Eakrin - stock.adobe.com
L'État de la Hesse coupe l'accès à Internet ; son fournisseur Trellix a été victime de cyberattaque
L'administration de l'État de la Hesse dit avoir, par précaution, interdit à ses fonctionnaire d'accéder à Internet depuis leurs postes de travail, protégés par des outils de Trellix dont le code source a été compromis par des cybercriminels.
L'administration de l'État de la Hesse, en Allemagne, a décidé d'interdire l'accès à Internet via ses postes de travail. Cette restriction, visant les navigateurs standards comme Chrome et Edge, est une mesure préventive imposée suite à un incident de sécurité chez Trellix, fournisseur dont le logiciel est déployé au sein du système.
Si les communications par e-mail et la visioconférence restent fonctionnelles, cette segmentation forcée démontre une incapacité à isoler les fonctions critiques de l'impact d'un composant tiers. La dépendance critique à un fournisseur tiers pour la sécurité logicielle expose l'infrastructure gouvernementale à des risques systémiques externes, transformant une faille logicielle en paralysie métier.
Car RansomHouse vient de revendiquer, le 8 mai, une intrusion dans le dépôt de code source de Trellix. Les preuves présentées par les attaquants incluent des captures d'écran du système de gestion des appliances. Bien que Trellix affirme n'avoir trouvé aucune indication que le processus de distribution ou le code source ait été compromis, la simple compromission du dépôt révèle une faille structurelle dans la posture de sécurité globale.
Trellix n'a pas attendu d'être désigné par RansomHouse pour faire ses déclarations. Mais l'enseigne avait indiqué plus tôt, le 28 avril, avoir réussi à attaquer un éditeur de cybersécurité, sans le nommer. Selon les assaillants, l'attaque est intervenue le 17 avril. Elle a été assortie d'un chiffrement de données.
Les assurances de Trellix ne neutralisent pas le risque latent. L'accès non autorisé au code source d'un fournisseur de cybersécurité majeur expose potentiellement l'intégrité des produits et la confiance client, même en l'absence de preuve d'exploitation immédiate. La déclaration de l'éditeur ne garantit pas l'absence d'exploitation latente ou future des données exfiltrées, créant une zone grise de risque pour les utilisateurs finaux. De quoi justifier la décision de l'État de la Hesse.
