Solorigate : un stagiaire et un mot de passe faible à l'origine de l'affaire ?
mar, 02/03/2021 - 15:21
En décembre 2020, un des produits de SolarWinds, Orion, a servi de vecteur pour une cyber attaque à grande échelle aux Etats-Unis. De nombreux services d’état ont ainsi été touchés. La cyber-attaque aurait été perpétrée par les services de renseignements russes selon de nombreux avis, dont celui du Secrétaire d’Etat des Etats-Unis. De nombreuses sociétés informatiques ont aussi été victimes de l'attaque parmi lesquelles Mimecast, Palo Alto Networks, Qualys, Malwarebytes, et Microsoft. Cette dernière ayant à l'époque baptisé l'affaire Solorigate. Pour l'occasion, le président de Microsoft, Brad Smith, a déclaré qu'il s'agissait de "l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ",
Mais comment a débuté cette affaire ? Les pirates, qui ne seraient autres que les services de renseignements russes selon de nombreux avis, dont celui du Secrétaire d’Etat des Etats-Unis, seraient-ils si forts, pour avoir mis en place l'attaque la plus grande et la plus sophistiquée et avoir ainsi causé tant de dégâts ? Pas sûr...
En effet, notre confrère ZDNet rapporte que l'ancien PDG de SolarWinds, Kevin Thompson, a déclaré que tout a peut-être commencé lorsqu'un stagiaire a défini solarwinds123 en guise de mot de passe important.
Il est dit et répété toujours et partout que les mots de passe doivent être forts. Mais le stagiaire devait être un peu distrait et n'a manifestement pas écouté. Et comme si cela ne suffisait pas, le stagiaire, toujours selon Kevin Thompson, aurait partagé le mot de passe sur GitHub.
L'actuel PDG de SolarWinds, Sudhakar Ramakrishna, a admis de son côté que le mot de passe était utilisé en 2017... et que SolarWinds n'a pas corrigé le tir avant novembre 2019.
Les pirates auraient donc eu beau jeu. Même s'il n'est pas formellement confirmé que ce mot de passe soit à l'origine de l'affaire, on ne peut s'empêcher de penser que la politique de sécurtité de SolarWinds est un peu légère.