Depuis plusieurs mois, les États-Unis font face à une cyberattaque d’une ampleur inédite causée en grande partie à cause d’une faille de sécurité dans le logiciel Orion de SolarWinds. Il y a quelques jours, Trustwave a déclaré avoir découvert trois autres failles de sécurité « critiques » dans les logiciels de SolarWinds, qui n’ont vraisemblablement pas été exploitées, mais qui montre la vulnérabilité de l’entreprise.

Trois nouvelle failles découvertes chez SolarWinds

Selon le Wall Street Journal, les hackers auraient pénétré le logiciel Orion dès octobre 2019. Le piratage remonte donc à quasiment un an et demi… Alors que cette cyberattaque est déjà largement considérée comme la plus importante du XXIe siècle, une autre société de cybersécurité dénommée Trustwave, vient de faire une découverte inquiétante. Nous pouvions deviner la vulnérabilité du logiciel Orion de SolarWinds, mais Trustwave a récemment pointé du doigt trois autres failles importantes. Même si elles n’ont pas été exploitées, une telle découverte est inimaginable en ce moment. SolarWinds aurait dû profiter de cette période pour renforcer sa sécurité.

Trustwave, a déclaré avoir informé SolarWinds des vulnérabilités, qui auraient très certainement pu permettre à un attaquant de compromettre les infrastructures d’autres clients de SolarWinds. Aucune preuve montrant que ces failles auraient été exploitées n’a été détectée. Néanmoins, ces découvertes soulèvent de nouvelles questions sur la sécurité chez SolarWinds. L’entreprise est quand même le fournisseur des logiciels de nombreuses agences gouvernementales du monde entier et de plusieurs grandes entreprises du Fortune 500.

Des tests sur les systèmes de défense doivent être effectués sans arrêt

Selon Trustwave, les dommages potentiels, si les failles avaient été exploitées, sont difficiles à quantifier. Théoriquement, cela aurait pu entraîner l’exposition de millions de données de consommateurs ainsi que des informations secrètes détenues par les grandes entreprises et les gouvernements. Ziv Mador, VP chez Trustwave et chargé de la recherche sur la sécurité, a déclaré ceci : « nous avons décidé que nous voulions essayer nous-mêmes de voir dans quelle mesure les produits SolarWinds sont protégés. En deux semaines, nous avons trouvé trois vulnérabilités critiques ».

Suite à ces révélations, SolarWinds a pris la parole. Un porte-parole de la société a indiqué que : « suite à la récente attaque contre une série de fournisseurs de logiciels américains, dont SolarWinds, nous avons collaboré avec nos partenaires industriels et les agences gouvernementales pour faire avancer notre objectif de faire de SolarWinds la société de logiciels la plus sûre et la plus fiable. Nous nous sommes toujours engagés à travailler avec nos clients et d’autres organisations pour identifier et remédier de manière responsable à toutes les vulnérabilités de notre gamme de produits ».

Il y a une morale à tirer de cette histoire : les fournisseurs de logiciels devraient continuellement soumettre leurs produits à des « tests de pénétration ». Les vulnérabilités sont trop nombreuses et les hackers trop bien préparés pour les exploiter. Ziv Mador de Trustwave a ajouté que : « dans près de 100% des applications que nous testons, nous trouvons des vulnérabilités. Certaines sont graves, d’autres légères, mais c’est la réalité ». Trustwave publiera la semaine prochaine la « preuve de concept », pour montrer comment les failles pouvaient être exploitées.