Lorsque j’achète du pain à la boulangerie, je suis persuadé que la farine utilisée n’est pas avariée ; si je me confie à mon psychiatre, je présume que mes informations ne seront pas partagées ; aussi, je ne m’attends pas à ce que mon plâtrier utilise de l’amiante dans ses travaux ni que mes parents me dérobent de l’argent.
Nous vivons en société et, de ce fait, nous devons, dans une certaine mesure, faire confiance à notre entourage et aux personnes avec lesquelles nous interagissons. Toutefois, depuis plusieurs années, nous voyons une rapide augmentation des cyberattaques qui abusent justement des confiances préétablies, notamment un nombre élevé d’attaques effectués à travers les chaînes de distribution.
Le cas de l’ingénierie sociale
Les attaques qui abusent de la confiance ne sont pas nouvelles. L’ingénierie sociale, ou l’art de tromper une personne afin de la faire agir contre ses intérêts, a depuis longtemps exploité des relations préexistantes.
En début 2021, nous avons été contactés par une compagnie ayant reçu une facture de plus de $12 millions. La note semblait légitime, hormis le fait que cette facture avait déjà été réglée le jour avant… et que le numéro du compte du prestataire avait été changé ! Les criminels ont abusé de la relation professionnelle et de confiance entre ces deux entreprises, en piratant leurs communications et en envoyant des documents falsifiés.
Pour se protéger contre ce type d’attaque, il faut correctement former les utilisateurs et les éduquer à approcher les communications avec un certain scepticisme. Ceci implique la diminution de la confiance implicite et presque naturelle que nous avons en nos clients, collaborateurs et partenaires, ainsi que la remise en question de leurs instructions et demandes. Cette situation n’est certes pas toujours agréable – pensez au « call-back bancaire » – mais ces méthodes réussissent à diminuer efficacement les risques et à minimiser les abus.
Les attaques dans les chaînes de distribution
Le problème devient beaucoup plus pervers lorsque le facteur humain est retiré de l’équation : imaginez, par exemple, que la voiture que vous venez d’acheter ait été conçue de façon à ce que les freins cessent de fonctionner après un trajet de 1’000 km. Sachant que vous alliez l’acheter et dans le but de vous nuire directement, le produit aurait été corrompu par une personne malveillante lors de sa fabrication ; c’est ce que nous appelons des attaques des chaînes de distribution (« supply chain attacks »).
Du point de vue du hackeur, il existe de nombreux avantages à s’attaquer à un fournisseur plutôt que de viser directement sa cible finale. Le niveau de sécurité et le processus de contrôle interne chez les fournisseurs sont généralement plus faibles et moins rigoureux que ceux mis en place par la compagnie cible. De plus, en choisissant correctement une source d’approvisionnement commune à attaquer, cette approche a l’avantage de pouvoir efficacement toucher une région, un secteur ou une industrie. Finalement, les entreprises ne mettent que peu, voire aucun contrôle sur les produits, solutions et services délivrés par leurs partenaires de confiance ; c’est ce manque de visibilité qui permet à une attaque de passer outre les protections mises en place, rendant l’attaque furtive et efficace.
Ken Thompson, dans son analyse datant de 1984, souligne le problème : « Dans quelle mesure faut-il se fier à une déclaration selon laquelle un programme est exempt de chevaux de Troie ? Il est peut-être plus important de faire confiance aux personnes qui ont écrit le logiciel ». Nous pourrions mettre sa citation à jour en ajoutant : « Encore faut-il être capable de définir exactement qui a écrit le logiciel ».
Des incidents passés
En 2010, les gouvernements américain et israélien ont infiltré une station d’enrichissement d’uranium iranienne afin de saboter le fonctionnement des centrifugeuses. Cette infrastructure n’était pas physiquement accessible et était complètement déconnectée d’internet (air gap). Les deux gouvernements ont donc infecté l’ordinateur d’un ingénieur externe ayant accès à l’infrastructure, afin qu’une clef USB insérée dans son appareil puisse ensuite infecter toute l’usine nucléaire.
Depuis lors, nous avons pu observer un certain nombre d’attaques similaires qui abusent de cette relation fournisseur-client :
En 2018, Ticketmaster, une société internationale de vente de billets, a été victime d’une brèche qui a affecté plus de 40’000 Britanniques. Il s’est finalement avéré que Ticketmaster n’était que l’un des 800 sites Web de e-commerce attaqués par le groupe de hackeurs Magecart, spécialisé dans le vol de cartes de crédit. Il est ultérieurement apparu que la source de l’incident était Inbenta, une solution de support par chat communément utilisée sur des plateformes de e-commerce. Ce composant tiers avait été compromis, permettant aux criminels de voler les numéros de cartes de crédit utilisées lors d’achats en ligne.
L’une des attaques de chaîne de distribution la plus connue est NotPetia. En 2017, le système comptable ukrainien M.E.Doc a été infecté par le gouvernement russe. Dès que la mise à jour compromise de la solution a été déployée, tous les ordinateurs utilisant l’application, ainsi que ceux sur le même réseau, ont été entièrement cryptés et rendus inutilisables. Cette attaque a créé un dommage mondial estimé à plus de $10 milliards.
Plus proche de nous, l’attaque Cloud Hopper, orchestrée par le gouvernement chinois, a visé des fournisseurs de services informatiques afin de pouvoir pénétrer l’infrastructure de leurs clients, dont des organisations en Suisse. Aussi, tout récemment, un scandale a éclaté lors de la découverte d’une backdoor dans la solution suisse Crypto AG, installée par la CIA et la BND. Ce produit a ensuite été utilisé pendant des décennies par nombreux gouvernements afin de chiffrer leurs échanges confidentiels et secrets.
Huawei
Toute la polémique concernant Huawei gravite autour de la crainte de chaîne de distribution. La société étant basée en Chine, elle est soumise aux règles et aux diktats du gouvernement chinois. Hypothétiquement, le gouvernement pourrait exiger que Huawei installe des portes dérobées dans l’infrastructure 5G vendue à l’étranger, permettant ainsi au gouvernement chinois d’écouter les communications ou, pire encore, de perturber le fonctionnement correct de l’infrastructure.
L’infrastructure téléphonique 5G deviendra, dans les années à venir, la colonne vertébrale de nos communications et échanges digitaux. Les voitures connectées, les smart-cities, l’IoT et nos smartphones seront tous connectés à internet à travers la 5G ; la fiabilité de cette technologie deviendra essentielle pour la Suisse. Ainsi, en construisant notre dorsale 5G sur des équipements Huawei, nous serons potentiellement vulnérables à des attaques d’espionnage ou d’offensive.
Cette situation mettrait en danger chaque client et utilisateur en aval de l’infrastructure de Huawei. C’est dans ce contexte de crainte que de nombreux gouvernements, dans le but d’assurer non seulement la fiabilité mais aussi la sécurité de leurs infrastructures, interdisent l’utilisation du matériel Huawei.
Solargate (aka SUNBURST, SUNSPOT, TEARDROP et RAINDROP)
En fin 2020, l’univers de la cybersécurité a été bouleversé par les révélations de « Solargate ». Le groupe de hackeurs Cozy Bear (APT29), lié aux services de renseignement russes, aurait réussi à pénétrer les gouvernements américains et de nombreuses autres institutions en s’attaquant à leurs chaînes de distribution de logiciels et services.
En date d’écriture de cet article (fin février 2021), l’information disponible indique que deux attaques de chaînes de distribution distinctes ont été utilisées, dont une pendant plus d’un an.
Les services cloud de Microsoft ont été abusés à travers des revendeurs de la plateforme qui avaient un outil d’administration censé gérer correctement l’attribution des licences et fournir du support. Grâce à cet accès privilégié et mal supervisé dans l’infrastructure Microsoft, le groupe de hackeurs a pu assurer une persistance dans le système et accéder directement aux emails et données échangés.
La solution Orion de SolarWinds, utilisée par plus de 33’000 entreprises et gouvernements, a été corrompue par une mise à jour malveillante. Les hackeurs ont réussi à infecter les serveurs qui contenaient le code source du programme et ont ajouté une backdoor (porte dérobée) dans le programme distribué aux clients. Grâce à l’intégration de ces lignes de code malveillantes, les hackeurs ont pu obtenir un contrôle complet sur les ordinateurs utilisant la solution Orion.
Cette campagne d’espionnage massive a sans doute été réalisée par des hackeurs très qualifiés possédant un budget important et une grande détermination. Toutefois, ce sont les mauvaises pratiques de protections mises en place chez SolarWinds et la confiance, presque aveugle, des clients de la solution qui ont permis le réel succès de l’opération.
Le cas de l’Open Source
Intuitivement, nous pourrions penser que les solutions open source seraient à l’abri des attaques de chaînes de distribution. Certains défenseurs des logiciels libres utilisent cet argument pour promouvoir leurs produits. Malheureusement, la réalité est bien plus mitigée.
Certes, un produit open source peut être analysé par tout chercheur qui le souhaite, permettant ainsi de découvrir et démasquer des altérations malveillantes du code ; toutefois, l’expérience montre que l’analyse du code de projets open source n’est pas aussi fréquente qu’on pourrait l’espérer.
De surcroit, dans le monde open source, il est beaucoup plus difficile de s’assurer de la bienveillance de l’auteur d’un code partagé. Par exemple, des analyses de la plateforme Stack Overflow ont montré que de nombreux codes étaient volontairement malveillants et destinés à corrompre les programmes les utilisant.
Finalement, les chaînes d’approvisionnement dans le monde open source peuvent être étonnamment difficiles à retracer. Généralement, un produit open source aura des dépendances sur d’autres produits, modules ou bouts de code open source. Chacun de ces projets open source peut avoir des vulnérabilités, ne pas être mis à jour ou ne plus être maintenu par ses auteurs.
Comment se protéger
Notre première suggestion est de choisir soigneusement ses fournisseurs et partenaires. Il faut effectuer une recherche d’analyse en amont afin d’éviter ultérieurement des problèmes importants. Ce travail a également un aspect légal, car les contrats entre fournisseurs et clients peuvent définir des exigences de sécurité minimales.
Il est donc essentiel de clairement énoncer les éléments de sécurité requis et d’utiliser des métriques lors de l’évaluation du fournisseur. Il est également nécessaire de connaître le plan de réponse aux incidents de ses fournisseurs potentiels. Le cas échéant, le fournisseur devra être à même de détecter et répondre rapidement et efficacement à une attaque, pour que vous n’ayez pas à le faire.
Des rapports d’audit de cyber sécurité ou de test de pénétration peuvent aussi assurer un suivi correct des meilleures pratiques.
Pour minimiser les risques liés à la chaîne d’approvisionnement de logiciel, il est recommandé de limiter le nombre d’applications utilisées. Ceci réduira la surface d’attaque et diminuera le travail de « due diligence », nécessaire pour chaque fournisseur.
L’expérience montre que la plupart des attaques de la chaîne d’approvisionnement proviennent d’applications «freeware» ou «d’essai» largement distribués. En effet, ces programmes gratuits sont couramment accompagnés par des applications additionnelles visant à les financer (applications publicitaires par exemple). Ces dernières, en plus d’être une nuisance, sont souvent mal programmées et proviennent de sources peu contrôlées.
Utiliser des solutions de protection est un outil efficace contre ce genre d’attaque. Un antimalware nouvelle génération avec un EDR (Endpoint Detection & Response) peut détecter des comportements malveillants, même venant d’une application de confiance ; des outils d’analyse peuvent dépister des événements inhabituels ; finalement, des procédures de segmentations ou de restriction d’accès peuvent limiter la contamination et les déplacements latéraux lors d’une infection.
Conclusion
Nous vivons dans un monde qui cherche à être efficace et efficient. Les entreprises tâchent de diminuer leur coût afin de pouvoir proposer des produits et services à un prix concurrentiel, être plus rentables et distribuer plus de dividendes aux actionnaires. Toutefois, cette course à l’efficience met régulièrement la sécurité en péril.
Ainsi, le manque de cyberhygiène de certaines compagnies est le résultat d’une décision commerciale consciente visant à réduire les coûts et maximiser les profits. L’industrie, les actionnaires et les régulateurs doivent rendre les entreprises redevables quand, afin d’accroître leurs profits, elles augmentent leurs cyberrisques à l’insu et sans le consentement de leurs clients.
Certes, augmenter sa cybersécurité et sa résilience rend un système moins efficient, car cela rajoute de la redondance, des contrôles supplémentaires et ralentit les processus ; néanmoins, lorsque le système sera soumis à une pression, il ne faillira pas et restera digne de confiance.
Finalement, se faire pirater est contagieux ; notre entourage, les programmes qu’on utilise et les appareils qu’on achète peuvent être utilisés contre nous. Il en va donc de la responsabilité de tous de s’assurer de la sécurité de ce qu’on acquière et de ce qu’on délivre afin de ne pas participer involontairement à une chaîne d’attaque.
Le défi est de construire des systèmes fiables à partir de composants douteux ou non dignes de confiance. Pour ce faire, il faut donc augmenter les contrôles lors de la production .la distribution et l’acquisition de produits et services.
