Qu'est-ce qu'une supply chain attack ?

Une supply chain attack, ou attaque de la chaîne logistique en français, est un moyen très efficace d'enfreindre la sécurité en injectant des bibliothèques ou des composants malveillants dans un produit sans que le développeur, le fabricant ou le client final ne s'en aperçoive. C'est un moyen efficace de voler des données sensibles, d'accéder à des environnements très sensibles ou de prendre le contrôle à distance de systèmes spécifiques. Les plus exposés sont les grands développeurs de logiciels et les distributeurs de matériel informatique qui font confiance à un fournisseur pour fabriquer et expédier des produits qu'ils utilisent pour construire leurs produits finaux.

Les supply chain attacks dans le domaine de la technologie se concentrent sur les fournisseurs de logiciels et les fabricants de matériel. Les attaquants recherchent du code non sécurisé, des pratiques d'infrastructure non sécurisées et des procédures de réseau non sécurisées qui permettent l'injection de composants malveillants. Lorsqu'un processus de construction nécessite plusieurs étapes, du développement (ou de la fabrication) à l'installation, un attaquant (ou un groupe d'attaquants) a plusieurs occasions d'injecter son propre code malveillant dans le produit final.

Certains fabricants, vendeurs et développeurs fabriquent des produits utilisés par des milliers de clients. Un attaquant qui parvient à pénétrer chez l'un de ces fournisseurs peut potentiellement accéder à des milliers de victimes sans méfiance, notamment des entreprises technologiques, des gouvernements, des prestataires de services de sécurité, etc. Au lieu de s'attaquer à une seule organisation ciblée, une supply chain cyber attack donne à un attaquant la possibilité d'obtenir l'accès à de nombreuses entreprises, grandes et petites, pour exfiltrer silencieusement de grandes quantités de données à leur insu.

Dans le cadre d'une attaque de la chaîne d'approvisionnement en matériel, un fabricant peut installer une micropuce malveillante sur une carte de circuit imprimé utilisée pour construire des serveurs et d'autres composants de réseau. Grâce à cette puce, l'attaquant peut écouter les données ou obtenir un accès à distance à l'infrastructure de l'entreprise. Dans le cadre d’une supply chain cyber attack au niveau des logiciels, un développeur de bibliothèque malveillant peut modifier le code pour effectuer des actions malveillantes dans l'application de son client. La bibliothèque peut être utilisée pour faire du cryptojacking, voler des données ou laisser une porte dérobée permettant à un attaquant d'accéder à distance à un système d'entreprise.

Dans bon nombre des plus grandes menaces pesant sur la chaîne d'approvisionnement, la fraude par e-mail est le principal vecteur utilisé pour lancer l'attaque. La compromission de la messagerie professionnelle (BEC) fonctionne bien pour les attaquants qui font preuve de diligence raisonnable et effectuent des recherches sur leur cible. En effet, ils peuvent envoyer des messages électroniques à des employés clés (par exemple, des services financiers) pour leur demander de payer une facture ou d'envoyer de l'argent. L'adresse de l'expéditeur ressemble à celle du PDG ou du propriétaire, et le message est rédigé de manière à paraître urgent au destinataire. Dans certains scénarios, l'attaquant compromet le compte de messagerie d'un dirigeant et l'utilise pour envoyer des e-mails de phishing aux employés de l'entreprise.

• Les menaces physiques sur la chaîne d'approvisionnement : Les menaces physiques sur la chaîne d'approvisionnement nécessitent généralement une coopération avec les fabricants et les fournisseurs pour injecter des composants dans les cartes de circuits imprimés. Les fabricants reçoivent un plan de conception qu'ils doivent suivre pour fabriquer les composants. Un fabricant malveillant peut ajouter un composant supplémentaire dans la carte de circuit imprimé pour écouter les données et les envoyer à un attaquant.
• Menaces sur la supply chain des logiciels : Les organisations font appel à des fournisseurs de logiciels pour installer leur produit sur le réseau et remplir une fonction comme la surveillance des serveurs ou permettre aux utilisateurs d'effectuer leurs tâches quotidiennes. Les applications présentant des vulnérabilités inconnues permettent à un acteur malveillant d'effectuer de nombreuses attaques sur les systèmes de l'organisation.

• Menaces sur la supply chain numérique : Pour réduire le temps de développement, les développeurs de logiciels utilisent une bibliothèque tierce commune pour exécuter une fonction dans leur application. Si un développeur de bibliothèque tierce devait injecter un code malveillant dans le produit, tout développeur de logiciel qui incorpore la bibliothèque infectée serait vulnérable.
• Compromission d’e-mails d'entreprise : Un attaquant peut envoyer des fausses factures aux employés des services financiers et les inciter à les payer. D'autres attaquants peuvent tromper les ressources humaines pour détourner les fonds de la paie vers leur propre compte en se faisant passer pour un autre employé. Si un pirate parvient à compromettre l'adresse électronique d'une entreprise, il peut l'utiliser pour détourner des conversations et inciter les destinataires à fournir des données sensibles ou à envoyer de l'argent sur un compte contrôlé par le pirate.

De nombreuses organisations ne connaissent pas le fonctionnement des supply chain attacks et ne savent donc pas ce qui se passe si elles sont victimes de ce type d'attaque. L'impact d'une supply chain attack peut avoir un effet dévastateur sur les revenus de l'entreprise, la réputation de la marque et les relations avec les fournisseurs.

Les trois principaux impacts des supply chain attacks sont les suivants :

• Violations de données et divulgation de données : Dans de nombreuses supply chain attacks, en particulier les attaques basées sur le matériel, le code malveillant écoute les données et les envoie à un serveur contrôlé par l'attaquant. Toutes les données qui transitent par un système infecté par le code malveillant peuvent faire l'objet d'une violation, y compris le vol potentiel d'identifiants de comptes à haut niveau de privilège pour des compromissions futures.
• Installation de logiciels malveillants : Le code malveillant exécuté dans une application peut être utilisé pour télécharger des logiciels malveillants et les installer sur le réseau de l'entreprise. Des ransomwares, des rootkits, des keyloggers, des virus et d'autres logiciels malveillants peuvent être installés à l'aide d'un code d'attaque injecté dans la chaîne d'approvisionnement.
• Perte financière : Si un employé est amené par la ruse à envoyer de l'argent sur un compte bancaire ou à payer des factures frauduleuses, une organisation ciblée pourrait perdre des millions.

Tout fournisseur qui s'appuie sur des tiers pour fabriquer un produit est vulnérable aux supply chain attacks. Dans les attaques générales, les acteurs de la menace se concentrent sur n'importe quelle cible, et non sur une entreprise spécifique. Cependant, dans le cas d'attaques sophistiquées, les acteurs de la menace se concentrent sur des agences gouvernementales ou de grandes organisations valant des milliards. Dans les attaques parrainées par l'État, un acteur de la menace se concentre sur les gouvernements et leurs infrastructures. Ces attaques peuvent coûter des vies si le malware fait tomber des systèmes critiques.

Les fournisseurs de sécurité sont des cibles parfaites. Les organisations font confiance aux fournisseurs de sécurité pour protéger leurs données et leur réputation. En plaçant furtivement un code malveillant dans l'infrastructure et les contrôles des fournisseurs de sécurité, un attaquant peut silencieusement siphonner les données des systèmes des grandes entreprises et les envoyer vers un réseau contrôlé par l'attaquant. Les données vulnérables à ces attaques peuvent être des données financières, des informations personnelles identifiables (PII), des informations sur les patients et des données sur les employés.

Les fournisseurs de services gérés (MSP) constituent une autre cible importante. Ces entreprises soutiennent l'infrastructure organisationnelle et ont mis en place des systèmes pour surveiller l'activité. En ayant accès à un système MSP, un attaquant pourrait accéder à de nombreux systèmes de clients MSP. Avec le bon code malveillant, l'attaquant pourrait accéder aux informations d'identification du MSP, ce qui lui permettrait d'accéder à l'infrastructure du client. Une autre option pour l'attaquant serait d'écrémer les numéros de cartes de crédit à partir des tableaux de bord de paiement et des systèmes de support client.

L'open source est un excellent moyen pour les développeurs de collaborer avec d'autres développeurs pour améliorer leur code. Lorsque d'autres développeurs contribuent à la base de code, le code doit être examiné pour détecter toute faille de sécurité. Ces failles peuvent être ajoutées au code de base par erreur ou à dessein. Étant donné que la plupart des projets open source sont accessibles publiquement aux autres développeurs, un bug de sécurité ajouté par erreur dans le code pourrait être détecté par un attaquant avant un tiers utile. L'attaquant pourrait alors écrire du code pour exploiter la faille de sécurité, laissant toutes les entreprises qui utilisent le code open-source ouvertes à des exploitations ciblées.

Toute organisation dont la hiérarchie des employés est affichée sur les médias sociaux ou sur le site web de l'organisation est une cible pour les BEC. Un attaquant peut collecter une liste de comptes à haut niveau de privilèges pour pratiquer le phishing, l'ingénierie sociale ou inciter les employés à payer des factures frauduleuses. Après reconnaissance, un attaquant peut “devenir” la personne qu'il compte utiliser pour inciter les employés à envoyer de l'argent ou à payer les factures. Dans certains scénarios, les fournisseurs de l'organisation peuvent également être en danger. Un pirate peut compromettre le compte de messagerie d'un fournisseur et l'utiliser pour envoyer des courriels à des employés de l'organisation victime jouissant de privilèges élevés.

Plusieurs attaques réelles ont déjà été lancées contre la chaîne d'approvisionnement, mais elles ne sont pas très connues du grand public, car elles visent les développeurs et les opérations. Les exemples réels populaires ont principalement un impact sur les administrateurs d'entreprise qui doivent contenir, éradiquer et remédier aux vulnérabilités laissées par les fournisseurs touchés par les attaques de la chaîne logistique.

Voici quelques exemples concrets qui ont touché de grandes entreprises :

• SolarWinds : En 2020, des attaquants ont injecté une porte dérobée dans le processus de distribution des mises à jour de SolarWinds, laissant les serveurs de production des entreprises et des gouvernements ouverts à un accès à distance. De nombreuses organisations ont été victimes de violations de données et d'incidents de sécurité.
• Kaseya : Le ransomware REvil a infecté le logiciel MSP utilisé pour gérer des milliers d'environnements clients, permettant aux attaquants de réclamer 70 millions de dollars aux clients MSP.
• Codecov : Les attaquants ont infecté le téléchargeur Bash de Codecov pour envoyer automatiquement des rapports aux clients. Grâce au code malveillant injecté dans ses scripts, les attaquants ont écouté et volé les données des clients sur les serveurs de Codecov.
• NotPetya : NotPetya était un faux ransomware utilisé pour inciter les utilisateurs à payer une taxe, mais aucune clé privée n'a jamais été livrée, laissant les victimes avec des pertes de données monétaires. L'attaque a débuté lorsqu'une application ukrainienne de mise à jour a été infectée par un code malveillant.
• Atlassian : En 2020, des chercheurs en sécurité ont découvert que les applications Atlassian étaient vulnérables en raison d'un exploit contre leur procédure d'ouverture de session unique (SSO). En utilisant des jetons SSO, les attaquants pouvaient accéder aux applications et effectuer des actions liées au compte de l'utilisateur.
• British Airways : British Airways a subi une violation de données après que l'attaque de la chaîne d'approvisionnement Magecart a compromis son système de transaction et divulgué des informations sensibles.
• Logement communautaire à but non lucratif : Les attaquants ont usurpé le nom de domaine d'un fournisseur pour inciter les employés d'un organisme à but non lucratif à divulguer des données sensibles afin que les attaquants puissent dérober un million de livres sterling de loyer.

Comme les attaques de la chaîne d'approvisionnement ciblent les développeurs et les fabricants hors du contrôle de votre organisation, elles sont difficiles à arrêter. Vous devez toujours examiner tout code ou matériel avant de l'installer sur votre infrastructure. Les professionnels de la sécurité effectueront également un test de pénétration sur ces composants pour s'assurer qu'ils ne présentent pas de vulnérabilités imprévues injectées malicieusement dans votre système ou de vulnérabilités exploitables introduites accidentellement dans le système.

Bien que les supply chain attacks échappent à votre contrôle, vous pouvez néanmoins suivre plusieurs stratégies pour éviter d'en être victime. En voici quelques-unes :

• Mettre en place un Honeypot : Un Honeypot (pot de miel) composé de fausses données qui ressemblent à des informations sensibles et précieuses agit comme un fil-piège pour alerter les administrateurs que le système pourrait être attaqué ou compromis. Les pots de miel doivent agir et ressembler aux systèmes et aux données habituels et doivent être dotés d'un système de surveillance permettant aux administrateurs d'identifier comment un attaquant pourrait pénétrer dans l'environnement.
• Limiter les comptes privilégiés : Les déplacements latéraux sur un réseau sont courants dans les supply chain attacks et compromettent les comptes à haut niveau de privilège. Limiter l'accès à quelques comptes seulement et s'assurer que les comptes ne peuvent accéder qu'aux données nécessaires à l'exécution d'une fonction limite également le risque.
• Formation du personnel : Il a été prouvé que la formation du personnel à l'importance de la cybersécurité et aux nombreux moyens de détection et de défense contre les menaces internes réduit les risques. La formation et la sensibilisation à la sécurité permet de s'assurer que les individus comprennent et suivent certaines pratiques pour contribuer à la sécurité d'une organisation.
• Mettre en œuvre un système de gestion des accès aux identités (IAM) : Un IAM fournit un tableau de bord centralisé permettant aux administrateurs de contrôler l'accès aux données et de créer et désactiver des comptes dans toute l'entreprise. L'avantage est que les administrateurs peuvent mieux gérer les permissions sur le réseau en un seul endroit et identifier une mauvaise gestion potentielle des privilèges.
• Travailler avec une architecture de confiance zéro (ZTA) : Au lieu de faire confiance aux utilisateurs authentifiés, un environnement de confiance zéro part du principe que toutes les applications et tous les utilisateurs pourraient être des attaquants et exige une nouvelle autorisation et une authentification pour chaque demande d'accès aux données.
• Identifier les ressources vulnérables : Dans une évaluation des risques, un professionnel auditera toutes les ressources du réseau et identifiera celles qui sont les plus vulnérables et contiennent le plus de risques. Les administrateurs peuvent alors donner la priorité aux contrôles de cybersécurité sur l'infrastructure la plus risquée et protéger toutes les ressources que les attaquants pourraient cibler.
• Réduire au minimum l'accès aux données sensibles : Pour les données sensibles, y compris la propriété intellectuelle et les fichiers contenant des secrets commerciaux, les organisations doivent limiter l'accès aux seuls utilisateurs disposant de privilèges élevés et surveiller les demandes d'accès réussies et non réussies afin d'identifier toute compromission.
• Surveiller l'accès et les ressources des fournisseurs : Les fournisseurs tiers représentent le risque le plus important dans les supply chain attacks. De nombreux fournisseurs ne se rendent pas compte qu'ils sont une cible et qu'ils représentent un risque pour leurs clients, de sorte que tout accès ou mise en œuvre de ressources de fournisseurs tiers doit être examiné pour détecter les vulnérabilités.
• Appliquer des règles strictes en matière de Shadow IT : Les ressources Shadow IT sont tous les dispositifs non autorisés à accéder à l'environnement réseau. Ce problème pose un risque lorsque l'organisation propose également une politique de “bring-your-own-device” (BYOD) permettant aux utilisateurs de se connecter avec leurs propres appareils de bureau ou mobiles. Ces appareils doivent faire l'objet d'une surveillance étroite et être équipés d'un logiciel antivirus.
• Être conscient des menaces internes : L'erreur humaine est un vecteur d'attaque primaire pour les menaces de phishing et d'ingénierie sociale. Votre évaluation et votre examen des risques doivent également identifier les menaces potentielles de l'intérieur et les erreurs humaines qui pourraient entraîner une grave violation des données ou la compromission de votre système.
• Utiliser la cybersécurité du courrier électronique pour bloquer les expéditeurs usurpés : Vos serveurs de messagerie doivent empêcher les expéditeurs usurpés d'atteindre la boîte de réception d'un destinataire et utiliser l'intelligence artificielle pour bloquer les domaines usurpés et les sites d'attaque connus.
• Former les employés à la détection des messages malveillants : La formation des employés est essentielle pour réduire le risque d'erreur humaine. Les attaques de phishing simulées permettent aux employés d'identifier les attaques de phishing et l'ingénierie sociale.
• Mettre en place des politiques pour le paiement des factures : Pour éviter de payer des factures frauduleuses, mettez en place des politiques de paiement pour valider les factures et obtenir une autorisation avant d'envoyer de l'argent sur un compte bancaire.

Pour comprendre comment votre entreprise peut être vulnérable à une attaque de la chaîne logistique, vous devez d'abord faire preuve de diligence raisonnable et procéder à une évaluation interne des risques. Après la supply chain attack de SolarWinds, de nombreuses organisations ont compris l'importance de l'évaluation des risques pour protéger l'environnement interne de ces menaces tierces.

Lors d'une évaluation des risques, les professionnels ne se contentent pas d'identifier les risques, ils aident également l'organisation à les concevoir et à les gérer. L'atténuation des risques nécessite des contrôles de cybersécurité appropriés et un environnement de confiance zéro pour stopper correctement les menaces. Dans de nombreux cas, l'organisation doit revoir ses contrôles d'autorisation et les privilèges des utilisateurs pour réduire les risques.

Le personnel de Proofpoint est expert en matière de supply chain attacks et des nombreuses façons dont les menaces mettent en péril la confidentialité de vos données, la conformité et vos défenses de cybersécurité. Nous offrons des services étendus qui protègent un vecteur d'attaque primaire : le courrier électronique. Nous protégeons la chaîne logistique de plusieurs secteurs, notamment la santé, les services financiers, l'éducation, la fabrication, etc.