Attaque de la chaine d’approvisionnement
04/01/24 16:19
Une attaque de la chaîne d'approvisionnement, également connue dans le contexte général sous le nom d'attaque de la chaîne logistique, est une stratégie malveillante qui vise à compromettre un système informatique en ciblant les éléments de sa chaîne d'approvisionnement. La chaîne d'approvisionnement fait référence à l'ensemble des étapes et des fournisseurs impliqués dans le développement, la fabrication, la distribution et la maintenance d'un produit ou d'un service. Dans le cadre des différents composants d’un système d’information, cette chaine d’approvisionnement fait aussi référence aux mécanismes de mise à jour et d’application des correctifs des différents logiciels, progiciels et middleware mis en œuvre. Cette stratégie d’attaque est basée sur un constat, les grandes entreprises sont souvent assez bien protégées et attaquer directement leur système d’information peut souvent s’avérer complexe, long, couteux et pas toujours couronné de succès. Pourtant il y a des structures plus faciles à compromettre qui disposent déjà d’accès au système d’information de la cible : des fournisseurs, des sous-traitant, des mainteneurs… tout l’écosystème de la chaine d’approvisionnement. Ainsi la stratégie de l’attaquant va consister à compromettre un des maillons de cette chaine pour ensuite la remonter jusqu’à sa cible. Dans le même ordre d’idée et sous le même vocable, une stratégie identique consiste à compromettre un logiciel utilisé par la cible. Ce qui intéresse beaucoup les acteurs de la menace dans ce contexte c’est de compromettre les procédures de mises à jour de certains logiciels. Du point de vue de l’attaquant c’est extrêmement intéressant. En effet une fois la chaine d’approvisionnement d’un produit compromise, toutes les organisations l’utilisant deviennent des cibles faciles et nombreuses. De plus l’attaque est discrète puisqu’elle ne nécessite pas les phases amont d’une cyberattaque classique : reconnaissance, armement, ingénierie sociale, livraison, exploitation. En réalité, qu’il s’agisse d’une attaque visant une entreprise partenaire ou un logiciel déployé au sein du système d’information de la cible, ces phases ont été réalisées lors de l’attaque préparatoire contre le fournisseur, une fois la chaine compromise, les attaquant disposent d’accès dérobés aux systèmes d’information des organisations utilisatrices du produit compromis.
Il s’agit d’attaques menées en deux temps. Lorsque les attaquants décident de compromettre d’abord une entreprise de l’écosystème de leur objectif réel, le premier temps consiste justement à compromettre le système d’information e cette entreprise, de préférence discrètement. Une fois leur emprise avérée, ils pourront diriger leur attaque vers leur cible réelle pour en en exfiltrer des données par exemple. Lorsque les agents de la menace décident d’utiliser comme cheval de Troie, un produit utilisé par leur cible, le premier temps consiste à compromettre ce produit, de préférence répandu, de préférence ayant un accès le plus large possible aux systèmes d’information des utilisateurs. Cette partie nécessite un haut niveau de compétence et souvent un temps long avant d’aboutir. Bien que sophistiquée, cette partie se déroule en général selon un modèle commun aux cyberattaques.
Identification de la cible primaire : Les attaquants identifient une cible spécifique, ayant les caractéristiques voulues, souvent une solution suffisamment répandue, déployée au sein des organisation finalement ciblées. Une phase de reconnaissance est lancée rapidement à suivre pour déterminer les différents processus d’échange de données et déterminer les maillons faibles.
Infiltration : Les attaquants tentent de compromettre les fournisseurs ou les partenaires de la cible en exploitant des vulnérabilités dans leurs systèmes. Cela peut se faire par le biais d'attaques de phishing, d'injections de logiciels malveillants, de compromis de comptes, ou d'autres techniques.
Implantation de logiciels malveillants : Une fois infiltrés, les attaquants peuvent injecter des logiciels malveillants dans les produits ou les services de la chaîne d'approvisionnement. Par exemple, ils pourraient introduire un malware dans une mise à jour logicielle, un composant matériel ou même dans un périphérique.
Propagation : Les logiciels malveillants se propagent ensuite à travers la chaîne d'approvisionnement, infectant les systèmes et les réseaux de la cible finale. Cela peut se faire de manière discrète, afin de rester indétecté le plus longtemps possible.
Exploitation : Une fois que les attaquants ont réussi à infiltrer le réseau cible, ils peuvent exploiter leur présence pour voler des données sensibles, exécuter des attaques de type ransomware, ou même compromettre davantage le système. Il y a d’ailleurs des exemples assez récents de ce type d’attaque, comme celle ayant compromis le logiciel Orion de SolarWinds ou encore VSA de Kaseya.
Qu’elles consistent à compromettre le système d’information d’une organisation participant à la chaine d’approvisionnement de la cible ou qu’elle compromette le fournisseur d’un composant du système d’information, les attaques de la chaîne d'approvisionnement sont préoccupantes. En effet elles peuvent contourner les défenses de sécurité directes d'une organisation en exploitant la confiance accordée aux fournisseurs et aux partenaires. Les conséquences de telles attaques peuvent être graves, affectant la confidentialité des données, l'intégrité des systèmes, et la disponibilité des services. Pour atténuer ces risques, les organisations doivent mettre en place des mesures de sécurité robustes, surveiller activement leur chaîne d'approvisionnement, et collaborer avec leurs partenaires pour renforcer la cybersécurité à tous les niveaux. D’ailleurs, ce risque est de plus en plus pris en compte, directement par les responsables cybersécurité mais aussi au niveau du régulateur qui intègre la chaine d’approvisionnement dans le périmètre de l’organisation comme c’est le cas notamment pour NIS2.
Il s’agit d’attaques menées en deux temps. Lorsque les attaquants décident de compromettre d’abord une entreprise de l’écosystème de leur objectif réel, le premier temps consiste justement à compromettre le système d’information e cette entreprise, de préférence discrètement. Une fois leur emprise avérée, ils pourront diriger leur attaque vers leur cible réelle pour en en exfiltrer des données par exemple. Lorsque les agents de la menace décident d’utiliser comme cheval de Troie, un produit utilisé par leur cible, le premier temps consiste à compromettre ce produit, de préférence répandu, de préférence ayant un accès le plus large possible aux systèmes d’information des utilisateurs. Cette partie nécessite un haut niveau de compétence et souvent un temps long avant d’aboutir. Bien que sophistiquée, cette partie se déroule en général selon un modèle commun aux cyberattaques.
Identification de la cible primaire : Les attaquants identifient une cible spécifique, ayant les caractéristiques voulues, souvent une solution suffisamment répandue, déployée au sein des organisation finalement ciblées. Une phase de reconnaissance est lancée rapidement à suivre pour déterminer les différents processus d’échange de données et déterminer les maillons faibles.
Infiltration : Les attaquants tentent de compromettre les fournisseurs ou les partenaires de la cible en exploitant des vulnérabilités dans leurs systèmes. Cela peut se faire par le biais d'attaques de phishing, d'injections de logiciels malveillants, de compromis de comptes, ou d'autres techniques.
Implantation de logiciels malveillants : Une fois infiltrés, les attaquants peuvent injecter des logiciels malveillants dans les produits ou les services de la chaîne d'approvisionnement. Par exemple, ils pourraient introduire un malware dans une mise à jour logicielle, un composant matériel ou même dans un périphérique.
Propagation : Les logiciels malveillants se propagent ensuite à travers la chaîne d'approvisionnement, infectant les systèmes et les réseaux de la cible finale. Cela peut se faire de manière discrète, afin de rester indétecté le plus longtemps possible.
Exploitation : Une fois que les attaquants ont réussi à infiltrer le réseau cible, ils peuvent exploiter leur présence pour voler des données sensibles, exécuter des attaques de type ransomware, ou même compromettre davantage le système. Il y a d’ailleurs des exemples assez récents de ce type d’attaque, comme celle ayant compromis le logiciel Orion de SolarWinds ou encore VSA de Kaseya.
Qu’elles consistent à compromettre le système d’information d’une organisation participant à la chaine d’approvisionnement de la cible ou qu’elle compromette le fournisseur d’un composant du système d’information, les attaques de la chaîne d'approvisionnement sont préoccupantes. En effet elles peuvent contourner les défenses de sécurité directes d'une organisation en exploitant la confiance accordée aux fournisseurs et aux partenaires. Les conséquences de telles attaques peuvent être graves, affectant la confidentialité des données, l'intégrité des systèmes, et la disponibilité des services. Pour atténuer ces risques, les organisations doivent mettre en place des mesures de sécurité robustes, surveiller activement leur chaîne d'approvisionnement, et collaborer avec leurs partenaires pour renforcer la cybersécurité à tous les niveaux. D’ailleurs, ce risque est de plus en plus pris en compte, directement par les responsables cybersécurité mais aussi au niveau du régulateur qui intègre la chaine d’approvisionnement dans le périmètre de l’organisation comme c’est le cas notamment pour NIS2.