La France, pas épargnée par l’épisode SolarWinds ? Les éléments que communique Microsoft le suggèrent.
Le groupe américain a livré une analyse – plus géopolitique que technique – de la situation. Il l’a agrémentée d’une carte du monde. Les informations qui y figurent proviennent de l’antivirus Defender. Elles donnent une idée de la surface d’attaque.
De quelle attaque parle-t-on au juste ? Vraisemblablement d’une campagne d’espionnage étatique. Son principal vecteur : Orion, logiciel de gestion informatique signé de l’éditeur américain SolarWinds. Plus précisément, des versions vérolées de ce logiciel (injection d’un cheval de Troie).
C’est surtout aux États-Unis que l’affaire fait du bruit. La carte en témoigne. Elle permet toutefois de constater que la menace est également présente en Europe ; y compris en France.
SolarWinds évalue à 18 000 le nombre potentiel de ses clients touchés. Cela ne signifie pas qu’ils ont fait l’objet d’une attaque. Les déclarations de Symantec* l’illustrent. L’éditeur affirme avoir détecté le cheval de Troie chez une centaine de ses clients. Mais explique qu’il n’a que rarement servi à déployer d’autres charges malveillantes (généralement, la backdoor Teardrop).
Du côté de Microsoft, on dit avoir notifié une quarantaine d’organisations effectivement victimes d’une attaque. Plus des trois quarts sont basées aux États-Unis, mais on en trouve aussi, notamment, en Belgique, en Espagne et au Royaume-Uni.
Près de la moitié de ces organisations évoluent dans le secteur de l’IT. Microsoft ne s’y inclut pas, malgré les informations dans ce sens. Le discours officiel de la firme est le suivant : nous avons détecté des versions malicieuses d’Orion sur notre environnement informatique, mais elles n’ont pas entraîné d’accès à nos services en production, ni aux données de nos clients. Nos systèmes n’ont par ailleurs pas été compromis pour ensuite en infecter d’autres.
Toutes ces hypothèses circulent, plus ou moins accréditées. La NSA elle-même les alimente, au même titre que le CISA (homologue américain de notre ANSSI). Sous un angle en particulier : le compromission non pas de l’infrastructure privée de Microsoft, mais de son cloud Azure. Y compris en exploitant d’autres portes d’entrée qu’Orion.
* Symantec est d’autant plus impliqué que les versions modifiées d’Orion étaient signées avec un ancien certificat à son nom. L’éditeur en a référé à Digicert, à qui il avait revendu son activité de certification en 2018.
Illustration principale © Rawpixel via Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
