Lors d'une attaque de la chaîne d'approvisionnement, les attaquants exploitent les dépendances de tiers afin d'infiltrer le système ou le réseau d'une cible.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une attaque par chaîne d'approvisionnement utilise des outils ou des services tiers - désignés collectivement sous le nom de « chaîne d'approvisionnement » - pour infiltrer le système ou le réseau d'une cible. Ces attaques sont parfois appelées « attaques de la chaîne de valeur » ou « attaques de tiers ».
Par nature, les attaques contre la chaîne d'approvisionnement sont indirectes : elles visent les dépendances de tiers sur lesquelles leurs cibles finales s'appuient (souvent sans le savoir). Une dépendance est un programme ou un élément de code (souvent écrit en JavaScript) provenant de fournisseurs tiers et conçu pour renforcer les fonctionnalités d'une application. Un commerçant en ligne peut par exemple avoir recours à une dépendance pour gérer les chatbots d'assistance à la clientèle ou pour recueillir des informations sur l'activité web des visiteurs du site. On retrouve des centaines, voire des milliers, de ces dépendances dans un large éventail de logiciels, d'applications et de services utilisés par les cibles pour maintenir leurs applications et leurs réseaux.
Dans le cadre d'une attaque de la chaîne d'approvisionnement, un attaquant peut cibler un fournisseur de cybersécurité et ajouter un code malveillant (ou 'malware') à son logiciel, qui est ensuite envoyé dans une mise à jour du système aux clients de ce fournisseur. Lorsque les clients téléchargent la mise à jour, croyant qu'elle provient d'une source fiable, le logiciel malveillant permet aux attaquants d'accéder aux systèmes et aux informations de ces clients. (C'est essentiellement de cette manière que l'attaque de SolarWinds a été menée contre 18 000 clients en 2020).
Avant de pouvoir mener une attaque contre la chaîne d'approvisionnement, les attaquants doivent avoir accès au système, à l'application ou à l'outil tiers qu'ils prévoient d'exploiter (attaque dite « en amont »). Cela peut se faire en utilisant des informations d'identification volées, en ciblant des fournisseurs ayant un accès temporaire au système d'une organisation, ou en exploitant une vulnérabilité logicielle inconnue, entre autres méthodes.
Une fois l'accès à cette dépendance tierce sécurisée, l'attaque « en aval » - celle qui atteint la cible finale, souvent via son navigateur ou son appareil - peut être menée de diverses manières.
Pour en revenir à l'exemple précédent, l'attaque « en amont » se produit lorsque l'attaquant ajoute un code malveillant au logiciel d'un fournisseur de cybersécurité. Ensuite, l'attaque « en aval » est réalisée lorsque ce logiciel malveillant s'exécute sur les appareils des utilisateurs finaux via une mise à jour logicielle de routine.
Les attaques de la chaîne d'approvisionnement peuvent viser le matériel, les logiciels, les applications ou les dispositifs gérés par des tiers. Voici quelques types d'attaques courantes :
Les attaques basées sur les navigateurs exécutent un code malveillant sur les navigateurs des utilisateurs finaux. Les attaquants peuvent cibler des bibliothèques JavaScript ou des extensions de navigateur qui exécutent automatiquement du code sur les appareils des utilisateurs.Ils peuvent également voler les informations sensibles de l'utilisateur qui sont stockées dans le navigateur (via cookies, le stockage de la session, etc.)
Attaques logicielles dissimule les logiciels malveillants dans des mises à jour logicielles.Comme dans le cas de l'attaque de SolarWinds, les systèmes des utilisateurs peuvent télécharger ces mises à jour automatiquement, ce qui permet par inadvertance aux attaquants d'infecter leurs appareils et de mener d'autres actions.
Attaques à code source ouvert exploite les vulnérabilités du code source ouvert. Les paquets de code source ouvert peuvent aider les organisations à accélérer le développement d'applications et de logiciels, mais ils peuvent aussi permettre aux attaquants d'altérer des vulnérabilités connues ou de dissimuler des logiciels malveillants qui sont ensuite utilisés pour infiltrer le système ou l'appareil de l'utilisateur.
Attaques JavaScript exploite les vulnérabilités existantes dans le code JavaScript ou intègre des scripts malveillants dans les pages web qui s'exécutent automatiquement lorsqu'ils sont chargés par un utilisateur.
Les attaques Magecart utilisent un code JavaScript malveillant pour extraire les informations relatives aux cartes de crédit des formulaires de paiement des sites Web, qui sont souvent gérés par des tiers. Cette pratique est également connue sous le nom de "formjacking".
Les attaques de type « watering hole » (trou d'eau) identifient les sites web qui sont couramment utilisés par un grand nombre d'utilisateurs (par exemple, un constructeur de sites web ou un site web gouvernemental). Les attaquants peuvent utiliser un certain nombre de tactiques pour identifier les failles de sécurité du site, puis utiliser ces failles pour transmettre des logiciels malveillants à des utilisateurs peu méfiants.
Cryptojacking permet aux attaquants de voler les ressources informatiques nécessaires au minage de crypto-monnaies. Ils peuvent le faire de plusieurs façons : en injectant du code ou des publicités malveillants dans un site web, en intégrant des scripts de cryptomining dans des dépôts de code open-source ou en utilisant la tactique du phishing pour transmettre des liens infectés par des logiciels malveillants à des utilisateurs peu méfiants.
Toute attaque qui exploite ou manipule des logiciels, du matériel ou des applications de tiers est considérée comme une attaque de la chaîne d'approvisionnement. Les organisations travaillent généralement avec une variété de fournisseurs externes, chacun d'entre eux pouvant utiliser des dizaines de dépendances dans leurs outils et services.
Pour cette raison, il peut être difficile, voire impossible, pour les organisations de se protéger complètement des attaques de la chaîne d'approvisionnement. Cependant, il existe plusieurs stratégies que les organisations peuvent utiliser pour se défendre de manière préventive contre les méthodes d'attaque courantes :
*Arrêter les exploits de type « zero-day » reste une tâche particulièrement difficile pour la plupart des organisations. En 2021, une vulnérabilité de type « zero-day » a été découverte dans Log4j, une bibliothèque logicielle open-source qui aide les développeurs à enregistrer des données dans les applications Java. Cela a permis aux attaquants d'infecter et de contrôler des centaines de millions d'appareils, à partir desquels ils ont ensuite mené d'autres attaques, notamment des attaques par ransomware et du cryptomining illégal. Pour en savoir plus sur la manière dont Cloudflare se défend contre la vulnérabilité Log4j.
Cloudflare Zero Trust aide à contrecarrer les attaques de la chaîne logistique en bloquant l'accès aux sites Web potentiellement dangereux, en empêchant les téléchargements malveillants et en vérifiant les applications SaaS (approuvées et non approuvées) au sein de votre organisation.
Cloudflare Zaraz est un gestionnaire d'outils tiers qui charge les applications dans le nuage, de sorte que le code malveillant ne puisse pas s'exécuter sur le navigateur de l'utilisateur final.Zaraz donne aux utilisateurs une visibilité et un contrôle sur les scripts tiers qui s'exécutent sur leurs sites, ce qui leur permet d'isoler et de bloquer les comportements à risque.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité