— NetworkSecurityMonkey (@Netguy73) December 15, 2020
Piratage de SolarWinds et son lien possible avec les élections américaines
- Qu’est-ce que SolarWinds ? C’est une entreprise leader dans le domaine de la « gestion informatique ». L’un de ses produits est le Network Management Suite. Ces outils aident les ingénieurs réseau à gérer et à surveiller les réseaux. (SolarWinds.com)
- Il y a 13 outils de gestion de réseau SolarWinds qui ont de la chance. Je n’en expliquerai que quelques-uns de la plus haute importance :
- Orion – Vous entendrez les mots « SolarWinds Orion » a été compromis. Qu’est-ce qu’Orion ? C’est la clé du royaume, l’accès absolu à tout. SolarWinds dispose d’un logiciel de gestion et de surveillance centralisé et mondial appelé Orion. Ensuite, vous achetez un ou plusieurs des « outils enfichables » de SolarWind, dont certains sont décrits ci-dessous. Vous les installez ensuite sur Orion et les activez avec une clé de licence. Ainsi, si « Orion est compromis », cela signifie que chaque plug-in acheté par l’entreprise cliente de SolarWind est compromis.
- NetFlow Traffic Analyzer – permet à une entreprise de recueillir des données historiques sur le trafic du réseau mondial. https://www.solarwinds.com/netflow-traffic-analyzer. Des informations historiques sont recueillies pour le trafic du réseau remontant à des mois, voire des années. Il s’agit, par exemple, de sauvegarder tout le trafic qui a eu lieu sur l’ensemble du réseau de l’entreprise au cours des 3 et 4 novembre entre les adresses IP source et destination (différents serveurs entre Francfort, Barcelone et Atlanta, par exemple), les horodatages, la quantité de données. En termes simples, il stocke toutes les conversations de tous les systèmes qui parlent à tous les systèmes sur le réseau mondial de l’entreprise.
- Network Performance Monitor – permet à une entreprise de surveiller et de stocker les « performances du réseau » https://www.solarwinds.com/network-performance-monitor. C’est un outil très intéressant qui peut également vous montrer des données historiques et des anomalies. Par exemple, s’il y a un minimum de données sur un réseau entre des serveurs et que soudain, de manière hypothétique, le 4 novembre au milieu de la nuit, il y a un pic de trafic, il le signalera comme un trafic « anormal inhabituel ». Il s’agit également d’un collecteur historique.
- Autres outils SolarWinds – Il existe d’autres outils intéressants de gestion de réseau. Un outil enregistre les « événements » qui se produisent sur chaque réseau et dispositif de sécurité. Cela peut également être intéressant.
- Outils de lecture-écriture – notez que les outils ci-dessus ne sont rien d’autre que des collecteurs de données. Techniquement, ils ne permettent pas d’écrire ou de modifier le réseau. Appelons-les des outils « passifs ». Certains outils SolarWinds permettent de modifier la configuration des appareils. Appelons-les outils « actifs ». L’un de ces outils, le gestionnaire de configuration du réseau, permet à une personne de faire tomber l’ensemble du réseau mondial d’une entreprise géante en un clic de bouton. En fait, cela peut être fait de manière si malveillante que l’entreprise entière peut être DEBOUTÉE POUR DES JOURS.
Ce qu’il est important de noter, c’est que lorsque SolarWinds Orion est compromis, tous les plug-ins, qu’ils soient « passifs ou actifs », le sont également. Il est clair que le piratage d’Orion a permis à un intrus d’infliger théoriquement une panne dévastatrice à sa cible. Pourtant, un intrus a choisi de ne pas exercer cette option. Pourquoi ?
Ma théorie est que le plan des intrus était de n’infliger aucun dommage. Ce n’était ni pour le sport ni pour l’argent non plus. Il s’agissait d’extraire des informations historiques sur les flux de circulation entre le 3 et le 4 novembre.
NetFlow Traffic Analyzer et Network Performance Monitor sont de loin les outils SolarWinds les plus populaires. Il se trouve qu’ils stockent toutes les données historiques du trafic réseau. Il se trouve que Dominion utilise l’Orion de SolarWinds. Savez-vous quel âge a SolarWinds ? Il a 20 ans. Il se trouve juste qu’il a été annoncé tout juste après les élections que SolarWinds Orion a été piraté. Quand cela s’est-il passé ? Bonne question. Pour autant que nous sachions, il a été piraté le 1er novembre, si vous voyez ce que je veux dire. Pourquoi l’annoncer maintenant ? Peut-être que quelqu’un essaie de dire à quelqu’un que « Nous avons vos données, bande de nuls ! ». Honnêtement, c’est juste mon avis. Pourquoi a-t-il été piraté ? Pour emprunter un slogan ringard à une Fox News mourante. On rapporte… C’est vous qui décidez. Honnêtement, je n’en ai aucune idée. Je ne suis qu’un singe ignorant de la sécurité des réseaux.