Cyberattaque via progiciels : qu'est-ce que cela signifie pour votre PME ?

Comment les progiciels deviennent un maillon faible

Le développement logiciel repose aujourd'hui fortement sur la réutilisation de morceaux de code existants, appelés "paquets" ou "librairies". Cela accélère énormément la construction de sites web et d'applications. Les entreprises utilisent ces paquets, souvent disponibles gratuitement via des plateformes comme Packagist, pour travailler rapidement et efficacement.

Hélas, cette dépendance à du code externe rend également votre entreprise vulnérable.

Récemment, une nouvelle attaque coordonnée a été découverte, qui exploite ce système. Huit paquets logiciels différents sur Packagist, une plateforme populaire pour le développement PHP, ont été infectés par du code malveillant. Ce type d'attaques, où les criminels tentent d'infiltrer vos systèmes via la chaîne d'approvisionnement logicielle, est appelé "Attaque de la Chaîne d'Approvisionnement" (Supply Chain Attack).

Elles représentent une menace croissante pour les entreprises de toutes tailles.

Explication du mode opératoire de l'attaque

Dans cette attaque spécifique, les éléments malveillants n'ont pas été ajoutés aux fichiers de configuration principaux du logiciel (comme composer. json), mais plutôt aux fichiers liés à JavaScript (package. json).

C'est une manœuvre astucieuse de la part des attaquants, car JavaScript est un composant crucial de nombreuses applications web modernes. Les projets utilisant JavaScript pour enrichir leur fonctionnalité ont ainsi été directement ciblés.

Les paquets infectés contenaient ensuite du code qui permettait de télécharger un programme malveillant supplémentaire. Ce programme était un "binaire Linux", un fichier exécutable spécialement conçu pour fonctionner sur les systèmes Linux. Ce téléchargement s'effectuait depuis un emplacement externe, à savoir une URL de GitHub Releases.

GitHub est une plateforme où les développeurs du monde entier partagent et gèrent leur code, et la section "Releases" est souvent utilisée pour mettre à disposition de nouvelles versions de logiciels.

La présence de ces malwares Linux sur GitHub en tant que "release" est trompeuse. Ils ressemblent à des logiciels légitimes, ce qui rend leur détection plus difficile pour les systèmes de sécurité. Une fois actifs sur un système, ces malwares peuvent faire n'importe quoi, du vol d'informations sensibles à la prise de contrôle du serveur hébergeant le site web.

La nature coordonnée de l'attaque suggère une opération professionnelle en coulisses, visant à maximiser l'impact.

Qu'est-ce que cela signifie concrètement pour votre PME ?

En tant que PME, vous dépendez peut-être de paquets logiciels similaires pour faire fonctionner votre site web, votre boutique en ligne ou vos applications internes. Les risques d'une telle attaque sont considérables et peuvent avoir des conséquences étendues :

• Vol de données : Des informations sensibles sur les clients, des données financières ou des secrets commerciaux peuvent tomber entre de mauvaises mains. Cela peut entraîner une usurpation d'identité, des pertes financières et des dommages à la réputation.

• Interruption des activités : Le code malveillant peut rendre vos systèmes inaccessibles, résultant en un site web hors ligne ou des applications qui ne fonctionnent plus. Cela peut entraîner une perte de revenus et des clients insatisfaits.

• Prise de contrôle des systèmes : Les pirates peuvent prendre le contrôle de vos serveurs, leur permettant d'utiliser les systèmes pour d'autres activités criminelles, comme le lancement d'autres attaques.

• Dommages à la réputation : Une fuite de données ou d'autres incidents de sécurité peuvent gravement nuire à la confiance de vos clients et partenaires. Restaurer cette confiance peut prendre du temps et coûter cher.

• Coûts financiers : Outre les dommages directs, il peut y avoir des coûts pour le nettoyage des systèmes, des enquêtes médico-légales, des conseils juridiques et l'information des personnes concernées.

Il est crucial de prendre au sérieux les risques associés à l'utilisation de composants logiciels externes. Même si vous pensez ne pas être un développeur direct, le site web que vous utilisez ou le logiciel que vos employés utilisent peuvent dépendre indirectement de tels paquets.

Comment protéger votre PME ?

La complexité des logiciels modernes fait qu'écrire tout le code soi-même n'est souvent pas réalisable. Il est donc important de gérer les risques intelligemment. Voici quelques mesures immédiates que vous pouvez prendre :

• Vérifiez vos fournisseurs de logiciels : Demandez à votre développeur web ou partenaire informatique quels paquets ils utilisent et comment ils garantissent leur sécurité. Un fournisseur transparent est un bon signe.

• Maintenez les logiciels à jour : Assurez-vous que tous les logiciels utilisés, y compris les frameworks et bibliothèques sous-jacents, sont toujours à jour. Les développeurs publient régulièrement des mises à jour pour colmater les failles de sécurité.

• Utilisez des scanners de sécurité : Il existe des outils spécialisés qui peuvent scanner votre site web et vos logiciels à la recherche de vulnérabilités connues et de composants infectés. Demandez à votre partenaire informatique quelles sont les options.

• Minimisez les dépendances : N'utilisez que les paquets logiciels dont vous avez réellement besoin. Moins votre système utilise de composants externes, plus la surface d'attaque est petite.

• Mettez en œuvre une politique de sécurité : Établissez des règles claires au sein de votre organisation concernant l'utilisation des logiciels et la sécurité. Sensibilisez vos employés aux risques.

• Sauvegardes régulières : Assurez-vous d'avoir des sauvegardes fiables et externes de votre site web et de vos données. Si quelque chose tourne mal, vous pourrez restaurer vos systèmes rapidement.

• Segmentation du réseau : Séparez les systèmes sensibles des systèmes moins critiques. Cela peut empêcher une attaque de se propager rapidement à travers tout votre réseau.

Conclusion

La récente attaque de la chaîne d'approvisionnement sur Packagist est un avertissement clair que les malveillants utilisent des méthodes de plus en plus sophistiquées pour attaquer les entreprises. Pour les PME, il est essentiel d'être proactif. Comprendre les risques, les mises à jour régulières et travailler avec des partenaires informatiques fiables sont la clé de la protection de votre activité numérique.

Prenez la sécurité au sérieux, car un petit maillon faible peut causer de gros problèmes.

**Vous en voulez plus ? ** Découvrez également comment Assist2go peut vous aider avec le service informatique adapté à votre entreprise.