Méfiance sur la chaîne logistique du logiciel
Ces derniers mois ont fait la démonstration de la vulnérabilité de nombreuses organisations aux attaques impliquant des fournisseurs. Ce n'est pas une première, mais cela devrait inviter à des pratiques plus rigoureuses.
Dimension Data sonne le tocsin. S’appuyant sur l’édition 2018 du rapport de NTT Security sur les menaces informatiques, l’intégrateur s’alarme : dans la zone Europe, Moyen-Orient et Afrique, le secteur des entreprises et des services professionnels a encaissé 20 % de toutes les attaques l’an dernier, et rien moins que 10 % de celles impliquant des rançongiciels. Ce n’est pas tout : le secteur des nouvelles technologies aurait été le second le plus touché à l’échelle du monde, supportant 19 % des attaques en 2017.
Dès lors, pour Dimension Data, cela ne fait pas de doute : « la chaîne logistique des entreprises et des services professionnels est clairement devenue une cible privilégiée pour le vol de secrets de fabrication et de propriété intellectuelle ».
En fait, tout cela n’a rien de bien nouveau. RSA en sait quelque chose : fin mars 2011, l’éditeur reconnaissait, dans une lettre à ses clients, qu’une attaque informatique avait permis d’exfiltrer des informations liées à SecurID, une solution d’authentification forte par jeton. Quelques mois plus tard, Lockheed Martin révélait qu’il avait été la cible d’une attaque informatique « significative et tenace ». L’histoire veut qu’elle ait été menée à l’aide des clés SecurID d’utilisateurs de son système d’information.
Dans un communiqué de presse, Mark Thomas, directeur technique groupe Cybersécurité de Dimension Data, alerte : « les éléments fragiles sont nombreux, dans les chaînes logistiques et chez les outsourceurs, qui s'appuient souvent sur des infrastructures réseau hétérogènes et obsolètes, ce qui en fait des proies faciles pour les cybermenaces. Les prestataires de services et les sous-traitants sont eux aussi des cibles privilégiées en raison des secrets de fabrication et des éléments de propriété intellectuelle en leur possession. Les entreprises doivent prendre conscience des menaces bien réelles qui pèsent sur elles et veiller à ce que tous les aspects de leurs opérations soient solidement protégés ».
Et le conseil apparaît plus que raisonnable. L’an dernier, deux épisodes ont impliqué la chaîne logistique du logiciel : CCleaner et NotPetya. Dans les deux cas, la menace est passée par la chaîne logistique du logiciel. Le premier a affecté près de 2,3 millions d’utilisateurs à travers le monde. Et selon les dernières découvertes d’Avast, le déploiement d’un logiciel enregistreur de saisies au clavier était prévu par les attaquants. Mais il n’a pas eu lieu. Plus récemment, l’affaire Dofoild/MediaGet a de nouveau souligné l’importance du sujet et la réalité de la menace.