Alors qu’une cyberattaque majeure menée par des hackers russes a frappé le logiciel Orion, développé par la société américaine SolarWinds, Microsoft a expliqué dans un billet de blog avoir découvert qu’un second groupe de pirate avait ciblé la plateforme.

Une attaque de très grande ampleur

Il s’agit de l’une des plus importantes affaires de cyberespionnage de tous les temps, elle a été identifiée le 12 décembre dernier par l’entreprise spécialisée en cybersécurité FireEye. Pour la mener, les hackers ont intégré un code à une mise à jour d’Orion, logiciel de gestion destiné aux professionnels et utilisé par des très gros noms de l’industrie, en l’occurrence, plusieurs entreprises du CAC 40, en plus de nombreuses agences gouvernementales américaines. Outre-Atlantique, les départements des finances, de l’énergie, du commerce ou encore de la sécurité nationale comptent parmi les victimes de ce malware. Ce dernier a permis aux hackers d’avoir accès à des tas d’informations sensibles, et il est encore difficile de quantifier l’impact réel de la cyberattaque, nommée Sunburst.

Par ailleurs, des firmes comme Microsoft, Nvidia, Cisco, Intel, Belkin et VMWare ont rapporté que des ordinateurs de leurs réseaux avaient également été infectés. SolarWinds a affirmé que les victimes étaient moins de 18 000, ce qui reste un chiffre très élevé surtout lorsque l’on voit qui figure parmi celles-ci. Et désormais, une révélation faite par Microsoft vient un peu plus acculer l’entreprise basée à Austin, au Texas.

Orion infecté par un second malware

Un second groupe de hackers, dont on ignore encore l’origine, a également pris pour cible SolarWinds : « L’enquête sur l’ensemble du fichier compromis de SolarWinds a conduit à la découverte d’un malware supplémentaire qui affecte également le produit SolarWinds Orion mais qui a été déterminé comme n’étant probablement pas lié à cette attaque et utilisé par un autre acteur », indique la firme de Redmond.

Ce malware, baptisé Supernova et créé fin mars, agit de manière différente et est moins dangereux que Sunburst. Il imite mais n’est pas « signé numériquement », ce qui suggère que ce second groupe n’a pas partagé l’accès aux systèmes internes de la société comme l’ont fait les hackers russes. Même si son risque est moins élevé, cet autre malware met en cause les systèmes de sécurité de SolarWinds, trompés à deux reprises.