Attaque informatique contre SolarWinds : un stagiaire pointé du doigt pour fuite de mot de passe
Récemment, le PDG de la société texane SolarWinds a pointé du doigt un stagiaire, car celui-ci aurait favorisé de la fuite de mot de passe.
Même si d’une certaine manière aucun rapprochement n’a été fait entre cette fuite et l’attaque subie par la société américaine.
Cet article va aussi vous intéresser : SolarWinds renforce sa cybersécurité
À titre de rappel, notons que la cyberattaque qui a touché Orion, un logiciel fourni par la société SolarWinds, Piratage par lequel des cybercriminels ont réussi à avoir accès à des systèmes d’information de plusieurs entreprises, cliente de la société Texane. Le piratage, il faut le préciser a été qualifié de l’un des plus grave jamais connu de la décennie. Plusieurs grandes entreprises ont été touché de plein fouet à savoir, Microsoft ou encore l’éditeur de solution informatique FireEyes. Sans oublier des organismes de gouvernement des États-Unis dans l’agence du nucléaire.
Récemment il a été découvert quelque chose d’assez étonnant. Un mot de passe affilié à un des serveurs « solarwinds123 ».
La popularité de SolarWinds à été dû à un fait malencontreux. Pour ce qui concerne le mot de passe, l’erreur a été imputé un stagiaire.
« J’ai un mot de passe plus fort que « solarwinds123 » pour empêcher mes enfants de trop regarder YouTube sur leur iPad », a signifié la représentante américaines Katie Porter. « Vous et votre entreprise étiez censés empêcher les Russes de lire les e-mails du ministère de la Défense ! »,
Dans un communiqué de presse de la commission parlementaire portant sur le contrôle et la réforme, l’ancien PDG de SolarWinds, Kevin Thompson déclare : « Ils ont violé notre politique en matière de mot de passe et ont publié ce mot de passe sur un compte interne, sur leur propre compte GitHub privé ».
Selon les informations fournies par la société, le problème avec ce mot de passe remonterait depuis 2018 voir encore plus loin. Selon le chercheur qui a découvert cette fuite de données, le mot de passe était déjà disponible depuis juin 2018 sur internet. Pourtant le problème a été résolu qu’en 2019. Selon les déclarations du PDG actuel de la société Texanne, cette faille de sécurité remonte à 2017. « Je crois que c’est un mot de passe qu’un stagiaire a utilisé sur un de ses serveurs GitHub en 2017, qui a été signalé à notre équipe de sécurité et a été immédiatement supprimé », a déclaré Sudhakar Ramakrishna, l’actuel PDG de SolarWinds.
L’enquête du gouvernement américain continue toujours pour apporter plus de lumière à cette affaire. Cependant, cette affaire pourrait prendre plusieurs mois. De son côté le PDG de l’entreprise a des sécurité FireEye, Kevin Mandia affirme qu’il ne sera jamais possible de déterminer l’ampleur de cette attaque informatique.
« Le résultat final : nous ne connaîtrons peut-être jamais l’étendue et l’ampleur des dégâts, et nous ne saurons peut-être jamais dans quelle mesure les informations volées profitent à un adversaire », a signifié Mandia. Cependant avec tout ce qui se passe, il est probable qu’on puisse accuser un simple stagiaire d’avoir été la cause de de celui-ci.
Pourtant, cette éventualité n’est pas vu par tout le monde de la même manière. En effet selon un chercheur Thaddeus E. Grugq, il n’est pas nécessaire pour des services de renseignement d’avoir franchement accès au mot de passe faible d’une victime pour accéder un système informatique. « Si c’est ce qu’ils utilisent, alors c’est ce qu’ils utilisent, mais ce n’est pas le facteur décisif pour l’opération ». Explique le chercheur. « La porte dérobée SolarWinds a été profondément intégrée dans le code, elle a été injectée pendant leur processus de construction, et il n’est pas possible que le serveur ayant un mot de passe faible ait été le facteur déterminant. Comme si les services secrets russes allaient abandonner s’il y avait un mot de passe fort à la place ! (…) Il n’y a pratiquement aucune chance que le mot de passe du serveur ait eu un quelconque rapport avec le piratage dans son ensemble ». Ajoute ce dernier.
En rapportant une citation présente dans le livre intitulé « Network Attacks and Exploitation: A Framework », Thaddeus E. Grugqde déclare : « L’infraction est régulièrement sous-estimée. Lorsque des entreprises sont piratées, elles réagissent comme si elles n’avaient fait qu’une seule chose ou évité une seule erreur, tout aurait été correct. L’adversaire est traité comme s’il avait juste eu de la chance ».
L’exemple du mot de passe ici ne fait que mettre en évidence que malgré les sensibilisations, les gens continuent d’avoir de mauvaises pratiques en matière de définition de mot de passe ainsi que dans le secteur de la sécurité en général. « Je suis tout à fait d’accord avec le « c’est un exemple de mauvaise pratique en matière de sécurité », mais… ce n’est pas ce qui a été dit. Ils ont littéralement dit que le mot de passe faible signifie que l’attaquant peut être n’importe qui. N’importe qui peut le faire. C’est la suggestion la plus absurde (….) Je suis parfaitement disposé à croire que leurs serveurs de compilation utilisaient « admin:admin » et que c’est comme ça que les Russes ont eu accès à leur code… mais, c’était une opération clandestine de renseignement. Ils n’ont pas réussi simplement parce que SolarWind avait une mauvaise hygiène des mots de passe ».
Accédez maintenant à un nombre illimité de mot de passe :