Lorsque vous pensez à une attaque de cybersécurité, l'image d'un pirate informatique sondant un réseau à la recherche de vulnérabilités vous vient à l'esprit. Ou une attaque de phishing qui vole les identifiants de connexion d'un employé ou un logiciel malveillant installé sur un ordinateur.
Ce sont toutes des méthodes d'attaque valides et courantes. Mais que se passerait-il s'il existait un autre moyen d'infiltrer un réseau qui n'impliquait pas d'attaquer directement la cible ?
Une attaque de la chaîne d'approvisionnement fait exactement cela, exploitant les organisations liées à la cible et attaquant la chaîne d'approvisionnement des cibles. Que sont les attaques de la chaîne d'approvisionnement et comment fonctionnent-elles ?
Une attaque de la chaîne d'approvisionnement cherche à endommager ou à infiltrer une organisation en identifiant les parties vulnérables de son réseau d'approvisionnement. Attaquer une chaîne d'approvisionnement présente de multiples opportunités d'infiltration réussie, encore plus lorsqu'il s'agit d'attaquer une organisation avec un réseau de chaîne d'approvisionnement compliqué ou complexe.
Dans presque toutes les attaques de la chaîne d'approvisionnement, la victime initiale n'est pas la seule cible de l'attaquant. Au contraire, l'élément de la chaîne d'approvisionnement est un tremplin vers un poisson plus gros. L'attaquant exploite les vulnérabilités de la cible la plus facile et en tire parti pour atteindre l'objectif ultime.
Bien que les attaques de la chaîne d'approvisionnement semblent rares, une étude de juin 2020 d'Opinion Matters pour BlueVoyant [PDF, inscription requise] a révélé que 80 % des organisations « ont subi une violation liée à un tiers au cours des 12 derniers mois ». De plus, 77 % des personnes interrogées ont "une visibilité limitée sur leurs fournisseurs tiers".
Avec des chiffres comme celui-ci, vous voyez pourquoi les attaques de la chaîne d'approvisionnement sont non seulement populaires, mais aussi comment elles réussissent à passer de la cible initiale à l'organisation principale.
Il est extrêmement difficile pour une entreprise de détecter une attaque de chaîne d'approvisionnement de logiciels tiers. La nature même de l'attaque signifie que les fichiers malveillants sont cachés non seulement à la cible principale, mais aussi au maillon vulnérable de la chaîne d'approvisionnement. L'ordinateur n'a même pas besoin d'être en ligne pour que l'attaque fonctionne.
L'organisation cible ne peut se rendre compte qu'il y a un problème que lorsque ses données commencent à être vendues ailleurs ou qu'un événement similaire déclenche une alarme. Avec un accès aussi approfondi au réseau interne, il est possible de se déplacer librement au sein de l'organisation, même en supprimant les signes révélateurs d'un intrus.
Les attaques de la chaîne d'approvisionnement ne sont pas de taille unique. La chaîne d'approvisionnement d'une grande organisation peut comprendre plusieurs parties mobiles différentes. Un attaquant doit réfléchir au type d'attaque de la chaîne d'approvisionnement à utiliser contre une cible.
Voici trois attaques notables de la chaîne d'approvisionnement à considérer.
En 2013, le détaillant américain Target a fait l'objet d'une attaque majeure qui a entraîné la perte d'informations sur 110 millions de cartes de crédit et de débit utilisées dans ses magasins. La quantité totale de données volées n'était que de 11 Go, mais le type de données volées était particulièrement précieux.
Les attaquants ont identifié un certain nombre de fournisseurs tiers dans le réseau d'entreprise de Target. Bien que le nombre définitif de tentatives d'exploitation soit inconnu, l'entreprise vulnérable était Fazio Mechanical, un entrepreneur en réfrigération.
Une fois que l'entrepreneur a été compromis, les attaquants ont attendu à l'intérieur du réseau de l'entreprise jusqu'à ce qu'il soit possible de passer à un système cible en utilisant des informations d'identification volées. Finalement, les attaquants ont eu accès aux serveurs de Target, recherchant d'autres systèmes vulnérables au sein du réseau de l'entreprise.
À partir de là, les attaquants ont exploité le système de point de vente (POS) de Target, écrémant les informations de carte de millions de clients.
SolarWinds, dont le logiciel de gestion à distance Orion a été compromis en 2020, est l'un des principaux exemples d'attaques de chaîne d'approvisionnement logicielles tierces. Les attaquants ont inséré une porte dérobée malveillante dans le processus de mise à jour logicielle.
Lorsque la mise à jour a été transmise aux centaines de milliers de clients de SolarWinds, le logiciel malveillant de l'attaquant l'a accompagnée. Comme la mise à jour a été signée numériquement comme d'habitude, tout est apparu comme d'habitude.
Après avoir activé le logiciel dans le cadre du processus de mise à jour normal, les attaquants ont eu accès à un grand nombre de cibles critiques, notamment le Trésor américain, les départements de la sécurité intérieure, du commerce, de l'État, de la défense et de l'énergie, et la National Nuclear Security Administration. .
L'attaque de SolarWinds est l'une des attaques de chaîne d'approvisionnement les plus importantes et les plus réussies jamais menées.
Saviez-vous que l'un des piratages les plus infâmes de tous les temps était une attaque de la chaîne d'approvisionnement ?
Stuxnet est un ver informatique avec une cible extrêmement spécifique :les systèmes exécutant un type de logiciel particulier, d'un fabricant spécifique, trouvé dans les centrales nucléaires iraniennes. Le logiciel malveillant Stuxnet fait augmenter considérablement la vitesse des centrifugeuses, détruisant le matériel dans la centrifugeuse et l'infrastructure elle-même dans le processus.
On pense que le ver hautement ciblé et incroyablement sophistiqué est l'œuvre des gouvernements américain et israélien, travaillant ensemble pour éliminer une apparente menace nucléaire iranienne.
Stuxnet a été introduit dans la chaîne d'approvisionnement de la centrale nucléaire iranienne à l'aide d'une clé USB infectée. Une fois installé sur un ordinateur, Stuxnet se déplaçait latéralement à travers le réseau, recherchant le bon système de contrôle avant de s'exécuter.
Parce que Stuxnet a une cible précise, il n'attire pas l'attention sur lui-même, ne s'activant que lorsqu'il rencontre un ordinateur correspondant aux spécifications.
Les chaînes d'approvisionnement sont difficiles à gérer dans le meilleur des cas. De nombreuses entreprises utilisent des solutions logicielles tierces pour gérer certains aspects de leur activité. Il s'agit notamment d'outils de gestion à distance ou de logiciels de comptabilité, ou même de plateformes comme Microsoft Office 365.
Les entreprises ne peuvent tout simplement pas regrouper tous les aspects de leur activité sous un même toit. Ils ne devraient pas non plus le faire. Faire confiance à un développeur de logiciels ou à un fournisseur de services cloud ne devrait pas augmenter considérablement les risques que vous ou votre entreprise soyez victime d'une attaque.
Une sécurité accrue pour les entreprises et les consommateurs entraîne également des attaques sur la chaîne d'approvisionnement. Si les attaquants ne parviennent pas à pénétrer dans l'organisation, attaquer le niveau inférieur est le moyen le plus économique et le plus pragmatique d'y accéder. Il est également moins susceptible d'être détecté par les systèmes de sécurité de l'entreprise.
Dans de nombreux cas, les attaques de la chaîne d'approvisionnement sont des opérations de grande envergure, bien documentées et bien financées.
Par exemple, SolarWinds est le travail d'une équipe de piratage d'un État-nation qui a eu des mois pour travailler et livrer le piratage de la chaîne d'approvisionnement. De même, Stuxnet a combiné plusieurs attaques zero-day en un seul paquet pour frapper les centrales nucléaires iraniennes, et le piratage de la chaîne d'approvisionnement de Target a mis du temps à réussir.
Il ne s'agit pas d'amateurs de scripts aléatoires dont nous parlons ici, qui sont tombés sur une vulnérabilité. Ce sont des équipes de pirates travaillant ensemble pour attaquer une cible spécifique. Il se trouve que la chaîne d'approvisionnement est la voie de moindre résistance.
