Au fond, personne, à part ceux à l'origine de l'attaque contre Solarwinds, n'a une vue globale de ce qui s'est vraiment passé et encore moins de ce qui se passera encore.

Car rien ne dit que l'attaque est terminée : c'est l'autre constat glaçant de cette audition de 2 h 30 fin février. Au moins, ne rechignera-t-on plus devant toutes ces régulations cyber qui forcent d'abord toutes les sociétés à signaler les attaques qu'elles subissent, un voeu pieux jusqu'à présent.

La fausse note aura été l'absence remarquée d'Amazon qui n'a même pas daigné se déplacer alors que son cloud a été clairement utilisé comme relais et centre de contrôle à distance des attaques pour mieux passer inaperçu. Ils ne sont pas venus, ont-ils dit, parce qu'ils n'avaient pas été attaqués : être un complice involontaire ne les dérangerait donc pas ?

Depuis plusieurs mois dans le réseau

L'entreprise de cybersécurité, Fireeye, a été la première à repérer l'attaque. Elle a admis que les attaquants étaient déjà depuis plusieurs mois dans son réseau. C'est que Solarwind, un logiciel de contrôle de réseau justement, permettait alors sans effort aux assaillants de connaître parfaitement l'architecture du réseau et donc de s'y déplacer comme un utilisateur normal. Aucune alerte n'allait se déclencher pour trafic anormal.

Les attaquants n'étaient pas actifs en permanence, un jour quelques heures, un autre jour pas du tout. Pour Fireeye, c'est aussi dû au nombre de victimes activement exploitées : plus de 100. Il n'y

Lire la suite