IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La SEC accuse SolarWinds et son directeur de la sécurité informatique de fraude et de manquements au contrôle interne
Ils auraient trompé les investisseurs sur les pratiques de cybersécurité

Le , par Jade Emy

8PARTAGES

5  0 
La Securities and Exchange Commission a annoncé aujourd'hui des accusations contre la société de logiciels SolarWinds Corporation, basée à Austin, au Texas, et son responsable de la sécurité informatique, Timothy G. Brown, pour fraude et défaillances de contrôle interne liées à des risques et à des vulnérabilités de cybersécurité prétendument connus.

La plainte allègue que, depuis au moins son introduction en bourse en octobre 2018 jusqu'à au moins son annonce en décembre 2020 qu'elle était la cible d'une cyberattaque massive de près de deux ans, surnommée "SUNBURST", SolarWinds et Brown ont fraudé les investisseurs en surévaluant les pratiques de cybersécurité de SolarWinds et en sous-estimant ou en omettant de divulguer des risques connus. Dans les documents qu'elle a déposés auprès de la SEC au cours de cette période, SolarWinds aurait trompé les investisseurs en ne divulguant que des risques génériques et hypothétiques, alors que l'entreprise et Brown connaissaient les lacunes spécifiques des pratiques de cybersécurité de SolarWinds ainsi que les risques de plus en plus élevés auxquels l'entreprise était confrontée à la même époque.

Comme l'affirme la plainte, les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité étaient en contradiction avec ses évaluations internes, notamment une présentation de 2018 préparée par un ingénieur de l'entreprise et partagée en interne, y compris avec Brown, selon laquelle la configuration de l'accès à distance de SolarWinds n'était "pas très sécurisée" et que quelqu'un exploitant la vulnérabilité "peut fondamentalement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard", ce qui pourrait entraîner une "perte de réputation et financière majeure" pour SolarWinds. De même, comme le prétend la plainte de la SEC, les présentations de 2018 et 2019 de Brown indiquaient, respectivement, que "l'état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques" et que "l'accès et les privilèges aux systèmes/données critiques sont inappropriés".


En outre, la plainte de la SEC allègue que de multiples communications entre les employés de SolarWinds, y compris Brown, tout au long de 2019 et 2020, ont remis en question la capacité de l'entreprise à protéger ses actifs critiques contre les cyberattaques. Par exemple, selon la plainte de la SEC, en juin 2020, alors qu'il enquêtait sur une cyberattaque contre un client de SolarWinds, Brown a écrit qu'il était "très préoccupant" que l'attaquant ait pu chercher à utiliser le logiciel Orion de SolarWinds dans des attaques plus importantes, car "nos backends ne sont pas si résilients" ; et un document interne de septembre 2020 partagé avec Brown et d'autres personnes indiquait que "le volume de problèmes de sécurité identifiés au cours du mois dernier a dépassé la capacité des équipes d'ingénierie à résoudre."

La plainte de la SEC affirme que Brown était conscient des risques et des vulnérabilités de SolarWinds en matière de cybersécurité, mais qu'il n'a pas résolu les problèmes ou, parfois, ne les a pas suffisamment soulevés au sein de l'entreprise. En raison de ces manquements, l'entreprise n'aurait pas été en mesure de fournir des garanties raisonnables que ses actifs les plus précieux, notamment son produit phare Orion, étaient protégés de manière adéquate.

SolarWinds a fait une déclaration incomplète sur l'attaque de SUNBURST dans un formulaire 8-K déposé le 14 décembre 2020, à la suite de quoi le cours de ses actions a chuté d'environ 25 % au cours des deux jours suivants et d'environ 35 % à la fin du mois.

"Nous alléguons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d'alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans l'ensemble de l'entreprise et ont conduit l'un des subordonnés de Brown à conclure : Nous sommes loin d'être une entreprise soucieuse de la sécurité", a déclaré Gurbir S. Grewal, directeur de la division de l'application des lois de la SEC. "Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à donner une fausse image de l'environnement de cybercontrôle de l'entreprise, privant ainsi les investisseurs d'informations matérielles exactes. La mesure d'exécution prise aujourd'hui n'accuse pas seulement SolarWinds et Brown d'avoir trompé le public investisseur et de ne pas avoir protégé les actifs "joyaux de la couronne" de l'entreprise, mais souligne également notre message aux émetteurs : mettez en œuvre des contrôles solides calibrés en fonction de votre environnement de risque et informez les investisseurs de vos préoccupations connues".


La plainte de la SEC, déposée dans le district sud de New York, affirme que SolarWinds et Brown ont violé les dispositions antifraude de la loi sur les valeurs mobilières de 1933 et de la loi sur l'échange de valeurs mobilières de 1934 ; SolarWinds a violé les dispositions de la loi sur l'échange relatives à la communication d'informations et aux contrôles internes ; et Brown a aidé et encouragé les violations commises par l'entreprise. La plainte demande une injonction permanente, une restitution avec intérêts avant jugement, des sanctions civiles et une interdiction d'exercer les fonctions de dirigeant et d'administrateur à l'encontre de Brown.
Source : SEC

Et vous ?

Quel est votre avis sur cette affaire ?

Voir aussi :

Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système, alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnu

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 19/06/2024 à 0:05
Citation Envoyé par Stéphane le calme Voir le message

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Leur rôle est de se faire plein d'argent. Ce sont des entreprises privées, pas du service public. Et les gens à la tête des états sont juste des hypocrites qui font semblant de ne pas le savoir, alors qu'eux même oscillent entre ces grandes entreprises et le public, au cours de leur carrière.

Citation Envoyé par Stéphane le calme Voir le message

Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
La plupart des utilisateurs sont des pigeons. Je suis le premier navré par ce constat, mais sinon, le cloud n'aurait pas autant de succès.
Attention hein, les technologies sous-jacentes au cloud sont quand-même impressionnantes, mais les GAFAM se foutent complètement de la sécurité de leurs clients.

Citation Envoyé par Stéphane le calme Voir le message

Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Aucune chance que ça arrive. Les lois sont faites pour aider les riches et les puissants, pas pour protéger la plèbe.

Citation Envoyé par Stéphane le calme Voir le message

Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Aucune. Il faudrait simplement faire fermer les clients, avec par exemple des retraits de licences pour des banques ou des assurances. Là, ça bougerait très très vite.

Citation Envoyé par Stéphane le calme Voir le message

Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Non. Ce n'est jamais éthique, mais dans un monde libéral, sans aucune conséquences, c'est cohérent.

Citation Envoyé par Stéphane le calme Voir le message

Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Aucune. Si c'est suffisamment médiatisé, le gouvernement US fera semblant de taper du poing sur la table, et si ça fait vraiment trop de foin au point de menacer la santé 'un mastodonte de l'économie US, comme avec Boeing, on retrouvera le lanceur d'alerte suicidé quelque part, et on dira qu'en fait il était dépressif.

Citation Envoyé par Stéphane le calme Voir le message

Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Évidemment.

Citation Envoyé par Stéphane le calme Voir le message

Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
C'est quasiment mission impossible: on nous pousse des voitures connectées, des app mobile dans tous les sens, de la sauvegarde automatique dans les clouds des GAFAM. Bref...

Citation Envoyé par Stéphane le calme Voir le message

Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Ça ne fait que me conforter dans mon opinion. Kubernetes permet de faire des choses incroyables, à condition de gérer ça sur son infra, et pas sur celle des autres.

On a vu les pertes de données de Google Drive, Solar Winds chez Microsoft, les attaques sur les EDR dont celui de Microsoft (les présentations de la Black Hat Asia sur le sujet étaient hillarantes), les vols de données récurrents (le dernier que j'ai en tête est celui chez Snowflake). Et pourtant, on a des gens qui ne travaillent pas chez ces entreprises et qui défendront corps et âme le fait d'utiliser leurs clouds...

Citation Envoyé par Stéphane le calme Voir le message

Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?
En temps normal, je dirais que les individus sont responsables, et ils le sont sans doute par complaisance ou par paresse, mais d'un autre côté, les grosses entreprises font tout pour devenir indispensables et se gavent de données.
2  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/06/2024 à 18:32
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Et au passage, parmi les états qui disposent de la bombe, seule la France tient le choc : nous nous servons à volonté dans l'arsenal de dissuasion tactique et stratégique russe chinois américain pakistanais indien coréen du nord israélien britannique. Je ne ferais pas ici la liste de ceux qui peuvent se servir mais je ne suis pas tout seul à pouvoir le faire. Je serai eux, avant de penser à déclencher une guerre je me pencherai sérieusement sur la sécurité de leurs armes nucléaires. Nous n'avons fait que désarmer et essentiellement les américains jusqu'ici mais si on insiste, l'holocauste n'est pas loin et très simple à déclencher. Et personne n'y pourra rien. Cela permettra aux pays pauvres de vivre sereinement sans être pris dans un conflit qui ne fait que regarder les russes les chinois et les américains. Et si ce n'est moi qui déclenche l'holocauste ce sera mon frère.
1  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 18/06/2024 à 15:50
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/06/2024 à 5:25
Citation Envoyé par walfrat Voir le message
Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine
Bien sûr. Mais comment les entreprises du monde entier peuvent faire du fric si leur SI est troué à la solde des services de renseignement américain ? C'est bien naïf. Et comment les états comptent garder leur secret diplomatique et de la négociation des lois contre l'ingérence et le lobbying ? Et les pays sont tous sujets à corruption. Surtout les pays sous influence américaine ou russe ou chinoise.

Un exemple récent, simple à comprendre et garantie première main : Thales a lancé une recherche très secrète sur le quantique avec l'INRIA et le financement de l'état français. Non seulement ils se sont tout fait gauler par les américains mais les chinois ont tout gauler aux américains.
Où est le profit dans l'histoire ? Thales a quand même réussi à vendre pour 3 milliards de calcul quantique. Mais le marché américain ? Et chinois ? On en fait quoi exactement ?

Autre exemple. Il y a 7 ans j'ai eu un entretien avec serge dassault et Patrice Caine pour connecter le rafale à de l'intelligence artificielle. Thales a développé une puce spécialisée dans les instructions d'IA. et rendu moins gourmande l'IA dont ils disposaient. Résultat leur recherche et développement se retrouvent chez intel et Microsoft pour un gros bide sur le marché du PC. Technologies confidentielles défense soit dit en passant, mais autorisé à la vente aux civils par la DGA. Et là vous allez voir que l'IA générative c'est vraiment de la merde sans l'IA de Thales.

Moralité : utiliser des PC sans trous. Sinon il n'y a plus qu'à mettre la clé sous la porte et arrêter d'entreprendre.
1  0