En février dernier, une attaque par ransomware a permis à des escrocs de s’emparer des dossiers médicaux d’une “partie des américains” de Change Healthcare, un fournisseur de gestion du cycle de revenus et de paiements qui connecte les payeurs, les prestataires et les patients aux États-Unis. L’attaque a perturbé les services de santé nationaux pendant des semaines et, selon la société mère UnitedHealth, elle coûtera plus d’un milliard de dollars. Cette attaque a été suivie par une série de menaces sur des fournisseurs liés à la santé (Royaume-Uni – Synnovis, France – Viamedia et Almerys).
Par Ivan Lebowski, Sales Team Leader chez Synology.
Vous avez eu recours à Fiverr ou Uber ou utilisé PayPal, LinkedIn ou Coinbase, il y a une chance que vos documents d’identification fournis lors du processus KYC (know your customer) aient été volés chez le fournisseur d’authentification AU10TIX. Le problème est que cela aurait pu être évité, mais AU10TIX a oublié de changer le mot de passe d’un compte compromis connu avec des privilèges administratifs pendant plus d’un an. Un autre service lié au KYC, World-Check, a également été piraté plus tôt cette année, révélant plus de 5 millions de dossiers confidentiels utilisés par les entreprises pour le dépistage des liens avec des crimes financiers.
Ces exemples ne sont qu’une poignée des violations connues publiquement, mais qu’ont-ils tous en commun ? Il s’agit d’attaques sur la chaîne d’approvisionnement. Aucun des fournisseurs piratés ne sont connus du grand public mais ils détiennent un trésor d’informations personnelles précieuses.
Ainsi les attaques sur la chaîne d’approvisionnement sont une préoccupation constante depuis des années. Souvenez-vous de la controverse sur une “petite puce” compromettant Amazon, Apple et d’autres ? Toutefois, ces attaques deviennent de plus en plus répandues et sophistiquées.
En mars dernier, une porte dérobée a été installée sur xz Utils, un outil presque omniprésent sur toutes les distributions Linux. Si un développeur solitaire, par pure coïncidence, n’avait pas réalisé la quantité anormalement élevée de cycles CPU consommés par les connexions SSH, les contributeurs malveillants auraient pu causer des dommages dévastateurs aux installations Debian et Red Hat, permettant presque tout, du vol des clés de chiffrement à l’installation de logiciels malveillants.
Les experts ont décrit comme l’une des “attaques sur la chaîne d’approvisionnement les mieux exécutées” qui a failli réussir. Cela s’est déroulé sur des années en tablant sur la confiance des mainteneurs de projet jusqu’à ce qu’ils puissent introduire un code astucieusement dissimulé qui leur aurait permis de détourner et d’injecter leur code dans les sessions SSH. On pense qu’il s’agit d’acteurs étatiques, mais le peu d’informations que nous avons sur ces adversaires souligne la fragilité de notre système de sécurité.
Bien que ces types d’attaques soient plus rares, elles sont également beaucoup plus difficiles à détecter et pourraient avoir des conséquences graves si elles sont négligées.
Pendant plus de cinq ans, certains serveurs de Lenovo, Intel et Supermicro ont été livrés avec des vulnérabilités connues dans leur BMC, un sous-système commun utilisé pour la gestion et le diagnostic à distance. Les fournisseurs concevant le logiciel BMC ont oublié de mettre à jour un composant de serveur web open-source appelé lighttpd, qui avait un correctif publié en 2018 corrigeant une vulnérabilité.
La Lente Poussée vers une Meilleure Sécurité
Pour contrecarrer ces attaques, la législation récente de l’Union Européenne, la Directive sur la Sécurité des Réseaux et des Informations (NIS) 2, va entrer en vigueur cette année. Elle vise à pousser le marché européen à adopter de meilleures postures de sécurité et à effectuer des évaluations et des gestions des risques approfondies, avec un accent particulier sur le renforcement de la sécurité de la chaîne d’approvisionnement.
Aux États-Unis, un décret exécutif de 2021 (14028—Amélioration de la Cybersécurité Nationale) se concentre sur la définition de critères pour identifier les risques dans les pratiques de sécurité des développeurs, des fournisseurs et du produit logiciel final. En conjonction avec la législation existante comme la National Defense Authorization Act (NDAA), le Trade Agreements Act (TAA) et les directives de la Department of Homeland Security (DHS) et du National Institute of Standards and Technology (NIST), propose une plus grande sensibilisation et un examen plus rigoureux de la sécurité.
Alors que les États-Unis et de nombreux pays alliés européens et Asie-Pacifiques ont adopté des législations limitant l’installation de systèmes de télécommunications Huawei et ZTE, de caméras et NVR Hikvision et Dahua, et peut-être de drones DJI—tous ces efforts sont concentrés sur de grandes cibles, généralement matérielles. Le maillon le plus faible de tout cela est le logiciel et les personnes qui le maintiennent.
Rester en avance sur la courbe
Pour les entreprises et les organisations, être conscient de ce problème et mettre en œuvre quelques éléments cruciaux dans les processus d’achat et de gestion informatiques aidera à vous préparer au pire. Un outil efficace est le Software Bill of Materials (SBOM), qui fournit une liste complète de tous les composants logiciels utilisés dans un système, un service ou un logiciel plus large. Les SBOM permettent aux organisations de voir exactement ce que leur infrastructure informatique exécute, quels composants sont activement utilisés et s’ils ont des vulnérabilités connues.
Il n’y a pas de solution miracle en matière de sécurité. Cependant, comme la liste des ingrédients trouvée sur les étiquettes nutritionnelles, les SBOM fournissent une transparence dans les “boîtes noires” traditionnellement opaques. En effectuant des audits de sécurité fréquents, les entreprises peuvent identifier et traiter proactivement les vulnérabilités, forçant un fournisseur à répondre plus rapidement et poussant l’industrie à être plus responsable.
La disponibilité des SBOM et le bilan de réponse à la sécurité d’un fournisseur deviendront des facteurs décisifs de plus en plus importants dans leur capacité à faire face aux cyberattaques. Certains acteurs mettent à disposition des SBOM au format CycloneDX et SPDX pour ses clients. Combiné à une réponse rapide pour traiter toute vulnérabilité de type zero-day ou critique, ils fixent un standard élevé pour la maintenance et la sécurisation des solutions de gestion et de protection des données.
Pour les professionnels de l’informatique et les décideurs, il est impératif de prioriser la sécurité côté fournisseur dans tous les systèmes. Assurez-vous que vos fournisseurs sont transparents sur les logiciels et services qu’ils utilisent et sont engagés dans des audits de sécurité réguliers. Alors que la scène de la cybersécurité continue de s’intensifier, il vaut mieux paniquer et se préparer maintenant.