![\"Les](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1119547937-1024x705.jpg\" "\\"De")
<\/p>\n<\/p>\n
La s\u00e9curit\u00e9 informatique des \u00e9diteurs cyber est mise \u00e0 rude \u00e9preuve, avec une liste d\u2019attaques \u00e0 leur encontre qui s\u2019allonge. D\u00e9stabiliser les entreprises de s\u00e9curit\u00e9 informatique et compromettre leurs solutions de s\u00e9curit\u00e9, voil\u00e0 qui fait les choux gras de l\u2019\u00e9cosyst\u00e8me malveillant depuis quelques temps d\u00e9j\u00e0. Une tendance qui se confirme en 2021. Est-il opportun alors de se dire que les \u00e9diteurs sont en passe de devenir des cibles privil\u00e9gi\u00e9es de cyberattaques\u00a0? Puisqu\u2019ils repr\u00e9sentent justement une pi\u00e8ce ma\u00eetresse des boucliers de d\u00e9fense des entreprises contre les attaques de cybers\u00e9curit\u00e9, les cyber-criminels ont ainsi tout int\u00e9r\u00eat \u00e0 les fragiliser et \u00e0 les compromettre. Charge aux \u00e9diteurs d\u2019\u00eatre encore plus solides sur leurs appuis en mati\u00e8re de s\u00e9curit\u00e9.<\/strong><\/p>\n \u00a0<\/strong><\/p>\n Avril 2021, la soci\u00e9t\u00e9 Codecov, sp\u00e9cialis\u00e9e dans l\u2019audit de code, s\u2019aper\u00e7oit que l\u2019acc\u00e8s \u00e0 son script Bash Uploader a \u00e9t\u00e9 forc\u00e9<\/a> par des attaquants, et modifi\u00e9 \u00e0 plusieurs reprises pour y injecter un malware. Un probl\u00e8me pour pas moins de 29 000 entreprises, clientes et potentiellement toutes victimes collat\u00e9rales de l\u2019attaque, \u00e0 l\u2019instar de Rapid7<\/a>, \u00e9diteur de cybers\u00e9curit\u00e9 dont une partie du code source a \u00e9t\u00e9 exploit\u00e9e \u00e0 des fins malveillantes. Pour de nombreux experts, cette attaque contre Codecov est un sc\u00e9nario \u00ab\u00a0\u00e0 la SolarWinds<\/a>\u00a0\u00bb, qui se r\u00e9p\u00e8te, et qui pourrait se r\u00e9p\u00e9ter encore. Car les cyber-criminels l\u2019ont bien compris\u00a0: attaquer un \u00e9diteur de cybers\u00e9curit\u00e9 pr\u00e9sente de nombreux int\u00e9r\u00eats<\/strong>.<\/p>\n Par essence, un \u00e9diteur, quel que soit son domaine d\u2019activit\u00e9, est per\u00e7u comme une r\u00e9f\u00e9rence par les entreprises, qui peuvent le consid\u00e9rer comme \u00e9tant donc hors d\u2019atteinte, inattaquable. Une aubaine pour les cyber-criminels qui voient ici l\u2019int\u00e9r\u00eat grandissant de s\u2019en prendre aux \u00e9diteurs pour ensuite d\u00e9tourner leurs solutions et par ricochet, infecter plusieurs entreprises clientes.<\/p>\n Bien s\u00fbr, \u00ab\u00a0les cons\u00e9quences d\u2019une attaque vers un \u00e9diteur ne sont pas les m\u00eames en fonction de l\u2019activit\u00e9 m\u00eame de ce dernier\u00a0\u00bb<\/em>, pr\u00e9cise Adrien Brochot<\/strong>, Product Manager Endpoint Security chez Stormshield. Ces attaques contre la supply chain peuvent en effet rev\u00eatir plusieurs formes et sc\u00e9narios. Dans un premier sc\u00e9nario simple de hack, les cyber-criminels cherchent \u00e0 s\u2019implanter directement dans les cha\u00eenes de mises \u00e0 jour ou de fournitures de nouveaux logiciels, pour acc\u00e9der ensuite aux infrastructures des clients. Second sc\u00e9nario ensuite avec un \u00e9diteur de solutions cyber Cloud\u00a0victime d\u2019une attaque par DDoS ; les entreprises utilisatrices n\u2019auraient plus acc\u00e8s \u00e0 leurs diff\u00e9rents services h\u00e9berg\u00e9s par l\u2019\u00e9diteur, et seraient donc dans l\u2019incapacit\u00e9 de fonctionner correctement. Dans le troisi\u00e8me sc\u00e9nario, l\u2019attaque contre un \u00e9diteur de logiciel antivirus pourrait conduire jusqu\u2019\u00e0 une prise de contr\u00f4le des postes de l\u2019entreprise cible, en utilisant les droits d\u2019administrateurs dont b\u00e9n\u00e9ficient souvent les antivirus \u2026 Une attaque qui laisserait donc les infrastructures des entreprises clientes vuln\u00e9rables. L\u2019hypoth\u00e8se d\u2019une alt\u00e9ration de la mise \u00e0 jour du logiciel a m\u00eame \u00e9t\u00e9 confront\u00e9 au r\u00e9el avec l\u2019exemple de la soci\u00e9t\u00e9 Click Studios, qui fournit \u00e0 des milliers d\u2019entreprises le gestionnaire de mots de passe Passwordstate, et qui s\u2019est vu, en avril dernier, infect\u00e9 par un malware lors d\u2019une mise \u00e0 jour<\/a>.<\/p>\n S\u2019en prendre \u00e0 un \u00e9diteur peut aussi consister \u00e0 s\u2019int\u00e9resser \u00e0 son code source, afin de d\u00e9rober des donn\u00e9es sensibles sur des clients, d\u2019identifier une faille Zero-Day qui pourrait \u00eatre exploit\u00e9e, ou de collecter des informations \u00e0 des fins d\u2019espionnage commercial ou industriel. Une logique face aux Zero-Days qui s\u2019applique \u00e0 n\u2019importe quel \u00e9diteur, mais qui s\u2019av\u00e8re \u00eatre encore plus critique quand il s\u2019agit d\u2019un \u00e9diteur de cybers\u00e9curit\u00e9. \u00a0Des \u00e9diteurs de cybers\u00e9curit\u00e9 dont le code source des \u00e9diteurs semble au go\u00fbt des cyber-criminels, \u00e0 l\u2019image de l\u2019intrusion dans les r\u00e9seaux de Microsoft, SonicWall ou encore Stormshield fin 2020. En ce qui concerne Stormshield, les impacts de l\u2019attaque ont \u00e9t\u00e9 limit\u00e9es et aucune modification de code n\u2019a \u00e9t\u00e9 constat\u00e9e lors des investigations men\u00e9es avec l\u2019ANSSI. Un attrait pour le code source des \u00e9diteurs, alors m\u00eame que les librairies utilis\u00e9es et fonctionnalit\u00e9s propos\u00e9es s\u2019appuient souvent sur de l\u2019open source. Mais la d\u00e9marche malveillante ne s\u2019arr\u00eate pas l\u00e0 pour les cyber-criminels qui r\u00e9ussissent \u00e0 compromettre les \u00e9diteurs. Compromettre aussi leurs solutions, par exemple via l\u2019injection d\u2019une backdoor, leur permet de cibler d\u2019autres organisations clientes de la solution, voire de diffuser leur attaque \u00e0 grande \u00e9chelle. Avec des cons\u00e9quences potentiellement dramatiques\u2026<\/p>\n \u00a0<\/strong><\/p>\n Pour qu\u2019une solution de cybers\u00e9curit\u00e9 soit efficace, elle doit \u00eatre judicieusement positionn\u00e9e en fonction de l\u2019infrastructure client pour capter le maximum d\u2019informations. Les solutions de cybers\u00e9curit\u00e9 sont ainsi con\u00e7ues pour \u00eatre d\u00e9ploy\u00e9es au plus pr\u00e8s des actifs les plus sensibles d\u2019une entreprise. Attaquer une solution cyber, c\u2019est donc l\u2019opportunit\u00e9 d\u2019avoir un acc\u00e8s direct \u00e0 un tr\u00e8s grand nombre d\u2019informations sur les machines qu\u2019elle prot\u00e8ge<\/strong> et \u00e0 un niveau de privil\u00e8ges \u00e9lev\u00e9s, de pouvoir prendre le contr\u00f4le de celle-ci, de la d\u00e9sactiver pour faire sauter les verrous de s\u00e9curit\u00e9 et ainsi camoufler des actions malveillantes sur un syst\u00e8me d\u2019information. Les cyber-criminels peuvent aussi d\u00e9tourner les solutions en exploitant une faille connue de celles-ci, dont le correctif n\u2019a pas \u00e9t\u00e9 appliqu\u00e9 par les entreprises qui l\u2019utilisent. D\u2019o\u00f9 l\u2019importance pour les administrateurs de r\u00e9aliser tr\u00e8s r\u00e9guli\u00e8rement les mises \u00e0 jour<\/a> des solutions de s\u00e9curit\u00e9 et pour les \u00e9diteurs de\u00a0 tracker et corriger en continu les failles de leurs produits<\/em>. Une vuln\u00e9rabilit\u00e9 connue de la solution VPN Pulse Connect Secure de l\u2019\u00e9diteur Pulse Secure a r\u00e9cemment \u00e9t\u00e9 exploit\u00e9e \u00e0 des fins malveillantes<\/a>.<\/p>\n En somme, pour attaquer les solutions de cybers\u00e9curit\u00e9, tous les coups sont permis pour les cyber-criminels qui s\u2019engouffrent par n\u2019importe quelle porte pour propager leurs attaques. Des portes parfois mal ferm\u00e9es par les \u00e9diteurs eux-m\u00eames\u2026<\/p>\n \u00a0<\/strong>\u00a0<\/strong><\/p>\n Il est alors question de backdoors, des portes d\u00e9rob\u00e9es qui peuvent se retrouver dans un produit de s\u00e9curit\u00e9 pour plusieurs raisons, comme le rappelle S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produit et Cyber-\u00c9vang\u00e9liste chez Stormshield : \u00ab\u00a0Les solutions peuvent comporter des backdoors involontaires, utilis\u00e9es pour le d\u00e9veloppement du produit par l\u2019\u00e9diteur et qui ont \u00e9t\u00e9 oubli\u00e9es au moment de la mise en production, et des backdoors volontaires, qui sont laiss\u00e9es sciemment par un \u00e9diteur afin d\u2019\u00eatre en mesure d\u2019intervenir sur le syst\u00e8me d\u2019un client\u00a0\u00bb.<\/em> Une backdoor va par exemple \u00eatre utilis\u00e9e comme un acc\u00e8s de d\u00e9bug durant le d\u00e9veloppement de la solution, puis mise en production par erreur. \u00c0 l\u2019inverse, un \u00e9diteur peut choisir de se r\u00e9server la possibilit\u00e9 d\u2019intervenir chez un client en cas de probl\u00e8me en conservant une backdoor, mais sans la documenter. Il y a aussi les backdoors d\u2019ordre \u00e9tatique, impos\u00e9es \u00e0 des \u00e9diteurs par des \u00c9tats et r\u00e9v\u00e9l\u00e9es au grand jour par l\u2019affaire Edward Snowden notamment et les pratiques d\u2019\u00e9coute et d\u2019espionnage de la NSA en 2013 \u2013 pratiques qui sont aujourd\u2019hui de nouveau sous les projecteurs avec les r\u00e9v\u00e9lations autour de l\u2019op\u00e9ration Dunhammer<\/a>. \u00c0 l\u2019\u00e9poque de l\u2019affaire Snowden, l\u2019affaire qui avait fait grand bruit sur le sujet des backdoors concernait l\u2019\u00e9diteur Juniper Networks<\/a>, dont certaines de ses solutions contenaient des portes d\u00e9rob\u00e9es install\u00e9es par la NSA, permettant d\u2019acc\u00e9der aux donn\u00e9es des clients de l\u2019\u00e9diteur.<\/p>\n Une backdoor est une vuln\u00e9rabilit\u00e9 d\u2019une solution, cach\u00e9e certes, mais une vuln\u00e9rabilit\u00e9 quand m\u00eame<\/em><\/p>\n \u00a0<\/strong>Dans tous les cas, quelles que soient les raisons de la pr\u00e9sence d\u2019une backdoor dans un produit de s\u00e9curit\u00e9, celle-ci pr\u00e9sente un risque d\u00e8s lors qu\u2019elle tombe entre les mains d\u2019un acteur malveillant<\/strong>.\u00a0\u00ab\u00a0Une backdoor ajoute du risque puisqu\u2019elle permet de s\u2019introduire dans une solution de fa\u00e7on invisible<\/em>, pr\u00e9cise Simon Dansette<\/strong>, Product Manager Network Security chez Stormshield. Si un attaquant s\u2019aper\u00e7oit qu\u2019il existe une backdoor dans la solution, alors il va pouvoir l\u2019exploiter pour d\u00e9tourner cette solution \u00e0 des fins malveillantes. En d\u2019autres termes, une backdoor est une vuln\u00e9rabilit\u00e9 d\u2019une solution, cach\u00e9e certes, mais une vuln\u00e9rabilit\u00e9 quand m\u00eame\u00a0\u00bb<\/em>. Comme le rappelait l\u2019ANSSI d\u00e8s 2016 dans une note sign\u00e9e Guillaume Poupard<\/a>, une backdoor dans un syst\u00e8me de chiffrement \u00ab\u00a0aurait pour effet d\u00e9sastreux d'imposer aux concepteurs de produits et de services de s\u00e9curit\u00e9 un affaiblissement des m\u00e9canismes cryptographiques<\/em>\u00a0\u00bb. <\/em>Un risque \u00e0 proscrire donc.<\/p>\n \u00a0<\/strong><\/p>\n \u00ab\u00a0Depuis plusieurs mois, la tendance qui consiste \u00e0 attaquer les \u00e9diteurs de cybers\u00e9curit\u00e9 et leurs solutions est bien amorc\u00e9e et confirm\u00e9e. La question qu\u2019il faut se poser d\u00e9sormais est de savoir quand les attaques de ce type vont advenir et comment les \u00e9diteurs vont s\u2019en pr\u00e9munir\u00a0\u00bb<\/em>, alerte S\u00e9bastien Viou. En effet, les \u00e9diteurs doivent plus que jamais prendre conscience qu\u2019ils peuvent \u00eatre la cible de cyber-criminels et adapter leur posture de d\u00e9fense en cons\u00e9quence.<\/p>\n La question qu\u2019il faut se poser d\u00e9sormais est de savoir quand les attaques de ce type vont advenir et comment les \u00e9diteurs vont s\u2019en pr\u00e9munir<\/em><\/p>\n La sensibilisation des individus, que ce soit les collaborateurs chez un \u00e9diteur ou les clients finaux qui utilisent la solution, semble \u00eatre une \u00e9tape \u00e0 ne pas sous-estimer. \u00ab\u00a0Certaines attaques de supply chain passent par le facteur utilisateur\u00a0\u00bb<\/em> rappelle Adrien Brochot. Les \u00e9diteurs doivent ainsi continuer \u00e0 recommander que la politique de s\u00e9curit\u00e9 informatique de leurs clients respecte les bonnes pratiques indispensables, et tout particuli\u00e8rement la mise \u00e0 jour syst\u00e9matique de sa solution d\u00e8s lors que les correctifs ont \u00e9t\u00e9 publi\u00e9s. Et ainsi \u00e9viter un sc\u00e9nario comme celui subi par Fortinet et sa solution FortiOS.\u00a0<\/a>Un exemple qui d\u00e9montre combien la sensibilisation cyber reste capitale<\/strong>.<\/p>\n C\u00f4t\u00e9 technique, il ne faut (surtout) pas oublier la s\u00e9curit\u00e9 intrins\u00e8que du produit, avec un suivi r\u00e9alis\u00e9 par l\u2019\u00e9diteur des vuln\u00e9rabilit\u00e9s des composants int\u00e9gr\u00e9s, un durcissement de la solution, ou encore un respect des principes de programmation d\u00e9fensive<\/a>\u2026 \u00ab\u00a0Il faut suivre certains principes g\u00e9n\u00e9raux de s\u00e9curisation des produits comme adopter des architectures s\u00e9curis\u00e9es appliquant le principe du moindre privil\u00e8ge. La r\u00e8gle d\u2019or est de bien d\u00e9velopper sa solution pour limiter l\u2019acc\u00e8s \u00e0 un attaquant\u00a0\u00bb<\/em>, d\u00e9taille Adrien Brochot.<\/p>\n Cette d\u00e9marche concerne aussi les entreprises clientes qui peuvent agir \u00e0 leur niveau, en structurant des process de mises \u00e0 jour fiables des produits qu\u2019elles utilisent. Par ailleurs, privil\u00e9gier une pluralit\u00e9 dans le choix des solutions de s\u00e9curit\u00e9<\/a> (et ainsi \u00e9viter l\u2019uniformit\u00e9) est une approche \u00e0 suivre afin, d'une part, de mieux couvrir la menace et, d'autre part, de limiter les cons\u00e9quences d'une compromission d\u2019un \u00e9diteur. Les clients doivent \u00e9galement faire le choix d\u00e9terminant de la \u00ab bonne \u00bb solution \u00e0 d\u00e9ployer sur leurs syst\u00e8mes. Choix qui peut s\u2019av\u00e9rer corn\u00e9lien car il oscille entre deux options : privil\u00e9gier la robustesse d\u2019une solution, ou son catalogue de fonctionnalit\u00e9s.<\/p>\nDe l\u2019int\u00e9r\u00eat pour les cyber-criminels de s\u2019en prendre aux acteurs cyber\u2026<\/h2>\n
\u2026 et \u00e0 leurs solutions<\/h2>\n
Une porte peut en cacher une autre\u00a0: les backdoors en question<\/h2>\n
Simon Dansette<\/strong>,<\/strong> Product Manager Network Security Stormshield<\/pre>\n<\/blockquote>\n
Prise de conscience, s\u00e9curit\u00e9, confiance\u00a0: la n\u00e9cessaire contre-attaque des \u00e9diteurs<\/h2>\n
S\u00e9bastien Viou<\/strong>,<\/strong> Directeur Cybers\u00e9curit\u00e9 Produit et Cyber-\u00c9vang\u00e9liste Stormshield<\/pre>\n<\/blockquote>\n