août 2023

Les attaques contre la chaîne d'approvisionnement en logiciels se multiplient

Le problème, lorsqu'on concentre l'attention sur un type de cyberattaque, cela incite davantage les cybercriminels à s'y essayer. Ces derniers mois, l'intégrité des chaînes d'approvisionnement en logiciels est devenue un sujet de préoccupation majeur à la suite d'une série de failles de sécurité très médiatisées. Il faut espérer que l'adoption des meilleures pratiques DevSecOps permettra de réduire le nombre de vulnérabilités dans les logiciels déployés dans les environnements de production.

Les attaques contre la chaîne d'approvisionnement en logiciels se multiplient

En fait, la Maison Blanche vient de publier un mémo qui demande aux agences fédérales de se conformer aux directives sur la chaîne d'approvisionnement en logiciels de l'Office of Management and Budget (OMB). Ces orientations s'appuient sur un décret de l'administration Biden exigeant des agences qu'elles examinent la sécurité de leurs chaînes d'approvisionnement en logiciels.

La principale méthode pour intégrer des logiciels malveillants dans un logiciel en cours de développement consiste à compromettre les informations d'identification d'un membre de l'équipe de développement de l'application. Microsoft, par exemple, a publié un avertissement décrivant comment un gang de cybercriminels connu sous le nom de ZINC utilise LinkedIn pour établir un premier contact avec des développeurs de logiciels à la recherche d'un nouvel emploi. Il encourage ensuite ces développeurs à passer au service de messagerie WhatsApp, grâce auquel des charges utiles malveillantes sont installées sur le système d'un développeur.

L'avertissement de Microsoft indique également que ZINC cible spécifiquement les logiciels libres tels que PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et muPDF/Subliminal Recording software installer pour ces attaques. Si les développeurs intègrent ces composants dans les applications qu'ils créent, il y a de fortes chances que les logiciels malveillants intégrés dans ces progiciels par ZINC soient activés ultérieurement.  ZINC a été identifié comme un sous-groupe de l'équipe de pirates informatiques nord-coréenne Lazarus, et le danger posé par cette attaque ne doit pas être sous-estimé.

Bien entendu, personne ne sait avec certitude où ces logiciels malveillants peuvent aboutir, et c'est là que réside le défi auquel les professionnels de la sécurité seront de plus en plus confrontés. Le rythme auquel les processus utilisés pour créer des logiciels seront renforcés est excessivement lent. Il faut beaucoup de temps pour changer la culture des développeurs d'applications qui ont tendance à privilégier la rapidité de livraison au détriment de la sécurité. Conscients de cette réalité, les cybercriminels sont plus nombreux que jamais à cibler les chaînes d'approvisionnement en logiciels, simplement parce qu'ils savent désormais à quel point elles sont vulnérables.

La bonne nouvelle, c'est que les dirigeants qui embauchent les développeurs commencent à donner la priorité à la sécurité plutôt qu'à la rapidité. Une enquête menée auprès de 600 cadres supérieurs par CloudBees, fournisseur d'une plateforme pour la création et le déploiement d'applications, révèle que plus des trois quarts des personnes interrogées déclarent qu'il est plus important d'être sûr et conforme que rapide et conforme. La mauvaise nouvelle, c'est que 88 % de ces cadres estiment que la chaîne d'approvisionnement en logiciels de leur entreprise est sûre ou très sûre.

Malheureusement, il est probable que la sécurité des logiciels va empirer avant de commencer à s'améliorer. Par conséquent, les équipes de cybersécurité doivent se préparer au pire. Comme la vulnérabilité Log4j Shell l'a déjà clairement démontré, trouver toutes les instances d'un composant de logiciel présentant une vulnérabilité peut prendre des mois. Une équipe de gestion rapide des incidents de sécurité n'a jamais été aussi cruciale car, comme toujours, chaque fois qu'une vulnérabilité est découverte, c'est une course contre la montre avant qu'elle ne soit exploitée.

 

Par  Mike Vizard

Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.

Lien vers l'article original

Retour