J’ai perdu 25 livres en 20 jours : plongée au cœur d’une cyberattaque mondiale

Tim Brown se rappellera toujours du 12 décembre 2020. Ce jour-là, la société de logiciels SolarWinds a été informée qu’elle avait été piratée par la Russie.

Brown, responsable de la sécurité informatique chez SolarWinds, a immédiatement compris les conséquences : plus de 300 000 clients à travers le monde pouvaient également être impactés.

Cette exploitation a permis aux hackers d’accéder à distance aux systèmes des clients qui avaient installé le logiciel de gestion de réseau Orion de SolarWinds, y compris le département du Trésor américain et l’Administration nationale des télécommunications et de l’information (NTIA), sans oublier des milliers d’entreprises et d’institutions publiques.

Brown a déclaré qu’il était “en pleine adrénaline” durant les premiers jours après l’attaque.

C’était à une époque où le travail à domicile était devenu la norme en raison de la pandémie de Covid, mais le système de messagerie de l’entreprise avait été compromis, rendant la communication avec le personnel difficile.

“Nous avons abandonné les téléphones et tout le monde est venu au bureau pour se faire tester. J’ai perdu 11 kilos en environ 20 jours… en continuant d’avancer”, a-t-il confié. À la suite de l’attaque, il est apparu sur plusieurs chaînes comme CNN et dans la plupart des grands journaux.

“Le monde est en feu. Vous essayez de transmettre des informations et de faire comprendre ce qui est sûr ou non”, a-t-il ajouté.

Pendant que son email était compromis, l’entreprise a basculé sur ProtonMail et Signal pour la communication. Brown a reçu des appels d’entreprises et d’agences gouvernementales du monde entier, y compris de l’armée américaine et du programme de vaccination Covid, Operation Warp Speed.

“Le monde désirait une communication verbale plutôt qu’écrite, c’est une leçon importante : vous pouvez mettre des choses par écrit, mais ils veulent parler au responsable de la sécurité informatique,” a-t-il précisé lors d’une conférence à CyberCon à Melbourne.

Le déroulement de l’attaque informatique

La notification concernant le piratage est parvenue lors d’un appel téléphonique de Kevin Mandia, fondateur de la société de cybersécurité Mandiant, au CEO de SolarWinds, Kevin Thompson. Il lui a révélé que SolarWinds avait “expédié un code contaminé” à son logiciel Orion.

Ce code exploité était utilisé pour attaquer des agences gouvernementales, a-t-il expliqué.

“Nous pouvions voir dans ce code qu’il n’était pas le nôtre, donc lorsque nous avons reçu cela, nous avons compris que c’était réel,” a rappelé Brown.

SolarWinds, basée au Texas, a déterminé que 18 000 personnes avaient téléchargé le produit contaminé, que les hackers, attribués au Service de renseignement étranger russe, avaient pu insérer dans Orion dans l’environnement de développement.

Les nouvelles ont éclaté le dimanche, et SolarWinds a notifié la bourse avant son ouverture le lundi.

La première estimation annonçait jusqu’à 18 000 clients impactés, mais cette estimation a été révisée à environ 100 agences gouvernementales et entreprises affectées.

“Il aurait été agréable de le savoir dès le premier jour, mais c’était la réalité”, a reconnu Brown. “Nous n’étions pas vraiment la cible, juste une voie vers la cible.”

SolarWinds a fait appel à CrowdStrike, KPMG et au cabinet d’avocats DLA Piper pour gérer la réponse et l’enquête.

Conséquences : l’attaque cardiaque

SolarWinds a suspendu le développement de nouvelles fonctionnalités pendant six mois, et son équipe de 400 ingénieurs s’est concentrée sur la sécurité des systèmes pour redresser la situation.

“Nous avons vraiment mis l’accent sur la transparence – comment s’assurer que les gens réalisent les modèles de menaces existants, ce qu’ils font, comment ils effectuent leur reconnaissance, comment ils attaquent et comment ils quittent,” a expliqué Brown.

Le taux de renouvellement des clients a chuté à environ 80 % dans les mois suivant l’incident, mais a depuis rebondi à plus de 98 %.

Des conséquences juridiques se sont cependant profilées à l’horizon. En 2021, l’administration Biden a imposé des sanctions et expulsé des diplomates russes en réponse à l’attaque.

SolarWinds a réglé une plainte collective liée à l’attaque en 2022 pour 26 millions de dollars. En octobre 2023, la Securities and Exchange Commission (SEC) a ensuite poursuivi SolarWinds et Brown personnellement, les accusant d’avoir induit les investisseurs en erreur au sujet de leurs protections cybersécuritaires.

Brown était en Zurich lorsqu’il a appris qu’il faisait l’objet d’accusations.

“Quand je marchais en haut d’une colline, je perdais mon souffle. Mes bras devenaient lourds et ma poitrine se serrait, je ne recevais tout simplement pas assez d’oxygène,” a-t-il raconté. “J’ai fait une bêtise. J’ai pris l’avion pour rentrer… Je ne pouvais pas marcher jusqu’à ma voiture sans m’arrêter. C’est une marche que j’avais faite des milliers de fois.”

Il a eu une attaque cardiaque. À son retour, sa femme l’a conduit à l’hôpital où il a subi une opération. Il s’est depuis rétabli.

“Le stress s’accumulait, et je pensais bien le gérer sans consulter de médecin,” a déclaré Brown.

Il conseille à présent aux entreprises confrontées à de tels incidents d’employer des psychiatres pour aider le personnel à gérer le stress.

“Le niveau de stress était tellement élevé, qu’il a fini par déborder, mais il s’accumulait depuis longtemps,” ajoute-t-il.

Un règlement proposé de manière conjointe avec la SEC a été annoncé en juillet, mais il n’a pas encore été approuvé, la fermeture du gouvernement américain retardant l’achèvement de l’accord.

Brown est resté chez SolarWinds tout au long de cette période. “Cela s’est produit sous ma gestion, c’est ainsi que je le vois. Il y a des raisons pour cela, telles qu’une attaque d’État-nation, mais cela s’est produit sous ma surveillance,” conclut-il. “Je dirais que je suis têtu. Mais il était crucial pour nous de traverser tout ce cycle ; quitter n’était pas une option tant que ce n’était pas fait.”