La France, pas épargnée par l’épisode SolarWinds ? Les éléments que communique Microsoft le suggèrent.
Le groupe américain a livré une analyse – plus géopolitique que technique – de la situation. Il l’a agrémentée d’une carte du monde. Les informations qui y figurent proviennent de l’antivirus Defender. Elles donnent une idée de la surface d’attaque.
De quelle attaque parle-t-on au juste ? Vraisemblablement d’une campagne d’espionnage étatique. Son principal vecteur : Orion, logiciel de gestion informatique signé de l’éditeur américain SolarWinds. Plus précisément, des versions vérolées de ce logiciel (injection d’un cheval de Troie).
C’est surtout aux États-Unis que l’affaire fait du bruit. La carte en témoigne. Elle permet toutefois de constater que la menace est également présente en Europe ; y compris en France.
SolarWinds évalue à 18 000 le nombre potentiel de ses clients touchés. Cela ne signifie pas qu’ils ont fait l’objet d’une attaque. Les déclarations de Symantec* l’illustrent. L’éditeur affirme avoir détecté le cheval de Troie chez une centaine de ses clients. Mais explique qu’il n’a que rarement servi à déployer d’autres charges malveillantes (généralement, la backdoor Teardrop).
Du côté de Microsoft, on dit avoir notifié une quarantaine d’organisations effectivement victimes d’une attaque. Plus des trois quarts sont basées aux États-Unis, mais on en trouve aussi, notamment, en Belgique, en Espagne et au Royaume-Uni.
Près de la moitié de ces organisations évoluent dans le secteur de l’IT. Microsoft ne s’y inclut pas, malgré les informations dans ce sens. Le discours officiel de la firme est le suivant : nous avons détecté des versions malicieuses d’Orion sur notre environnement informatique, mais elles n’ont pas entraîné d’accès à nos services en production, ni aux données de nos clients. Nos systèmes n’ont par ailleurs pas été compromis pour ensuite en infecter d’autres.
Toutes ces hypothèses circulent, plus ou moins accréditées. La NSA elle-même les alimente, au même titre que le CISA (homologue américain de notre ANSSI). Sous un angle en particulier : le compromission non pas de l’infrastructure privée de Microsoft, mais de son cloud Azure. Y compris en exploitant d’autres portes d’entrée qu’Orion.
* Symantec est d’autant plus impliqué que les versions modifiées d’Orion étaient signées avec un ancien certificat à son nom. L’éditeur en a référé à Digicert, à qui il avait revendu son activité de certification en 2018.
Illustration principale © Rawpixel via Adobe Stock
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
