SolarWinds, vecteur parmi d’autres dans la campagne d’espionnage qui secoue actuellement les États-Unis ?
L’entreprise américaine est au cœur de cette affaire. Et pour cause : c’est dans un de ses logiciels qu’on a trouvé plusieurs backdoors qui ont vraisemblablement servi la campagne en question.
Si l’attention s’est jusqu’alors focalisée sur SolarWinds*, des soupçons commencent à peser sur un autre éditeur. En l’occurrence, JetBrains, localisé en République tchèque avec des labos en Russie. Et plus particulièrement sur un produit : TeamCity. « Plus de 300 000 » organisations utiliseraient cet outil CI/CD. La liste comprend l’essentiel du Fortune 100… ainsi que SolarWinds.
JetBrains a rapidement réagi. Il a, d’une part, démenti toute implication volontaire dans la campagne. Et, d’autre part, affirmé n’avoir reçu aucune sollicitation de Washington ou d’une quelconque agence américaine.
Sur place, le DoJ (département de la Justice) fait partie des victimes connues. Ce 6 janvier, il a publié une alerte. Principale information : des accès indésirables à « environ 3 % » de ses boîtes de messagerie Office 365. C’est-à-dire potentiellement plus de 3 000 comptes, si on considère que l’effectif du DoJ compte quelque 115 000 personnes.
Cela accrédite l’analyse qu’a notamment eue Microsoft : la campagne avait pour véritable objectif d’accéder à des applications et services cloud. La backdoor déployée sur le réseau local des victimes était le point de départ d’une chaîne impliquant des élévations de privilèges. Jusqu’à prendre la main sur le mécanisme d’authentification de ces applications et services. Deux méthodes ressortent :
Dans l’un et l’autre cas, même conséquence : on peut créer des jetons capables de contourner les éventuels dispositifs d’authentification forte mis en place. À partir de là, un appel d’API suffit. Par exemple pour lire des mails sur Outlook…
* SolarWinds fait notamment face à une tentative de recours collectif au nom de ses actionnaires.
Photo d’illustration © Rawpixel.com – stock.adobe.com
L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…
La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…
Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…
Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…
Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…
Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…