SolarWinds : le bilan s’alourdit encore

SolarWinds 2021

On semble loin d’un bilan définitif pour l’épisode SolarWinds. Mais au fil des estimations, la tendance s’aggrave.

Combien de temps faudra-t-il pour prendre la véritable mesure de l’affaire SolarWinds ? L’appareil de cyberdéfense des États-Unis – qui apparaissent comme la principale cible – semble avoir bien du mal à l’estimer.

L’incertitude est d’autant plus grande que les nouvelles continuent de tomber au sujet de cette probable campagne d’espionnage étatique. Notamment du côté de Microsoft, particulièrement impliqué dans les investigations.

Enquêteur, le groupe américain est aussi victime. Il a en tout cas reconnu faire partie des organisations qui ont utilisé, à leur insu, ce qu’on considère comme le vecteur numéro un de la campagne en question. En l’occurrence, des versions vérolées d’Orion, logiciel de gestion informatique que fournit l’éditeur texan SolarWinds.

Ces versions vérolées contenaient du code malveillant qui ouvrait une porte dérobée. Au dernier pointage, SolarWinds affirme qu’environ 33 000 de ses clients y ont été exposés.

SolarWinds : une attaque de l’intérieur ?

La backdoor n’a vraisemblablement été exploitée que chez une petite partie de ces clients. Mais les estimations continuent d’évoluer… à la hausse.
Le consensus se montait initialement à quelques dizaines. Microsoft le partageait. Désormais, on évoque « jusqu’à 250 » cas d’exploitation effective de la porte dérobée rien qu’aux États-Unis.

Sur place, les départements d’État, du Commerce, de l’Énergie et du Trésor figurent parmi les victimes connues. Le Pentagone aussi.
Pendant plus de deux semaines, Microsoft avait assuré ne pas se trouver sur cette même liste. Le 31 décembre, la firme a changé de ton : elle a déploré l’usurpation d’un de ses comptes internes… qui a permis à des tiers de consulter du code source. On n’en sait pas plus pour le moment.

Au-delà de Microsoft, il y a ses partenaires revendeurs, pas épargnés.
De manière générale, le périmètre d’attaque paraît bien plus large qu’on ne le pensait à l’origine. Il a visiblement impliqué de nombreuses machines localisées aux États-Unis. Sans doute parce que les autorités américaines bénéficient de droits limités de surveillance des infrastructures situées sur le territoire national.

Quelle responsabilité pour SolarWinds dans ces événements ? Des voix s’élèvent pour dénoncer les manquements récurrents de l’éditeur en matière de sécurité. Les investissements dans le domaine n’auraient pas été à la hauteur des enjeux, alors même que les bénéfices ont triplé en dix ans (453 millions de dollars en 2019, contre 152 millions en 2010).

SolarWinds n’aurait, entend-on dire, embauché son premier CIO qu’en 2017. Et ce en réponse à l’évolution de la réglementation européenne. Des craintes planent quant à la délocalisation progressive de son ingénierie dans des pays d’Europe de l’Est.

Photo d’illustration © Rawpixel.com – Adobe Stock