En 2021, Codecov, une plateforme de tests logiciels qui génère des rapports et des statistiques de couverture de code, a été la cible d’une attaque contre la chaîne d’approvisionnement qui manipulait les scripts de téléchargement Docker. L'environnement de Codecov a été compromis sans déclencher de signal d'alarme. Les dégâts ont été énormes puisque Codecov dessert plus de 29,000 31 entreprises clientes, dont IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble et la Banque Royale du Canada. Cette violation massive est restée inaperçue pendant plusieurs mois. Bien qu’elle ait débuté le 2021 janvier 1, elle n’a été découverte que le 2021er avril XNUMX.
Dans un autre incident tristement célèbre, l'outil de nettoyage informatique omniprésent CCleaner a été compromis depuis plus d'un mois par des pirates. Avast, propriétaire de CCleaner, a entaché les mises à jour logicielles que les utilisateurs téléchargent avec une porte dérobée de malware. Des millions d'ordinateurs ont été exposés et cet incident a renforcé la menace de ce qu'on appelle les attaques de la chaîne d'approvisionnement numérique, dans lequel des logiciels fiables et largement distribués sont en réalité infectés.
Également connue sous le nom d'attaque de tiers ou de violation de porte dérobée, une attaque de la chaîne d'approvisionnement se produit lorsqu'un pirate informatique infiltre le système d'une entreprise via un partenaire ou un fournisseur tiers qui fournit des services logiciels à cette organisation. On parle d’attaque de la chaîne logistique car le point de vulnérabilité par lequel l’attaque se produit est la chaîne logistique logicielle. Ces types d’attaques sont souvent de grande ampleur et difficiles à détecter. Les cybercriminels ciblent souvent les chaînes d'approvisionnement en logiciels de cette manière, car une seule violation leur permet de compromettre des milliers de victimes en même temps.
Alors qu’un plus grand nombre de fournisseurs de logiciels et de vendeurs ont accès à des données sensibles qu’auparavant, le risque de ces attaques a augmenté au cours des dernières années. En fait, de nombreuses sources affirment que le nombre d’attaques contre la chaîne d’approvisionnement logicielle a triplé en 2021 par rapport aux chiffres de l’année précédente. En mai 2021, l’administration Biden a répertorié les attaques de la chaîne d’approvisionnement logicielle comme un sujet de préoccupation, confirmant à quel point cette question est importante.
Quels sont les différents types d’attaques sur la chaîne d’approvisionnement logicielle ?
Tout éditeur de logiciels qui fournit ses services à d'autres organisations est une cible potentielle pour une attaque logicielle de chaîne d'approvisionnement. Une attaque nécessite un seul logiciel compromis pour propager un malware sur l’ensemble de la chaîne d’approvisionnement. Les pirates recherchent généralement des logiciels mal sécurisés ou des protocoles réseau non protégés dans lesquels ils peuvent pénétrer et cacher des logiciels malveillants lors du processus de création ou de mise à jour du logiciel. Les acteurs malveillants peuvent employer un large éventail de techniques pour exécuter une attaque contre la chaîne d’approvisionnement.
Dans la plupart des cas, les attaques de la chaîne logistique se cachent derrière des processus légitimes afin d'obtenir un accès illimité à l'écosystème logiciel d'une organisation. Les attaquants commencent généralement par infiltrer les défenses de sécurité d'un fournisseur ou d'un fournisseur de logiciels. C'est généralement plus facile que d'attaquer directement une victime en raison des mauvaises pratiques de cybersécurité de bon nombre de ces fournisseurs.
Une fois que le logiciel malveillant de la chaîne d'approvisionnement est injecté dans l'écosystème logiciel du fournisseur, il doit s'attacher à un processus légitime signé numériquement. Les attaquants exploitent souvent les mises à jour logicielles comme points d’entrée pour propager les logiciels malveillants à travers la chaîne d’approvisionnement logicielle. Certaines des techniques courantes utilisées dans les attaques de la chaîne d'approvisionnement comprennent :
Outils de création de logiciels compromis
Le processus de création d'applications logicielles modernes est assez similaire à la chaîne d'approvisionnement physique : dans la plupart des cas, les applications sont créées à l'aide de divers composants prêts à l'emploi provenant de différents fournisseurs. Cela inclut le code propriétaire, les API tierces, les composants open source, etc. Il est impossible de créer une application moderne à partir de zéro, c'est pourquoi la plupart des développeurs de logiciels réutilisent simplement ces différents composants de manière standard.
Bien que cette pratique plug-and-play accélère le processus de développement, elle introduit un risque de vulnérabilités en matière de sécurité, dont la principale concerne les attaques de la chaîne d'approvisionnement. Si un composant logiciel est compromis d'une manière ou d'une autre, d'innombrables organisations dont les applications sont créées avec ce composant deviennent vulnérables à une attaque.
Certificats de signature de code volés ou applications malveillantes signées à l'aide d'une identité volée
Dans ce type d'attaque, le pirate informatique vole un certificat qui confirme que le produit d'une entreprise est légitime et sûr. Ce certificat volé leur permet de diffuser un code malveillant déguisé en produit d'une entreprise légitime.
ATP41, un groupe de hackers soutenu par le gouvernement chinois, utilise cette méthode d'attaque pour mener des attaques contre la chaîne d'approvisionnement. En faisant apparaître un code malveillant comme légitime (à l'aide de certificats de signature de code volés), ils sont en mesure de faire passer le code au-delà des contrôles de sécurité des systèmes qu'ils attaquent. Ce type d'attaque est particulièrement difficile à détecter.
Une attaque d’application malveillante signée est similaire à une attaque de code volé ; dans ce cas, l'attaquant déguise un logiciel compromis en application légitime en utilisant l'identité signée volée de l'application. Cela lui permet de contourner diverses mesures de sécurité afin qu'une attaque puisse avoir lieu.
Code compromis dans les composants matériels ou micrologiciels
Chaque appareil numérique repose sur un micrologiciel pour fonctionner correctement. Dans la plupart des cas, ce micrologiciel est un produit tiers géré par une autre société. Les pirates peuvent injecter du code malveillant dans le micrologiciel, leur permettant d'accéder au réseau ou aux systèmes des appareils numériques qui utilisent ces composants du micrologiciel. Ce type d'attaque crée une porte dérobée vers les appareils numériques alimentés par ces micrologiciels, permettant aux pirates de voler des informations et d'installer encore plus de logiciels malveillants.
Malwares préinstallés
Les pirates informatiques installent parfois des logiciels malveillants de la chaîne d'approvisionnement sur des périphériques matériels tels que des téléphones, des caméras Universal Serial Bus (USB), des lecteurs et d'autres appareils. Cela leur permet de cibler les systèmes ou les réseaux connectés aux appareils pour lesquels le matériel infecté est utilisé.
Par exemple, une clé USB peut être utilisée pour transporter un enregistreur de frappe qui est ensuite acheminé vers les systèmes d'une grande entreprise de vente au détail. Ce keylogger peut être utilisé pour enregistrer les frappes des clients de l'entreprise, permettant ainsi aux pirates d'accéder à des informations telles que les détails de paiement, les dossiers des clients, etc.
Comment se protéger contre les attaques de la supply chain ?
La nature même des attaques contre la chaîne d’approvisionnement rend difficile la lutte contre celles-ci. Ces types d’attaques exploitent la confiance que les entreprises accordent à leurs fournisseurs pour contre-attaquer. Bien qu’il soit difficile de prévenir ces attaques, voici quelques mesures que vous pouvez prendre pour atténuer leur impact ou réduire leurs risques :
Auditez votre infrastructure
L'utilisation de logiciels qui ne sont pas approuvés ou supervisés par le service informatique (shadow IT) est l'un des facteurs qui peuvent prédisposer votre entreprise aux attaques de la chaîne d'approvisionnement. L'un des moyens d'atténuer ces attaques consiste à effectuer un audit complet de tous les logiciels utilisés au sein de votre organisation. Cela pourrait révéler des vulnérabilités que les pirates de la chaîne d’approvisionnement peuvent exploiter pour lancer une attaque.
Gardez un inventaire à jour de tous vos actifs logiciels
Chaque logiciel tiers que vous utilisez (même s'il semble sécurisé) constitue un point de vulnérabilité potentiel. En gardant un inventaire à jour de tous vos logiciels tiers, vous pouvez mieux suivre leurs mises à jour, mises à niveau et problèmes de sécurité. Cela permet également de réduire les points d'attaque potentiels et de déployer les solutions nécessaires.
Évaluer rigoureusement les fournisseurs et appliquer une approche zéro confiance
Avant d'utiliser un outil tiers ou de vous associer à un nouveau fournisseur, vous devez vérifier rigoureusement leur niveau de sécurité. La plupart du temps, les attaques de la chaîne d’approvisionnement se produisent parce que les fournisseurs ne respectent pas les pratiques de sécurité standard. Dans le cadre de vos efforts d'évaluation des risques, vous pouvez demander à tout fournisseur potentiel de fournir des détails sur ses pratiques de sécurité standard afin de déterminer son niveau de préparation aux attaques de la chaîne d'approvisionnement. Vous pouvez commencer par demander un rapport de type SOC 2 et une certification ISO 27001 à tout fournisseur avec lequel vous envisagez de vous associer. Vous devez également vérifier leurs rapports de sécurité et vérifier les certificats de tout produit avant d'acheter.
Ne faites jamais confiance à de nouveaux logiciels ou utilisateurs par défaut. Même après avoir confirmé leur cadre de sécurité et accepté d'utiliser leurs services, en limitant les activités ou les autorisations, tout nouvel outil sur votre réseau réduira votre vulnérabilité.
Utilisez des outils de sécurité
Même si les antivirus, pare-feu et autres outils de sécurité sont souvent inefficaces contre les attaques de la chaîne logistique, ils peuvent néanmoins contribuer à vérifier l’intégrité du code et à réduire le risque d’attaque. Même s’ils ne peuvent pas empêcher l’attaque de se produire, ces outils peuvent quand même vous alerter des attaques en cours. Par exemple, un pare-feu peut vous avertir lorsque d’énormes blocs de données sont envoyés sur votre réseau, ce qui est souvent le cas lors d’une attaque de malware ou de ransomware.
Sécurisez vos points de terminaison
Les attaquants de la chaîne logistique exploitent souvent les vulnérabilités logicielles des points finaux mal sécurisés pour lancer une attaque. Le déploiement d'un système de détection et de réponse des points finaux aidera à protéger vos points finaux contre les logiciels malveillants et les ransomwares. De cette façon, ils ne peuvent plus utiliser ces points de terminaison pour propager une attaque à d’autres parties de votre réseau, stoppant ainsi l’attaque avant qu’elle ne se propage davantage.
Déployer des politiques d’intégrité du code solides
Les attaques de la chaîne logistique qui exploitent l’intégrité des applications ou du code peuvent être stoppées en déployant des politiques d’intégrité du code strictes qui n’autorisent les applications que sur la base de règles strictes. Ces politiques de dépendance au code bloqueront toute application qui semble suspecte ou qui déclenche un signal d’alarme. Même s’il peut y avoir des faux appels et de fausses alarmes, il est toujours préférable d’atténuer les risques liés à la chaîne d’approvisionnement de cette manière plutôt que de subir une attaque. Toute application signalée peut faire l’objet d’une enquête plus approfondie et être autorisée si elle s’avère légitime.
Avoir un plan de réponse aux incidents
Compte tenu de la fréquence croissante des attaques contre la chaîne d’approvisionnement, il est préférable de se préparer à l’avance en créant un plan de réponse aux incidents. Chaque organisation doit avoir des plans pour protéger les composants critiques en cas de violations afin de maintenir les opérations intactes. Vous devez également mettre en place des stratégies de réponse et de communication claires pour informer les partenaires, les fournisseurs et les clients en cas de violation. Votre équipe informatique doit toujours être préparée aux attaques potentielles. Une planification appropriée de la gestion des risques comprend des exercices réguliers de réponse aux incidents avec votre équipe pour évaluer l'état de préparation aux attaques potentielles.
Exemples d’attaques récentes de la chaîne d’approvisionnement
L’efficacité des attaques contre la chaîne d’approvisionnement est le principal facteur expliquant leur prévalence. Ces types d'attaques touchent diverses organisations, depuis les grandes entreprises comme Target jusqu'aux agences gouvernementales. Au cours de la dernière décennie, des cas très médiatisés d’attaques contre la chaîne d’approvisionnement ont eu lieu. Voici quelques exemples d’attaques de chaîne d’approvisionnement les plus notables :
-
SITA, 2021
Début 2021, la société de données sur le transport aérien SITA a été victime d'une violation de données qui aurait exposé les dossiers de vol de plus de 580,000 XNUMX passagers de Malaysia Airlines.
Programme de fidélisation. La même violation de données a également touché Finnair Air en Nouvelle-Zélande et plusieurs autres. Les experts pensent que le point d'attaque provenait d'une société connue sous le nom de Star Alliance, avec laquelle Singapore Airlines partage des données. L’attaque s’est ensuite étendue à l’ensemble de la chaîne d’approvisionnement.
-
État du mot de passe, 2021
ClickStudios, une société basée en Australie et créatrice de Passwordstate (une solution de gestion de mots de passe), a signalé une attaque contre la chaîne d'approvisionnement en 2021. L'attaque s'est produite via le service de mise à jour logicielle hébergé sur un CDN tiers. Le malware a été automatiquement téléchargé sur les appareils des clients qui ont mis à jour leur logiciel au moment de l'attaque. Le logiciel malveillant a été conçu pour décrypter toutes les données stockées dans la base de données du client et les envoyer sous forme de texte brut au serveur externe de l'attaquant.
-
Confusion des dépendances 2021
Il s’agissait d’une attaque délibérée visant à tester la propagation des attaques contre la chaîne d’approvisionnement. Alex Birsan, chercheur en sécurité, a piraté des systèmes appartenant à des sociétés telles que Microsoft, Uber, Tesla et Apple en profitant des protocoles de dépendance que leurs applications utilisaient pour fournir des services aux utilisateurs finaux. Ces dépendances ont permis de transmettre des paquets de données contrefaits à divers utilisateurs de haut niveau du réseau.
-
Mimecast, 2021
Un certificat numérique Mimecast compromis a conduit à l'une des violations de données de la chaîne d'approvisionnement les plus évoquées en 2021. Le certificat numérique utilisé pour authentifier certains des services Mimecast sur les services Web Microsoft 365 Exchange a été compromis. Les enquêtes ont révélé que le groupe à l’origine de ce piratage était également responsable de l’attaque SolarWinds de 2020. L'attaque a touché jusqu'à 10 % des clients de Mimecast.
-
Attaque SolarWinds, 2020
Il s’agit sans doute du cas d’attaque de chaîne d’approvisionnement le plus médiatisé de la dernière décennie. Des pirates informatiques, soupçonnés d'être des acteurs malveillants étrangers, ont attaqué plusieurs agences gouvernementales américaines par l'intermédiaire d'un fournisseur tiers connu sous le nom de SolarWinds, un fournisseur de services informatiques. Six départements du gouvernement américain font partie des 18,000 XNUMX clients de SolarWinds touchés par les attaques, notamment le Département de l'Énergie et la National Nuclear Security Administration, le Département d'État des États-Unis, le Département du Commerce, le Département du Trésor et le Département de la Patrie. Sécurité.
-
ASUS, 2018
En 2018, une attaque malveillante a exploité le logiciel de mise à jour en direct d'ASUS pour installer des logiciels malveillants par porte dérobée sur plus d'un million d'ordinateurs. Dans cette attaque contre la chaîne d'approvisionnement, les pirates ont exploité la fonctionnalité de mise à jour automatique pour introduire des logiciels malveillants sur les PC des utilisateurs. Le malware était signé avec des certificats de sécurité ASUS légitimes, ce qui le rendait difficile à détecter. Heureusement, les pirates informatiques disposaient d’une liste limitée de seulement 600 utilisateurs, et les milliers d’autres utilisateurs qui ne figuraient pas sur cette liste n’ont pas été significativement affectés.
-
Flux d'événements, 2018
Lors de l’attaque par flux d’événements de 2018, des pirates ont injecté des logiciels malveillants dans un référentiel au sein du système GitHub. GitHub étant un service de sauvegarde pour des millions de développeurs, l’attaque a exposé plusieurs utilisateurs à une potentielle attaque de malware. Cependant, le code malveillant a été programmé spécifiquement pour cibler le portefeuille Bitcoin Copay. Si les développeurs de Copay affectés par le malware avaient exécuté un script de build de version pendant l'attaque, le code malveillant aurait été intégré à l'application, ce qui aurait permis de récolter les clés privées et les informations de compte des utilisateurs de Copway possédant au moins 1000 XNUMX Bitcoins dans leur compte. compte.
-
Attaque de la chaîne d'approvisionnement d'Equifax
Equifax, l'une des plus grandes agences d'évaluation des cartes de crédit au monde, a été touchée par une attaque contre la chaîne d'approvisionnement en 2018. Le code malveillant a été transmis via une vulnérabilité d'application sur le site Web de l'entreprise. Plus de 147 millions de clients Equifax ont été touchés par l'attaque qui a exposé des données personnelles sensibles, notamment des adresses, des numéros de sécurité sociale, des dates de naissance, etc.
Conclusion
S’il n’y a qu’une chose que vous devez retenir de cet article, c’est bien celle-là : les attaques contre la chaîne d’approvisionnement logicielle constituent une menace imminente. Aucun doute à ce sujet.
Par conséquent, vous ne pouvez pas faire confiance aux produits signés et aux mises à jour des fournisseurs ; il se peut qu'il y ait déjà des modifications ou des ajouts à votre code. Alors, que pouvez-vous faire pour vous assurer que votre système n’est pas infecté par des fichiers malveillants ? Assurez-vous que chaque propriétaire de bibliothèque ou fournisseur de programme vous fournit un SBOM complet : découvrez-en davantage sur les SBOM. ici- et assurez-vous d'obtenir ce que vous attendez du fournisseur ou du propriétaire de la bibliothèque en demandant une attestation de confiance.