SolarWinds / Sunburst
Un service de renseignement a glissé une porte dérobée dans une mise à jour de routine pour atteindre 18 000 réseaux d’un seul coup.
SolarWinds est le type d’entreprise qui existe largement sous le radar du grand public : un fournisseur texan d’outils de supervision réseau utilisés par des Fortune 500, des ministères américains, et des dizaines de milliers d’administrateurs qui maintiennent en vie des fermes de serveurs.
Patcher la mauvaise chose
Fin 2020, Mandiant — en enquêtant sur sa propre compromission — découvre que le code malveillant est arrivé via une mise à jour anodine d’un produit SolarWinds nommé Orion. Le pipeline de build lui-même avait été compromis. Tous les clients qui appliquaient cette mise à jour signée recevaient une porte dérobée silencieuse, baptisée en interne Sunburst, dissimulée dans une DLL d’apparence légitime.
Environ 18 000 organisations ont téléchargé le build piégé. Les attaquants, attribués par la suite au SVR russe, en ont retenu une centaine pour exploitation effective — parmi lesquelles des composantes du Trésor américain, du Commerce, de Homeland Security, de la Justice et de l’Énergie, ainsi que Microsoft, Mandiant et de grands opérateurs télécoms.
Une longue campagne discrète
Les opérateurs étaient présents dans l’environnement de développement de SolarWinds depuis plusieurs mois avant que le cheval de Troie ne soit publié. Ils étaient patients. Ils ont étudié le processus de build, inséré du code qui ne s’activait que sous des conditions précises, et utilisé une infrastructure conçue pour ressembler à de la télémétrie Orion ordinaire.
Ce que la chronique retient
SolarWinds a redéfini la « confiance » en logiciel. Signature de code, mises à jour automatiques, attestations fournisseurs — toute l’architecture de la distribution moderne s’est révélée aussi forte que le serveur de build le plus faible de la chaîne. Tous les RSSI du pays ont passé l’année suivante à dresser des cartographies de chaîne d’approvisionnement qu’ils auraient déjà dû avoir.