Skip to content
Cyber Breaches
Recherche
Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victime
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Perte
$100.00B
SecteurTechnologieGouvernementTélécomsFinance
PaysÉtats-Unis
GroupeAPT29Cozy BearNOBELIUM (Microsoft)Russian SVR (Foreign Intelligence Service)

En décembre 2020, le secteur de la cybersécurité a découvert qu'environ 18 000 clients de SolarWinds Orion — dont neuf agences fédérales américaines, de grandes entreprises technologiques et une longue liste d'organisations du Fortune 500 — s'étaient eux-mêmes distribué une porte dérobée conçue par un État via des mises à jour logicielles légitimes et signées pendant près d'un an. L'opération, baptisée SUNBURST par FireEye et SOLORIGATE par Microsoft, a été attribuée au SVR russe (service de renseignement extérieur) — l'unité connue publiquement sous le nom d'APT29 / Cozy Bear.

Elle demeure l'opération d'cyberespionnage étatique emblématique de la décennie.

Ce qui s'est passé

L'opération a débuté en septembre 2019, lorsque des opérateurs du SVR ont compromis l'environnement de compilation logicielle de SolarWinds, un éditeur de solutions de gestion informatique basé au Texas, dont le produit phare Orion est utilisé pour superviser les réseaux d'entreprise et gouvernementaux. Le vecteur d'accès initial n'a pas été confirmé publiquement ; le gouvernement américain a refusé de le préciser dans ses déclarations non classifiées.

La sophistication technique qui a suivi était inhabituelle :

  1. SUNSPOT — un implant de serveur de compilation qui modifiait le code source d'Orion au moment de la compilation. Il attendait le démarrage du processus de compilation légitime, injectait le code malveillant, puis attendait la fin de la compilation avant de se supprimer. Résultat : le certificat de signature du serveur de compilation signait le code trojanisé comme s'il s'agissait d'Orion légitime. Aucune falsification ; aucune compromission de certificat ; simplement une mise à jour malveillante propre et légitimement signée.
  2. SUNBURST — la porte dérobée injectée dans Orion. Après son installation chez un client, elle attendait 14 jours, puis émettait un signal de balise via DNS vers un sous-domaine aléatoire de avsvmcloud.com. Les opérateurs choisissaient les balises à activer ; chez la plupart des clients, SUNBURST restait indéfiniment en sommeil.
  3. TEARDROP / RAINDROP — des implants de seconde étape livrés aux ~100 cibles de grande valeur sélectionnées parmi les 18 000 clients. Des opérations manuelles au clavier suivaient.

L'opération a été découverte par hasard. FireEye a détecté l'ajout non autorisé d'un second appareil à l'authentification multifacteur de l'un de ses employés, a enquêté, a découvert une intrusion plus profonde, et a révélé publiquement le 8 décembre 2020 que ses propres outils de red team avaient été dérobés. L'enquête a rattaché l'accès à Orion, puis à SolarWinds, puis à la mise à jour trojanisée.

Impact

Les intrusions fédérales confirmées publiquement comprenaient :

  • Département américain du Trésor — messagerie et autres systèmes
  • Département américain du Commerce (NTIA)
  • Département d'État américain
  • Département américain de la Sécurité intérieure (y compris la CISA elle-même)
  • Département américain de l'Énergie (avec un accès rapporté à la NNSA, mais sans impact opérationnel)
  • Département américain de la Justice
  • Instituts nationaux américains de la santé
  • Département américain de l'Agriculture

Les intrusions dans le secteur privé comprenaient Microsoft (accès au code source), Mimecast (compromission de certificat permettant l'usurpation de messagerie), FireEye (vol d'outils de red team), Malwarebytes, Qualys et bien d'autres — la liste complète n'a jamais été énumérée publiquement car, par conception, les victimes étaient déclenchées sélectivement et beaucoup n'ont jamais vu la charge utile de seconde étape.

Le coût financier direct est difficile à estimer. L'étude de 2022 du Government Accountability Office a recensé environ 10 milliards de dollars de réponse à incident, de reconstruction logicielle et de modernisation d'infrastructure fédérales américaines spécifiquement attribuables à SolarWinds. Les dépenses plus larges du secteur privé en matière de sécurité de la chaîne d'approvisionnement logicielle depuis SolarWinds sont estimées à plusieurs dizaines de milliards, réparties entre les mandats SBOM, les programmes d'attestation signée et les investissements dans les compilations reproductibles.

Attribution

Le 15 avril 2021, le gouvernement américain a officiellement attribué SolarWinds au SVR russe. L'administration Biden a imposé des sanctions au personnel du renseignement russe et expulsé des diplomates. Le Royaume-Uni et l'UE se sont joints à l'attribution.

Le groupe d'opérateurs — connu publiquement sous les noms d'APT29, Cozy Bear, NOBELIUM (Microsoft) et désormais Midnight Blizzard dans la taxonomie révisée de Microsoft — est resté continuellement actif. Le même acteur est à l'origine de la compromission de la messagerie d'entreprise de Microsoft en 2024, qui a permis d'accéder aux boîtes mail de cadres dirigeants et d'équipes de sécurité.

Pourquoi c'est important

SolarWinds constitue le cas canonique des attaques de la chaîne d'approvisionnement logicielle à échelle stratégique. Il a établi :

  • Que la compromission d'un serveur de compilation peut produire des mises à jour malveillantes légitimement signées et indiscernables des authentiques — effondrant le modèle standard du « vérifier les signatures, faire confiance au code signé ».
  • Que des temps de présence de plus de 12 mois sur des cibles stratégiques sont opérationnellement normaux pour des acteurs étatiques et effectivement impossibles à détecter avec des outils EDR/SIEM conventionnels.
  • Que l'activation sélective — laisser les balises de 17 900 clients en sommeil tandis que seulement ~100 sont opérationnalisées — constitue une technique efficace pour cloisonner les opérations et réduire la détection.
  • Qu'une seule divulgation de réponse à incident du secteur privé (FireEye) peut révéler une opération étatique de plusieurs mois ayant échappé à toutes les capacités de détection gouvernementales.

Les réponses politiques américaines ultérieures incluent le décret 14028 (mai 2021) imposant des améliorations de la sécurité de la chaîne d'approvisionnement logicielle, l'écosystème SSDF / SBOM désormais requis pour les marchés publics fédéraux américains, et la création de la Joint Cyber Defense Collaborative (JCDC) de la CISA pour coordonner la réponse à incident du secteur privé avec le gouvernement fédéral.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
100.00B
USD · 100 000 000 000 $US
  • Perte d’exploitation$90.00B
  • Remédiation$10.00B

Chronologie

  1. Des opérateurs attribués au SVR compromettent l'environnement de compilation du logiciel Orion de SolarWinds. Le vecteur d'accès initial n'a pas été confirmé publiquement.

  2. Les opérateurs mènent une reconnaissance et développent l'implant de serveur de compilation SUNSPOT qui injectera du code malveillant dans Orion au moment de la compilation.

  3. La porte dérobée SUNBURST est injectée dans la mise à jour légitime du logiciel Orion. Signée avec un certificat SolarWinds valide.

  4. La mise à jour Orion trojanisée est distribuée à environ 18 000 clients de SolarWinds via le mécanisme de mise à jour standard.

  5. Les opérateurs activent sélectivement SUNBURST contre ~100 cibles de grande valeur, dont des agences fédérales américaines. Des opérations manuelles au clavier suivent chez FireEye, Microsoft, ainsi qu'au Trésor américain, au Commerce, au Département d'État, à la DHS, au NIH, au DoE et au DoJ.

  6. FireEye révèle publiquement avoir été compromis et s'être fait dérober ses outils de red team. L'entreprise enquête sur sa propre intrusion et la rattache à une mise à jour trojanisée de SolarWinds Orion.

  7. FireEye, SolarWinds et le gouvernement américain publient simultanément une analyse technique de SUNBURST. La CISA émet la directive d'urgence 21-01 ordonnant à toutes les agences civiles fédérales de déconnecter Orion.

  8. Microsoft publie son analyse (nommant l'acteur « Solorigate », puis plus tard « NOBELIUM »). Le Trésor et le Commerce américains confirment les intrusions.

  9. La CISA, le FBI, l'ODNI et la NSA attribuent conjointement l'opération à « un acteur de menace persistante avancée, probablement d'origine russe ».

  10. Les États-Unis attribuent officiellement SolarWinds au SVR russe (service de renseignement extérieur). Un décret est promulgué imposant des sanctions.

Sources

  1. cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a
  2. microsoft.comhttps://www.microsoft.com/en-us/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack/
  3. fireeye.comhttps://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
  4. gao.govhttps://www.gao.gov/products/gao-22-104746

Incidents liés

Chaîne d’approvisionnementRésolu

Attaque de la chaîne d'approvisionnement 3CX (RPDC)

Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.

Victim
3CX (clients de 3CXDesktopApp)
Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)
Chaîne d’approvisionnementContenu

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim
Microsoft (GitHub repositories)