Pendant plusieurs semaines au milieu de l’année 2023, un acteur menaçant connu sous le nom de « Tempête-0558 » qui est largement associé au gouvernement de la République populaire de Chine, a réussi à compromettre les boîtes aux lettres Microsoft Exchange Online de plus de 500 personnes travaillant pour 22 organisations à travers le monde – y compris le gouvernement fédéral américain, ainsi que des organisations en Europe occidentale, en Asie -Région Pacifique (APAC), Amérique latine et Moyen-Orient.
Le but de la campagne ? Espionnage. Les boîtes de réception ciblées du gouvernement fédéral comprenaient celles des principaux acteurs de la sécurité nationale américaine. Le Département d’État américain a détecté la faille à la mi-juin après avoir détecté une activité suspecte associée aux comptes Outlook Web Access de plusieurs employés. L’incident a été immédiatement signalé à Microsoft, qui a supposé qu’il résultait d’une compromission d’un système du Département d’État.
Cependant, une enquête plus approfondie a révélé que les auteurs de la menace avaient accédé aux comptes de messagerie du Département d’État directement via le portail Outlook Web Access de Microsoft. En d’autres termes, la violation concernait – en fait – un système Microsoft, et non une plate-forme du gouvernement américain, selon un rapport sur l’incident (PDF) publié par le Cyber Safety Review Board (CSRB) du gouvernement américain en avril.
Quelle était l’arme secrète de la Chine pour accéder à certains des comptes de messagerie les plus sensibles du gouvernement fédéral ? Une clé cryptographique de compte de services Microsoft (MSA) compromise, vieille de sept ans. Les attaquants ont utilisé la clé volée, qui était censée avoir été retirée en 2021, pour signer des jetons d’accès afin d’authentifier les acteurs de Storm-0558 en tant qu’utilisateurs Outlook valides.
Malgré le rapport du CSRB, de nombreux détails sur la violation de Microsoft par Storm-0558 restent un mystère, y compris la manière dont les acteurs malveillants ont initialement obtenu la clé de signature MSA. Ce qui est clair, cependant, c’est le risque croissant que les chaînes d’approvisionnement en logiciels vulnérables font peser sur les entités publiques et privées, ainsi que les enjeux croissants liés à la sécurisation des logiciels et des services qui constituent le fondement des organisations modernes.
Les risques liés à la chaîne d’approvisionnement logicielle augmentent
Plus que jamais, ces risques croissants signifient que les équipes de sécurité devront commencer à aller au-delà de l’atténuation des vulnérabilités logicielles ou de la recherche des failles des logiciels open source. Tous deux ont dominé les discussions sur la sécurité de la chaîne d’approvisionnement logicielle (SSCS). Toutefois, comme nous le rappelle la violation de Microsoft Exchange Online, les chefs d’entreprise doivent également concentrer leurs ressources et leur attention sur l’ouverture de la boîte noire que sont les logiciels commerciaux. Je dirais que les logiciels commerciaux constituent aujourd’hui la surface d’attaque la plus importante et la plus sous-traitée dans les entreprises.
Prenons par exemple le récent rapport de LED bleuequi a révélé que 93 % des entreprises ont subi une faille de cybersécurité en raison de faiblesses dans leur chaîne d’approvisionnement/fournisseurs tiers. Ces faiblesses résultent de menaces pressantes pour la sécurité de la chaîne d’approvisionnement logicielle, telles que l’insertion de logiciels malveillants, la falsification de code, la divulgation de secrets et la « pourriture des logiciels », c’est-à-dire la détérioration progressive de la sécurité à mesure que les logiciels vieillissent. Continuer à concentrer toutes nos énergies sur l’identification et la correction des vulnérabilités et des risques de sécurité open source ne protégera pas les entreprises contre de telles faiblesses – les laissant sans défense face à des incidents de cybersécurité coûteux et préjudiciables comme la violation de Microsoft et de ses clients.
À l’heure où les régulateurs aux États-Unis et dans l’Union européenne mettent les RSSI modernes au défi d’être tenus responsables de la sécurité de leur entreprise, les responsables de la sécurité doivent se demander : « Comment puis-je savoir si les logiciels commerciaux sur lesquels s’appuie notre entreprise sont sécurisés ? En tant que RSSI, la norme de diligence raisonnable n’est plus « le saviez-vous ? Mais plutôt : « Auriez-vous dû le savoir ?
Contourner la détection grâce aux compromissions de la chaîne d’approvisionnement logicielle
La violation d’Exchange Online de Microsoft, ainsi que la compromission d’applications largement utilisées comme Orion de SolarWinds et l’application de bureau de 3CX, mettent en évidence à quel point les acteurs de la menace sophistiquée abandonnent les voies d’attaque courantes – telles que le piratage de comptes ou l’exploitation de vulnérabilités logicielles connues en public. face aux actifs. Ce faisant, ils peuvent contourner les outils de détection et atteindre leurs objectifs.
Dans chacun de ces incidents, des composants critiques de la chaîne logistique logicielle, tels que les clés de signature, les référentiels de code et les serveurs de build, ont été compromis et manipulés pour atteindre les objectifs des attaquants. Les producteurs de logiciels ne disposent pas des outils nécessaires pour surveiller et détecter les activités suspectes et les falsifications de leurs logiciels. De plus, les clients des fournisseurs ne disposent pas d’outils similaires pour vérifier la sécurité et les mises à jour des logiciels.
Chaîne d’approvisionnement : carottes et bâtons
Ces attaques contre des logiciels commerciaux ne sont qu’un début. Les acteurs de la menace n’ont pas encore effleuré tout ce qu’ils peuvent exploiter dans le processus d’achat de logiciels commerciaux.
Heureusement, le gouvernement fédéral a mis en place des politiques qui confient la responsabilité de la sécurité de la chaîne d’approvisionnement logicielle (SSCS) aux producteurs de logiciels. Le 2021 Décret exécutif sur l’amélioration de la cybersécurité de la nation (EO 14028) et l’Agence de cybersécurité et de sécurité des infrastructures Engagement de sécurité dès la conception mettre l’accent sur les principes SSCS complets. La Food and Drug Administration (FDA) a également pris le SSCS au sérieux en exigeant que les fabricants de dispositifs médicaux produire des nomenclatures logicielles (SBOM) pour chacun de leurs produits.
Et de plus en plus, les experts du secteur demandent aux leaders de la sécurité d’intensifier leurs programmes SSCS et d’intégrer les évaluations de la sécurité de la chaîne d’approvisionnement au processus d’achat de logiciels commerciaux. Par exemple, dans un nouveau rapport de Gartner, « Guide du leader sur la sécurité de la chaîne d’approvisionnement logicielle » l’entreprise a souligné que les efforts SSCS existants entre les entreprises « sont souvent mal coordonnés ». Il a souligné que les responsables de la sécurité devraient prêter attention aux attaques de la chaîne d’approvisionnement logicielle, y compris les codes propriétaires et commerciaux, qui présentent des risques importants en matière de sécurité, de réglementation et opérationnels pour les organisations.
#défi #lapprovisionnement #brise #boîte #noire #sont #les #logiciels #commerciaux
