Lorsque l'on évoque une cyberattaque, on imagine souvent un hacker sondant un réseau à la recherche de failles, une tentative de phishing pour dérober des identifiants ou l'installation d'un malware sur un ordinateur.
Ce sont des méthodes courantes et efficaces. Mais que se passe-t-il si un intrus infiltre un réseau sans attaquer directement la cible ?
Les attaques de la chaîne d'approvisionnement procèdent ainsi, en exploitant les partenaires et fournisseurs de l'organisation visée. Découvrez ce qu'elles sont et comment elles opèrent.
Cette menace vise à compromettre une organisation en ciblant les maillons faibles de sa chaîne d'approvisionnement. Elle offre de multiples points d'entrée, particulièrement dans les réseaux complexes.
La victime initiale sert souvent de tremplin vers une cible plus importante. L'attaquant exploite la vulnérabilité la plus accessible pour atteindre son objectif final.
Bien que paraissant rares, une étude de juin 2020 réalisée par Opinion Matters pour BlueVoyant (PDF, inscription requise) révèle que 80 % des organisations ont subi une violation liée à un tiers au cours des 12 derniers mois. De plus, 77 % des répondants disposent d'une visibilité limitée sur leurs fournisseurs tiers.
Ces chiffres expliquent la popularité et le succès de ces attaques, qui passent facilement de la cible initiale à l'organisation principale.
Les entreprises peinent à détecter ces intrusions dans les logiciels tiers : les malwares sont masqués tant chez la cible principale que chez le fournisseur vulnérable. L'ordinateur infecté n'a même pas besoin d'être connecté.
L'alerte ne survient souvent qu'après la fuite de données ou un événement déclencheur. Avec un accès profond au réseau interne, l'intrus se déplace librement et efface ses traces.
Ces attaques varient selon les composantes de la chaîne. Les assaillants choisissent la méthode adaptée à leur cible.
Voici trois cas emblématiques.
En 2013, le géant de la distribution américain Target a subi une brèche massive : 110 millions de cartes de crédit et débit ont été compromises dans ses magasins. Seulement 11 Go de données volées, mais d'une valeur inestimable.
Les attaquants ont visé des fournisseurs tiers. Le maillon faible fut Fazio Mechanical, un sous-traitant en réfrigération.
Une fois infiltré, ils ont patiemment attendu pour pivoter vers les systèmes de Target avec des identifiants volés, accédant enfin aux serveurs et au système de points de vente (POS) pour skimmer les données des clients.
En 2020, le logiciel Orion de SolarWinds, utilisé pour la gestion à distance, a été compromis. Les attaquants ont injecté une porte dérobée dans les mises à jour logicielles.
Distribuées à des centaines de milliers de clients, ces mises à jour signées numériquement semblaient légitimes. Une fois activées, elles ont ouvert l'accès à des entités critiques : Trésor américain, DHS, Commerce, État, Défense, Énergie et l'Administration de la sécurité nucléaire.
Cette opération reste l'une des plus vastes et sophistiquées de l'histoire.
L'un des malwares les plus célèbres fut une attaque de chaîne d'approvisionnement. Stuxnet visait spécifiquement les systèmes Siemens dans les centrifugeuses nucléaires iraniennes, les accélérant jusqu'à destruction.
Attribué aux États-Unis et Israël, il fut introduit via une clé USB infectée, se propageant latéralement jusqu'à sa cible précise sans alerter prématurément.
Les chaînes d'approvisionnement sont complexes à sécuriser. Les entreprises dépendent de logiciels tiers pour la gestion à distance, la comptabilité ou des outils comme Microsoft Office 365.
Externaliser n'augmente pas nécessairement les risques si les fournisseurs sont fiables. Pourtant, la sécurisation accrue des entreprises pousse les attaquants vers ces maillons faibles, moins détectables.
Souvent orchestrées par des États-nations, ces attaques sont minutieusement préparées, comme SolarWinds, Stuxnet ou Target.
Il ne s'agit pas d'opportunistes, mais d'équipes professionnelles exploitant la voie de moindre résistance : votre chaîne d'approvisionnement.
[]