Depuis la mi-décembre et tout au long de la période des Fêtes, j’ai échangé avec des clients de Splunk et des membres de notre équipe au sujet des cyberattaques affectant la plateforme logicielle SolarWinds Orion. Splunk n’a pas été directement affecté par cet événement, mais en tant que leader de la sécurité, nous tenons à apporter notre aide à l’industrie en proposant des outils, des conseils et un appui. Il est essentiel que toute notre industrie fasse communauté et rassemble ses forces pour contrer les menaces de cybersécurité et échanger des informations au sujet des incidents tels que celui-ci.
Pour donner un peu de contexte, voici un résumé des événements.
- Des malfaiteurs sophistiqués, qui semblent avoir été aux ordres d’un gouvernement étranger, ont dissimulé un logiciel malveillant dans une mise à jour logicielle de SolarWinds Orion.
- Ce malware, associé à la campagne d’attaque baptisée Sunburst, a permis aux malfaiteurs de s’implanter chez les clients de SolarWinds Orion et d’accéder à des informations et des systèmes supplémentaires.
- Les victimes confirmées incluent notamment le cabinet de cybersécurité FireEye et des agences gouvernementales telles que les départements américains du Trésor, du Commerce et de la Sécurité intérieure.
- Les malfaiteurs ont exploité cette intrusion pour voler des outils internes employés par FireEye pour découvrir des points faibles dans les réseaux de ses clients.
- Une nouvelle menace, Supernova, est associée à cette campagne d’agression et la situation est toujours en cours d’évolution. Nous maintenons une supervision étroite.
Chez Splunk, nous faisons tout notre possible pour aider nos clients utilisateurs de SolarWinds Orion et transmettre des informations utiles à la communauté en général.
- Nous avons créé une page web où nous publions et mettons à jour des informations pertinentes et utiles au sujet de l’attaque.
- Nous avons publié un article de blog indiquant aux clients comment utiliser Splunk pour détecter la mise à jour compromise de SolarWinds dans leur environnement.
- Nous avons publié un message à nos clients pour les assurer de notre soutien et leur expliquer comment nous contacter s’ils pensent avoir été touchés.
- Nous avons contacté spontanément nos clients et répondu aux questions concernant notre propre exposition.
Nous avons également pris des mesures pour mieux protéger Splunk en tant qu’entreprise :
- l’équipe de sécurité de Splunk surveille et évalue en continu les risques de sécurité rapportés dans l’industrie et dans l’actualité. Nous avons pris des mesures immédiates pour confirmer la sécurité de nos systèmes et de notre code par rapport à l’attaque SolarWinds.
- Je le répète, nous n’avons trouvé aucune preuve indiquant que nos systèmes Splunk internes aient pu être affectés d’aucune façon par l’attaque SolarWinds, parce que nous ne sommes pas des clients de SolarWinds Orion.
- Nous supervisons continuellement notre environnement pour détecter le moindre signe de Sunburst et de toute autre malveillance.
- Nous avons pris des précautions supplémentaires en confirmant que tous les correctifs et protocoles de sécurité possibles sont bien en place pour nous protéger des outils de piratage dérobés à FireEye.
Les répercussions de l’attaque SolarWinds continueront de se faire sentir en 2021. Toute l’équipe de Splunk reste vigilante et déterminée à identifier les différentes façons d’aider nos clients, nos partenaires et les organisations professionnelles de notre secteur dans leur réponse. Je vous invite à visiter le site Splunk de réponse à SolarWinds pour obtenir la documentation et les informations les plus récentes.
