Cybersécurité mondiale : des hackers étatiques ciblent les sous-traitants pour infiltrer les chaînes d’approvisionnement

Crédit Photo : X /

Les cyberattaques par rebond via des prestataires fragiles se multiplient, selon Kaspersky.

La cybersécurité mondiale est de plus en plus menacée par des groupes de hackers parrainés par des États, qui exploitent les vulnérabilités des sous-traitants pour atteindre des cibles majeures qu’ils ne peuvent pas attaquer directement.

Cette tendance pousse à un renforcement de la coopération internationale et à l’adoption de stratégies de défense en couches.

Les attaques de la chaîne d’approvisionnement consistent à infiltrer des cibles majeures en passant par des tiers comme des développeurs de logiciels, des fournisseurs de matériel ou des prestataires de services. L’affaire SolarWinds en 2020 a révélé au monde cette méthode, qui permet d’atteindre de nombreuses victimes à partir d’un point d’entrée unique.

Dans un entretien avec l’agence Anadolu, Dmitry Galov, directeur de l’équipe mondiale de recherche et d’analyse de Kaspersky, a indiqué que les tactiques des groupes APT (Advanced Persistent Threat), souvent liés à des États, se sont fortement sophistiquées.

Évoquant la faille XZ, qui a affecté des milliers de serveurs Linux, Galov a révélé que les assaillants avaient manipulé les développeurs de l’utilitaire open source XZ Utils pendant des années, créant une porte dérobée capable de contourner l’authentification SSH.

"Chaque attaque de chaîne d’approvisionnement est différente, conçue spécifiquement pour la cible visée. On ne peut donc pas prévoir leur prochaine méthode"

, explique Galov.

"Ils investissent plusieurs années dans l’ingénierie sociale avant même de toucher au code."

Pour faire face à ces menaces, Kaspersky recourt à l’analyse comportementale et à des technologies d’IA capables de détecter et de bloquer des logiciels malveillants même dissimulés dans des applications de confiance.

Selon Galov, les attaquants commencent souvent par des sous-traitants de taille modeste, plus faciles à compromettre.

"Les grandes entreprises ont des systèmes de défense robustes. Alors les hackers passent par un prestataire moins bien protégé pour ensuite atteindre leur vraie cible"

, souligne-t-il.

Ces prestataires bénéficient souvent de droits d’accès privilégiés aux systèmes ou aux réseaux des entreprises principales, ou bien fournissent des mises à jour logicielles, créant ainsi une brèche potentielle.

Pour atténuer ces risques, Galov recommande aux grandes entreprises d’évaluer sérieusement la posture de cybersécurité de leurs fournisseurs, de pratiquer des tests d’intrusion réguliers, et de mettre en place un audit strict des logiciels entrants.

"On ne peut plus installer un logiciel les yeux fermés. Il faut vérifier sa sécurité et contrôler qui a accès à quoi et pourquoi"

, affirme-t-il.

Des failles en Afrique attirent des acteurs sophistiqués

Galov note également que les écarts régionaux de maturité en cybersécurité profitent aux attaquants:

"Au Moyen-Orient, la sensibilisation est correcte, mais en Afrique, où la numérisation est encore naissante, les attaques peuvent faire beaucoup de dégâts."

Face à cela, Kaspersky a développé un scanner dédié aux bibliothèques open source, permettant de repérer du code malveillant dans les mises à jour des grands dépôts de développement.
"Nous analysons chaque mise à jour et transmettons des alertes à nos clients"
, ajoute-t-il.

Il décrit la lutte actuelle entre défenseurs et cybercriminels comme une

"course"

technologique:

"L’IA, le machine learning, les LLM sont utilisés des deux côtés. Il faut garder une longueur d’avance."

Galov conclut avec un avertissement:

"Il n’existe aucune technologie unique pour stopper les attaques en chaîne d’approvisionnement. Cela demande une défense en profondeur, de la coopération et un partage global du renseignement. Gouvernements, entreprises de cybersécurité et utilisateurs doivent travailler ensemble."