Extia - D'abord qui, ensuite quoi !

Le blog
SolarWinds, la cyberattaque historique des USA

Partager
actuality.blog.title

​Jeudi 4 février, la Communauté Sécurité des SI proposait un événement sur le cyber-détournement de SolarWinds Orion. Pour ce premier rendez-vous de l’année 2021, plus d’une quarantaine de personnes se sont connectées. 

Pour cet événement, Stéphane et Kévin, les Leads de la Comet’, ont invité Olivier, Ingénieur Sécurité chez Extia, en mission chez Orange Cybersécurité. Son objectif était de permettre aux participants de comprendre comment une telle attaque a pu être possible. En effet, cette attaque informatique d'ampleur a impacté au moins 18 000 clients de la solution Orion, dont Microsoft et Cisco. Outre son ampleur, c’est surtout son effet de surprise qui a marqué. 

Olivier a commencé par présenter SolarWinds aux participants. Une société américaine qui regroupe plus de 275 000 clients dans le monde et leader mondial de la gestion des réseaux

Après cette introduction, Olivier a exposé son analyse de l’attaque et les différentes raisons qui l'ont rendue possible.

Il s’agit d’une attaque longuement préparée. En effet, le premier accès à SolarWinds remonte en septembre 2019, alors qu’elle ne sera découverte qu’en décembre 2020, preuve d’une connaissance des processus de Solarwinds et d’une planification parfaitement réalisée. De nombreuses phases de reconnaissance ont permis une compromission de cible critique de manière transparente, ainsi que l’utilisation de plusieurs backdoor (Sunburst/Teardrop/Raindrop). L’implémentation a été minutieusement réalisée tant au niveau de la création des implants que des backdoor, ou de l’adaptation au cas spécifique rencontré chez les cibles.

Timeline SolarWinds.

Voici la timeline détaillée de l'attaque SolarWinds, présentée par Olivier.

​Pour terminer la soirée, Olivier a partagé un exemple de scénario de déploiement aux participants afin de rappeler que la meilleure défense contre l’attaque est la prévention. Des échanges ont ensuite été poursuivis sur les moyens techniques et organisationnels qui auraient pu prévenir ce type d'incident de sécurité.

Rendez-vous lundi 8 mars  pour nos prochains événements online avec les Communautés Métiers Agile et JavaScript ! D’ici là, n’hésitez pas à nous suivre sur notre page Twitter @CometByExtia et à consulter notre site internet dédié à nos événements.

WANTED !
1000 2021 Nos offres d'emploi Candidature spontanée Serez-vous le prochain ? Extia recrute talents en