Pour gérer vos consentements :
Categories: CyberguerreSécurité

SolarWinds : l’arbre qui cache la forêt ?

SolarWinds, vecteur parmi d’autres dans la campagne d’espionnage qui secoue actuellement les États-Unis ?

L’entreprise américaine est au cœur de cette affaire. Et pour cause : c’est dans un de ses logiciels qu’on a trouvé plusieurs backdoors qui ont vraisemblablement servi la campagne en question.

Si l’attention s’est jusqu’alors focalisée sur SolarWinds*, des soupçons commencent à peser sur un autre éditeur. En l’occurrence, JetBrains, localisé en République tchèque avec des labos en Russie. Et plus particulièrement sur un produit : TeamCity. « Plus de 300 000 » organisations utiliseraient cet outil CI/CD. La liste comprend l’essentiel du Fortune 100… ainsi que SolarWinds.

JetBrains a rapidement réagi. Il a, d’une part, démenti toute implication volontaire dans la campagne. Et, d’autre part, affirmé n’avoir reçu aucune sollicitation de Washington ou d’une quelconque agence américaine.

Destination cloud

Sur place, le DoJ (département de la Justice) fait partie des victimes connues. Ce 6 janvier, il a publié une alerte. Principale information : des accès indésirables à « environ 3 % » de ses boîtes de messagerie Office 365. C’est-à-dire potentiellement plus de 3 000 comptes, si on considère que l’effectif du DoJ compte quelque 115 000 personnes.

Cela accrédite l’analyse qu’a notamment eue Microsoft : la campagne avait pour véritable objectif d’accéder à des applications et services cloud. La backdoor déployée sur le réseau local des victimes était le point de départ d’une chaîne impliquant des élévations de privilèges. Jusqu’à prendre la main sur le mécanisme d’authentification de ces applications et services. Deux méthodes ressortent :

  • Devenir administrateur au niveau du réseau local, accéder au serveur de fédération Active Directory et y récupérer le certificat de signature des jetons
  • Devenir administrateur sur Azure Active Directory grâce à des identifiants compromis, puis modifier ou ajouter des approbations de fédération

Dans l’un et l’autre cas, même conséquence : on peut créer des jetons capables de contourner les éventuels dispositifs d’authentification forte mis en place. À partir de là, un appel d’API suffit. Par exemple pour lire des mails sur Outlook…

* SolarWinds fait notamment face à une tentative de recours collectif au nom de ses actionnaires.

Photo d’illustration © Rawpixel.com – stock.adobe.com

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

16 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

16 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

19 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

22 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

23 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago