Comprendre ce qu’est une supply chain attack

Ces dernières années, la supply chain est devenue une cible privilégiée pour les cybercriminels. Le phénomène a pris de l’ampleur pendant et après la pandémie mondiale. En effet, le Covid-19 a bouleversé le fonctionnement de l’entreprise moderne. Selon l’INSEE, près de 47% des entreprises françaises ont adopté entièrement ou partiellement le télétravail en 2023. Par ailleurs, le salarié lambda actuel utilise en moyenne 36 services basés sur le cloud pour son travail. Les équipes de sécurité de certaines entreprises n’étaient pas pleinement préparées à ces changements. Un rapport sur la sécurité de 2022 révèle que le nombre de supply chains attack a augmenté de 650% par rapport à 2021.

Dans une supply chain attack, les hackers ciblent un fournisseur tiers de confiance pour s’en prendre à une cible de plus grande valeur. Ce fournisseur tient une place stratégique dans la supply chain, il propose par exemple le logiciel d’exploitation de l’activité de son client.

Lorsqu’ils trouvent une faille de sécurité dans un produit du fournisseur, les hackers injectent un programme malveillant dans le but d’infecter tous ses clients. Les pirates s’appuient sur les dépendances logicielles pour mener leur attaque.

Une dépendance désigne un élément logiciel indispensable au fonctionnement de l’application d’une entreprise. Cela peut être un plug-in ou une bibliothèque logicielle. Les dépendances incluent les éléments que l’entreprise développe par elle-même, les logiciels tiers proposés par un fournisseur et les programmes open source. D’après le rapport Octoverse de Github, un logiciel type recense près de 203 dépendances.

La gestion de ces dépendances est plus que jamais d’actualité pour les entreprises. Pour cause, elles peuvent être à l’origine d’un incident de sécurité dans le cadre d’une supply chain attack. En effet, d’après le rapport Global Security Attitude Survey, 45% des répondants ont connu une attaque de ce type en 2021. Pourtant, seulement 36% des répondants ont vérifié la fiabilité de leurs fournisseurs pendant la même période.

La réussite de la supply chain attaque repose sur la relation de confiance entre les organisations. Ce type d’attaque cible le maillon faible de cette chaîne. Même si une entreprise présente une maturité avancée en cybersécurité, si l’un de ses fournisseurs n’est pas dans la même situation, ce dernier devient la cible des cybercriminels.

Une attaque de la chaîne d’approvisionnement vise généralement les applications, les logiciels et les infrastructures informatiques gérés par des tiers :

Les hackers dissimulent un programme malveillant dans la mise à jour logiciel après avoir infiltré un prestataire. L’exemple le plus connu est l’attaque de Solarwinds. Les pirates ont instauré une porte dérobée sur le logiciel. Lorsque l’utilisateur effectue la mise à jour, son appareil est infecté automatiquement. Les clients de l’entreprise ont vu leurs données volées. D’autres ont connu d’autres problèmes de cybersécurité.

Les hackers pirates exécutent un code malveillant depuis le navigateur de l’utilisateur. Ils y parviennent en infiltrant les bibliothèques open source JavaScript. Lorsque l’utilisateur exécute une extension sur son navigateur, le malware peut avoir accès aux données stockées sur le navigateur.

Les hackers profitent des failles de sécurité des codes open source. Ces codes facilitent le travail des entreprises dans le développement de nouveaux logiciels et applications. Pourtant, ils peuvent dissimuler des programmes malveillants qui infiltrent l’appareil de l’utilisateur.

C’est le cas d’une attaque visant les systèmes d’exploitation Linux et macOS. Le logiciel en question était Browserify qui compte plus d’un million de téléchargements par semaine. Heureusement, l’attaque a été identifiée un jour après son déploiement. Néanmoins, les codes open source représentent des cibles privilégiées pour les attaquants.

Bien que la supply chain attack soit un sujet d’actualité, les attaques de ce type existent depuis plus longtemps.

Wannacry est un ransomware qui a touché près de 300 000 appareils dans environ 150 pays. Les pirates ont exploité une faille de sécurité des anciennes versions du système d’exploitation Windows. Le logiciel malveillant a pris une tournure de supply chain attack pour les constructeurs automobiles Nissan et Renault. Pour ce dernier, Wannacry a entraîné l’arrêt de plusieurs sites pendant au moins deux jours en France.

Le logiciel malveillant détruit toutes les données de ses cibles. Le principe de la supply chain a permis aux auteurs de ce malware d’engendrer le plus de dégâts possible. L’activité de Maersk, un géant de la logistique, dépend par exemple de plusieurs partenaires à travers le monde. Suite à l’attaque, l’entreprise a dû suspendre ses expéditions de conteneurs dans trois des plus grands ports au monde. Bien que l’arrêt ait été de courte durée, il a quand même coûté 300 millions d’euros à Maersk.

Solarwinds représente l’exemple récent de la supply chain attack. Il s’agit d’une entreprise de gestion et de supervision des réseaux informatiques. Les hackers ont identifié une faille de sécurité sur ses logiciels et l’ont infecté par le biais des mises à jour.

Les clients qui effectuent une mise à jour de leur logiciel sont directement touchés. Près de 18 000 clients de Solarwinds ont été touchés par cette attaque, dont plusieurs ministères en France et Microsoft.

Colonial Pipeline assure environ 45% de l’approvisionnement en carburant sur la côte Est aux USA. En 2021, l’entreprise a subi une cyberattaque entraînant une pénurie de carburant dans plusieurs stations-service. L’attaque est considérée comme un supply chain attack dans la mesure où elle a bouleversé tous les vols aériens et l’approvisionnement en carburant dans plusieurs grandes villes.

Une supply chain attack vise généralement des applications ou des logiciels tiers. Une entreprise doit collaborer avec de divers fournisseurs pour mener à bien son activité. Cette situation crée une dépendance entre les différentes organisations. Prenons le domaine du marketing, les chiffres révèlent que le nombre de fournisseurs de technologies est passé de 150 en 2011 à 4 000 en 2023.

Dans ce contexte, il devient impossible pour une organisation de garantir la sécurité de sa chaîne d’approvisionnement. Elle peut par exemple utiliser au moins trois logiciels différents en marketing, sans oublier les autres outils.

Néanmoins, des mesures préventives permettent de contrecarrer les plans des cybercriminels :

L’équipe informatique procède à un test complet du logiciel avant son déploiement : fiabilité, performance, sécurité, etc. Cela consiste par exemple à se servir de l’intégrité des sous-ressources (SRI) pour identifier des codes JavaScript suspects. Même si l’outil passe tous les tests, l’entreprise doit exiger du fournisseur le respect des normes de sécurité en vigueur. Elle est également en droit de lui demander de se conformer à la politique de sécurité du contenu qu’elle a mise en place.

En cybersécurité, cette politique considère toutes les entités (fournisseurs et leurs produits et services, collaborateurs, etc.) comme non fiables. Elle se traduit par la mise en place d’une authentification stricte et de l’application du moindre privilège au lieu de s’appuyer sur la confiance. Les politiques d’accès dépendent du rôle et de l’emplacement d’un utilisateur au sein de l’organisation. Il ne peut plus effectuer de déplacements au sein du réseau ou accéder à tous les fichiers.

Dans une politique « Zero Trust », la confiance laisse sa place à la vérification constante. Le terme a été inventé par un ancien employé de Forrester Research, John Kindervag. Au-delà des avantages pour la sécurité du réseau, cette architecture fluidifie la connexion et améliore l’expérience utilisateur. De plus, elle rend l’infrastructure réseau plus simple.

Parmi les solutions indispensables à la protection des données, le pare-feu se trouve en première ligne. Il constitue la première couche de défense du réseau. Cet outil empêche les trafics indésirables de s’introduire sur le réseau.

De son côté, l’antivirus identifie et supprime les malwares du type virus, rootkits ou chevaux de Troie sur les points terminaux.

La prévention des pertes de données (DLP) et le contrôle d’accès représentent, quant à eux, des solutions de prévention. En cas d’attaque de type ransomware, l’organisation préserve quand même ses données grâce à la sauvegarde.

Les solutions basées sur l’IA gagnent également en popularité au sein des entreprises. Grâce au machine learning, un outil peut établir le profil de chaque collaborateur et partenaire en se basant sur leur comportement. Dès qu’un comportement sort de l’ordinaire, il le considère directement comme suspect.

Le shadow IT prend de l’ampleur face à l’essor du télétravail et la multiplication des outils gratuits en ligne. Le terme désigne l’utilisation d’un service ou d’une application qui n’a pas reçu l’aval du service informatique. Une étude datant de 2020 révèle que huit salariés sur dix ont déjà utilisé un service cloud ou une application sans l’autorisation de son service IT.

Bien que les motivations des salariés soient légitimes, ils souhaitent gagner en productivité et en efficacité, ces outils peuvent présenter des risques pour la sécurité de l’entreprise.

Un inventaire de ces applications clandestines représente la première étape afin d’identifier les plus pertinentes. La prochaine étape porte sur la mise en place d’outils de détection de ces activités.