SolarWinds : sanctions civiles contre Avaya, Check Point, Mimecast et Unisys

Le gendarme des marchés boursiers américains, la SEC, vient d’annoncer, dans un communiqué de presse des sanctions civiles à l’encontre d’Avaya, Check Point Software, Mimecast et Unisys. Celles-ci ont été établies en accord avec les entreprises concernées. 

Dans le détail, Mimecast s’acquittera de la somme de 990 000 $, contre 995 000 $ pour Check Point, 1 million de dollars pour Avaya et 4 millions de dollars pour Unisys.

La SEC reproche aux quatre entreprises « la communication d’informations matériellement trompeuses sur les risques et les intrusions en matière de cybersécurité » à l’occasion de l’attaque par rebond via la plateforme Orion de SolarWinds, découverte fin 2020. La SEC a également accusé « Unisys de violations des contrôles et procédures de divulgation ».

Pour la SEC, Unisys, Avaya, Check Point et Mimecast ont chacun « négligemment minimisé son incident de cybersécurité dans ses divulgations publiques ». Pour Unisys, le gendarme dit constater « que l’entreprise a qualifié d’hypothétiques les risques liés aux événements de cybersécurité, alors qu’elle savait qu’elle avait subi deux intrusions liées à SolarWinds impliquant l’exfiltration de gigaoctets de données ». Elle ajoute « que ces informations matériellement trompeuses résultaient en partie des contrôles déficients d’Unisys en matière de divulgation d’informations ». 

Dans le cas d’Avaya, la SEC dit constater « que la société a déclaré que l’auteur de la menace avait accédé à un “nombre limité de messages électroniques de [la] société”, alors qu’Avaya savait que l’auteur de la menace avait également accédé à au moins 145 fichiers dans son environnement de partage de fichiers en mode cloud ».

Selon la SEC, Check Point « était au courant de l’intrusion, mais a décrit les cyberintrusions et les risques qui en découlent en termes génériques ». Quant à Mimecast, la SEC estime que « l’entreprise a minimisé l’attaque en ne divulguant pas la nature du code exfiltré par l’acteur de la menace et la quantité d’informations d’identification chiffrées auxquelles l’acteur de la menace a eu accès ».

C’est le dimanche 13 décembre 2020 que l’éditeur SolarWinds s’est déclaré victime d’une attaque « hautement sophistiquée » qui a conduit à la compromission des versions 2019.4 HF5 à 2020.2.1 de sa plateforme Orion, lancées entre mars et juin précédents, par une porte dérobée, désormais appelée Sunburst, ou Solorigate. Cette plateforme compte parmi les incontournables de l’administration d’infrastructures d’informations. 

La première victime confirmée de cette porte dérobée a été FireEye, qui a révélé le 8 décembre 2020 avoir été compromis par des pirates informatiques suspectés d’opérer pour le compte d’un État-nation. Mais il a rapidement été découvert que les attaques SolarWinds avaient touché d’autres organisations, notamment des géants de l’IT et des administrations publiques. 

Graduellement, de nouvelles entreprises se sont déclarées victimes d’une campagne effectivement commencée en septembre 2019 : Cisco, Intel, VMware, Qualys, Fidelis Security, ou encore Malwarebytes. Le ministère américain de la Justice lui-même a été affecté. La campagne a été attribuée à des acteurs (APT) liés à Moscou.