En décembre 2018, les ressortissants chinois Zhu Hua et Zhang Shilong ont été mis en examen par le département de la justice des États-Unis pour avoir été impliqués dans le groupe de piratage APT10. APT est l'acronyme de Advanced Persistent Threat (Menace persistante avancée). Il est employé pour désigner un groupe de pirates d'élite, opérant habituellement avec le soutien de, si ce n'est directement employé par, un état nation. Ce ne sont pas des cybercriminels ordinaires.
L’une des charges retenues contre Hua et Shilong était leur implication dans ce que le Département de la justice a appelé la « Campagne de vol des FSG ». Les chercheurs en sécurité la connaissent sous le nom de Cloud Hopper. Les fournisseurs de services gérés (FSG) ont été compromis, mais ils n'étaient pas les cibles principales, c’étaient leurs clients que l’APT10 souhaitait pirater. Les fournisseurs de services gérés ont été piégés, et les identifiants de leurs clients volés, donnant au groupe APT10 un accès sans restriction aux cibles réelles grâce aux informations d'accès autorisé des FSG.
Ce type d'attaque est appelé « attaque de chaîne d'approvisionnement ». La cible réelle n'est pas attaquée directement. C'est plutôt la chaîne d'approvisionnement en général moins bien défendue, dans ce cas les FSG, qui est d'abord ciblée.
Vous vous demandez peut-être ce que des pirates opérant pour un état et le cyber-espionnage international ont à faire avec vous et moi ? Probablement, mais pas nécessairement, rien. Mais il est important de comprendre le concept des attaques de chaîne d'approvisionnement et comment elles peuvent nous affecter. Nous devons tous savoir où nous nous situons sur la chaîne alimentaire du pirate.
Qu'est-ce qu'une chaîne d'approvisionnement ?
C’est une chaîne de dépendances en termes de biens ou de services. Si je fais mes courses à Carrefour, alors Carrefour est ma chaîne d'approvisionnement. Cette chaîne remonte jusqu'aux grossistes qui fournissent Carrefour, et encore plus loin jusqu'aux agriculteurs qui fournissent les grossistes.
Dans le monde de la technologie, mon fournisseur d'ordinateur fait partie de ma chaîne d'approvisionnement, et les fabricants des pièces assemblées par mon fournisseur font partie de sa chaîne d'approvisionnement. La même chose s'applique aux logiciels, le développeur fait partie de ma chaîne, et les producteurs de routines open source utilisées par le développeur font partie de sa chaîne d'approvisionnement.
Dans l'autre sens, je fais partie de la chaîne d'approvisionnement pour l'entreprise qui m'emploie. Cette entreprise fait partie de la chaîne d'approvisionnement d'autres entreprises qu'elle fournit. Si je suis un vendeur, je suis la chaîne d'approvisionnement pour mes clients.
Et ça continue comme ça. La société est une interaction complexe de chaînes d'approvisionnement complexes. Le problème est que dans le monde connecté d'aujourd'hui, les fournisseurs ont souvent un accès en ligne à ceux qu'ils fournissent.
En règle générale, plus l'entreprise est grande, plus elle est attirante pour les pirates, mais en même temps, mieux elle sera défendue. Ce n'est pas le cas des entreprises plus petites qui composent la chaîne d'approvisionnement. Les entreprises plus petites sont moins bien défendues, et les individus et leurs ordinateurs personnels sont les moins bien défendus de tous.
Sans m'en rendre compte, je pourrais faire partie d'une chaîne d'approvisionnement qui me relie à mon employeur, et de mon employeur à certaines des plus grandes, voire des plus importantes organisations du pays.
Un exemple d'attaque de chaîne d'approvisionnement
Le piratage ayant attiré l'attention du monde entier sur les attaques de chaînes d'approvisionnement a eu lieu en 2013 contre Target Corporation. Le 27 décembre, Target a averti que les cartes bancaires de jusqu'à 40 millions de clients avaient pu être compromises. Deux semaines plus tard, elle a annoncé que les informations personnelles de jusqu'à 70 millions de clients avaient pu être volées.
Bien que Target ait été la principale victime, les agresseurs ont obtenu l'accès via sa chaîne d'approvisionnement, plus spécifiquement via son fournisseur de système de climatisation, Fazio Mechanical Services (FMS). Parce que FMS fournissait des services à Target, l'entreprise a conservé un journal des identifiants d'accès réseau aux systèmes internes de Target. Alors que la sécurité de Target était trop efficace pour une attaque directe, FMS ne disposait pas de mesures aussi efficaces en place, et dès que les pirates ont été capables de violer l'accès du fournisseur HVAC, ils étaient en mesure d'utiliser ces identifiants pour contourner la sécurité de Target.
Depuis lors, il y a eu des centaines d'autres attaques de chaînes d'approvisionnement réussies. Par exemple, même l'attaque du ransomware dévastateur NotPetya (aussi appelé Petna) en 2017 (parfois décrit comme ayant été le cyber-incident le plus coûteux de tous les temps) peut être relié à une chaîne d'approvisionnement. Les agresseurs ont en premier lieu compromis une entreprise de comptabilité ukrainienne (M.E.Doc) et infecté le logiciel qu'elle fournissait à un nombre important de grandes entreprises ukrainiennes. Ces entreprises ont téléchargé le logiciel contenant NotPetya, d'où il s'est propagé à travers le monde.
Les utilisateurs domestiques et la chaîne d'approvisionnement en ligne
Nous avons tous nos propres chaînes d'approvisionnement, et les faiblesses qui y sont associées. En juillet 2018 par exemple, des agresseurs ont compromis le processus d'installation d'un éditeur de PDF pour que les utilisateurs installant l'application installent également un mineur de cryptomonnaies. L'application elle-même n'était pas compromise, mais sa chaîne d'approvisionnement l'était. Bien que les produits antivirus aient évité une attaque majeure, cela reste un bon exemple d'infection de chaîne d'approvisionnement. L'installateur du malware était distribué avec une application d'éditeur de PDF. L'application elle-même n'était pas compromise, mais un service d'ensemble de polices compris dans l'éditeur l'était. Cela montre que la chaîne d'approvisionnement peut s'étendre assez loin : d'un service à un composant de logiciel, à un processus d'installation et finalement jusqu'à... nous.
Dans les prochains paragraphes, nous étudierons certains exemples et certaines méthodes fréquemment utilisées pour contaminer nos propres chaînes d'approvisionnement afin de nous compromettre, nous ou d'autres à travers nous.
Chaîne d'approvisionnement de gestion de contenu
Les attaques de chaîne d'approvisionnement sont plus efficaces lorsqu'elles atteignent des cibles ayant la plus grande portée possible. Il n'est alors pas surprenant que le logiciel d’un système de gestion de contenu (CMS), sous-jacent à un logiciel de blogs, soit une cible attractive. Aucun autre type de service web n'est aussi largement utilisé par des utilisateurs de tous niveaux, allant des individuels produisant et publiant des blogs personnels aux grandes entreprises fournissant des services commerciaux en ligne. C'est particulièrement vrai dans le cas du système de gestion de logiciel WordPress, le plus utilisé au monde, qui possède sa propre chaîne d'approvisionnement localisée sous la forme de ses plugins. Ce sont des modules, créés à la fois par des utilisateurs professionnels et amateurs, qui peuvent être mélangés et adaptés pour permettre aux utilisateurs de personnaliser leur site en fonction de leurs objectifs spécifiques.
Début 2018, WordPress a commencé à remarquer une hausse des attaques de chaîne d'approvisionnement exploitant l'infrastructure de plugins WordPress. Les pirates pouvaient soit utiliser un plugin malveillant prenant la forme d'une fonctionnalité utile, qui allait alors collecter des données ou transmettre des malwares aux utilisateurs, soit compromettre un plugin existant avec un code malveillant.
Si un site web est compromis à travers sa chaîne d'approvisionnement, tout futur visiteur de ce site peut potentiellement être compromis.
Attaques soutenues par un gouvernement étranger sur la chaîne d'approvisionnement
En 2017, des pirates russes ont ciblé le réseau électrique des États-Unis. Bien sûr, c'est une cible trop grosse et trop bien protégée pour une attaque directe, donc les pirates s'en sont pris aux employés de base des petites entreprises fournissant un soutien au réseau électrique. Grâce à des e-mails de phishing, des attaques de malware et des publicités agressives, les attaquants ont bâti petit à petit une banque d'identifiants compromis, leur permettant d'accéder de mieux en mieux aux entreprises plus proches du réseau électrique.
Heureusement, cette attaque n'est jamais allée assez loin pour causer des problèmes d’énergie à grande échelle, mais en cours de route, les pirates ont obtenu une quantité importante de données personnelles des utilisateurs réguliers, travaillant dans de petites entreprises et des sociétés d’assistance. Même si vous n'êtes pas la cible finale d'une attaque de chaîne d'approvisionnement, elle peut tout de même causer d'importants dommages en termes de vie privée et de sécurité.
Nous cibler à travers les produits que nous achetons est une possibilité alléchante pour des agresseurs. En 2018, Bloomberg a publié un rapport déclarant que des produits fabriqués pour des entreprises dont Amazon et Apple avaient été compromis par de minuscules micropuces attachées aux cartes mères lors de la fabrication de ces dernières en Chine.
Bien que des doutes subsistent quant à la véracité de cette information, c'est une possibilité alarmante à considérer. Une telle puce permettrait non seulement au gouvernement chinois de surveiller toutes les données personnelles et financières passant par ces serveurs, mais de plus, elle permettrait aux pirates d'altérer à distance la fonctionnalité et la performance des serveurs. Cela démontre à quel point les attaques de chaînes d'approvisionnement peuvent être puissantes, et comment quelque chose d'aussi distant, géographiquement et technologiquement, que du matériel courant peut facilement nous atteindre en tant que clients.
C'est la simple possibilité que cela puisse se produire (il n'y a pas de vraies preuves) qui est à l'origine du bannissement par beaucoup de pays occidentaux de bon nombre de produits Huawei fabriqués en Chine. Dans le même esprit (et encore une fois sans vraies preuves), des agences fédérales américaines ont l’interdiction d'utiliser des produits Kaspersky de peur que le gouvernement russe puise compromettre les ordinateurs utilisant le logiciel Kaspersky.
Attaques criminelles et autres sur notre chaîne d'approvisionnement
Ce ne sont pas seulement des nations étrangères qui menacent notre chaîne d'approvisionnement de matériel et de logiciel. Nos appareils Android sont menacés par des malwares criminels qui infiltrent le Google Play Store et menacent la fourniture de ce qui devrait être des applications fiables. En février 2019, Avast a découvert trois applications de « selfie » dans le Play Store porteuses de logiciels publicitaires et de logiciels espions, et qui comptaient plus de 2 millions de téléchargements.
Et ce ne sont pas nécessairement des criminels qui infiltrent notre chaîne d'approvisionnement. En remontant à 2005, Sony BMG a été confronté à un énorme scandale concernant l'implémentation d'une protection de copie sur ses CD de musique. Les CD installaient secrètement deux parties d'un logiciel de gestion de droits numériques (DRM) sur l'ordinateur de l'utilisateur, faisant office de rootkits et permettant l'intrusion facile d'autres malwares provenant d'autres agents malveillants.
Alors que cet article est rédigé en avril 2019, un nouveau scandale est en train de voir le jour en Italie. Un spyware Android (existant également en version iOS) a été distribué via le Play Store. Nommé Exodus, il semble que ce soit un spyware développé dans un but d’application de la loi afin d'espionner des suspects potentiels sans approbation préalable d’un tribunal.
Où nous situons-nous sur la chaîne d'approvisionnement mondiale ?
Le but de cette analyse est de démontrer que nous sommes tous des maillons de la chaîne d'approvisionnement mondiale. Nous avons notre propre chaîne d'approvisionnement et nous faisons partie d'autres chaînes d'approvisionnement. Nous sommes les cibles de criminels, et peut-être même de gouvernements étrangers, qui cherchent à infiltrer nos ordinateurs personnels par le biais de notre propre chaîne d'approvisionnement. Et nous sommes tous des cibles potentielles de groupes de piratage majeurs et mineurs qui peuvent nous utiliser en tant que point de départ pour atteindre nos employeurs et leurs clients.
Personne ne doit se considérer trop petit ou insignifiant pour être ciblé en tant que maillon de la chaîne d'approvisionnement. Avec l'expansion du marché des indépendants, il y a un nombre croissant d'auto-entrepreneurs qui utilisent leur ordinateur domestique pour travailler pour plusieurs clients. Beaucoup livrent leur travail au format numérique, parfois directement sur les réseaux de leurs clients. Ces personnes, et souvent leurs clients, peuvent être ciblées via leurs ordinateurs, et sont faciles à trouver sur les réseaux sociaux.
Nous devons nous protéger en amont de notre propre chaîne d'approvisionnement. Pour ce faire, le mieux est de toujours être conscient des menaces potentielles et d'avoir de bons logiciels antivirus si notre vigilance échoue. Et nous devons protéger notre chaîne d'approvisionnement en aval via des pratiques de sécurité. Mais par-dessus tout, nous devons protéger nos ordinateurs personnels pour que nous ne devenions pas un maillon actif dans une attaque de chaîne d'approvisionnement majeure.
Kevin Townsend est un blogueur invité du blog Avast où vous pouvez vous informé des dernières nouvelles sur la sécurité. Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs à travers le monde avec un antivirus gratuit primé et préservant la confidentialité de leurs activités en ligne grâce notamment à un VPN et autres produits de confidentialité.
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.
