Pourquoi les cyberattaquants ciblent-ils les chaînes d’approvisionnement ?

Il y a des réflexes qui com­mencent à ren­trer. Un mail nous pro­pose un lien sus­pect nous redi­ri­geant vers une page où rem­plir ses infor­ma­tions de connexion ? On flaire le piège de l’attaque par phi­shing – ou hame­çon­nage – et on ne clique pas. Un SMS pour chan­ger l’adresse de livrai­son d’un colis ? Sup­pri­mé avant même d’être lu ! Cela n’a pas empê­ché le nombre d’attaques par phi­shing de tri­pler entre 2020 et 2021¹, jusqu’à l’année record de 2023 où l’APWG (Anti-Phi­shing Wor­king Group) a recen­sé « presque 5 mil­lions d’attaques ».

Pour­tant, ce n’est pas le plus inquié­tant. Car si les cyber­cri­mi­nels conti­nuent d’exploiter les failles humaines pour avoir accès à des comptes en banque ou à des don­nées sen­sibles d’entreprises, une autre menace se pro­file dans l’ombre, encore lar­ge­ment incon­nue du grand public : les attaques sur la chaîne d’approvisionnement numé­rique, ou digi­tal sup­ply chain (DSC).

Ici, plus ques­tion de pas­ser par un indi­vi­du seul pour cibler une orga­ni­sa­tion, mais plu­tôt d’utiliser le réseau de par­te­naires de cette der­nière. « Dif­fi­cile d’attaquer fron­ta­le­ment une com­pa­gnie comme Air­bus par exemple, explique Badis Ham­mi, cher­cheur en cyber­sé­cu­ri­té et maître de confé­rences à l’Institut Poly­tech­nique de Paris.  En revanche, il est pos­sible de viser un plus petit pres­ta­taire, vital pour l’entreprise, comme Rolls-Royce qui fabrique les moteurs des avions Air­bus. » Ces entre­prises pres­ta­taires sont en effet inté­grées dans un tis­su numé­rique qui se super­pose à la chaîne de pro­duc­tion clas­sique (four­nis­seurs, usines, dis­tri­bu­teurs, ven­deurs, consom­ma­teurs…) : c’est la fameuse digi­tal sup­ply chain. Un ran­çon­gi­ciel (ou ran­som­ware) dans un des maillons de cette chaîne suf­fit pour para­ly­ser la mul­ti­na­tio­nale qui coor­donne l’ensemble du pro­ces­sus. Mais le dan­ger va encore au-delà.

« Dans l’industrie 4.0 d’aujourd’hui, tout est connec­té et peut être géré à dis­tance, via Inter­net. Par exemple, les bras robo­tiques qui construisent des voi­tures… Cela mul­ti­plie consi­dé­ra­ble­ment la sur­face de cybe­rat­taque pos­sible ! Un virus sur le logi­ciel d’une machine, et c’est l’usine qui est à l’arrêt », détaille le cher­cheur. Mais qu’est-ce qui rend ces logi­ciels (ou soft­wares) si vulnérables ?

Il faut pour cela reve­nir au code infor­ma­tique. Les déve­lop­peurs uti­lisent fré­quem­ment des mor­ceaux de code, dis­po­nibles en libre accès sur Inter­net. « Il existe des librai­ries open source où l’on peut impor­ter du code, ce qui revient à copier-col­ler du code », explique Badis Ham­mi². Ces petites « briques » sont ensuite assem­blées entre elles pour construire la pla­te­forme, ou le soft­ware adap­té à l’entreprise. « L’open source a le grand avan­tage d’être véri­fiable par la com­mu­nau­té en ligne qui est très atten­tive, pré­vient le cher­cheur. Mais cela signi­fie aus­si que des failles peuvent s’y glis­ser. »

Des failles ou des portes déro­bées per­met­tant à des hackers d’avoir accès aux don­nées cir­cu­lant dans les logi­ciels. C’est le scé­na­rio infer­nal vécu en 2020 par des mil­liers d’organisations à tra­vers le monde, vic­times d’une des plus grandes cybe­rat­taques de la soft­ware sup­ply chain : l’attaque de Solar­Winds³. En sep­tembre 2019, des hackers ont injec­té du code mal­veillant (appe­lé Sun­burst) dans le logi­ciel Orion, déve­lop­pé par Solar­Winds. Puis, ils ont patiem­ment atten­du que la com­pa­gnie amé­ri­caine pro­pose la mise à jour d’Orion à leur clients… conte­nant, sans qu’ils ne le sachent, le code cor­rom­pu. Près de 18 000 orga­ni­sa­tions dans le monde ont été tou­chées, dont l’État fédé­ral amé­ri­cain lui-même, le logi­ciel Orion étant uti­li­sé au sein d’institutions comme le Penta­gone, les armées, dif­fé­rents minis­tères, ou encore le FBI.

Ce code mal­veillant conte­nait en effet une back­door, soit une « porte déro­bée », en com­mu­ni­ca­tion directe avec les ser­veurs des hackers. « Si on prend la méta­phore d’un colis, c’est comme si on détour­nait le camion de livrai­son ou pire, que l’on chan­geait le conte­nu du colis en quelque chose de mal­veillant », explique Roni Car­ta hacker éthique et co-fon­da­teur de Lupin & Holmes, pro­po­sant des solu­tions de cyber­sé­cu­ri­té pour la soft­ware sup­ply chain.

« Là où cela devient com­plexe, c’est qu’un code open source peut uti­li­ser d’autres codes open source. Ain­si, il faut ima­gi­ner une toile d’araignée de points d’entrées pos­sibles pour les hackers, ajoute Roni Car­ta, dont le tra­vail consiste essen­tiel­le­ment à détec­ter ces failles avant qu’elles ne tombent entre les mau­vaises mains. Par­fois, le hacking se fait sim­ple­ment en déro­bant l’accès aux comptes des déve­lop­peurs eux-mêmes. Ceux qui rendent acces­sibles leurs briques de code dans les librai­ries open source par exemple. C’est arri­vé tout récem­ment, et on a pré­ve­nu le pro­prié­taire que son compte était vul­né­rable. »

Alors, com­ment se pro­té­ger des attaques ? Déjà, en s’entraînant à les déjouer. « Désor­mais, on enseigne enfin le “hacking éthique”, ce que l’on appelle la “red team”, annonce Badis Ham­mi. Ce sont les “pen­tes­ters”, donc des per­sonnes qui réa­lisent volon­tai­re­ment des intru­sions pour trou­ver les failles des réseaux et des infra­struc­tures en géné­ral. » Un tra­vail que Roni Car­ta tente de son côté d’automatiser, en créant Dépi, un logi­ciel de détec­tion des failles dans la soft­ware sup­ply chain, à des­ti­na­tion des entre­prises. Pour Badis Ham­mi, il faut avant tout faire de la veille et gar­der en tête que, toutes les milles lignes de code envi­ron, il y a une faille poten­tielle. En bref : nous n’avons pas fini d’entraîner nos bons réflexes en cybersécurité.

Sophie Podevin