Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?

Lors d'une attaque de la chaîne d'approvisionnement, les attaquants exploitent les dépendances de tiers afin d'infiltrer le système ou le réseau d'une cible.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir l'expression « attaque de la chaîne d'approvisionnement ».
  • Expliquer comment se déroule une attaque de la chaîne d'approvisionnement.
  • Apprenez comment mettre fin aux attaques de la chaîne d'approvisionnement

Copier le lien de l'article

Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?

Une attaque par chaîne d'approvisionnement utilise des outils ou des services tiers - désignés collectivement sous le nom de « chaîne d'approvisionnement » - pour infiltrer le système ou le réseau d'une cible. Ces attaques sont parfois appelées « attaques de la chaîne de valeur » ou « attaques de tiers ».

Par nature, les attaques contre la chaîne d'approvisionnement sont indirectes : elles visent les dépendances de tiers sur lesquelles leurs cibles finales s'appuient (souvent sans le savoir). Une dépendance est un programme ou un morceau de code (souvent écrit en JavaScript) provenant de fournisseurs tiers qui améliore la fonctionnalité de l'application. Une dépendance utilisée par un détaillant en commerce électronique, par exemple, peut permettre de faire fonctionner des robots d'assistance à la clientèle ou de recueillir des informations sur l'activité des visiteurs du site. Des centaines, voire des milliers, de ces dépendances se retrouvent dans un large éventail de logiciels, d'applications et de services que les cibles utilisent pour maintenir leurs applications et leurs réseaux.

Dans le cadre d'une attaque de la chaîne d'approvisionnement, un attaquant peut cibler un fournisseur de cybersécurité et ajouter un code malveillant (ou 'malware') à son logiciel, qui est ensuite envoyé dans une mise à jour du système aux clients de ce fournisseur. Lorsque les clients téléchargent la mise à jour, croyant qu'elle provient d'une source fiable, le logiciel malveillant permet aux attaquants d'accéder aux systèmes et aux informations de ces clients. (C'est essentiellement de cette manière que l'attaque de SolarWinds a été menée contre 18 000 clients en 2020).

Comment se déroule une attaque de la chaîne d'approvisionnement ?

Avant de pouvoir mener une attaque contre la chaîne d'approvisionnement, les attaquants doivent avoir accès au système, à l'application ou à l'outil tiers qu'ils prévoient d'exploiter (attaque dite « en amont »). Cela peut se faire en utilisant des informations d'identification volées, en ciblant des fournisseurs ayant un accès temporaire au système d'une organisation, ou en exploitant une vulnérabilité logicielle inconnue, entre autres méthodes.

Une fois l'accès à cette dépendance tierce sécurisée, l'attaque « en aval » - celle qui atteint la cible finale, souvent via son navigateur ou son appareil - peut être menée de diverses manières.

Pour en revenir à l'exemple précédent, l'attaque « en amont » se produit lorsque l'attaquant ajoute un code malveillant au logiciel d'un fournisseur de cybersécurité. Ensuite, l'attaque « en aval » est réalisée lorsque ce logiciel malveillant s'exécute sur les appareils des utilisateurs finaux via une mise à jour logicielle de routine.

Quels sont les types courants d'attaques contre la chaîne d'approvisionnement ?

Les attaques de la chaîne d'approvisionnement peuvent viser le matériel, les logiciels, les applications ou les dispositifs gérés par des tiers. Voici quelques types d'attaques courantes :

Les attaques basées sur les navigateurs exécutent un code malveillant sur les navigateurs des utilisateurs finaux. Les attaquants peuvent cibler des bibliothèques JavaScript ou des extensions de navigateur qui exécutent automatiquement du code sur les appareils des utilisateurs.Ils peuvent également voler les informations sensibles de l'utilisateur qui sont stockées dans le navigateur (via cookies, le stockage de la session, etc.)

Attaques logicielles dissimule les logiciels malveillants dans des mises à jour logicielles.Comme dans le cas de l'attaque de SolarWinds, les systèmes des utilisateurs peuvent télécharger ces mises à jour automatiquement, ce qui permet par inadvertance aux attaquants d'infecter leurs appareils et de mener d'autres actions.

Attaques à code source ouvert exploite les vulnérabilités du code source ouvert. Les paquets de code source ouvert peuvent aider les organisations à accélérer le développement d'applications et de logiciels, mais ils peuvent aussi permettre aux attaquants d'altérer des vulnérabilités connues ou de dissimuler des logiciels malveillants qui sont ensuite utilisés pour infiltrer le système ou l'appareil de l'utilisateur.

Attaques JavaScript exploite les vulnérabilités existantes dans le code JavaScript ou intègre des scripts malveillants dans les pages web qui s'exécutent automatiquement lorsqu'ils sont chargés par un utilisateur.

Les attaques Magecart utilisent un code JavaScript malveillant pour extraire les informations relatives aux cartes de crédit des formulaires de paiement des sites Web, qui sont souvent gérés par des tiers. Cette pratique est également connue sous le nom de "formjacking".

Les attaques de type « watering hole » (trou d'eau) identifient les sites web qui sont couramment utilisés par un grand nombre d'utilisateurs (par exemple, un constructeur de sites web ou un site web gouvernemental). Les attaquants peuvent utiliser un certain nombre de tactiques pour identifier les failles de sécurité du site, puis utiliser ces failles pour transmettre des logiciels malveillants à des utilisateurs peu méfiants.

Cryptojacking permet aux attaquants de voler les ressources informatiques nécessaires au minage de crypto-monnaies. Ils peuvent le faire de plusieurs façons : en injectant du code ou des publicités malveillants dans un site web, en intégrant des scripts de cryptomining dans des dépôts de code open-source ou en utilisant la tactique du phishing pour transmettre des liens infectés par des logiciels malveillants à des utilisateurs peu méfiants.

Comment se défendre contre les attaques de la chaîne d'approvisionnement

Toute attaque qui exploite ou manipule des logiciels, du matériel ou des applications de tiers est considérée comme une attaque de la chaîne d'approvisionnement. Les organisations travaillent généralement avec une variété de fournisseurs externes, chacun d'entre eux pouvant utiliser des dizaines de dépendances dans leurs outils et services.

Pour cette raison, il peut être difficile, voire impossible, pour les organisations de se protéger complètement des attaques de la chaîne d'approvisionnement. Cependant, il existe plusieurs stratégies que les organisations peuvent utiliser pour se défendre de manière préventive contre les méthodes d'attaque courantes :

  • Effectuez une évaluation des risques liés aux tiers : Il peut s'agir de tester les logiciels tiers avant leur déploiement, d'exiger des fournisseurs qu'ils respectent des politiques de sécurité spécifiques, de mettre en œuvre des politiques de sécurité du contenu (CSP) pour contrôler les ressources qu'un navigateur peut exécuter ou d'utiliser l'intégrité des sous-ressources (SRI) pour vérifier le contenu suspect de JavaScript.
  • Mettre en œuvre la confiance zéro : La confiance zéro garantit que chaque utilisateur - des employés aux contractants et aux fournisseurs - est soumis à une validation et à une surveillance continues au sein du réseau d'une organisation. La vérification de l'identité et des privilèges des utilisateurs et des dispositifs permet de s'assurer que les attaquants ne peuvent pas infiltrer une organisation simplement en volant les informations d'identification d'un utilisateur légitime (ou se déplacer latéralement au sein du réseau s'ils enfreignent les mesures de sécurité existantes).
  • Utilisez la prévention des logiciels malveillants : Les outils de prévention des logiciels malveillants, comme les logiciels antivirus, analysent automatiquement les appareils à la recherche de codes malveillants afin d'en empêcher l'exécution.
  • Adoptez l'isolation du navigateur : Les outils d'isolation du navigateur isolent (ou mettent en bac à sable) le code des pages Web avant qu'il ne s'exécute sur les appareils des utilisateurs finaux, de sorte que tout logiciel malveillant est détecté et atténué avant d'atteindre sa cible.
  • Détecter le shadow IT : 'Le shadow IT' désigne les applications et les services que les employés utilisent sans l'approbation du service informatique de leur organisation. Ces outils non approuvés peuvent contenir des vulnérabilités qui ne peuvent pas être corrigées par le service informatique, puisqu'il n'est pas au courant de leur utilisation. L'utilisation d'un courtier de sécurité d'accès au cloud (CASB) doté de capacités de détection du shadow IT peut aider les organisations à mieux cataloguer les outils utilisés par leurs employés et à les analyser pour détecter d'éventuelles vulnérabilités de sécurité.
  • Permettre l'application de correctifs et la détection des vulnérabilités : Les organisations qui utilisent des outils tiers ont la responsabilité de s'assurer que ces outils sont exempts de vulnérabilités de sécurité. S'il n'est pas toujours possible d'identifier et de corriger toutes les vulnérabilités, les organisations doivent néanmoins faire preuve de diligence raisonnable pour trouver et divulguer les vulnérabilités connues dans les logiciels, les applications et les autres ressources tierces.
  • Prévenir les exploits du jour zéro* : Souvent, les attaques de la chaîne d'approvisionnement utilisent des exploits du jour zéro qui n'ont pas encore été corrigés.Bien qu'il n'existe pas de méthode infaillible pour anticiper les menaces de type « zero-day », les outils d'isolation du navigateur et les pare-feu peuvent aider à isoler et à bloquer le code malveillant avant son exécution.

*Arrêter les exploits de type « zero-day » reste une tâche particulièrement difficile pour la plupart des organisations. En 2021, une vulnérabilité de type « zero-day » a été découverte dans Log4j, une bibliothèque logicielle open-source qui aide les développeurs à enregistrer des données dans les applications Java. Cela a permis aux attaquants d'infecter et de contrôler des centaines de millions d'appareils, à partir desquels ils ont ensuite mené d'autres attaques, notamment des attaques par ransomware et du cryptomining illégal. Pour en savoir plus sur la manière dont Cloudflare se défend contre la vulnérabilité Log4j.

Comment Cloudflare met-il fin aux attaques de la chaîne d'approvisionnement ?

Cloudflare Zero Trust aide à contrecarrer les attaques de la chaîne logistique en bloquant l'accès aux sites Web potentiellement dangereux, en empêchant les téléchargements malveillants et en vérifiant les applications SaaS (approuvées et non approuvées) au sein de votre organisation.

Cloudflare Zaraz est un gestionnaire d'outils tiers qui charge les applications dans le nuage, de sorte que le code malveillant ne puisse pas s'exécuter sur le navigateur de l'utilisateur final.Zaraz donne aux utilisateurs une visibilité et un contrôle sur les scripts tiers qui s'exécutent sur leurs sites, ce qui leur permet d'isoler et de bloquer les comportements à risque.

Service commercial