Sécurité

"C'est la faute du stagiaire" : deux PDG de l'éditeur SolarWinds blâment un stagiaire pour une faille de sécurité majeure

, commit du 1 Mar 2021

L'actuel et l'ancien PDG de l'éditeur de logiciels SolarWinds, spécialisé dans les solutions de gestion des réseaux et infrastructures, ont tous deux blâmé un stagiaire lors de leur audience face à des représentants américains sur l'affaire d'une cyberattaque massive.

Lors d'une audience face aux comités de surveillance et de sécurité intérieure des États-Unis vendredi dernier, l'ex-PDG de la société SolarWinds Kevin Thompson, et le PDG actuel Sudhakar Ramakrishna ont tous deux jeté un ancien stagiaire en pâture pour une faille de sécurité critique dans leur système.



Cette dernière a permis à des hackers de pénétrer au sein des réseaux de plus d'une centaine d'entreprises (dont Microsoft, Cisco, Intel, Nvidia ou encore VMware) mais également de neuf agences fédérales américaines, telles que la NASA, la FAA (Federal Aviation Administration) et même une agence en charge de gérer les stocks d'armes nucléaires aux US.

Cette cyberattaque, qui se serait déroulée sur plusieurs mois et repérée seulement fin 2020, est déjà considérée comme la plus grosse campagne d'intrusion informatique dans l'histoire des États-Unis par un pays étranger (très probablement la Russie, comme l'ont indiqué des officiels américains).

Et le pire, c'est que celle-ci pourrait reposer sur un mot de passe extrêmement faible (wait for it.) qui, semble-t-il, n'a pas été repéré pendant 2 ans.

Le mot de passe en question : "solarwinds123".

Celui-ci protégeait (lol) l'accès à l'un des serveurs de la société, et aurait été configuré selon le CEO de SolarWinds par l'un de leurs stagiaires en 2017.

Exposé sur un répertoire GitHub de l'entreprise, ce mot de passe a été découvert en 2019 par un chercheur indépendant en sécurité qui avait alors alerté la société sur le fait que cette faille exposait leur environnement.

L'expert aurait par la même occasion prouvé à SolarWinds que ce mot de passe lui permettait de se connecter et de déposer des fichiers sur le serveur, une faille qui permet à n'importe quel hacker qui se respecte d'uploader des programmes malveillants sur la machine.

Les législateurs américains n'ont pas manqué de pointer du doigt cette faille jugée grotesque.



La représentante Katie Porter, ne s'est d'ailleurs pas empêchée d'ironiser sur la situation : "j'ai un mot de passe plus fort que solarwinds123 pour empêcher mes enfants de passer trop de temps sur YouTube sur mon iPad !". Ce a quoi elle a ajouté que la société SolarWinds avait justement été sollicitée par les agences des États-Unis pour justement éviter ce genre d'intrusion.

Bien qu'il n'ait pas encore pu être démontré que ce mot de passe était la cause de cette cyberattaque, tout porte à le croire.

Le gouvernement américain, actuellement toujours en train d'évaluer l'ampleur de cette intrusion, n'est pas encore en mesure d'estimer les données auxquelles les hackers ont pu avoir accès, et il est fort probable que son étendue réelle ne puisse jamais être connue.

Quant au fait de blâmer le stagiaire, il reste inacceptable de la part d'une telle société de ne pas disposer de stratégies de sécurité et contrôle dignes de ce nom. Mais comme toujours, le stagiaire a bon dos.

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Voir sa page auteur →
Événements

Hackathon grandeur nature : codez au Parc des Princes, 150 000 dollars à la clé

, commit du 1 Mar 2021

Participez au hackathon Hacking Paris de Chiliz, du 11 au 13 juillet 2025 au Parc des Princes

Hackathon Hacking Paris 2025 — Croyez-moi, des hackathons, j’en ai vu passer. Mais DANS UN STADE et qui plus est au Parc des Princes, permettez-moi de vous le dire : c’est du jamais vu.

# En partenariat avec Chiliz

À vos agendas : du 11 au 13 juillet 2025, Chiliz, qui propose aux fans de sport et d'e-sport de se rapprocher de leurs clubs et athlètes préférés, organise un hackathon grandeur nature dans l’antre historique du PSG.

Hacking Paris est un événement 100% gratuit, pensé pour les développeurs et ceux qui s’intéressent à la blockchain, avec pour objectif de donner vie à vos projets pour faire évoluer l’écosystème.

Je participe au hackathon 🤩

150 000 dollars à la clé

Vous avez bien lu. CENT. CINQUANTE. MILLE. DOLLARS.

Dans ce hackathon, les meilleures idées ne repartiront pas juste avec les félicitations du jury et un .zip de leur projet. 👀

150 000 dollars sont mis en jeu par Chiliz pour récompenser les projets gagnants, répartis sur 5 grandes thématiques :

  • Utilisation des fan tokens : 50 000 $
  • Contenus créés par les fans et plateformes de monétisation : 24 000 $
  • Outils ou services DeFi (finance décentralisée) : 22 000 $
  • Agents ou outils basés sur l’IA pour le sport : 22 000 $
  • Fonctionnalités et connectivité du portefeuille Socios : 22 000 $
  • Récompenses spéciales : 10 000 $

Je m’inscris à Hacking Paris ⚽️

Construisez le futur de l’engagement sportif

Hacking Paris invite les développeurs à imaginer des applications décentralisées capables de réinventer la relation entre les clubs et leurs supporters. 🙌

Fan tokens, gouvernance décentralisée, NFTs, expériences immersives dans les stades… Cet événement XXL sera l’occasion de monter vos projets, et cela durant les trois jours du hackathon.

Le stade du Parc des Princes, où prendra lieu le hackathon Hacking Paris

Pas besoin d’être un expert de la Chiliz Chain pour participer : les ressources et la documentation nécessaires sont fournies — accessibles depuis le site de l’événement —, et des mentors seront présents sur place pour vous accompagner, avec une première journée de workshops pour vous permettre de prendre en main les outils et affiner votre projet.

Dès le début de soirée de cette première journée (vendredi 11 juillet) : les choses sérieuses commencent. 🔥

Vous serez alors libres de vous lancer sur le développement des solutions que vous aurez imaginées, qui devrait vous tenir en haleine jusqu’au dimanche midi, où débuteront les démos des projets.

Des invités de renom devraient également prendre part à l’événement (line-up à venir), de quoi nourrir l’effervescence qui régnera au Parc des Princes pendant ces trois jours d’innovation.

Pourquoi participer ?

En plus des prix exceptionnels, Hacking Paris permet de se connecter à une communauté Web3 internationale, d’échanger avec des experts du secteur et d’explorer des opportunités concrètes dans l’écosystème Chiliz, au-delà du hackathon.

Les projets retenus pourront quant à eux bénéficier d’un accompagnement après l’événement, et gagner en visibilité auprès d’acteurs clés du sport et de la tech.

Je m’inscris dès maintenant pour Hacking Paris — du 11 au 13 juillet au Parc des Princes (GRATUIT) 🏟️

Plus de posts

Quand je réalise que mon script de déploiement qui est en train de tourner comporte des erreurs

Quand un incident survient le vendredi soir

Quand je perds plus de temps à débuguer le pipeline d'intégration continue que mon propre code

Quand je comprends enfin d'où vient le problème dans mon code