Google Cloud a été épargné par la cyberattaque de SolarWinds

Spread the love
Google Cloud a été épargné par la cyberattaque de SolarWinds

Le responsable de la sécurité des systèmes d’information (RSSI) de Google Cloud a révélé que son entreprise utilisait bien le logiciel du fournisseur SolarWinds, mais que son utilisation était « limitée et contenue ». Le recrutement de Phil Venables en tant que RSSI date de mi-décembre, à l’heure où les Etats-Unis mesuraient encore l’ampleur des dégâts de la cyberattaque ayant touché SolarWinds.

Pour rappel, parmi les victimes collatérales de la cyberattaque, on peut citer le département du Trésor américain, l’Administration nationale des télécommunications et de l’information (NTIA) du ministère américain du Commerce, le ministère américain de la Justice, des organes du ministère de la Santé, la CISA, ou encore de grandes entreprises comme Microsoft, Cisco, Intel et VMWare, entre autres.

publicité

Google n’aurait pas été touché par l’attaque

Mais Phil Venables, vétéran de Goldman Sachs, insiste sur le fait qu’aucun système Google n’a été touché par l’attaque. Ce message est particulièrement important pour Google, à un moment où les cyberattaques font perdre confiance dans les fournisseurs de logiciels connus. Une perte de confiance qui à son tour menace l’activité de Google Cloud, qui représente 12 milliards de dollars par an. Google devrait annoncer ses résultats financiers du quatrième trimestre 2020 le mardi 2 février.

« D’après ce que l’on sait aujourd’hui de l’attaque, nous sommes convaincus qu’aucun système Google n’a été affecté par l’incident SolarWinds », affirme Phil Venables dans un article de blog. « Nous faisons un usage très limité des logiciels et services concernés, et notre approche visant à atténuer les risques pour la sécurité de la chaîne d’approvisionnement signifie que toute utilisation fortuite est limitée et contenue. Ces contrôles ont été renforcés par une surveillance sophistiquée de nos réseaux et systèmes. »

Le RSSI a également partagé quelques conseils de premier ordre que Google utilise pour se protéger et protéger ses clients des menaces d’attaques par rebond. Cette cyberattaque particulière a révélé à quel point l’ensemble du secteur du logiciel est connecté, et à quel point l’écosystème est vulnérable en raison des hypothèses intégrées aux systèmes qui sont utilisés pour recevoir les mises à jour de fournisseurs connus et fiables.

Du nouveau sur la cyberattaque

Les attaquants se sont introduits dans le réseau interne de SolarWinds afin de placer des malwares dans les mises à jour logicielles d’Orion, leur permettant ainsi de se déplacer au sein de réseaux d’entreprises et d’administrations.

La semaine dernière, des chercheurs de Crowdstrike ont découvert qu’un troisième malware avait été utilisé dans l’attaque par rebond utilisant les mises à jour officielles du logiciel de SolarWinds.

La semaine dernière également, l’éditeur a révélé que les attaquants testaient la distribution de logiciels malveillants par le biais de mises à jour d’Orion depuis septembre 2019 au moins, indiquant une attaque planifiée.

Assurer la sécurité à tous les niveaux

Selon Phil Venables, Google utilise un développement sécurisé et des cadres de test continu pour détecter et éviter les erreurs de programmation courantes. « Notre approche intégrée de la sécurité par défaut prend également en compte une grande variété de vecteurs d’attaque sur le processus de développement lui-même, y compris les risques de rebond », explique-t-il.

Il précise ensuite ce que signifie la confiance dans le cloud computing chez Google Cloud, qui se base sur le contrôle du matériel et des logiciels : « nous ne nous fions pas à une seule chose pour assurer notre sécurité, mais plutôt à des couches de vérifications et de contrôles qui comprennent du matériel conçu par Google, des firmwares contrôlés par Google, des images du système d’exploitation traitées par Google, un hyperviseur consolidé par Google, ainsi que la sécurité physique et des services des centres de données ».

« Nous garantissons ces couches de sécurité par le biais de racines de confiance, comme les puces Titan pour les machines hôtes de Google et les machines virtuelles renforcées. Le contrôle du matériel et de la pile de sécurité nous permet de maintenir les fondements de notre posture de sécurité d’une manière que beaucoup d’autres fournisseurs ne peuvent pas faire. Ce niveau de contrôle permet d’après nous de réduire notre exposition et celle de nos clients au risque d’attaques par rebond. »

Des contrôles continus

Google vérifie également que les logiciels sont construits et signés dans un environnement de construction isolé approuvé à partir d’un code correctement enregistré qui a été examiné et testé. L’entreprise effectue ensuite ces contrôles pendant le déploiement, en fonction de la sensibilité du code.

« Les binaires ne sont autorisés à fonctionner que s’ils passent avec succès ces contrôles, et nous vérifions continuellement leur conformité pendant toute leur durée d’usage. Il s’agit d’un contrôle indispensable, utilisé pour limiter la capacité d’un initié potentiellement malveillant, ou d’un autre acteur de la menace utilisant son compte, à insérer un logiciel malveillant dans notre environnement de production », détaille Phil Venables.

Enfin, Google s’assure qu’au moins une personne autre que l’auteur examine et approuve les modifications du code et de la configuration soumises par ses développeurs : « les actions administratives sensibles nécessitent généralement des approbations humaines supplémentaires. Nous faisons cela pour éviter des changements inattendus, qu’il s’agisse d’erreur ou de malveillance ».

Source : ZDNet.com

Leave a Reply