Solorigate : des pirates accèdent aux codes sources de Microsoft
lun, 04/01/2021 - 17:43
SolarWinds est une société texane qui développe des logiciels professionnels permettant la gestion centralisée des systèmes et des infrastructures informatiques.
En décembre 2020, un des produits de SolarWinds, Orion, a servi de vecteur pour une cyber attaque à grande échelle aux Etats-Unis. De nombreux services d’état ont ainsi été touchés. La cyber-attaque serait perpétrée par les services de renseignements russes selon de nombreux avis, dont celui du Secrétaire d’Etat des Etats-Unis.
Il est possible que cette cyber-attaque dure depuis 2019 sans avoir été détectée. Reuters a rapporté qu'un chercheur en sécurité avait alerté l'entreprise en 2019 que son serveur de mise à jour avait un mot de passe faible de ‘solarwinds123’. Fin 2020, la liste des victimes de l’attaque dite ‘SolarWinds’ ou ‘Solorigate’ semble sans fin.
Microsoft, qui utilise des produits SolarWinds, fait partie des victimes et l’a annoncé dans un billet de blog.
Microsoft explique : "nous avons détecté des applications SolarWinds malveillantes dans notre environnement, que nous avons isolées et supprimées. […] Notre enquête a cependant révélé des tentatives d'activités allant au-delà de la simple présence de code SolarWinds malveillant dans notre environnement. […] Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et après examen, nous avons découvert qu'un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source. Le compte n'avait pas l'autorisation de modifier le code ou les systèmes d'ingénierie et notre enquête a confirmé qu'aucune modification n'avait été apportée. Ces comptes ont été étudiés et corrigés."
Microsoft se veut donc rassurante, et précise : "Chez Microsoft, nous avons une approche source interne - l'utilisation des meilleures pratiques de développement de logiciels open source et une culture de type open source - pour rendre le code source visible dans Microsoft. Cela signifie que nous ne nous fions pas au secret du code source pour la sécurité des produits, et nos modèles de menaces supposent que les attaquants ont connaissance du code source. Ainsi, la visualisation du code source n'est pas liée à l'élévation du risque."
Microsoft n'a toutefois pas indiqué clairement quels étaient les codes sources qui ont ainsi été consultés.
Espérons que Microsoft ne se trompe pas. Car on n'ose pas imaginer les dégâts que pourraient causer quelques morceaux de code malveillants injectés dans des produits comme Windows ou la suite Office.