L’attaque SolarWinds menée en 2020 a été une agression totale et humiliante contre la cybersécurité du gouvernement américain, et il est probable que l’une des raisons pour lesquelles elle n’est pas davantage connue est que nous savons encore très peu de choses sur ce que les pirates ont réellement accompli. Mais nous disposons désormais de quelques miettes supplémentaires pour avancer, car de nouvelles révélations de Bloomberg montrent que les pirates avaient accès aux comptes de messagerie du département du Trésor, agissant essentiellement comme bon leur semblait.
Les informations publiées par Bloomberg proviennent d’une action en justice engagée sous le Freedom of Information Act (FOIA), qui a donné lieu à la publication d’un rapport d’enquête partiellement caviardé par l’inspecteur général du Trésor.
Pour rafraîchir votre mémoire, SolarWinds est une société texane spécialisée dans la gestion de l’information, à la fois une pièce peu connue de la chaîne d’approvisionnement logicielle et pourtant omniprésente et essentielle. Au début de 2020, SolarWinds a été ciblée par une entité d’élite, possiblement affiliée à la Russie, et infiltrée par une combinaison d’ingénierie sociale et de piratage — transformant un élément clé de son logiciel appelé Orion Platform en un distributeur de malwares, répandant ses outils d’espionnage sur les systèmes appartenant aux clients de SolarWinds. Cette liste de clients incluait des organisations sensibles au plus haut niveau, comme la Maison-Blanche et la NSA, exposant les pirates à des réseaux de communication qui traitent des informations classifiées.
La révélation clé et choquante signalée peu après la découverte du piratage concernait la durée de l’exposition : environ neuf mois — la majeure partie de l’année 2020. Nous savons désormais un peu plus sur quatre de ces neuf mois.
Bloomberg indique que l’infiltration du compte administrateur le plus haut niveau pour le logiciel SolarWinds du Trésor a eu lieu le 6 juillet 2020. Les pirates auraient utilisé ce compte pour modifier une application, ironiquement nommée Secure Mail, qui, selon le rapport de l’inspecteur général, « pourrait potentiellement permettre l’accès à toutes les adresses e-mail se terminant par ‘treasury.gov’ ».
L’infiltration du système de messagerie du Trésor aurait apparemment duré jusqu’au 12 octobre 2020, lorsque le Trésor — apparemment par inadvertance — a mis fin à la fête des hackers par une modification du système. L’utilisateur du compte administrateur compromis déclare dans le rapport ne pas savoir quels e-mails précis ont été ciblés, ni si quelque chose a été effectivement dérobé.
