Les attaques se multiplient sur la supply chain, et si les dégâts sont de faible ampleur, c’est que les pirates sont encore loin d’avoir donné toute la dimension de leurs néfastes talents ! Souvenez-vous de NotPetya…
Il est une tendance qui inquiète nos experts en sécurité : pour contourner la difficulté grandissante des attaques ‘drive-by’, c’est à dire qui reposent sur des kits d’exploitation de vulnérabilités, les pirates se tournent vers les failles affichées par les fournisseurs de logiciels métiers. C’est ce qui s’était déroulé en 2017, lorsque l’épidémie NotPetya avait provoqué l’arrêt de milliers d’ordinateurs dans le monde.
Abuser de la confiance que nous portons dans nos fournisseurs
Pour les pirates, cette démarche présente deux avantages :
- Peut-être parce qu’elles se sentent plus à l'abri, certainement également parce que la sécurité a longtemps été le parent pauvre de leurs développements, qu’elles exploitent des modules qu’elles ne maîtrisent pas, ou tout simplement qu’elles n’ont pas mis les moyens nécessaires pour tester et valider, les solutions métiers présentent des failles à exploiter ;
- Les pirates exploitent également la confiance que nous portons dans nos fournisseurs, et en particulier sur des solutions qui échappent à la vigilance de la DSI. Combien de responsables métiers n’hésitent pas à implémenter une mise à jour sans s’interroger sur sa pertinence et la qualité ?
Les attaques sur la supply chain
C’est ainsi que les attaques se multiplient sur la supply chain, visant à exploiter la confiance dans les solutions des éditeurs pour diffuser des produits malveillants qui trouvent là un espace mal protégé pour attaquer les entreprises ou pour relayer leurs attaques.
- Récemment, une attaque a modifié le script d’installation d’une mise à jour de serveurs en exploitant une faille critique sur un logiciel de pilotage d’une chaîne de distribution. Ce qui a permis aux pirates de lancer des attaques par DDoS (Déni de Service) visant d’autres sites industriels, créant ainsi un réseau de robots DDoS qui exécute le même programme malveillant.
- Une autre attaque s’est glissée dans le code du langage de programmation Python, largement exploité. Dans un module légitime du référentiel PyPI officiel de Python, les pirates ont ajouté du code qui a installé un script Visual Basic sur les serveurs Windows qui l'exécute. Le script surveille en permanence le Presse-papiers du serveur pour détecter les signes indiquant qu'un utilisateur est sur le point d'effectuer un paiement en crypto-monnaie. Lorsqu'il est déclenché, le script renvoie les paiements de l'adresse du portefeuille figurant dans le Presse-papiers vers un portefeuille appartenant à l’attaquant. Les serveurs infectés doivent non seulement supprimer le module malveillant, mais également apporter des modifications au registre pour purger le script Visual Basic.
Adopter une nouvelle stratégie de validation
Ces deux attaques viennent rappeler que, comme il devient difficile d’exploiter les visiteurs de services et sites web mieux protégés, les pirates recherchent d’autres failles en se tournant vers d’autres maillons faibles. A ce titre, les attaques contre la supply chains pourraient se multiplier, comme démontré ci dessus.
L’adoption de mesures de contrôle, de scan, de validation du code des applications et de leur mise à jour s’imposent. Les directions métiers pourront se tourner vers la DSI qui en a l’habitude et pourra les guider dans les process à mettre en place, voire prendre cette opération sécuritaire en charge.
Image d’entête 540755384 @ iStock Photo supansa9