Cyberattaque : SolarWinds répond aux accusations de la SEC

SolarWinds a critiqué la Securities and Exchange Commission (SEC) des États-Unis au sujet des récentes accusations portées contre l’éditeur de logiciels et son RSSI Timothy Brown, affirmant que le procès intenté par l’agence est « fondamentalement erroné ». 

La semaine dernière, la SEC a annoncé qu’elle portait des accusations de fraude et de manquements aux contrôles de sécurité internes contre SolarWinds et son RSSI Timothy Brown. La SEC a affirmé que l’éditeur et son RSSI ont trompé les investisseurs en surestimant publiquement les pratiques internes de cybersécurité entre octobre 2018 (date de l’introduction en bourse initiale de SolarWinds) et décembre 2020 (date à laquelle l’éditeur a annoncé avoir été la cible d’une importante attaque informatique s’étendant sur près de deux ans, baptisée Sunburst).

« Dans ses dépôts auprès de la SEC au cours de cette période, SolarWinds aurait trompé les investisseurs en ne divulguant que des risques génériques et hypothétiques à un moment où la société et Timothy Brown connaissaient des lacunes spécifiques dans les pratiques de cybersécurité de SolarWinds, ainsi que des risques de plus en plus élevés auxquels la société était confrontée au même moment », écrivait la SEC dans un communiqué de presse.

SolarWinds a publié, la semaine dernière, une réfutation des accusations de la SEC, affirmant que les poursuites judiciaires contiennent de « fausses affirmations » concernant les pratiques de sécurité de l’entreprise et la fameuse attaque sur la chaîne logistique du logiciel.

SolarWinds a « catégoriquement » réfuté les allégations de la SEC, selon lesquelles il n’avait pas de contrôles de sécurité adéquats avant l’attaque au cours de laquelle des acteurs malveillants ont utilisé des mises à jour piégées pour le logiciel de gestion informatique Orion de la société, afin de distribuer une porte dérobée, dite Sunburst, aux clients de SolarWinds. 

« La SEC cite de manière trompeuse des bribes de documents et de conversations hors contexte pour reconstituer un récit erroné sur notre position en matière de sécurité », affirme SolarWinds, qui ajoute au passage que « l’entreprise disposait de contrôles de sécurité appropriés avant Sunburst ».

SolarWinds a également réfuté les allégations selon lesquelles elle aurait trompé les investisseurs dans les documents déposés auprès de la SEC au sujet du risque de cyberattaques. « Nos documents réglementaires avant l’attaque ont clairement indiqué que, malgré les contrôles de sécurité de l’entreprise, celle-ci était exposée au risque d’une violation (y compris une attaque parrainée par un État, comme celle de SUNBURST) », écrit l’éditeur. Pour lui, « cette divulgation des risques était comparable à celle des principales entreprises technologiques américaines. Si notre divulgation des risques [était] considérée comme inadéquate, les divulgations de risques de tout le monde seraient inadéquates ».

SolarWinds a également fortement nié deux aspects des poursuites de la SEC concernant l’attaque de la chaîne logistique du logiciel. La plainte affirme qu’au début de 2018, SolarWinds avait « une vulnérabilité connue » dans son VPN d’entreprise et qu’en 2019, des acteurs malveillants ont accédé au réseau de l’entreprise via le VPN. 

« Il est possible que les acteurs malveillants aient d’abord accédé aux systèmes de SolarWinds à un moment antérieur et par d’autres moyens, mais l’accès confirmé le plus tôt a été la vulnérabilité du VPN », lit-on dans la plainte.

Cependant, SolarWinds estime que ces affirmations sont fausses : « il n’y avait pas de “vulnérabilité” du VPN », écrit l’éditeur qui assure avoir « mis en place des contrôles pendant la période concernée, afin d’atténuer les risques liés à l’accès VPN (tels que des restrictions sur l’étendue de l’accès disponible pour les appareils non managés). L’affirmation de la SEC selon laquelle la société n’avait pas de contrôles compensatoires est fausse ». 

L’éditeur a également réfuté l’affirmation de la SEC selon laquelle les acteurs russes malveillants à l’origine de Sunburst ont obtenu l’accès au réseau par le biais du VPN : « la plainte de la SEC ne précise pas comment la Russie a pu pénétrer dans l’environnement SolarWinds. En fait, c’est toujours inconnu à ce jour ». 

Les allégations relatives au VPN semblent découler d’un article publié en mai par Wired, selon lequel les enquêteurs chargés de la réponse aux incidents ont découvert que des acteurs malveillants russes avaient accédé au compte VPN d’un employé de SolarWinds, en janvier 2019. Cependant, l’article ne mentionne pas de vulnérabilité et n’établit pas le vol de compte comme point d’accès initial au réseau de SolarWinds.

La déclaration de SolarWinds ne mentionne pas Timothy Brown. Cependant, l’éditeur estime que les poursuites « menacent de décourager les RSSI et les autres membres du personnel de cybersécurité d’évaluer et de discuter franchement des risques en interne, comme cela est nécessaire pour l’amélioration continue en identifiant les domaines dans lesquels la sécurité peut être renforcée ».

Pour SolarWinds, « si le personnel de sécurité doit constamment s’inquiéter du fait que ses paroles et ses actions bien intentionnées soient présentées sous un faux jour et utilisées pour alimenter les accusations du gouvernement, le résultat sera de chasser les bonnes personnes de l’industrie et d’empêcher une communication franche et une prise de décision saine sur les questions de sécurité ».