La cyberattaque sur le logiciel VSA de Kaseya, de type « supply chain », qui infecte à la chaîne des clients de clients, montre l’urgence pour les entreprises, et les éditeurs, de renforcer leur cybersécurité, ainsi que l’indiquent les experts contactés par Solutions Numériques.
« La protection de la chaîne logistique est un vaste sujet. Les événements récents n’ont fait que démontrer l’émergence de ce type d’attaque. Il permet de cibler en une seule fois une très grand nombre d’utilisateurs, de serveurs, de postes. La cyberattaque dont a été victime Kaseya suit cette même logique : utiliser un vecteur de diffusion « trusté » au sein des systèmes d’information de ses partenaires ou clients afin de diffuser en masse du code malveillant », indique à Solutions Numériques Romain Lecoeuvre, CTO de YesWeHack, une plateforme permettant la mise en contact entre des entreprises et des hackers éthiques.
« A partir du moment où une organisation décide d’utiliser ce type de solutions pour gérer son parc, ses mises à jour, etc. elle donne les clés de son SI à une entité extérieure. Il devient donc très difficile de se prémunir d’une telle attaque ».
Jacques de La Rivière, CEO de Gatewatcher, spécialiste de la sécurité appliquée aux réseaux, abonde : « La cyberattaque sur Kaseya rappelle celle de Solarwinds avec un scénario identique qui se dessine. »
Rappelons qu’au travers d’une vulnérabilité, le logiciel VSA, destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source, a été utilisé pour pousser un script malveillant, qui a ensuite chargé la charge utile du ransomware Sodinokibi/REvil sur les systèmes des clients de Kaseya, équipés en direct par l’entreprise ou via des fournisseurs de services managés. « Le ransomware Sodinokibi/REvil (détecté sous le nom Ransom.Win32.SODINOKIBI.YABGC) qui a affecté Kaseya VSA désactive certains services et met fin aux processus liés aux logiciels légitimes tels que les navigateurs et les applications de productivité », a ainsi rapporté le spécialiste en cybersécurité Trend Micro.
Jusqu’à 1 500 entreprises ont pu être touchées par la cyberattaque
« Nous pensons que moins de 1 500 entreprises au total ont été touchées », a déclaré Kaseya sur son site internet lundi soir. L’entreprise a précisé que les clients de ses clients, c’est-à-dire via les fournisseurs de services managés, ont été les principales victimes de l’attaque. Une infection par ricochet qui a touché ainsi la chaîne de supermarchés suédoise Coop via son sous-traitant informatique, Visma Esscom.
L’entreprise basée à Miami fournit des services informatiques à quelque 40 000 entreprises dans 20 pays dans le monde, mais « seuls » 60 de ses clients directs ont été touchés par la cyberattaque, at-elle déclaré. Des entreprises ont-elles ont-elles été touchées en France ? L’entreprise ne donne pas de précisions. « Kaseya a indiqué qu’il s’agit de la version on premise de leur logiciel qui a été touchée. Or ce sont les clients grands comptes qui bénéficient de cette version. On peut donc en déduire que si des clients de Kaseya ont été touchés en France, ce sera sûrement des clients de même taille. Cependant, on sait que ce logiciel est peu déployé ici », analyse pour nous Jacques de La Rivière.
Une détection rapide…
« Une opération comme celles de Kaseya et SolarWinds, dites de supply chain, démontrent qu’il n’est pas toujours possible de bloquer et d’empêcher les attaques », dit Lior Div, PDG et cofondateur de Cybereason, éditeur d’une plateforme de prévention, détection et réaction aux menaces en temps réel. « L’objectif est de détecter rapidement les activités suspectes ou malveillantes sur le réseau de l’entreprise par le biais de technologies de détection comportementale, de perturber ces attaques dès les premiers stades, puis de s’assurer que la victime dispose des moyens (l’intelligence et le contexte) pour comprendre et éliminer la menace sur le long terme. Cette approche est une approche centrée sur les opérations. »
« Nous ne pouvons pas nous concentrer uniquement sur l’attaque par ransomware, car le ransomware est le point final de l’attaque, autrement dit lorsque l’on détecte le ransomware il est souvent trop tard. Il faut s’intéresser aux débuts de l’attaque, lorsque les criminels insèrent des codes malveillants dans la chaîne d’approvisionnement, par exemple. Le ransomware est le symptôme d’une maladie plus vaste que nous devons traiter », ajoute-t-il.
Jacques de la Rivière insiste lui aussi sur une détection rapide : « L’urgence, c’est la détection en amont des menaces sur les réseaux et systèmes, comme lorsque l’on sécurise une rue ou un quartier avec des caméras de surveillance. Le dirigeant ajoute qu’il est aussi « essentiel de prendre en compte la robustesse des logiciels dès leur conception ce qui permettra de réduire l’impact de ce type de cyberattaque sur les partenaires et clients », rappelant que l’ANSSI évangélise sur le sujet depuis de très nombreuses années.
… et un renforcement global de la sécurité
Romain Lecoeuvre confirme : « A l’éditeur aussi de mettre en oeuvre une politique pour s’assurer de l’intégrité de son code. » Pragmatique, ce dernier nous liste les règles qui peuvent s’appliquer afin de diminuer le risque : le déploiement « d’une stratégie de contrôle d’intégrité forte », l’exigence d’une authentification multifacteur « pour les actions d’administration ou de développement », le « contrôle régulier des différents composants du SI » ainsi que la réduction maximale « des permissions et de la portée de code provenant de partie tierce ». Concrêtement, explique le directeur technique, « l’entreprise doit donc prendre des prestataires qui donnent de gros gages de sécurité », offrent la possiblité de « faire tester la sécurité des applis et composants » par des parties tierces et s’assurent de la robustesse de la solution « sur l’ensemble de la gestion du projet. » Enfin, Romain Lecoeuvre rappelle la nécessité de la mise en oeuvre d’un plan de continuité/de reprise d’activité « pour pouvoir réagir rapidement et efficacement en cas d’incident majeur ».
Pour le spécialiste, nous n’en sommes qu’au début de ce type d’attaque, qui cherche à maximiser les impacts par un vecteur unique.
Kaseya a annoncé qu’elle se préparait à diffuser un correctif de VSA à ses clients pour leur permettre de remettre leurs services en ligne.
USA : une augmentation des attaques de 70 %
Selon Check Point Research, les entreprises américaines ont subi en mai 2021 une moyenne de 671 attaques hebdomadaires. Il s’agit d’une augmentation de 16 % par rapport au début de l’année, quand elles étaient confrontées à 589 attaques par semaine. D’une année sur l’autre, l’augmentation est de 70 %.
En mai, le continent américain a connu les plus fortes augmentations d’attaques contre les opérateurs (+51 %), les logiciels (+43 %) et les sociétés de conseil (+25 %).
