Une attaque de la supply chain est un type de cyberattaque ciblant un fournisseur tiers de confiance qui propose des services ou logiciels vitaux pour la supply chain.

Les attaques de la supply chain logicielle injectent un code malveillant dans une application dans le but d’infecter tous ses utilisateurs, tandis que les attaques de la supply chain matérielle compromettent les composants physiques dans le même objectif.

Par le passé, les attaques de la supply chain étaient lancées à l’encontre de relations de confiance et s’en prenaient à un fournisseur peu sécurisé d’une supply chain dans le but d’obtenir un accès à des partenaires commerciaux plus importants. C’est notamment ce qui s’est passé lors de l’attaque de 2013 contre Target : le cybercriminel a réussi à se procurer un accès aux systèmes d’un fournisseur d’appareils de chauffage, de ventilation et de climatisation, ce qui lui a permis d’infiltrer ensuite les systèmes de Target.

À l’heure actuelle, les attaques de la supply chain logicielle sont nettement plus préoccupantes. Les supply chains logicielles sont particulièrement vulnérables dans le sens où les logiciels modernes ne sont plus conçus à partir de zéro. Désormais, ils intègrent de nombreux composants disponibles sur le marché, comme des API tierces, du code open source et du code propriétaire provenant de fournisseurs de logiciels.

De nos jours, un projet logiciel type compte 203 dépendances. Dès lors qu’une application populaire contient une seule dépendance compromise, TOUTE ENTREPRISE qui la télécharge auprès du fournisseur sera également compromise. Le nombre de victimes peut donc augmenter de manière exponentielle.

En outre, comme le logiciel est réutilisé, une vulnérabilité présente dans une application peut persister bien au-delà du cycle de vie du logiciel initial. Les logiciels qui ne disposent pas d’une large communauté d’utilisateurs sont particulièrement vulnérables, car une communauté étendue aura davantage de chances de mettre rapidement au jour une vulnérabilité qu’un projet comptant peu d’adeptes.

Statistiques en matière d’attaques de la supply chain

Voici quelques statistiques pour 2021 tirées de l’enquête Global Security Attitude Survey de CrowdStrike :

• 84 % des répondants estiment que les attaques de la supply chain logicielle pourraient devenir l’une des principales cybermenaces pour les entreprises au cours des trois prochaines années.
• Seuls 36 % des répondants ont vérifié la sécurité de leurs fournisseurs existants et nouveaux au cours des 12 derniers mois.
• 45 % des entreprises des répondants ont subi au moins une attaque de la supply chain logicielle au cours des 12 derniers mois, contre 32 % en 2018.
• 59 % des entreprises victimes de leur première attaque de la supply chain logicielle n’avaient aucune stratégie de réponse en place.

Des attaques en plein essor

Les attaques de la supply chain ont enregistré une croissance de 430 %. En effet, comme les entreprises ont renforcé la sécurité de leurs environnements, les cyberattaquants se sont tournés vers des proies plus faciles et ont mis au point des méthodes plus créatives pour rendre leurs activités plus difficiles à détecter et atteindre leurs cibles plus efficacement.

Il existe plusieurs types d’attaques de la supply chain :

• Les attaques les plus fréquentes sont celles qui ciblent un serveur en amont. Elles consistent à infecter un système en amont des utilisateurs, par exemple, au moyen d’une mise à jour malveillante, pour ensuite infecter tous les utilisateurs en aval qui la téléchargent. C’est ce qui s’est produit lors de l’attaque de la supply chain de SolarWinds.
• Les attaques « midstream » (à mi-parcours) ciblent des éléments intermédiaires, tels que les outils de développement de logiciels.
• Les attaques dites de « confusion de dépendance » exploitent des dépendances logicielles privées créées en interne en enregistrant une dépendance portant le même nom, mais un numéro de version supérieur, sur un référentiel public. La fausse dépendance est donc susceptible d’être intégrée dans le build du logiciel en lieu et place de la dépendance légitime.
• Les attaques utilisant des certificats SSL (Secure Sockets Layer) et des certificats de signature de code volés visent à compromettre les clés privées employées pour authentifier les utilisateurs de sites web et de services cloud sécurisés. Stuxnet fait partie de cette catégorie.
• Les attaques de l’infrastructure CI/CD (intégration/distribution continues) introduisent un logiciel malveillant dans l’infrastructure d’automatisation du développement, par exemple en clonant des référentiels GitHub légitimes.
• Les attaques de logiciels open source introduisent un code dans les builds afin de se propager en aval parmi les utilisateurs des builds.

Exemples d’attaques de la supply chain

L’attaque SolarWinds est l’attaque de la supply chain la plus connue. Un code malveillant a été injecté dans le cycle du build du logiciel et a infecté dans un premier temps près de 18 000 clients en aval, parmi lesquels de grandes entreprises et des agences gouvernementales protégées par les outils et services de cybersécurité les plus performants actuellement disponibles.

Une autre attaque sophistiquée de la supply chain a ciblé ASUS Live Update, un utilitaire logiciel qui est préinstallé sur les systèmes ASUS et qui met automatiquement à jour le BIOS, l’interface UEFI, les pilotes, les applications ou d’autres composants. D’après ce que l’on sait, plus de 57 000 utilisateurs ont téléchargé et installé l’utilitaire compromis, mais le nombre réel est sans doute beaucoup plus important. Cette attaque ciblée visait en particulier un groupe d’utilisateurs disposant d’adresses MAC spécifiques.

Un célèbre outil JavaScript open source a été la cible d’une attaque visant les systèmes d’exploitation Linux et macOS. L’attaque reposait sur une technique de brandjacking (détournement de marque), qui incite les utilisateurs à télécharger un code malveillant. Browserify, le logiciel ciblé, est téléchargé par plus d’1,3 million d’utilisateurs chaque semaine. Autant dire que les ramifications de la compromission étaient potentiellement très étendues. Dans le cas présent, l’attaque a été identifiée et bloquée le lendemain de son lancement. Néanmoins, on ne compte plus les attaques similaires qui ne l’ont pas été. En 2020, au moins 26 projets open source ont été ciblés par des attaques de la supply chain.

Les entreprises de cybersécurité sont elles aussi ciblées par des attaques de la supply chain. Par exemple, le célèbre outil de nettoyage gratuit CCleaner a été compromis par une porte dérobée qui a permis aux cyberattaquants d’accéder à des millions d’ordinateurs sur lesquels le logiciel était installé. Produit d’Avast, une entreprise spécialisée dans la sécurité, CCleaner a en fait été compromis avant qu’Avast rachète l’entreprise à l’origine de sa conception. Les cyberattaquants ont installé leur porte dérobée et ont attendu que l’acquisition soit finalisée pour commencer à contaminer les téléchargements. Les chercheurs pensent qu’il s’agit d’une attaque ciblée, étant donné que sur les 2,27 millions de téléchargements malveillants effectués, seuls 40 systèmes ont été compromis dans le cadre d’une attaque de seconde phase.

Comment prévenir et détecter les attaques de la supply chain ?

Le problème posé par les attaques de la supply chain ne cesse de s’aggraver et nuit aux relations, si importantes, avec les partenaires et les fournisseurs. Les attaques de la supply chain sont difficiles à détecter. Et le fait qu’un logiciel ait été validé par le passé ne veut pas dire qu’il est sûr aujourd’hui.

Parallèlement à la mise en place d’une procédure de vérification minutieuse de leurs fournisseurs, les entreprises doivent atténuer les risques d’attaque de la supply chain qui les rendent vulnérables. Cet objectif n’est réalisable qu’à condition d’implémenter des technologies efficaces de prévention, de détection et d’intervention.

Voici quelques recommandations à suivre pour renforcer la sécurité de la supply chain et éviter d’être victime d’une attaque :

• Adoptez des solutions dotées de fonctions de détection des attaques basées sur les comportements : compte tenu de la nature complexe des attaques de la supply chain, les entreprises doivent exploiter la puissance de l’analyse comportementale, et notamment les indicateurs d’attaque. Atténuer les risques posés par le piratage des applications légitimes exige des technologies comme le Machine Learning, capables de détecter des schémas récurrents dans des centaines, des milliers, voire des millions, d’attaques par jour — une tâche impossible à réaliser si l’entreprise ne peut compter que sur les seules connaissances humaines.
• Anticipez les futures attaques de la supply chain grâce à la cyberveille : la cyberveille vous informe de l’émergence de nouvelles attaques de la supply chain et vous fournit toutes les informations requises pour comprendre l’attaque et mettre en place une défense proactive. Outil intégré et automatisé d’analyse des menaces de CrowdStrike, CrowdStrike Falcon® Intelligence™ combine analyse antimalware, recherche des logiciels malveillants et cyberveille pour offrir des informations contextuelles très complètes permettant de mettre en place une sécurité prédictive.
• Soyez mieux préparé grâce à des services proactifs : l’équipe des Services CrowdStrike réalise notamment une évaluation de la maturité de la cybersécurité et des simulations d’attaque de la supply chain chez les clients. De cette façon, les clients peuvent mieux appréhender leur niveau de risque actuel et bénéficient d’une feuille de route destinée à renforcer leur état de préparation et leur protection face à une attaque de la supply chain.