L’infrastructure de SolarWinds ne semble pas avoir bénéficié d’un haut niveau de protection. Microsoft met désormais les bouchées doubles pour limiter les dégâts.
Implanté auprès d’un grand nombre d’entreprises dans le monde, l’éditeur SolarWinds, qui est au centre d’une vaste campagne de piratage, ne disposait visiblement pas d’un très haut niveau de sécurité.
D’après Reuters, des accès à son infrastructure informatique se vendaient depuis quelques années dans des forums underground. Par ailleurs, l’année dernière, un chercheur en sécurité avait alerté l’entreprise que ses serveurs de mise à jour — et notamment ceux qui ont diffusé la backdoor russe à 18 000 entreprises — n’étaient protégés que par un faible mot de passe : « solarwinds123 ».
Pour l’heure, rien ne prouve que ces différentes vulnérabilités aient effectivement permis aux pirates d’accéder au système d’information de l’éditeur. Mais cela montre que les administrateurs système n’étaient pas au niveau question sécurité.
D’ailleurs, il s’est avéré que les mises à jour vérolées de SolarWinds étaient encore disponibles au téléchargement plusieurs jours après la découverte du pot aux roses. Ce qui ne signale pas une grande réactivité des équipes de SolarWinds. Pour l’image de marque de ce fournisseur technologique, c’est évidemment désastreux. Depuis l’annonce de ce hack, son action en bourse a perdu un quart de sa valeur.
Parallèlement, de nombreux experts en sécurité tentent de limiter l’impact de ce piratage, à commencer par ceux de Microsoft. Selon ZDnet, ils ont mis la main sur le domaine de commande et contrôle du malware (avsvmcloud.com).
Ainsi, les pirates ne pourront plus actionner leur backdoor, ce qui enlève une épine du pied de leurs 18 000 victimes. Microsoft a également actualisé son logiciel Defender pour qu’il détecte et bloque les versions vérolées du logiciel de SolarWinds. Le cas échéant, les postes informatiques affectés devront être déconnectés du réseau.
Toutefois, les pirates n’auraient exploité ce vecteur d’infection que chez un faible nombre de victimes, toutes situées aux États-Unis. À savoir : FireEye et six agences gouvernementales (les Department of State, Homeland Security, Cybersecurity and Infrastructure, Health, Commerce, et Treasury). Chez les autres victimes, la backdoor semble être restée inactive.