La sécurité informatique des éditeurs cyber est mise à rude épreuve, avec une liste d’attaques à leur encontre qui s’allonge. Déstabiliser les entreprises de sécurité informatique et compromettre leurs solutions de sécurité, voilà qui fait les choux gras de l’écosystème malveillant depuis quelques temps déjà. Une tendance qui se confirme en 2021. Est-il opportun alors de se dire que les éditeurs sont en passe de devenir des cibles privilégiées de cyberattaques ? Puisqu’ils représentent justement une pièce maîtresse des boucliers de défense des entreprises contre les attaques de cybersécurité, les cyber-criminels ont ainsi tout intérêt à les fragiliser et à les compromettre. Charge aux éditeurs d’être encore plus solides sur leurs appuis en matière de sécurité.
De l’intérêt pour les cyber-criminels de s’en prendre aux acteurs cyber…
Avril 2021, la société Codecov, spécialisée dans l’audit de code, s’aperçoit que l’accès à son script Bash Uploader a été forcé par des attaquants, et modifié à plusieurs reprises pour y injecter un malware. Un problème pour pas moins de 29 000 entreprises, clientes et potentiellement toutes victimes collatérales de l’attaque, à l’instar de Rapid7, éditeur de cybersécurité dont une partie du code source a été exploitée à des fins malveillantes. Pour de nombreux experts, cette attaque contre Codecov est un scénario « à la SolarWinds », qui se répète, et qui pourrait se répéter encore. Car les cyber-criminels l’ont bien compris : attaquer un éditeur de cybersécurité présente de nombreux intérêts.
Par essence, un éditeur, quel que soit son domaine d’activité, est perçu comme une référence par les entreprises, qui peuvent le considérer comme étant donc hors d’atteinte, inattaquable. Une aubaine pour les cyber-criminels qui voient ici l’intérêt grandissant de s’en prendre aux éditeurs pour ensuite détourner leurs solutions et par ricochet, infecter plusieurs entreprises clientes.
Bien sûr, « les conséquences d’une attaque vers un éditeur ne sont pas les mêmes en fonction de l’activité même de ce dernier », précise Adrien Brochot, Product Manager Endpoint Security chez Stormshield. Ces attaques contre la supply chain peuvent en effet revêtir plusieurs formes et scénarios. Dans un premier scénario simple de hack, les cyber-criminels cherchent à s’implanter directement dans les chaînes de mises à jour ou de fournitures de nouveaux logiciels, pour accéder ensuite aux infrastructures des clients. Second scénario ensuite avec un éditeur de solutions cyber Cloud victime d’une attaque par DDoS ; les entreprises utilisatrices n’auraient plus accès à leurs différents services hébergés par l’éditeur, et seraient donc dans l’incapacité de fonctionner correctement. Dans le troisième scénario, l’attaque contre un éditeur de logiciel antivirus pourrait conduire jusqu’à une prise de contrôle des postes de l’entreprise cible, en utilisant les droits d’administrateurs dont bénéficient souvent les antivirus … Une attaque qui laisserait donc les infrastructures des entreprises clientes vulnérables. L’hypothèse d’une altération de la mise à jour du logiciel a même été confronté au réel avec l’exemple de la société Click Studios, qui fournit à des milliers d’entreprises le gestionnaire de mots de passe Passwordstate, et qui s’est vu, en avril dernier, infecté par un malware lors d’une mise à jour.
S’en prendre à un éditeur peut aussi consister à s’intéresser à son code source, afin de dérober des données sensibles sur des clients, d’identifier une faille Zero-Day qui pourrait être exploitée, ou de collecter des informations à des fins d’espionnage commercial ou industriel. Une logique face aux Zero-Days qui s’applique à n’importe quel éditeur, mais qui s’avère être encore plus critique quand il s’agit d’un éditeur de cybersécurité. Des éditeurs de cybersécurité dont le code source des éditeurs semble au goût des cyber-criminels, à l’image de l’intrusion dans les réseaux de Microsoft, SonicWall ou encore Stormshield fin 2020. En ce qui concerne Stormshield, les impacts de l’attaque ont été limitées et aucune modification de code n’a été constatée lors des investigations menées avec l’ANSSI. Un attrait pour le code source des éditeurs, alors même que les librairies utilisées et fonctionnalités proposées s’appuient souvent sur de l’open source. Mais la démarche malveillante ne s’arrête pas là pour les cyber-criminels qui réussissent à compromettre les éditeurs. Compromettre aussi leurs solutions, par exemple via l’injection d’une backdoor, leur permet de cibler d’autres organisations clientes de la solution, voire de diffuser leur attaque à grande échelle. Avec des conséquences potentiellement dramatiques…
… et à leurs solutions
Pour qu’une solution de cybersécurité soit efficace, elle doit être judicieusement positionnée en fonction de l’infrastructure client pour capter le maximum d’informations. Les solutions de cybersécurité sont ainsi conçues pour être déployées au plus près des actifs les plus sensibles d’une entreprise. Attaquer une solution cyber, c’est donc l’opportunité d’avoir un accès direct à un très grand nombre d’informations sur les machines qu’elle protège et à un niveau de privilèges élevés, de pouvoir prendre le contrôle de celle-ci, de la désactiver pour faire sauter les verrous de sécurité et ainsi camoufler des actions malveillantes sur un système d’information. Les cyber-criminels peuvent aussi détourner les solutions en exploitant une faille connue de celles-ci, dont le correctif n’a pas été appliqué par les entreprises qui l’utilisent. D’où l’importance pour les administrateurs de réaliser très régulièrement les mises à jour des solutions de sécurité et pour les éditeurs de tracker et corriger en continu les failles de leurs produits. Une vulnérabilité connue de la solution VPN Pulse Connect Secure de l’éditeur Pulse Secure a récemment été exploitée à des fins malveillantes.
En somme, pour attaquer les solutions de cybersécurité, tous les coups sont permis pour les cyber-criminels qui s’engouffrent par n’importe quelle porte pour propager leurs attaques. Des portes parfois mal fermées par les éditeurs eux-mêmes…
Une porte peut en cacher une autre : les backdoors en question
Il est alors question de backdoors, des portes dérobées qui peuvent se retrouver dans un produit de sécurité pour plusieurs raisons, comme le rappelle Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste chez Stormshield : « Les solutions peuvent comporter des backdoors involontaires, utilisées pour le développement du produit par l’éditeur et qui ont été oubliées au moment de la mise en production, et des backdoors volontaires, qui sont laissées sciemment par un éditeur afin d’être en mesure d’intervenir sur le système d’un client ». Une backdoor va par exemple être utilisée comme un accès de débug durant le développement de la solution, puis mise en production par erreur. À l’inverse, un éditeur peut choisir de se réserver la possibilité d’intervenir chez un client en cas de problème en conservant une backdoor, mais sans la documenter. Il y a aussi les backdoors d’ordre étatique, imposées à des éditeurs par des États et révélées au grand jour par l’affaire Edward Snowden notamment et les pratiques d’écoute et d’espionnage de la NSA en 2013 – pratiques qui sont aujourd’hui de nouveau sous les projecteurs avec les révélations autour de l’opération Dunhammer. À l’époque de l’affaire Snowden, l’affaire qui avait fait grand bruit sur le sujet des backdoors concernait l’éditeur Juniper Networks, dont certaines de ses solutions contenaient des portes dérobées installées par la NSA, permettant d’accéder aux données des clients de l’éditeur.
Une backdoor est une vulnérabilité d’une solution, cachée certes, mais une vulnérabilité quand même
Simon Dansette, Product Manager Network Security Stormshield
Dans tous les cas, quelles que soient les raisons de la présence d’une backdoor dans un produit de sécurité, celle-ci présente un risque dès lors qu’elle tombe entre les mains d’un acteur malveillant. « Une backdoor ajoute du risque puisqu’elle permet de s’introduire dans une solution de façon invisible, précise Simon Dansette, Product Manager Network Security chez Stormshield. Si un attaquant s’aperçoit qu’il existe une backdoor dans la solution, alors il va pouvoir l’exploiter pour détourner cette solution à des fins malveillantes. En d’autres termes, une backdoor est une vulnérabilité d’une solution, cachée certes, mais une vulnérabilité quand même ». Comme le rappelait l’ANSSI dès 2016 dans une note signée Guillaume Poupard, une backdoor dans un système de chiffrement « aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques ». Un risque à proscrire donc.
Prise de conscience, sécurité, confiance : la nécessaire contre-attaque des éditeurs
« Depuis plusieurs mois, la tendance qui consiste à attaquer les éditeurs de cybersécurité et leurs solutions est bien amorcée et confirmée. La question qu’il faut se poser désormais est de savoir quand les attaques de ce type vont advenir et comment les éditeurs vont s’en prémunir », alerte Sébastien Viou. En effet, les éditeurs doivent plus que jamais prendre conscience qu’ils peuvent être la cible de cyber-criminels et adapter leur posture de défense en conséquence.
La question qu’il faut se poser désormais est de savoir quand les attaques de ce type vont advenir et comment les éditeurs vont s’en prémunir
Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste Stormshield
La sensibilisation des individus, que ce soit les collaborateurs chez un éditeur ou les clients finaux qui utilisent la solution, semble être une étape à ne pas sous-estimer. « Certaines attaques de supply chain passent par le facteur utilisateur » rappelle Adrien Brochot. Les éditeurs doivent ainsi continuer à recommander que la politique de sécurité informatique de leurs clients respecte les bonnes pratiques indispensables, et tout particulièrement la mise à jour systématique de sa solution dès lors que les correctifs ont été publiés. Et ainsi éviter un scénario comme celui subi par Fortinet et sa solution FortiOS. Un exemple qui démontre combien la sensibilisation cyber reste capitale.
Côté technique, il ne faut (surtout) pas oublier la sécurité intrinsèque du produit, avec un suivi réalisé par l’éditeur des vulnérabilités des composants intégrés, un durcissement de la solution, ou encore un respect des principes de programmation défensive… « Il faut suivre certains principes généraux de sécurisation des produits comme adopter des architectures sécurisées appliquant le principe du moindre privilège. La règle d’or est de bien développer sa solution pour limiter l’accès à un attaquant », détaille Adrien Brochot.
Cette démarche concerne aussi les entreprises clientes qui peuvent agir à leur niveau, en structurant des process de mises à jour fiables des produits qu’elles utilisent. Par ailleurs, privilégier une pluralité dans le choix des solutions de sécurité (et ainsi éviter l’uniformité) est une approche à suivre afin, d'une part, de mieux couvrir la menace et, d'autre part, de limiter les conséquences d'une compromission d’un éditeur. Les clients doivent également faire le choix déterminant de la « bonne » solution à déployer sur leurs systèmes. Choix qui peut s’avérer cornélien car il oscille entre deux options : privilégier la robustesse d’une solution, ou son catalogue de fonctionnalités.
Robustesse vs fonctionnalités : que choisir ?
« La numérisation accélère les besoins en termes de fonctionnalités, de débit, de performance… Et les entreprises ont souvent tendance à s’orienter d’abord vers la richesse fonctionnelle, en considérant que la robustesse fait partie des acquis d’une solution », constate Simon Dansette. En effet, nombreuses sont les entreprises peu ou prou sensibilisées à la question de la sécurité des produits et qui vont naturellement privilégier un dispositif qui offre un catalogue de fonctionnalités fourni sans en avoir réellement besoin. Pourtant, un produit de sécurité doit rester une fonction de sécurité avant tout : il doit correctement réaliser ce pourquoi il a été conçu. De plus, la richesse fonctionnelle introduit de fait une complexité supplémentaire, et qui dit plus de complexité dit plus de risques de faiblesses, et donc une surface d’attaque plus conséquente. Pour Adrien Brochot, il faut « choisir une solution qui réponde aux enjeux que l’entreprise s’est fixée et qui soit robuste », et « il est nécessaire de trouver le juste milieu entre robustesse et catalogue de fonctionnalités, mais la robustesse doit toujours être la priorité n°1 ».
C’est toute une dynamique de techniques et de process que les éditeurs doivent pleinement intégrer pour assurer l’intégrité de leurs produits. En parallèle, c’est aussi toute une chaîne de confiance à bâtir avec les utilisateurs de ces produits.
De l’importance d’avoir une chaîne de confiance
Comment encore se fier à un éditeur, à une solution, alors même que les attaques informatiques qui les visent deviennent légion ? Question légitime que les entreprises se posent et à laquelle les éditeurs peuvent apporter des réponses tangibles. Car s’il est impossible de garantir un produit de sécurité sans failles, plusieurs moyens existent pour challenger la sécurité des éditeurs et de leurs produits.
Il y a d’abord le tiers impartial, véritable carte à jouer dans la chaîne de confiance. « Faire appel à un tiers de confiance est nécessaire pour un éditeur. Cela va permettre de poser un regard extérieur et une prise de recul sur le produit et son code. Le fait que cela soit réalisé par un tiers impartial est un gage additionnel de sérieux », explique Simon Dansette. Les éditeurs ont donc tout intérêt à faire réaliser les audits de leurs produits par des sociétés tierces : revues de codes, pentests et bug bounties, tous les moyens sont bons pour détecter d’éventuelles failles et éprouver une solution.
Il est aussi important de proposer des solutions qui soient qualifiées par les organismes de référence européens, comme l’ANSSI pour la France, le BSI pour l’Allemagne ou encore le CCN pour l’Espagne. Ces qualifications permettent de garantir que la cible de sécurité, validée par exemple par l’ANSSI, réponde en priorité aux besoins des clients finaux : c’est un indice de confiance indéniable. De plus, ces qualifications reposent souvent sur une évaluation de l’environnement de développement, en plus du test de la robustesse des produits. Enfin, la transparence de l’éditeur quant aux failles de sécurité présentes dans ses produits est cruciale, tout comme le fait d’écouter et de tenir compte des retours clients, indispensables pour optimiser une solution, ou encore d’être régulier dans la fourniture de versions correctives des produits.
Malgré une tendance qui ne faiblit pas, les éditeurs, à coups de pédagogie, de technicité et d’expertise, n’ont pas dit leur dernier mot.
