Toutes les organisations comptent sur la supply chain logicielle. Les applications familières sont bâties sur des maillages de code open source, d'API et d'intégrations tierces qui assurent leur bon fonctionnement. Cette dynamique interdépendante explique pourquoi l'intégration d'un nouvel outil implique de choisir de faire confiance à l'ensemble de son écosystème de développement, plutôt qu'à l'outil lui-même.
Les attaques de la supply chain logicielle, qui exploitent ce phénomène, constituent une méthode d'attaque toujours plus courante pour pénétrer les réseaux d'entreprises. Gartner prédit que « d'ici 2025, 45 % des entreprises dans le monde auront vécu une attaque sur leur supply chain logicielle ».
Plutôt que de pénétrer directement sur le réseau d'une cible, les acteurs malveillants exploitent souvent les faiblesses des applications tierces ou du code open source qu'utilise leur cible. Ces derniers offrent un accès indirect au réseau de la cible.
Cela dit, les attaques contre la supply chain logicielle sont parfois plus opportunistes que ciblées. Plutôt que de travailler à rebours depuis une cible pour identifier ses fournisseurs, un acteur malveillant peut compromettre un élément fréquemment utilisé, tel que du code open source ou une application spécifique, puis en tirer tous les avantages possibles. Ce type d'attaque est attrayant, car il offre un gain considérable par rapport à l'effort requis.
Les acteurs malveillants peuvent accéder aux ressources de tiers de différentes manières, en utilisant des identifiants de compte volés ou en exploitant des vulnérabilités zero-day ou non corrigées. Ils utilisent ensuite cet accès privilégié pour lancer une attaque en aval. Les attaques sur la supply chain logicielle peuvent prendre différentes formes, notamment :
Accès à des réseaux tiers. Si un tiers ou un fournisseur est compromis, un acteur malveillant peut utiliser ses privilèges pour dérober les données d'organisations clientes et partenaires, propager des logiciels malveillants et bien davantage. Par exemple, lors de l'attaque Kaseya, le gang de cybercriminels REvil a exploité une vulnérabilité des serveurs utilisés par la solution de surveillance et de gestion à distance de l'entreprise. REvil a ensuite utilisé ces privilèges élevés pour déployer un rançongiciel chez des centaines de clients de Kaseya.
Mises à jour de logiciels/d'applications. Les appareils peuvent télécharger des logiciels malveillants dissimulés dans les packages de mise à jour. En 2017, des pirates informatiques russes ont adopté cette méthode pour intégrer le logiciel malveillant NotPetya au sein d'une mise à jour d'un logiciel de comptabilité répandu en Ukraine. La portée de l'attaque s'est étendue bien au-delà de l'Ukraine, et la Maison-Blanche a évalué à 10 milliards de dollars le montant à l'échelle mondiale des dommages dus à l'attaque.
Packages de code open source. Les entreprises utilisent souvent du code open source (ou accessible au public) pour maximiser l'efficacité du développement de logiciels. Toutefois, lorsque des vulnérabilités sont identifiées dans ce code, les organisations qui l'utilisent s'exposent à un risque. En plus d'exploiter des vulnérabilités connues, les auteurs d'attaques peuvent également insérer du code malveillant dans ces packages, et disposent ainsi d'un autre moyen de diffuser des logiciels malveillants.
Il convient également de souligner que si les attaques basées sur les logiciels sont les plus répandues, 66 % des attaques ciblent le code de fournisseurs, et les attaques de la supply chain logicielle peuvent revêtir différentes formes. Par exemple, les puces, les ordinateurs portables, les appareils connectés à l'Internet des objets (IdO) et les technologies opérationnelles (OT) peuvent tous être compromis. Le micrologiciel (c'est-à-dire le logiciel intégré au matériel) peut également être ciblé.
L'attaque SolarWinds est sans doute l'exemple le plus connu d'une attaque sur la supply chain logicielle. Au mois de décembre 2020, le fournisseur de cybersécurité FireEye a indiqué avoir été victime d'une attaque. Le groupe cybercriminel russe Nobelium avait ciblé SolarWinds, le fournisseur de services de surveillance informatique de FireEye, et avait introduit du code malveillant dans l'un de ses packages de mise à jour. Au total, 18 000 organisations ont téléchargé la mise à jour infectée.
SolarWinds démontre qu'une attaque contre un fournisseur de confiance et bien intentionné peut entraîner une attaque contre l'organisation qui recourt à ses services.
Et si de nombreuses entreprises exigent de leurs fournisseurs qu'ils respectent des normes de sécurité telles que la conformité SOC 2 ou des tests de pénétration, aucune organisation ne peut garantir qu'elle est à l'abri des attaques.
Prenons l'exemple de la divulgation par Apache, en décembre 2021, d'une grave vulnérabilité dans sa bibliothèque de journalisation open-source Log4j. Log4j est tellement répandu que Jen Easterly, directrice de l'organisation Cybersecurity and Infrastructure Security Agency (CISA), a déclaré que « chacun devrait partir du principe qu'il est exposé et vulnérable ». Les acteurs malveillants n'ont pas perdu de temps pour exploiter la vulnérabilité et continuent de le faire.
Si les attaques de grande ampleur ou les victimes célèbres font souvent la une des journaux, les attaques ciblant la supply chain logicielle ne sont pas exclusivement lancées contre les grandes entreprises. Les acteurs malveillants peuvent également utiliser cette méthode pour des campagnes de moindre ampleur (comme celles ciblant des environnements de développement), qui ne feront pas nécessairement la une des journaux. Cela signifie que ce style d'attaque pourrait être encore plus courant que ce que suggèrent les études.
Alors, si aucun fournisseur n'est à l'abri des attaques, comment les entreprises peuvent-elles répondre aux attaques sur la supply chain ? Un bon point de départ consiste à réduire la confiance excessive que les organisations accordent aux tiers. Déployer une architecture Zero Trust peut faire une grande différence dans ce domaine.
Contrairement aux modèles périmétriques, qui accordent la confiance aux utilisateurs et aux appareils à l'intérieur d'un réseau, l'approche Zero Trust part du principe que des acteurs malveillants existent dans un réseau. L'architecture Zero Trust évalue les utilisateurs, les appareils et les charges de travail en fonction de l'identité et du contexte et prend des décisions d'accès dynamiques. Plus spécifiquement, l'architecture Zero Trust défend le réseau de l'entreprise contre les attaques sur la supply chain logicielle en offrant les capacités suivantes :
Gérer l’accès des tiers. Les outils de gestion de l'accès Zero Trust permettent de personnaliser facilement les niveaux d'accès en fonction des utilisateurs, des appareils ou des charges de travail. Les organisations peuvent définir des normes strictes régissant la connexion des utilisateurs tiers et peuvent imposer un accès fondé sur le principe du privilège minimum.
Empêcher les mouvements latéraux. Si des acteurs malveillants pénètrent sur un réseau, l'architecture Zero Trust limite leur capacité à se déplacer sur le réseau et causer d'autres dommages. Par exemple, l'approche Zero Trust encourage la microsegmentation, ce qui signifie que les attaquants doivent se réauthentifier pour atteindre différentes zones au sein d'un réseau.
Protéger les applications. L'approche Zero Trust permet de dissimuler efficacement les applications internes à Internet et de les protéger contre les acteurs malveillants. Ainsi, même si une application interne contient une vulnérabilité, des acteurs malveillants ne peuvent y accéder.
Offrir une protection contre les logiciels malveillants. Le filtrage DNSpermet de bloquer les attaques de type « commande et contrôle », qui peuvent être dissimulées dans les mises à jour logicielles. Dans ces attaques, un logiciel malveillant installé sur un appareil signale à un serveur qu'il est prêt à recevoir les instructions de l'acteur malveillant. Le filtrage DNS permet de bloquer la requête DNS nécessaire pour établir cette connexion.
Défendez votre organisation contre les attaques sur la supply chain logicielle ; étendez les règles Zero Trust aux applications SaaS et auto-hébergées avec Zero Trust Network Access et appliquez un accès fondé sur le principe du privilège minimum pour les utilisateurs tiers, les employés et les appareils IdO. Cloudflare Gateway bloque l'accès aux sites suspects, empêche l'exfiltration de données et protège les utilisateurs contre les attaques de type « commande et contrôle ».
Cloudflare Zero Trust fait partie de Cloudflare One, une architecture Secure Access Service Edge (SASE), qui permet la connexion sécurisée des utilisateurs distants, des succursales et des datacenters aux applications et aux ressources Internet dont ils ont besoin.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de comprendre les points suivants :
Pourquoi les attaques de la supply chain logicielle sont une préoccupation grandissante
L'impact qu'ont eu certaines grandes attaques
Les différents points d'entrée que les acteurs malveillants peuvent exploiter pour lancer ces attaques
Sécuriser la supply chain logicielle
Démonstration interactive auto-guidée : Cloudflare Zero Trust
Présentation de solution : visibilité et contrôle Zero Trust de toutes les applications SaaS
Sécuriser la connectivité des collaborateurs en télétravail sur le long terme
Découvrez comment Cloudflare Zero Trust permet de connecter en toute sécurité les utilisateurs et les appareils aux ressources dont ils ont besoin en suivant une visite auto-guidée du produit.