivait que vous ne pouvez pas faire entièrement confiance à un code que vous n’avez pas écrit vous-même. Mais faire confiance au code de fournisseurs en qui vous avez confiance – et que vous avez vérifiés – peut être la meilleure chose à faire.

Cette histoire est apparue pour la première fois sur wired.com.

Leave a Comment

Your email address will not be published. Required fields are marked *