SolarWinds : un iceberg de cybersécurité ?

Vers une accalmie pour SolarWinds ? Jusqu’à présent, son logiciel Orion est apparu comme le principal vecteur de la campagne d’espionnage qui secoue actuellement les États-Unis.

Le principal, mais pas l’unique. Des soupçons pèsent notamment, depuis quelques jours, sur un autre éditeur. En l’occurrence, le tchèque JetBrains. Et plus précisément sur son outil CI/CD TeamCity. Avec la crainte qu’il y réside une backdoor, comme chez SolarWinds.

Voilà désormais que la CISA ouvre une autre piste, exempte de porte dérobée : l’usurpation de comptes. L’homologue américaine de notre ANSSI affirme disposer de preuves dans ce sens. Elle évoque trois techniques : la force brute, le spraying (test ciblé d’un petit nombre de mots de passe) et le recours à des identifiants d’administration accessibles à distance.

Et de faire un parallèle avec les observations de Veloxity. Ce fournisseur de solutions de cybersécurité dit avoir détecté l’usage d’une clé secrète dérobée et utilisée pour créer un cookie capable de contourner l’authentification forte sur Outlook Web App. La CISA estime, au vu des indicateurs de compromis, que cette démarche a servi les mêmes fins que la backdoor SolarWinds.

L’agence américaine a moins de doutes sur ce qui se passe une fois les réseaux infiltrés. Dans les grandes lignes, ses constats sont les mêmes que ceux de Microsoft, particulièrement impliqué dans l’enquête.

Son bulletin d’alerte s’assortit d’un toolkit Sparrow destiné à détecter les comptes potentiellement compromis en environnement Azure/Microsoft 365. Elle le pose comme un complément à l’outil open source Hawk et à l’Azure Reporting Tool de CrowdStrike.

Photo d’illustration © Rawpixel.com – stock.adobe.com