Se cacher à la vue de tous : pourquoi l'attaque de SolarWinds a révélé bien plus qu'un cyberrisque malveillant
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
