Une erreur de stagiaire au coeur du Solorigate

Un mot de passe « solarwinds123 » enregistré par un stagiaire quelques années auparavant sur un compte GitHub aurait permis la fuite massive de données a révélé l’entreprise lors d’une audition, vendredi dernier.

L’affaire du Solorigate n’en finit plus de délivrer son lot de rebondissements alors que la pleine mesure de l’ampleur du hack est encore difficile à évaluer. Au centre des débats désormais figure un mot de passe à la simplicité confondante, l’œuvre d’un stagiaire. Une légèreté de plus quant à sa sécurité, après avoir délocalisé la maintenance de ses logiciels dans ses bureaux d’Europe de l’Est.

Pour accéder à l’un des serveurs de SolarWinds, il fallait entrer le mot de passe « solarwinds123 » qu’un stagiaire avait enregistré en 2017, a reconnu Sudhakar Ramakrishna, actuel président de SolarWinds, lors d’une audition devant la Comité d’investigation de la Chambre des Représentants américain, le vendredi 26 février.

« Dès que [ce mot de passe] a été identifié par mon équipe de sécurité, il a été retiré », a également précisé Kevin. B. Thompson, ancien directeur de SolarWinds, ajoutant que le mot de passe avait été posté sur un compte interne et confirmant, par là même, l’existence de ce mot de passe révélé par la presse américaine.

« J’ai un mot de passe plus sécurisé pour empêcher mes enfants de regarder trop de vidéos sur YouTube sur leurs iPad », leur a répondu Katie Porter, représentante démocrate de l’État de Californie, et rapporté par Gizmodo.

Insondable

Les chefs d’entreprise de Microsoft, FireEye ainsi que l’actuel et l'ancien président de SolarWinds étaient tous entendu devant la commission pour tenter de faire la lumière sur l’une des failles de cybersécurité les plus importantes de ces dernières années, désormais appelée Solorigate, trois jours après s’être entretenus avec les membres du Sénat.

« Il est vraisemblable que nous ne connaissions jamais l’étendue complète des dégâts de l’attaque ainsi que l’étendue des bénéfices dont pourraient en bénéficier nos adversaires », a notamment prévenu Kevin Mandia, directeur de FireEye, devant les membres de la commission.

Le gouvernement américain a incriminé le gouvernement russe dans l’affaire. Celui-ci a toujours démenti en être l’auteur.