Aux origines du hack de SolarWinds

Le 8 décembre 2020, la société de cybersécurité FireEye a repéré une vaste attaque informatique sur son système. Après enquête, les experts en cybersécurité ont découvert qu'une porte dérobée (backdoor) a été glissée dans le réseau de FireEye en passant par Orion. Développé par SolarWinds, Orion est un logiciel de surveillance et de gestion réseau utilisé par plus de 300 000 entreprises dans le monde, dont FireEye.

D'après SolarWinds, des hackers ont caché un trojan (un cheval de Troie) baptisé Sunburst dans une mise à jour du logiciel Orion. La mise à jour, signée entre mars et juin 2020, a été installée par 18 000 des clients de SolarWinds, estime la firme. Il s'agit d'une attaque par la chaîne d'approvisionnement.

Concrètement, les pirates focalisent leurs efforts sur l'acteur le moins sécurisé de la chaîne d'approvisionnement afin de s'attaquer, in fine, à des cibles mieux protégées. En l'occurrence, les attaquants ont décidé de s'acharner sur Orion. Pour fonctionner correctement, le logiciel nécessite en effet l'accès à une importante partie des infrastructures sous sa surveillance, ce qui en faisait la cible idéale des pirates. Visiblement, les hackers se sont glissés dans l'infrastructure de SolarWinds en septembre 2019.

« Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un État », explique FireEye.

D'après plusieurs agences gouvernementales américaines (FBI, CISA, ODNI, NSA), les pirates à l'origine du piratage de SolarWinds sont mandatés par la Russie. Une enquête du Washington Post remonte d'ailleurs jusqu'à un groupe de hackers russes appelé APT29 ou Cozy Bear. Ce groupe de pirates serait directement intégré aux services de renseignement russes.

Une autre hypothèse veut que les hackers derrière l'attaque de SolarWinds soient au service de la Corée du Nord. Pour Anis Haboubi, développeur d'applications décentralisées, il s'agirait du groupe Lazarus, déjà derrière le piratage de la Banque centrale du Bangladesh en 2016 et du célèbre ransomware Wannacry. En mai 2017, le rançongiciel avait paralysé 300 000 ordinateurs situés dans 150 pays différents.

Les conséquences du hack de Solarwinds

Rapidement, de nombreux experts en sécurité informatique ont tiré la sonnette d'alarme : le hack d'Orion met en danger de nombreuses infrastructures. Parmi les clients de SolarWinds affectés par la brèche, on trouve notamment Microsoft, Google, Cisco, Nvidia, Intel, Malwarebytes, Mimecast, Palo Alto Networks ou encore CrowdStrike.

Notez que de nombreuses firmes qui proposent des solutions de cybersécurité ont été compromises. Potentiellement, toutes les firmes qui utilisent Orion sont à la merci des pirates.

« Toutes ces entreprises sont les fournisseurs de technologies de nos états, de nos institutions, nos services de santé, nos banques, nos industries », met en garde Anis Haboubi, développeur d'applications décentralisées, sur Twitter.

On ne s'étonnera donc pas que plusieurs ministères américains aient rapidement été ciblés par des cyberattaques. Fin décembre, les agences de sécurité américaines ont confirmé que les départements du Trésor et du commerce, les ministères de l'Intérieur, de la Santé, de la Défense, plusieurs divisions du Pentagone et l'agence du ministère de l'Énergie ont été touchés par une attaque informatique.

Les banques centrales se sont aussi retrouvées dans le collimateur des pirates. Début janvier 2021, la banque centrale néozélandaise a été victime d'une cyberattaque de la chaîne d'approvisionnement. Lors de cette attaque, les hackers ont pu consulter des données commerciales et personnelles en passant par un service de partage de fichiers fourni par Accellion, une firme californienne.

Là encore, tout semble indiquer que les hackers se sont appuyés sur la brèche d'Orion pour se glisser dans le système. Vous l'aurez compris : les conséquences réelles du piratage de SolarWinds sont multiples. Dans le monde, les attaques informatiques visant des institutions se multiplient d'ailleurs au cours des dernières semaines. Pour l'heure, on ignore évidemment si toutes ces attaques sont dues à la compromission d'Orion.

Pire, certains experts redoutent que le hack de SolarWinds mette en danger le réseau interbancaire SWIFT (Society for Worldwide Interbank Financial Telecommunication). Créé en 1977 à l'initiative des plus grosses banques mondiales, ce système de traitement des opérations bancaires internationales est actuellement utilisé par la plupart des institutions bancaires du monde.

Comme le souligne Anis Haboubi, FireEye, l'une des victimes directes du piratage de SolarWinds, fait partie des collaborateurs de Wordline, l'entreprise belge de services de paiement et de transactions. En effet, FireEye est la société de cybersécurité choisie par la banque centrale du Bangladesh pour réaliser l'audit de Wordline lors du piratage du réseau SWIFT en 2016.

Lors de cette attaque, les pirates sont parvenus à détourner 81 millions de dollars grâce à un logiciel malveillant « sophistiqué », rapporte Reuters. Dans le cadre de son enquête, la division médico-légale de FireEye a analysé « des informations d'identification pour l'envoi de messages sur le système de transactions SWIFT ».

En passant par Orion et FireEye, les hackers ont théoriquement pu pénétrer au sein de l'infrastructure de Wordline, ouvrant « les portes de l'ensemble du réseau mondial », explique le développeur. Dans ces conditions, il est plausible que le réseau SWIFT ait été compromis lors du hack d'Orion.

Néanmoins, pour l'heure, aucun organisme officiel ne s'est risqué à évoquer la question. Interrogé par nos soins, Frédéric Ocana, ancien conseiller en cybersécurité de la Banque de France, tempère et estime que le réseau SWIFT n'est pas concerné par le piratage de SolarWinds.

« L'exposition de SWIFT à SolarWinds est anecdotique pour ce cas particulier. C'est de la fuite de données (secrètes comme du code source) et il n'y a jamais eu d'interruption ou de compromission de service, » estime Frédéric Ocana.

En exploitant la brèche de SolarWinds, les pirates auraient aussi obtenu les secrets industriels de nombreuses firmes basées dans des dizaines de pays différents, mettant ainsi en danger l'économie mondiale. Truesec, une société suédoise spécialisée dans la sécurité informatique, estime que le piratage d'Orion a provoqué une fuite massive de données confidentielles. Par exemple, l'attaque aurait compromis le protocole OT, largement utilisé par les industries allemandes, rapporte l'un des trois quotidiens les plus lus d'Allemagne, le Frankfurter Allgemeine Zeitung.

« Il est très probable qu'une énorme quantité d'informations hautement confidentielles appartenant à des organisations gouvernementales, à des institutions médicales, à la cybersécurité, au secteur financier, etc. ont été divulguées. Il est également très probable que les logiciels et les systèmes ont été compromis », explique Fabio Viggiani, responsable chez Truesec Security Team, dans un billet de blog.

In fine, le piratage du logiciel Orion, et ses innombrables ramifications mettent en péril le fonctionnement de l'économie mondiale. Dans un scénario où les virements internationaux sont compromis et les banques centrales sont tout à coup vulnérables, le monde pourrait se tourner vers un moyen de paiement alternatif, le Bitcoin.

Une aubaine pour le Bitcoin ? 

De plus en plus prisé par les institutionnels et les banques centrales, le Bitcoin pourrait en effet profiter des conséquences du hack de SolarWinds à plus ou moins court terme.

Indépendante des banques et des résultats financiers d'une entreprise, la mère des cryptomonnaies est souvent considérée comme une valeur refuge, au même titre que l'or. Mais contrairement aux métaux précieux, le Bitcoin est un véritable moyen de paiement. La technologie blockchain derrière la devise permet de transférer des fonds en l'espace de quelques instants.

« Ce hack met fin au monopole des paiements centralisés et initie l'avènement du Bitcoin », prophétise Anis Haboubi.

Le développeur prend pour exemple le piratage de Sony en 2014. Orchestré par le groupe Lazarus, ce hack a permis à plusieurs films pas encore sortis en salles de se retrouver en accès libre sur la toile. Certains studios ont même annulé la sortie des métrages concernés. Cet événement a indéniablement accéléré l'essor des plateformes de streaming, dont l'incontournable Netflix.

Vix

Alors que les secrets industriels de nombreuses entreprises risquent d'être divulgués, certains indicateurs pointent du doigt l'instabilité du marché financier américain. C'est notamment le cas du VIX, l'indicateur de volatilité du marché financier aux États-Unis, aussi appelé « indice de la peur ». Fin janvier, l'indice s'est approché du seuil symbolique des 40% (37,5%).

Pour rappel, le VIX n'a dépassé les 40% qu'à 8 reprises depuis sa création en 1986. C'était notamment le cas lors de la crise des subprimes.

Pour protéger leur trésorerie face à la volatilité du marché boursier, de nombreuses entreprises se sont décidées à investir dans le Bitcoin ces dernières semaines. Récemment, le géant Tesla a notamment investit 1,5 milliard de dollars dans le Bitcoin, provoquant la hausse du cours de la cryptomonnaies.

Au cours des derniers mois, MicroStrategy, un éditeur de logiciels d'informatique américain, a lui aussi acheté à plusieurs reprises du Bitcoin. L’entreprise cotée au NASDAQ a d'ailleurs racheté 295 BTC pour 10 millions de dollars début février 2021. La firme est désormais assise sur 71 079 bitcoins.

Grayscale, le plus grand gestionnaire d’actifs dédié aux cryptomonnaies, a acheté 10 000 BTC dans le courant du mois de janvier. Début février, le groupe s'est procuré 16 244 BTC supplémentaires, soit l'équivalent de 600 millions de dollars.

ransomware
Crédit : Checkpoint

D'après les informations glanées par Anis Haboubi, les hackers derrière SolarWinds exploiteraient aussi les portes dérobées laissées dans leur sillage pour déployer des ransomwares. Le modus operandi serait le même que lors du déploiement de Wannacry en 2017. Le groupe Lazarus, suspecté d'être à l'origine du piratage d'Orion, réclamerait d'importantes sommes en Bitcoin en échange des informations récupérées par le rançongiciel, baptisé « Netwalker ».

D'après un rapport de l'ANSSI, Agence nationale de la sécurité des systèmes d'information, Netwalker aurait d'ailleurs généré 25 millions de dollars entre mars à juillet 2020. Pour régler les rançons demandées, et récupérer leurs données confidentielles (secrets industriels notamment), certaines entreprises auraient été contraintes d'acheter en masse des BTC.

Un rapport de Checkpoint, firme dédiée à la sécurité informatique, atteste d'ailleurs d'une augmentation de 50% des attaques par ransomware au 3e trimestre 2020 par rapport à l'année précédente. Aux États-Unis, ce taux grimpe même à 98%.

L’édition 2020 de l’Acronis Cyberthreats Report, un rapport des tendances en cybersécurité, assure que « 31 % des multinationales ont été attaquées par des cybercriminels au moins une fois par jour » et que « plus de 1 000 entreprises ont constaté des fuites de données après des attaques par ransomware ».

Vers une explosion du cours du Bitcoin ?

Tous ces facteurs pourraient inéluctablement participer à l'explosion du cours du Bitcoin dans les mois à venir. D'ailleurs, de nombreux experts s'attendent à une augmentation fulgurante du cours d'ici la fin de l'année.

Récemment installé au-dessus des 40 000 dollars, le BTC s'envolerait jusqu'à 100 000 dollars avant 2022, estime Catherine Coley, la PDG de Binance US. La banque d'affaires JP Morgan table à court terme sur 146 000 dollars. Enfin, Citibank, la banque du groupe Citigroup, imagine le cours du BTC à 300 000 dollars.

Bitcoin BTC

 

Nous espérons que ce dossier consacré aux conséquences du piratage de SolarWinds, et à son impact éventuel sur le Bitcoin, vous intéressera. Nous remercions chaudement Anis Haboubi et Frédéric Ocana pour leur expertise et leurs précieuses explications sur le sujet.

Néanmoins, si une erreur s'est glissée dans ce dossier en dépit de notre vigilance, ou si vous avez un avis sur la question, on vous invite à nous en faire part dans les commentaires ci-dessous.

👉 Retrouvez tous les autres dossiers de Florian Bayard

A propos de l'auteur : Florian Bayard

twitter-soothsayerdatatwitter-soothsayerdatatwitter-soothsayerdata

Je suis ici pour raconter des choses parfois compliquées avec des mots toujours simples.
Tous les articles de Florian Bayard.

guest
1 Commentaire
Inline Feedbacks
View all comments
David

Je n'en finis pas de m'étonner de tous ces évènement divers et variés qui conjuguent vers l'utilisation du Bitcoin, c'est dingue !