Pourquoi les cyberattaquants ciblent-ils les chaînes d’approvisionnement ?

Il y a des réflex­es qui com­men­cent à ren­tr­er. Un mail nous pro­pose un lien sus­pect nous redirigeant vers une page où rem­plir ses infor­ma­tions de con­nex­ion ? On flaire le piège de l’attaque par phish­ing – ou hameçon­nage – et on ne clique pas. Un SMS pour chang­er l’adresse de livrai­son d’un col­is ? Sup­primé avant même d’être lu ! Cela n’a pas empêché le nom­bre d’attaques par phish­ing de tripler entre 2020 et 2021¹, jusqu’à l’année record de 2023 où l’APWG (Anti-Phish­ing Work­ing Group) a recen­sé « presque 5 mil­lions d’attaques ».

Pour­tant, ce n’est pas le plus inquié­tant. Car si les cyber­crim­inels con­tin­u­ent d’exploiter les failles humaines pour avoir accès à des comptes en banque ou à des don­nées sen­si­bles d’entreprises, une autre men­ace se pro­file dans l’ombre, encore large­ment incon­nue du grand pub­lic : les attaques sur la chaîne d’approvisionnement numérique, ou dig­i­tal sup­ply chain (DSC).

Ici, plus ques­tion de pass­er par un indi­vidu seul pour cibler une organ­i­sa­tion, mais plutôt d’utiliser le réseau de parte­naires de cette dernière. « Dif­fi­cile d’attaquer frontale­ment une com­pag­nie comme Air­bus par exem­ple, explique Badis Ham­mi, chercheur en cyber­sécu­rité et maître de con­férences à l’Institut Poly­tech­nique de Paris.  En revanche, il est pos­si­ble de vis­er un plus petit prestataire, vital pour l’entreprise, comme Rolls-Royce qui fab­rique les moteurs des avions Air­bus. » Ces entre­pris­es prestataires sont en effet inté­grées dans un tis­su numérique qui se super­pose à la chaîne de pro­duc­tion clas­sique (four­nisseurs, usines, dis­trib­u­teurs, vendeurs, con­som­ma­teurs…) : c’est la fameuse dig­i­tal sup­ply chain. Un rançongi­ciel (ou ran­somware) dans un des mail­lons de cette chaîne suf­fit pour paral­yser la multi­na­tionale qui coor­donne l’ensemble du proces­sus. Mais le dan­ger va encore au-delà.

« Dans l’industrie 4.0 d’aujourd’hui, tout est con­nec­té et peut être géré à dis­tance, via Inter­net. Par exem­ple, les bras robo­t­iques qui con­stru­isent des voitures… Cela mul­ti­plie con­sid­érable­ment la sur­face de cyber­at­taque pos­si­ble ! Un virus sur le logi­ciel d’une machine, et c’est l’usine qui est à l’arrêt », détaille le chercheur. Mais qu’est-ce qui rend ces logi­ciels (ou soft­wares) si vulnérables ?

Il faut pour cela revenir au code infor­ma­tique. Les développeurs utilisent fréquem­ment des morceaux de code, disponibles en libre accès sur Inter­net. « Il existe des librairies open source où l’on peut importer du code, ce qui revient à copi­er-coller du code », explique Badis Ham­mi². Ces petites « briques » sont ensuite assem­blées entre elles pour con­stru­ire la plate­forme, ou le soft­ware adap­té à l’entreprise. « L’open source a le grand avan­tage d’être véri­fi­able par la com­mu­nauté en ligne qui est très atten­tive, prévient le chercheur. Mais cela sig­ni­fie aus­si que des failles peu­vent s’y gliss­er. »

Des failles ou des portes dérobées per­me­t­tant à des hack­ers d’avoir accès aux don­nées cir­cu­lant dans les logi­ciels. C’est le scé­nario infer­nal vécu en 2020 par des mil­liers d’organisations à tra­vers le monde, vic­times d’une des plus grandes cyber­at­taques de la soft­ware sup­ply chain : l’attaque de Solar­Winds³. En sep­tem­bre 2019, des hack­ers ont injec­té du code malveil­lant (appelé Sun­burst) dans le logi­ciel Ori­on, dévelop­pé par Solar­Winds. Puis, ils ont patiem­ment atten­du que la com­pag­nie améri­caine pro­pose la mise à jour d’Orion à leur clients… con­tenant, sans qu’ils ne le sachent, le code cor­rompu. Près de 18 000 organ­i­sa­tions dans le monde ont été touchées, dont l’État fédéral améri­cain lui-même, le logi­ciel Ori­on étant util­isé au sein d’institutions comme le Pen­tagone, les armées, dif­férents min­istères, ou encore le FBI.

Ce code malveil­lant con­te­nait en effet une back­door, soit une « porte dérobée », en com­mu­ni­ca­tion directe avec les serveurs des hack­ers. « Si on prend la métaphore d’un col­is, c’est comme si on détour­nait le camion de livrai­son ou pire, que l’on changeait le con­tenu du col­is en quelque chose de malveil­lant », explique Roni Car­ta hack­er éthique et co-fon­da­teur de Lupin & Holmes, pro­posant des solu­tions de cyber­sécu­rité pour la soft­ware sup­ply chain.

« Là où cela devient com­plexe, c’est qu’un code open source peut utilis­er d’autres codes open source. Ain­si, il faut imag­in­er une toile d’araignée de points d’entrées pos­si­bles pour les hack­ers, ajoute Roni Car­ta, dont le tra­vail con­siste essen­tielle­ment à détecter ces failles avant qu’elles ne tombent entre les mau­vais­es mains. Par­fois, le hack­ing se fait sim­ple­ment en dérobant l’accès aux comptes des développeurs eux-mêmes. Ceux qui ren­dent acces­si­bles leurs briques de code dans les librairies open source par exem­ple. C’est arrivé tout récem­ment, et on a prévenu le pro­prié­taire que son compte était vul­nérable. »

Alors, com­ment se pro­téger des attaques ? Déjà, en s’entraînant à les déjouer. « Désor­mais, on enseigne enfin le “hack­ing éthique”, ce que l’on appelle la “red team”, annonce Badis Ham­mi. Ce sont les “pen­testers”, donc des per­son­nes qui réalisent volon­taire­ment des intru­sions pour trou­ver les failles des réseaux et des infra­struc­tures en général. » Un tra­vail que Roni Car­ta tente de son côté d’automatiser, en créant Dépi, un logi­ciel de détec­tion des failles dans la soft­ware sup­ply chain, à des­ti­na­tion des entre­pris­es. Pour Badis Ham­mi, il faut avant tout faire de la veille et garder en tête que, toutes les milles lignes de code env­i­ron, il y a une faille poten­tielle. En bref : nous n’avons pas fini d’entraîner nos bons réflex­es en cybersécurité.

Sophie Podevin