- Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. « Aquas di Marco » , en français « Les eaux de Mars » , est l'une des chansons les plus connues du monde. C'est un standard de la bossa nova qu'on doit au compositeur brésilien Antonio Carlos Jobim. En plus d'être archi-connu, cette chanson a le pouvoir universel de donner le sourire à tout le monde. Mais en plus de ce super pouvoir, le texte de cette chanson n'a rien de commun. Il n'y a ni couplet, ni refrain. C'est une suite d'images poétiques où la tristesse se mêle à l'espoir. Le texte de cette chanson est principalement composé d'un aphore du mot brésilien « é » qui se traduit en français par « c » . C'est le souffle du vent au sommet des collines. C'est une vieille ruine, le vide, le néant. C'est la pie qui jacasse, c'est la verse qui verse. C'est un flot continu de souvenirs qui n'a ni début ni fin. Cette chanson a été traduite en français par Georges Moustaki et je vous conseille la version interprétée par Stacy Kent. En cybersécurité, il y a aussi parfois de longues énumérations. C'est le cas du Bill of Materials, ou facture du matériel en français. Mais à quoi cela peut-il servir ? C'est le même problème que la traçabilité dans l'alimentation. Dans la grande majorité des cas, les logiciels que nous utilisons sont un assemblage de composants ayant différentes provenances. Dès lors, y a-t-il un danger et comment s'en prémunir ? Toute cette histoire commence avec SolarWinds. La cyberattaque de SolarWinds, découverte en décembre 2020, est considérée comme l'une des attaques informatiques les plus importantes et sophistiquées de l'histoire récente. Aujourd'hui, je vais vous expliquer en détail comment elle s'est déroulée, qui elle a touchée, quelles en ont été les conséquences et quelles leçons essentielles nous avons à attirer. Tout d'abord, qu'est-ce que SolarWinds ? SolarWinds est une entreprise américaine fondée en 1999 spécialisé dans les logiciels permettant aux entreprises et aux organisations de gérer leur système informatique. Son logiciel le plus connu, Orion, est utilisé dans le monde entier pour surveiller et administrer efficacement les réseaux informatiques complexes. Pourquoi les hackers ont-ils ciblé précisément Orion ? Ce logiciel est installé chez des milliers de clients, parmi lesquels se trouvent des agences gouvernementales américaines majeures, ainsi que de nombreuses grandes entreprises internationales. L'ampleur de son utilisation rendait Orion particulièrement intéressante pour une attaque dite par la chaîne d'approvisionnement, permettant aux hackers de toucher un maximum de cibles à partir d'une seule intrusion. Comment l'attaque s'est-elle déroulée précisément ? Les pirates informatiques ont réussi à introduire discrètement une porte dérobée, un logiciel malveillant baptisé Sunburst, dans une mise à jour officielle du logiciel Orion. Cette mise à jour compromise a ensuite été téléchargé par près de 18 000 organisations à travers le monde. Sans le savoir, ces organisations ont involontairement ouvert une porte d'entrée au hacker sur leur réseau interne. Une fois à l'intérieur des réseaux ciblés, les pirates ont opéré discrètement pendant plusieurs mois, restant indétectables en utilisant des techniques avancées pour masquer leur présence. Ils ont notamment utilisé des outils légitimes et des identifiants d'utilisateurs réels afin de ne pas éveiller de soupçons. Pendant cette... période, ils ont pu voler d'importantes quantités d'informations sensibles, espionner des échanges confidentiels et établir d'autres points d'accès secrets leur permettant de conserver leur infiltration, même après la découverte initiale de l'attaque. Parmi les victimes figurent des institutions essentielles du gouvernement américain, tels que le département du trésor, le département de la sécurité intérieure, le département du commerce et même le pentagone. De nombreuses grandes entreprises technologiques comme Microsoft, Cisco et Intel ont été ont également subi des intrusions majeures. Environ une centaine d'organisations stratégiques ont été spécifiquement ciblées par les attaquants. L'attribution de cette attaque a rapidement pointé vers un groupe de hackers russes connu sous le nom de Kozybir, fortement soupçonné d'être lié au service de renseignement russe.
- Speaker #1
Si une guerre avec Poutine devait avoir lieu ici, elle risque fort de se passer comme ça. Au 1er mars 2025, 9h du matin, la Russie débarque en Belgique par la mer du Nord. Le plat pays, fort de son unité et d'un gouvernement soudé, prend aussitôt les armes pour défendre son territoire bec et ongles. 10h du matin, la Belgique capitule. Les troupes russes se dirigent vers le territoire français, faisant un petit crochet par le Luxembourg, histoire de faire le plein d'essence et d'acheter des fardes de cigarettes. 2 mars 2025, les Russes envahissent la France. CNews part en édition spéciale. « Dobro, prozalvat Ausha , ce qui en français veut dire « bienvenue chez vous » et diffuse en boucle des chansons de Mirai Mathieu. Géographiquement, la France se divise en deux. Jordan Bardella et Marine Le Pen prennent la tête du gouvernement de Vittel. Ça change de Vichy, mais ça reste une ville d'eau. Emmanuel Macron réagit en chef d'État et annonce sa propre dissolution. Il fuit en jet-ski vers Londres avec François Bayrou à l'arrière du bolide. Mais ce dernier n'abandonnera pas complètement la partie puisqu'une fois arrivé en zone libre, il prendra un avion pour assister au conseil municipal 2. 3 mars 2025, les Russes débarquent à Paris et là, découvrent le plan de circulation d'Anne Hidalgo. 18 mars 2025, les troupes ne sont toujours pas arrivées à destination à cause de ce qu'ils appelleront le bourbier de la rue de Rivoli et décident de rebrousser chemin. C'est la libération. Emmanuel Macron revient à l'Elysée, s'attribue tout le mérite de cette victoire. Quant à François Bayrou, il jure qu'il n'était pas au courant de cette invasion russe. Sur CNews, Scalpro lance un grand débat. Pourquoi les musulmans n'ont-ils pas condamné cette attaque soviétique ? L'eau des viands redevient la préférée de la France libre. Bref, tout est bien, qui fait libère.
- Speaker #0
Malgré ces accusations fondées sur de solides preuves techniques, la Russie a constamment nié son implication dans cette opération. Face à la gravité des faits, les États-Unis ont réagi avec fermeté, imposant des sanctions économiques à la Russie. expulsant des diplomates russes et renforçant considérablement leur propre stratégie de cybersécurité. Les conséquences de cette attaque vont bien au-delà du simple espionnage informatique. Elle a profondément transformé la perception et l'approche globale de la cybersécurité. Aujourd'hui, SolarWinds sert de référence pour illustrer les dangers d'une vulnérabilité liée aux fournisseurs de logiciels et leur mise à jour. Elle souligne l'importance d'une gestion stricte et contrôlée des mises à jour logicielles et d'une surveillance. accrue des chaînes d'approvisionnement numérique. Mais il existe d'autres exemples que SolarWinds. C'est le cas de la librairie Evenstream. La cyberattaque liée à la bibliothèque JavaScript Evenstream, découverte en 2018, représente un cas emblématique des dangers associés aux bibliothèques open source non activement maintenues. Evenstream est une bibliothèque JavaScript très populaire utilisée par de nombreux développeurs pour gérer efficacement les flux d'événements et les données en temps réel. dans leurs applications web. Evenstream était particulièrement appréciée pour sa simplicité et son efficacité, ce qui expliquait pourquoi elle était intégrée dans des milliers de projets à travers le monde. Pourquoi les hackers ont-ils ciblé précisément Evenstream ? La bibliothèque n'était plus activement maintenue par son créateur original. Et lorsqu'un nouveau développeur s'est proposé pour en reprendre la gestion, la communauté n'a pas suffisamment vérifié ses intentions. L'importance de cette bibliothèque et son intégration dans de nombreux projets faisait d'elle une cible idéale pour une attaque discrète mais de grande ampleur. Comment cette attaque s'est-elle déroulée précisément ? Le développeur Malveillant, ayant repris la maintenance d'EventStream, a introduit discrètement du code Malveillant dans une mise à jour officiellement distribuée via le gestionnaire de paquets NPM. Ce code, camouflé avec soin pour éviter toute détection immédiate, visait spécifiquement une application de portefeuille Bitcoin. Copay. Le logiciel malveillant était conçu pour voler les clés privées des utilisateurs, leur permettant ainsi d'accéder au fonds en Bitcoin. Une fois déployé, ce code malveillant est resté caché pendant plusieurs mois, sans éveiller le moindre soupçon. Les utilisateurs de Copay, et potentiellement d'autres applications intégrant EventStream, se sont retrouvés vulnérables sans en avoir conscience. Cette attaque a rêvé à quel point il peut être facile d'insérer du code dangereux dans une bibliothèque populaire, parce qu'elle est mal surveillée ou abandonnée par ses développeurs d'origine. Les conséquences de cette intrusion ont été sérieuses. De nombreux utilisateurs de l'application Copay ont vu leur sécurité compromise et ont été contraints de migrer rapidement vers des versions sécurisées ou d'autres solutions logicielles. La communauté JavaScript dans son ensemble a pris conscience des risques considérables liés à l'absence de vérification approfondie lorsqu'une bibliothèque open source change de mainteneur. En réaction à cette attaque, Le monde du développement web a renforcé ses bonnes pratiques en matière de sécurité et de gestion des dépendances open source. Désormais, il est fortement recommandé d'examiner soigneusement toutes les librairies intégrées dans un projet, de surveiller de près ses mises à jour et de vérifier régulièrement la réputation et les antécédents des contributeurs impliqués dans un projet critique. Un autre exemple encore plus récent est celui de CTX. L'attaque du package Python CTX a été découverte en 2022. Elle illustre parfaitement les risques liés aux bibliothèques open source compromises. Cette attaque a touché des entreprises comme Tesla et Disney. Tout d'abord, il faut comprendre le mode de distribution. Dans le cas de Python, il existe des plateformes qui mettent à disposition de la communauté des développeurs des packages prêts à être installés et utilisés. Le package CTX était présenté comme un outil d'aide à la gestion des contextes dans des applications Python. Ce package CTX semblait légitime et utile, ce qui a facilité son adoption rapide par de nombreuses entreprises. Son intégration discrète dans des projets majeurs, en faisant une cible particulièrement attrayante pour les hackers, se tend à infiltrer des entreprises de haut niveau. Comment s'est déroulée précisément cette attaque ? Là encore, les attaquants ont introduit du code malveillant dans ce package Python. Une fois téléchargé et intégré par les développeurs dans leur application, ce code malveillant ouvrait des portes dérobées et volait des données sensibles. Plus précisément, il tentait de collecter des informations d'identification et des données confidentielles stockées par les entreprises utilisant ce package. Les conséquences ont été particulièrement significatives, notamment pour Tesla et Disney. Deux grandes entreprises mondialement reconnues. Toutes ont dû agir rapidement afin d'identifier et d'éliminer ce package malveillant de leur système d'information. L'incident a provoqué une prise de conscience profonde quant au risque lié à la dépendance envers des bibliothèques open source non vérifiées rigoureusement. Cet événement a poussé la communauté des développeurs Python à renforcer considérablement les procédures de sécurité concernant la gestion des dépendances logicielles. Désormais, il est essentiel de vérifier systématiquement l'origine des bibliothèques utilisées de réaliser régulièrement des audits de cybersécurité approfondis et de maintenir à jour des mécanismes de contrôle d'intégrité des packages téléchargés. Mais comment faire pour traiter au mieux ce type de problème ? Il y a certes des contrôles à faire en amont sur la qualité du code ou l'antécédent des contributeurs, mais comment faire en cas de problème ? C'est là que le Bill of Material prend tout son sens. Le Bill of Material, ou BOM pour les intimes, s'inspire du concept utilisé dans l'industrie manufacturière, ou INB. BOM liste tous les composants nécessaires à la fabrication d'un produit. Le Software Bill of Material, le SBOM, est une liste détaillée de tous les composants logiciels utilisés dans une application ou un système informatique. Il précise notamment l'origine, la version exacte et les éventuelles vulnérabilités connues de chacun des composants utilisés. C'est pour cette raison que le président Biden, dans son Executive Order du 12 mai 2021, a insisté sur l'origine pour les fournisseurs de logiciels destinés aux BOM. gouvernement américain de fournir un SBOM détaillé. Grâce au SBOM, les entreprises et les gouvernements disposent désormais d'une visibilité complète sur tous les composants intégrés dans leur système. Cela facilite grandement l'identification rapide des vulnérabilités dès leur découverte et cela réduit le temps nécessaire pour agir aux incidents et permet une gestion proactive des risques informatiques. La mise en place généralisée du SBOM répond également aux enjeux de transparence et de confiance. dans la chaîne d'approvisionnement numérique, limitant considérablement les risques d'attaques similaires à celles subies par SolarWinds. Elle encourage aussi une culture d'amélioration continue et de responsabilité partagée entre le fournisseur de logiciels et leurs clients. Depuis l'adoption de l'executive order, les entreprises sont encouragées à renforcer leur processus interne pour produire et maintenir des S-BOM régulièrement mis à jour. Cela implique des audits réguliers des composants logiciels, Une gestion rigoureuse des mises à jour et une coopération accrue entre les équipes techniques et le responsable de la sécurité. Alors même si on parle ici de la législation américaine, il y a fort à parier que tôt ou tard, les éditeurs de logiciels devront aussi fournir plus de transparence quant aux composants utilisés dans leurs logiciels. A l'instar de la sécurité alimentaire, le S-BOM n'empêche pas le risque lui-même, mais permet de réagir beaucoup plus vite en cas de suspicion.
- Speaker #2
C'est une recherche du pays ! ... Ça s'appelle la foule. La foule. Oh, elle est bien folle. On va vous la servir à l'étaler. Comme chez nous, hein. C'est-à-dire, on l'étale sur le plat. Et c'est quoi, c'est dedans, là ? Ah, ben ça, c'est fait avec tous les restes de fromage de la lune. Alors on fait macérer ça avec du gras et puis de l'alcool de bois pendant deux trois saisons. Puis il y a les couines aussi.
- Speaker #0
On va passer à la petite, tu vas venir un vrai montagnard.
- Speaker #2
Il n'y a rien de tel pour se faire une bonne santé.
- Speaker #0
Celle-là elle a au moins trois ans d'âge.
- Speaker #2
C'est quoi les petites feuilles blanches ? Ça c'est des verres. Ben oui, comme ça, il y a la viande aussi.
- Speaker #0
Pour la petite anecdote, Antonio Scarles-Jeubim dit un jour que sa chanson « Les oeufs de Mars » lui ont économisé une fortune en psychologue. Alors faites comme lui. Gardez un œil sur les composants qui sont utilisés directement ou indirectement dans votre système d'information et économisez une fortune en cas de problème. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.