Sécurité

"C'est la faute du stagiaire" : deux PDG de l'éditeur SolarWinds blâment un stagiaire pour une faille de sécurité majeure

, commit du 1 Mar 2021

L'actuel et l'ancien PDG de l'éditeur de logiciels SolarWinds, spécialisé dans les solutions de gestion des réseaux et infrastructures, ont tous deux blâmé un stagiaire lors de leur audience face à des représentants américains sur l'affaire d'une cyberattaque massive.

Lors d'une audience face aux comités de surveillance et de sécurité intérieure des États-Unis vendredi dernier, l'ex-PDG de la société SolarWinds Kevin Thompson, et le PDG actuel Sudhakar Ramakrishna ont tous deux jeté un ancien stagiaire en pâture pour une faille de sécurité critique dans leur système.



Cette dernière a permis à des hackers de pénétrer au sein des réseaux de plus d'une centaine d'entreprises (dont Microsoft, Cisco, Intel, Nvidia ou encore VMware) mais également de neuf agences fédérales américaines, telles que la NASA, la FAA (Federal Aviation Administration) et même une agence en charge de gérer les stocks d'armes nucléaires aux US.

Cette cyberattaque, qui se serait déroulée sur plusieurs mois et repérée seulement fin 2020, est déjà considérée comme la plus grosse campagne d'intrusion informatique dans l'histoire des États-Unis par un pays étranger (très probablement la Russie, comme l'ont indiqué des officiels américains).

Et le pire, c'est que celle-ci pourrait reposer sur un mot de passe extrêmement faible (wait for it.) qui, semble-t-il, n'a pas été repéré pendant 2 ans.

Le mot de passe en question : "solarwinds123".

Celui-ci protégeait (lol) l'accès à l'un des serveurs de la société, et aurait été configuré selon le CEO de SolarWinds par l'un de leurs stagiaires en 2017.

Exposé sur un répertoire GitHub de l'entreprise, ce mot de passe a été découvert en 2019 par un chercheur indépendant en sécurité qui avait alors alerté la société sur le fait que cette faille exposait leur environnement.

L'expert aurait par la même occasion prouvé à SolarWinds que ce mot de passe lui permettait de se connecter et de déposer des fichiers sur le serveur, une faille qui permet à n'importe quel hacker qui se respecte d'uploader des programmes malveillants sur la machine.

Les législateurs américains n'ont pas manqué de pointer du doigt cette faille jugée grotesque.



La représentante Katie Porter, ne s'est d'ailleurs pas empêchée d'ironiser sur la situation : "j'ai un mot de passe plus fort que solarwinds123 pour empêcher mes enfants de passer trop de temps sur YouTube sur mon iPad !". Ce a quoi elle a ajouté que la société SolarWinds avait justement été sollicitée par les agences des États-Unis pour justement éviter ce genre d'intrusion.

Bien qu'il n'ait pas encore pu être démontré que ce mot de passe était la cause de cette cyberattaque, tout porte à le croire.

Le gouvernement américain, actuellement toujours en train d'évaluer l'ampleur de cette intrusion, n'est pas encore en mesure d'estimer les données auxquelles les hackers ont pu avoir accès, et il est fort probable que son étendue réelle ne puisse jamais être connue.

Quant au fait de blâmer le stagiaire, il reste inacceptable de la part d'une telle société de ne pas disposer de stratégies de sécurité et contrôle dignes de ce nom. Mais comme toujours, le stagiaire a bon dos.

Participez à PHPverse 2025, l'événement en ligne gratuit de JetBrains pour fêter les 30 ans de PHP
Participez à PHPverse 2025, l'événement en ligne gratuit de JetBrains pour fêter les 30 ans de PHP
À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Voir sa page auteur →
Événements

Événement : la conférence phare de NVIDIA débarque à Paris, participez à GTC

, commit du 1 Mar 2021

Un aperçu de l'intérieur d'une conférence GTC - GTC Sans Jose

Événement — NVIDIA organise pour la première fois en Europe sa cultissime conférence GTC, un rendez-vous incontournable consacré à l’intelligence artificielle, au calcul accéléré et aux technologies émergentes.

Et devinez quoi ? Ça se passera à Paris (cocorico 🇫🇷) ! Du 10 au 12 juin, GTC prendra place au cœur du salon Viva Technology 2025, au Paris Expo Porte de Versailles. L’occasion rêvée de prendre part à cet événement majeur de la tech à l’échelle mondiale !

Je réserve ma place pour NVIDIA GTC Paris

# En partenariat avec NVIDIA

Du 10 au 12 juin, Paris devient le centre de gravité de l’IA mondiale

Eh oui les amis ! Parce que croyez-moi, on ne parle pas ici d’un petit stand calé entre deux robots baristas de démo dans un coin du salon.

GTC Paris se présente en effet comme une déclinaison en bonne et due forme de la conférence phare de NVIDIA, et s’annonce tout aussi ambitieuse que sa grande sœur californienne.

Celle-ci sera présente au Pavillon 7 du complexe, où seront exposées des solutions de l’écosystème IA, et où se dérouleront des dizaines de conférences.

Au programme : des keynotes de haut niveau, des démos concrètes, des sessions techniques pour tous les profils et des tables rondes avec des experts, des startups et de grands groupes et industries.

Les sujets abordés porteront sur de nombreuses thématiques, parmi lesquelles : l’entraînement et l’inférence de l’IA, l’IA agentique, les infrastructures (data center, cloud) dédiées à l’IA, le calcul haute performance (HPC), l’informatique quantique, la robotique et l’IA industrielle, ou encore l’IA souveraine.

Ce sera également l’occasion de vous faire tirer votre portrait par l’IA au Developer Wall, une installation immersive présentée sous forme de fresque numérique valorisant la communauté des développeurs en temps réel. Conçue en collaboration avec l’IA Deep Art et le moteur graphique Notch, elle se renouvelle toutes les 30 secondes pour transformer votre profil et vos contributions en véritables œuvres d’art.

Le Dev Wall à NVIDIA GTC pour afficher vos plus beaux portraits générés par IA

Je m’inscris à GTC Paris

Preuve de l’importance de l’événement : le fondateur et CEO emblématique de NVIDIA, Jensen Huang lui-même, prendra la parole lors d’une keynote d’ouverture le 11 juin à 11 heures au Dôme de Paris.

Il y présentera les dernières avancées technologiques de NVIDIA ainsi que sa vision de l’intelligence artificielle — thème majeur de la 9ème édition de VivaTech — et de l’innovation.

Le PDG de NVIDIA Jensen Huang en train de donner une keynote à GTC

La keynote est incluse dans les pass GTC ou VivaTech, et sera également diffusée en ligne gratuitement.

Bon à noter : l'obtention d'un pass GTC vous donnera un accès intégral à VivaTech. 👀

Avis aux intéressés : cette intervention se tiendra de toute évidence à guichets fermés, je ne peux que vous recommander chaleureusement de venir bien (bien bien bien) avant l’ouverture des portes ! 😉

Musclez votre jeu de développeur avec les ateliers et formations de NVIDIA GTC Paris

MAIS CE N’EST PAS TOUT !

Car au-delà des talks et démos, GTC Paris vous propose aussi de passer à l’action.

Le 10 juin, veille de l’ouverture officielle de VivaTech, NVIDIA vous donne rendez-vous pour toute une série d’ateliers techniques immersifs, animés par des formateurs de son Deep Learning Institute (DLI).

L’objectif : monter en compétences, manipuler les outils et solutions NVIDIA de nouvelle génération, mais aussi repartir avec une certification NVIDIA officielle — avouez que ça claque fort sur le CV. 👀

Je m’inscris aux ateliers techniques NVIDIA (10 juin)

Parmi les sessions proposées par NVIDIA sur cette journée :

  • L’ajout de nouvelles connaissances aux grands modèles de langage (LLM), qui explorera l’adaptation des LLM à vos propres cas d’usage, de la préparation des données à leur fournir jusqu’à la mise en prod.
  • Le développement d’agents IA multimodaux, capables de traiter différents types de données en explorant plusieurs techniques de fusion.
  • CUDA, Omniverse, Robotique et RAG : des ateliers plus pointus pour les profils déjà expérimentés.

À l’occasion de GTC Paris, un tarif spécial est appliqué sur ces ateliers techniques, proposés à 275 € TTC la journée, certification incluse, au lieu de 485 € en tarif standard.

À noter que tous les ateliers se dérouleront in English et se tiendront également à Paris Expo Porte de Versailles.

Concours Les Joies du Code : tentez de remporter une NVIDIA®GeForce RTX™ 4080 !

Pour marquer cet événement exceptionnel, une carte graphique NVIDIA®GeForce RTX™ 4080 Founders Edition est mise exclusivement en jeu pour la communauté des Joies du Code ! 🤩

Carte graphique NVIDIA®GeForce RTX™ 4080

Pour prendre part à ce concours, rien de compliqué (vous me voyez venir, non ? 😉) : il vous suffit de participer à GTC Paris !

  • Réservez votre pass de 2 jours à GTC Paris (11 et 12 juin)
  • Partagez une photo de votre badge GTC sur X, LinkedIn ou Bluesky
  • Mentionnez Les Joies du Code et le hashtag #GTCParis
  • La participation à un atelier le 10 juin doublera vos chances de gagner (pensez également à prendre en photo le bracelet qui vous sera remis 💡) !

📆 Tirage au sort le lundi 16 juin à 10h

Je m’inscris dès maintenant à GTC Paris

Je serai personnellement à GTC pour couvrir l’événement et rencontrer sa communauté, n’hésitez pas à me faire signe si vous voulez qu’on s’y capte ! 👋

Plus de posts

Quand je découvre un nouveau raccourci clavier

Quand on entend le commercial dire que "WordPress, c'est la déclinaison web de Word"

"Merci bonne journée à tous"

Quand je fais la démo de l'appli finale au client