Focus sur les supply chain attacks

L’actualité Cyber nous démontre chaque semaine que les cybercriminels font évoluer leur mode opératoire et s’adaptent à l’évolution de l’environnement de leurs cibles. Les attaques de type « Supply Chain » en sont un bon exemple. 

L’objet de cette note est de présenter cette menace, d’identifier les cibles et impacts potentiels, de partager les récents incidents recensés, et apporter des convictions. 

Qu’est ce qu’une supply chain attack ?

Les attaques de chaîne d’approvisionnement (supply chain) visent à porter atteinte à une organisation en ciblant les éléments les moins sécurisés de la chaîne. 

Les deux principales cibles de ce type d’attaque sont : 

  • Les éditeurs de logiciels, 
  • Les fournisseurs de services. 

L’objectif est de compromettre la cible afin d’attaquer par rebond ses clients, de manière ciblée ou opportuniste. 

Ainsi plus l’éditeur ou fournisseur aura un nombre élevé de clients plus l’effet de levier associé à la compromission sera important. 

Quels sont les vecteurs d’attaques ?

Pour compromettre sa cible, l’attaquant peut chercher à compromettre différents types d’actifs : 

  • Outils de création de logiciels compromis ou infrastructure de mise à jour, 
  • Certificats de signature de code volés ou applications malveillantes signées à l’aide de l’identité de la société, 
  • Code spécialisé compromis envoyé dans des composants matériels ou des microprogrammes, 
  • Programmes malveillants préinstallés sur les appareils (appareils photo, USB, téléphones, etc), 
  • Environnement de production utilisés pour effectuées des opérations d’infogérance. 

Dans ce genre d’attaques, les éditeurs et/ou les fournisseurs ignorent souvent que leurs applications ou mises à jour sont infectées par du code malveillant lorsqu’elles sont publiées. 

Qui sont les cibles et quels en sont les impacts ?

Les cibles des cyberattaques via « Supply Chain » vont au-delà des éditeurs de logiciels et fournisseurs de services, puisque ce sont par rebond les clients finaux qui sont visés. 

Ces attaques peuvent toucher tous types d’entreprises et de secteurs allant de la finance aux institutions gouvernementales. 

La crise sanitaire entraîne actuellement une exposition importante du secteur de la santé. Par exemple le groupe pharmaceutique Pfizer a été la cible de ce genre de cyberattaque fin 2020, via une compromission de l’Agence européenne des médicaments. 

La conséquence directe de ce type d’attaque peut être une fuite de données, ou une perte de disponibilité du SI affectant in fine un processus métier critique tel qu’une chaîne d’approvisionnement.

Exemple de scénario d’attaque par supply chain :

  1. Compromission d’un éditeur de logiciel, 
  2. Obtention d’un accès malveillant aux composants du SI d’un client suite à l’exploitation d’une vulnérabilité intégrée dans la mise à jour du logiciel, 
  3. Mise en œuvre d’une back door par l’attaquant et exfiltration/corruption de données. 
    • Les impacts qui en découlent sont nombreux et non négligeables : 
    • Atteinte à la réputation de l’entreprise 
    • Baisse de la confiance de ses clients et partenaires 
    • Baisse du chiffre d’affaires 
    • Perte financière importante 
    • Perte de compétitivité 
    • Sanctions éventuelles

Exemple récent :

Le 2 mars 2021, Microsoft a détecté l’exploitation de multiples failles 0-day au sein de serveurs de messagerie utilisant sa plateforme Exchange. 

“Dans les attaques observées, les cybercriminels ont utilisé ces vulnérabilités pour accéder aux serveurs Exchange locaux, ce qui leur a permis d’accéder aux comptes de courrier électronique et d’installer des logiciels malveillants supplémentaires pour faciliter l’accès aux environnements informatiques des victimes sur le long terme”, indique Microsoft. 

Environ 60 000 entreprises, agences et organisations pourraient être impactées. 

En Europe par exemple, la première “victime” connue est l’Autorité Bancaire Européenne. 

L’actualité « supply chain attack »

La fin de l’année 2020 a été marquée par la succession des attaques “Supply Chain” suivantes : 

  • SolarWinds: la cible était un logiciel permettant de centraliser la surveillance, l’analyse et la gestion des actifs informatiques , appelé Orion (plus de 33 000 entreprises utilisatrices), fourni par la société texane SolarWinds. La société affirme que 18 000 de ses clients ont été touchés dont 425 entreprises du Fortune 500. 
  • Centreon: L’ANSSI affirme qu’un groupe de pirates militaires russes, connu sous le nom Sandworm, est à l’origine d’une opération de trois ans au cours de laquelle ils ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon. 
    Centreon a expliqué que les utilisateurs ciblés par cette campagne de compromission utilisaient une version open source « obsolète », qui n’est plus supportée depuis 5 ans. Ainsi, aucun client n’utilisant la version payante n’est a priori concerné par cette attaque. 
  • SITA : Le fournisseur informatique de l’industrie aéronautique, qui dessert environ 90 % des compagnies aériennes du monde, a déclaré qu’une cyberattaque le 24 février 2021 avait entraîné un « incident de sécurité des données ». Des attaquants auraient réussi à pénétrer dans les serveurs de SITA et en particulier dans le système de services aux passagers (PSS, Passenger Service System), qui traite les processus allant de la réservation des billets jusqu’à l’embarquement. Les données personnelles de plus de 1,35 millions de passagers auraient été consultées durant cette cyber-attaque. Certaines compagnies aériennes ont détaillé les informations auxquelles les cyberattaquants ont eu accès, déclarant que des données telles que les noms, les statuts et les numéros de membre ont été volées. 

Quels sont les bons réflexes à adopter face à cette menace ?

La prise en compte et la gestion de cette menace peuvent être initiées au travers des mesures suivantes : 

  • Intégrer cette menace dans sa démarche d’analyse de risques, 
  • Disposer d’un inventaire à jour de ses actifs, de ses fournisseurs et sous-traitants, 
  • Réaliser une évaluation périodique du niveau de sécurité de ses fournisseurs (questionnaires sécurité, lecture de rapport de certification…), 
  • Mettre en œuvre un processus de veille facilitant l’identification d’acteurs ayant été compromis, 
  • Adapter son processus de gestion des incidents afin de faciliter la collaboration avec son écosystème de fournisseurs, 
  • Renforcer son processus de patch management, 
  • Disposer d’outil de type EDR pouvant faciliter la détection d’activités malveillantes/inhabituelles liées à une compromission du SI. 

Conclusion

En conclusion on peut aujourd’hui affirmer que l’état de la menace liée à des attaques par supply chain est élevée, quel que soit le type d’entreprise ou d’institution concernée. L’enjeu est d’avoir à l’esprit qu’une compromission du SI peut être liée à un tiers, fournisseur ou sous-traitant, et qu’il est donc important d’anticiper les impacts de ce type d’attaque en actualisant les éléments clés de sa gouvernance cyber, tel que cités plus haut. 

Partager cet article

À lire également

Conformité

[LIVRE BLANC] Naviguer dans l’IA : risques, protections et innovations.

Alors que la transformation numérique s’accélère et que l’intelligence artificielle devient un moteur clé de l’innovation, il est crucial de bien appréhender les défis qui l’accompagnent. Pour maximiser ses bénéfices tout en réduisant les risques, il est indispensable de connaître ses opportunités, ses faiblesses, et les meilleures pratiques à adopter pour une mise en œuvre sécurisée.

Lire la suite
Conformité

La directive NIS 2 : tout savoir sur les changements à venir

La cybersécurité franchit un nouveau cap avec l’avènement de la directive NIS 2, une avancée majeure du cadre juridique européen conçue pour relever les défis croissants en matière de sécurité des réseaux et des systèmes d’information.

Adoptée en décembre 2022, cette directive vient compléter et renforcer les mesures de sa prédécesseure, la directive NIS, dans le but de mieux protéger les secteurs essentiels et critiques contre les cybermenaces.

Lire la suite
Protection des données

Sécuriser ses projets d’IA : retours sur le Summit AWS Paris 2024

Le mercredi 3 avril a eu lieu l’AWS Summit Paris, événement organisé par AWS pour permettre à la communauté du cloud computing (utilisateurs et partenaires), de se connecter, collaborer et en savoir plus sur AWS et ses services. Les 3 grandes thématiques à l’honneur lors de cet événement étaient : le cloud, la data et … l’Intelligence Artificielle (IA) !

Lire la suite