Bit9une entreprise qui fournit des logiciels et des services de sécurité réseau au gouvernement américain et à au moins 30 entreprises du Fortune 100, a subi une compromission électronique qui touche au cœur de son activité : aider les clients à distinguer les fichiers « sûrs » connus des virus informatiques et autres logiciels malveillants. Logiciel.
Basé à Waltham, dans le Massachusetts, Bit9 est l’un des principaux fournisseurs de services de « liste blanche d’applications », une technologie de sécurité qui bouleverse l’approche traditionnelle de la lutte contre les logiciels malveillants. Un logiciel antivirus, par exemple, cherche à identifier et à mettre en quarantaine les fichiers connus comme étant mauvais ou fortement suspectés d’être malveillants. En revanche, Bit9 se spécialise dans l’aide aux entreprises pour développer des listes personnalisées de logiciels qu’elles souhaitent autoriser les employés à exécuter, et pour traiter toutes les autres applications comme potentiellement inconnues et dangereuses.
Mais plus tôt dans la journée, Bit9 a déclaré à une source de BreachTrace que leurs réseaux d’entreprise avaient été piratés par une cyberattaque. Selon la source, Bit9 a déclaré avoir reçu des rapports indiquant que certains clients avaient découvert des logiciels malveillants à l’intérieur de leurs propres réseaux protégés par Bit9, malware qui a été signé numériquement par les propres clés de chiffrement de Bit9.
Ce dernier élément est extrêmement important, car Bit9 est un éditeur de confiance par défaut dans leur logiciel, qui s’exécute sur les PC et les réseaux des clients en tant qu' »agent » qui tente d’intercepter et de bloquer les applications qui ne figurent pas sur la liste blanche approuvée. Le résultat de l’intrusion est qu’avec une politique de liste blanche appliquée à une machine, cette machine fera aveuglément confiance et exécutera tout ce qui est signé par Bit9.
Une heure après avoir été contacté par BreachTrace, Bit9 a publié un article de blog reconnaissant une effraction. La société a déclaré que les attaquants avaient réussi à compromettre certains des systèmes de Bit9 qui n’étaient pas protégés par le propre logiciel de la société. Une fois à l’intérieur, a déclaré la société, les attaquants ont pu voler les certificats secrets de signature de code de Bit9.
« En raison d’un oubli opérationnel au sein de Bit9, nous n’avons pas réussi à installer notre propre produit sur une poignée d’ordinateurs de notre réseau », a déclaré Bit9. Patrick Morley a écrit. « En conséquence, un tiers malveillant a pu obtenir illégalement un accès temporaire à l’un de nos certificats de signature de code numérique qu’il a ensuite utilisé pour signer illégitimement des logiciels malveillants. Rien n’indique que cela soit le résultat d’un problème avec notre produit. Notre enquête montre également que notre produit n’a pas été compromis.
La société a déclaré qu’elle enquêtait toujours sur la source de la violation, mais a déclaré qu’il semble qu’au moins trois de ses clients aient reçu des logiciels malveillants signés numériquement avec le certificat de Bit9.
Il peut y avoir une profonde ironie dans cette attaque : alors que Bit9 s’est fait un nom en se basant sur le fait que les logiciels antivirus ne peuvent pas suivre les dizaines de milliers de nouvelles variantes de logiciels malveillants qui se déchaînent sur Internet chaque jour. [the company brags that Bit9 is the only security firm to stop both the Flame malware and the RSA breach attack, even before they were identified by traditional/legacy antivirus companies], il y a plus de chance que le malware signé avec les clés de Bit9 ait été détecté pour la première fois avec des produits antivirus traditionnels. Mais seul le temps nous dira comment la découverte initiale s’est réellement déroulée.
Jérémie Grossmandirecteur de la technologie pour une société de tests de sécurité Sécurité blanchea déclaré que les attaquants qui ont fait irruption dans Bit9 le faisaient presque certainement comme un moyen d’arriver à leurs fins.
« Je suppose que si vous êtes un méchant essayant d’installer un logiciel malveillant sur un ordinateur sur une cible renforcée qui utilise Bit9, quel choix avez-vous à part passer par Bit9 en premier? » dit Grosman. « Ce n’est pas le résultat d’une explosion massive de logiciels malveillants. C’est presque certainement très ciblé.
Grossman et d’autres experts disent que l’attaque contre Bit9 rappelle le Intrusion de 2011 chez RSA Security, largement considéré comme un précurseur de l’attaque de cibles en amont protégées par les produits de l’entreprise. Lors de cette intrusion, les attaquants ont ciblé les algorithmes propriétaires de RSA qui protégeaient les réseaux de milliers d’entreprises.
« Dans ce cas, les attaquants ne le faisaient pas pour gagner de l’argent chez RSA pour autant que quiconque ait pu le dire, mais il y a eu des attaques signalées peu de temps après contre des sous-traitants de la défense qui avaient les caractéristiques de quelqu’un exploitant ce qui a probablement été pris à RSA. » mentionné Eugène Spaffordprofesseur d’informatique à Université Purdue. « Ces sous-traitants de la défense étaient les véritables cibles, mais ils utilisaient un outil de sécurité très puissant – les jetons de RSA. Donc, si vous êtes un attaquant et que vous êtes confronté à une défense solide, vous pouvez essayer de percer directement ou de trouver des moyens de contourner cette défense. C’est plus que probable [the product of] réflexion très ciblée et prudente par quelqu’un qui comprend un niveau supérieur de stratégie de sécurité.
En ce sens, a déclaré Spafford, les attaques Bit9 et RSA peuvent être considérées comme des hacks de la « chaîne d’approvisionnement ».
« La chaîne d’approvisionnement ne signifie pas nécessairement la vente d’articles finis, mais c’est tout au long de la chaîne où les choses pourraient se retrouver dans votre entreprise qui peuvent être contaminées, et je soupçonne que nous continuerons à voir plus de ces types d’attaques », a déclaré Spafford.
L’impact potentiel de cette violation – à la fois au sein des réseaux clients Bit9 et sur l’avenir de l’entreprise – est assez large. Selon un récent communiqué de presse, les clients mondiaux de Bit9 proviennent d’une grande variété d’industries, notamment le commerce électronique, les services financiers, le gouvernement, la santé, la vente au détail, la technologie et les services publics. La société a été fondée grâce à une subvention de recherche fédérale américaine du programme de technologie avancée de l’Institut national des normes et de la technologie pour mener la recherche qui est maintenant au cœur des solutions de la société.
« L’une des choses que j’ai soulignées aux entreprises de sécurité pour lesquelles j’ai travaillé est que tout ce qu’elles font est basé sur la confiance dans leur marque et leur produit, et que se faire pirater est une attaque fondamentale contre cette structure de confiance », a déclaré Spafford. « C’est une leçon de choses, mais cela peut aussi dire quelque chose s’ils ne mangent pas leur propre nourriture pour chien, pour ainsi dire. »
Grossman a déclaré que le compromis chez Bit9 démontre à la fois les forces et les faiblesses de s’appuyer sur une approche de liste blanche d’applications.
«Il est également intéressant qu’ils aient recherché les certificats de Bit9, et non en essayant d’exploiter les vulnérabilités qu’ils contiennent. Au lieu de pirater l’application Bit9 ou le périphérique réseau, ils s’en sont pris directement à Bit9. Cela en dit long sur lui-même.