HISTOIRE D'UN PIRATAGE HORS NORMES

Dans mon roman "Dans l'ombre du Crépuscule" (tome 1 de ma trilogie policière consacrée au "Crépuscule") vous pouvez découvrir ce qu'il est possible de faire, en matière de  piratage, pour un hacker doué comme Christophe Leduc, ou pour la Secte du Crépuscule et ses moyens importants. J'évoque, dans ce roman, un protocole de communication réseau abandonné (UGTP) mais laissé enfoui dans les systèmes d'exploitation de différents fournisseurs (comme MacroLogic, Hale Computing et Peach Corp) qui est réactivé par la Secte et utilisé pour s'introduire, surveiller et pirater chacune de nos machines... jusqu'à bloquer Internet et l'économie mondiale, objectif intermédiaire pour la prise de pouvoir sur le monde.

La réalité, souvent, rejoint ou dépasse la fiction. Et ce qui commence à sortir dans la presse informatique à propos d'un piratage de haut vol d'une société américaine spécialisée en logiciels de sécurité est une bombe à retardement pour nous tous et un acte de piratage digne de la Secte du Crépuscule, bien qu'il aurait (il faut rester prudent) été réalisé par des équipes russes.

Accrochez-vous bien, on plonge dans une cyberattaque menée de main de maître...

Le 8 décembre 2020, la société américaine FireEye, qui fournit des logiciels de cybersécurité à des administrations et des entreprises internationales, avoue avoir été piratée par une équipe de hackers très expérimentés, potentiellement à la solde d'un service de renseignement ennemi. La Russie est pointée du doigt par cette entreprise et les services de sécurité américains.

Ces hackers ont, en effet, dérobé le code source et les logiciels de cybersécurité développés par FireEye pour les analyser et en découvrir les failles. Ils ont, entre autres, dérobé des logiciels qui permettent de tester la résistance des réseaux des entreprises et administrations à des intrusions : des logiciels de "test de pénétration".

Après analyse de l'attaque, il s'avère que les hackers ont utilisé des failles dans le logiciel Orion, de la société SolarWinds, qui sert à la surveillance et à l'administration des réseaux informatiques. Ce logiciel est utilisé par la société FireEye pour administrer son propre réseau informatique. Les hackers ont donc utilisé une ou plusieurs failles d'Orion pour atteindre les logiciels et les données de FireEye.

Le 13 décembre, les départements du Trésor et du Commerce américains ainsi qu'un certain nombre d'entreprises privées annoncent, à leur tour, avoir été piratés. Probablement par les services de renseignement russes (?). Les pirates ont pénétré les réseaux informatiques de ces organisations et dérobé un nombre conséquent d'informations en exploitant une faille de sécurité du logiciel Orion, de la société SolarWinds et peut-être aussi des logiciels et données de FireEye.

Ce n'est que trois semaines après, suite à une investigation plus poussée, que l'ampleur du piratage est révélée : potentiellement, 250 réseaux d'administrations et d'entreprises (dont le Trésor et le Commerce américains, Microsoft, Cisco, Intel, NVidia, des Universités, des Hôpitaux, etc.) ont été pénétrés par des hackers (russes ?) en exploitant la faille du logiciel réseau Orion. L'enquête montre que les différentes versions de ce logiciel Orion, entre mars et juin 2020, ont été corrompues par un "malware" (logiciel pirate) introduit dans son code source. Ce n'est donc pas une faille contenue dans Orion qui a permis ces intrusions dans les réseaux mais un bout de code malfaisant, appelé SunBurst, qui a été volontairement ajouté au logiciel Orion pour permettre ces intrusions dans les réseaux des administrations

En remontant à la source (c'est le cas de le dire), les enquêteurs ont découvert que la société SolarWinds (qui développe le logiciel Orion), pour des raisons de rentabilité et de marge opérationnelle, sous-traite le développement et la maintenance de ses logiciels de gestion de réseau en Biélorussie, Pologne et République tchèque. Mais ce n'est pas tout ! [Mise à jour de mars 2021 :] En 2017, un stagiaire qui travaillait chez SolarWinds a créé un compte pour accéder directement aux serveurs avec le mot de passe "solarwinds123". C'est le mot de passe "type" que n'importe quel hacker rêve de trouver pour pénétrer un réseau informatique !  Dès lors, il a été relativement facile aux services de renseignement russes (?) d'introduire des programmes malicieux, probablement via la société biélorusse (?), dans le logiciel Orion afin, ensuite, de pouvoir pénétrer n'importe quel réseau informatique de n'importe quelle société qui utilise ce logiciel.

Les intrusions dans les réseaux des administrations et des entreprises ont donc été préparées et organisées de longue date, en introduisant un logiciel malicieux dans des logiciels de gestion de réseau.

Début 2021, Microsoft a annoncé avoir été également "pénétré" et que le code source d'un certain nombre de ses logiciels a été consulté/récupéré. Mais l'entreprise ne précise pas lesquels. Seraient-ce des logiciels mineurs ? Ou, au contraire, des logiciels majeurs comme le système d'exploitation Windows10, la suite Office 365, Teams ou des systèmes d'intelligence artificielle ?

Combien d'autres organismes, utilisant Orion, ont été "visités" et ne le savent ou ne le déclarent pas encore ? C'est très inquiétant.

Nous verrons donc probablement, dans les mois à venir, des nouveaux piratages et effractions commis au moyen de failles détectées dans Windows10 ou d'autres logiciels très largement utilisés dans le monde (comme les outils MS Office). Grâce à cela, des pirates s'introduiront dans nos machines et nous déroberont des informations personnelles, confidentielles, ou y introduiront des logiciels malveillants comme des ransomwares, qui cryptent nos informations, bloquent notre système et réclament une rançon pour nous le rendre (quand les hackers le veulent bien).

Le logiciel Orion a donc offert une porte grande ouverte (une "backdoor") à des hackers pour entrer et venir espionner les réseaux et les serveurs de ces éditeurs de solutions logicielles. Quand j'imaginais un protocole réseau piraté dans mon roman, je n'étais pas loin de la vérité, car pour le coup, ici, c'est un logiciel de pilotage et de gestion de réseau qui a été perverti pour atteindre le même objectif.

(?) L'implication de la Russie n'est qu'une hypothèse pour le moment, évoquée par les Etats-Unis.

Nota : les plus futés d'entre-vous auront noté quelques similitudes entre les noms fictifs de mes éditeurs de systèmes d'exploitation dans mon roman et des sociétés réelles... comme MacroLogic et Microsoft, Hale Computing et IBM (là il faut être un passionné de 2001 L’odyssée de l'espace pour comprendre), et Peach Corp et Apple... (pomme et pêche :-) ) ... Bien évidemment, je ne pouvais pas nommer des sociétés existantes dans mon roman.

Cisco est le leader mondial des réseaux informatiques, il fournit des routeurs et des logiciels qui gèrent le traffic Internet, Intel est le leader des microprocesseurs, NVidia celui des cartes graphiques et des processeurs pour l'intelligence artificielle. Quant à Microsoft, vous le connaissez tous...