X-Labs
Novembre 3, 2021

Sommes-nous prêts pour les mises à jour malveillantes de masse ?

Série Future Insights 2022 de Forcepoint—Deuxième partie
Stuart Taylor Sr. Director, Security Labs

Bienvenue dans le deuxième article de notre série Future Insights, qui offre des aperçus et des prédictions sur la cybersécurité qui pourraient devenir des problèmes importants en 2022.

Le prochain article a été rédigé par Stuart Taylor, Senior Director de Forcepoint X-Labs.
 

En novembre 2020, l'incident Sunburst a stupéfait l'industrie. En utilisant un malware très sophistiqué caché dans des mises à jour de logiciels légitimes, les attaquants ont non seulement exfiltré les données ciblées, mais ont également diffusé le malware à un grand nombre de victimes.

C'était une attaque anormalement complexe et sophistiquée. Le malware d'exfiltration de données, appelé Sunburst, a été diffusé via le logiciel Solarwinds Orion, une mise à jour de confiance qui a été distribuée à plus de 18 000 entreprises publiques et privées. Après être resté en sommeil pendant 14 mois, le malware a ensuite commencé son travail d'exfiltration des données. Il s'agit du plus grand exemple à ce jour d'une attaque sur la chaîne logistique qui a touché des organisations gouvernementales américaines, de grandes entreprises comme FireEye, Microsoft et Deloitte, ainsi que des milliers de petites entreprises. Nous ne saisissons pas encore bien l'ensemble de la situation et, bien qu'un correctif soit disponible, des malwares actifs peuvent encore être présents dans la nature.

Avec le recul, tout peut paraître merveilleux, cependant cette attaque visant la chaîne d'approvisionnement n'était pas la première. Petya, en 2017, a tiré parti de cette méthode. Les utilisateurs de Asus Live Update ont subi le même sort en 2019, et les courriels de phishing utilisent depuis plusieurs années des leurres de mise à jour logicielle pour inciter les gens à télécharger des malwares.

Une fois qu'une technique d'attaque a fait ses preuves – avec des résultats spectaculaires et qui font les gros titres – des attaques d'imitateurs suivront forcément. On se souvient de Kaseya, un fournisseur irlandais de solutions informatiques, qui a été victime d'une technique similaire au cours de l'été 2021. Son outil de surveillance à distance a été infiltré par un malware, permettant aux attaquants d'accéder à plusieurs clients finaux.

Ainsi, en 2022, nous nous attendons à voir une augmentation significative des imitateurs criminels délivrant une variété de malwares via des mises à jour logicielles.

Examen rapproché des vecteurs d'attaque par logiciel

Il est clair que les États-nations et les groupes de pirates informatiques continueront à cibler les fournisseurs de la chaîne logistique dans de nombreux secteurs. J'ai déjà écrit sur la façon dont la « dette technique » peut rendre les entreprises vulnérables. C'est là un aspect des choses. Mais comment et où les acteurs nocifs lancent-ils de nouvelles attaques ? Quels autres vecteurs d'attaque pourraient être exploités ?

Alors que des attaques comme Sunburst, ou les attaques par ransomware perpétrées par le groupe REvil, notamment contre Kaseya, continuent d'attirer l'attention du grand public, un piratage moins médiatisé en 2021 a retenu mon attention : les quatre vulnérabilités OMIGOD qui affectent l'agent logiciel Open Management Infrastructure (OMI) sur les machines Azure Linux.

Les projets de logiciels libres continuent de croître de manière exponentielle. La sécurité des logiciels open source s'est considérablement améliorée au cours des 10 dernières années, et il ne fait aucun doute que les vulnérabilités des logiciels open source sont corrigées à un rythme beaucoup plus rapide. Ça, c'est la bonne nouvelle. Mais il est également vrai que les attaques sur la chaîne logistique via open source augmentent à un rythme alarmant. Dans son rapport 2021 sur l'état de la chaîne logistique « State of the Software Supply Chain », Sonatype estime à 12 000 le nombre d'attaques contre des projets open source, soit une augmentation de 650 % d'une année sur l'autre.

 

La priorité concurrentielle accordée à l'innovation, et la contrainte impitoyable d'une mise sur le marché aussi rapide que possible, incitent les entreprises, grandes et petites, à adopter des projets open source. Les agences gouvernementales et les entreprises du secteur privé ressentent la pression causée par le besoin d'innovation et de déploiement de projets logiciels à un rythme toujours plus soutenu. Mais l'adage « A force de vouloir aller trop vite, on se prend un mur » est assorti d'un coût élevé, notamment du point de vue de la cybersécurité.

Il est donc impératif que chacun d'entre nous, dans les secteurs public et privé, donne la priorité à la sécurisation de chacun de nos projets de logiciels libres. L'exploitation de l'open source est en partie une question d'innovation et de délai de commercialisation. Mais les entreprises doivent faire preuve de diligence raisonnable à plusieurs étapes d'un projet. Cela se traduit par de multiples étapes de révision du code, tant au début d'un projet que tout au long du processus de développement et de déploiement. Ce n'est pas une mince affaire, et c'est encore plus compliqué si l'on considère que les failles de sécurité peuvent avoir comme source des criminels extérieurs ou des agents internes travaillant sur ces projets.

Comment peut-on se protéger ?

Une arme essentielle dans la lutte contre les mises à jour de logiciels malveillants est la résolution de la dette technique. C'est la différence entre le « prix » (temps, ressources humaines, investissement technologique) qu'un projet technique devrait coûter pour être parfait et à l'épreuve du temps, et le « montant » qu'une entreprise est prête à payer à ce moment-là. Les produits peuvent être retardés en raison de la réduction des investissements, mais une grande partie de cette dette concerne l'application des mises à jour logicielles – absolument nécessaires, et si souvent négligées.

Même s'il est possible que des acteurs malveillants (qu'il s'agisse d'États-nations ou de criminels motivés par des raisons financières) produisent des malwares par le biais de mises à jour logicielles, les administrateurs IT doivent veiller à appliquer les mises à jour et les correctifs au fur et à mesure qu'ils sont disponibles.

Si la dette technique s'accumule, les vulnérabilités et les failles de sécurité constitueront une porte d'entrée béante pour les malfrats – et la combinaison entre de nouvelles techniques de diffusion des malwares avec des vulnérabilités non corrigées est préoccupante.

En outre, avec l'augmentation du travail hybride, les utilisateurs finaux doivent être plus impliqués quant à l'application des correctifs et des mises à jour de leurs systèmes. Cela peut mener à des situations où les mises à jour ne sont pas appliquées, ou à ce qu'elles soient appliquées par des personnes qui n'ont pas l'habitude de cette tâche, ce qui signifie qu'elles sont plus susceptibles d'accepter un comportement que des équipes informatiques considéreraient comme suspect. Les responsables doivent veiller à ce que la formation à la cybersécurité soit déployée et régulièrement mise à jour, afin que les employés constituent une première ligne de défense.

Solarwinds n'était pas le premier incident à tirer parti de mises à jour malveillantes et ce ne sera certainement pas le dernier, mais avec une sensibilisation à l'échelle de l'entreprise et une gestion rigoureuse des correctifs, nous pouvons renforcer nos défenses.

Stuart Taylor

Sr. Director, Security Labs

Stuart Taylor is the Senior Director of Forcepoint X-Labs and is based in the UK.  Stuart has over 20 years of experience in the cybersecurity industry.  Prior to joining Forcepoint he spent several years running the Global Engineering Operations and UK Threat Lab of...

Read more articles by Stuart Taylor

À propos de Forcepoint

Forcepoint est une entreprise leader en cybersécurité pour la protection des utilisateurs et des données. Son objectif est de protéger les entreprises tout en stimulant la transformation et la croissance numériques. Nos solutions s’adaptent en temps réel à la façon dont les personnes interagissent avec les données, et offrent un accès sécurisé tout en permettant aux employés de créer de la valeur.