Dominion et SolarWinds

Par -
Dominion a probablement utilisé une version de la plateforme SolarWinds Orion qui permet d'accéder par une porte dérobée à ses machines de vote.






 By Joe Hoft

Dominion et SolarWinds étaient-ils au courant d'une porte dérobée dans le système qui permettait la fraude électorale ?

Il y a deux jours, nous avons signalé qu'une directive d'urgence de la CISA demandait à toutes les agences civiles fédérales de revoir et d'éteindre ou de déconnecter tous les produits SolarWinds Orion :



Selon les experts sur Internet, une certaine version de SolarWinds contenait une porte dérobée depuis mars 2020.


Le 13 décembre, plusieurs organes de presse, dont Reuters, le Washington Post et le Wall Street Journal, ont rapporté que plusieurs agences du gouvernement américain avaient été victimes d'une brèche importante qui aurait été liée à des pirates informatiques associés à un État-nation. D'autres rapports ont depuis confirmé un lien direct entre cette brèche et la brèche de la semaine dernière de la société de cybersécurité FireEye.

Selon un tweet de Dustin Volz, journaliste du Wall Street Journal, la source de la brèche était "une faille dans la société informatique SolarWinds".

La porte dérobée était disponible dans les versions de SolarWinds de mars à juin :

La porte dérobée réside dans une bibliothèque de liens dynamiques (DLL) dont le nom de fichier est SolarWinds.Orion.Core.BusinessLayer.dll. Le fichier a été signé numériquement par SolarWinds avec un certificat valide le 24 mars, ce qui signifie que le système d'exploitation sous-jacent lui faisait confiance et ne déclenchait aucune alarme.

Le fichier DLL a été créé dans le cadre de la construction du logiciel SolarWinds entre mars et juin 2020, qui est accessible sur le site web de SolarWinds. Une fois qu'une organisation a installé la mise à jour du logiciel malveillant, le fichier DLL arriéré restait en hibernation pendant une période de deux semaines avant de commencer à fonctionner. C'est l'un des éléments furtifs de cette opération. FireEye indique dans son blog que la porte dérobée a également réussi à "se fondre dans l'activité légitime de SolarWinds" afin d'échapper à la détection.

SolarWinds a déposé un rapport auprès de la SEC dans lequel il est mentionné que 18 000 clients ont eu le problème de la porte dérobée :

Le 14 décembre, SolarWinds a déposé un formulaire 8-K auprès de la Commission américaine des opérations de bourse (U.S. Securities and Exchange Commission) qui fait la lumière sur l'impact potentiel de cet incident. Dans le formulaire 8-K, SolarWinds affirme que le nombre de clients ayant une installation active de produits Orion contenant cette porte dérobée est "inférieur à 18 000".

Un adversaire très sophistiqué (la Chine ?) a introduit des codes malveillants dans le logiciel de SolarWinds :

Selon la TAR de Microsoft et l'article du blog FireEye, un adversaire "hautement sophistiqué" a réussi à percer la chaîne d'approvisionnement de SolarWinds, une entreprise qui développe des logiciels de gestion d'infrastructures informatiques, ce qui a entraîné le placement de codes malveillants à l'intérieur des constructions logicielles de la plate-forme Orion de l'entreprise.

Il n'y a aucune mention de SolarWinds dans le rapport d'audit médico-légal du comté d'Antrim, dans le Michigan, et nous ne savons donc pas quelle version de SolarWinds a été utilisée par Dominion dans le comté d'Antrim :

Deux professionnels de l'informatique nous ont contactés pour nous faire part de ce qui suit sur SolarWinds et leur connexion au niveau du Dominion :

Un lecteur nous a fait part de quelques réflexions sur la technologie SolarWinds :

Je travaille dans l'informatique et je me demande maintenant si Solar Winds n'a pas été utilisé comme "hôte de saut" pour entrer dans les machines du Dominion. Si les machines avaient chacune un nom d'hôte unique et qu'elles étaient connectées à un réseau central, c'est une façon rationnelle de l'expliquer. Un "jumphost" est un serveur (ce qui est une très mauvaise pratique de sécurité, soit dit en passant) qui contient tous les hôtes d'un réseau avec leurs noms d'hôtes et leurs adresses IP afin que vous puissiez simplement "sauter" jusqu'à eux ou vous y connecter à distance. S'ils mettaient effectivement une porte dérobée dans Solar Winds et les connectaient à un réseau, c'est ainsi qu'ils le feraient : Solar Winds pourrait être piraté pour servir de point de saut. Je ne peux pas dire que c'est vrai, mais cela vaut la peine de creuser. Un "jumphost" est mauvais parce qu'il met tous vos hôtes et appareils dans un seul panier et si un pirate informatique s'y introduit, vous ne pouvez qu'imaginer le cauchemar qu'il peut créer.

Un autre professionnel des technologies de l'information nous a fait part de ce problème :

Je suis également un professionnel de l'informatique qui utilise SolarWinds. Nous utilisons SolarWinds pour gérer les équipements de réseau, les serveurs, etc. SolarWinds est un outil très puissant. SolarWinds dispose d'un outil de scripting capable d'automatiser la planification des tâches pour la gestion de la configuration. Supposons que vous ayez 1000 machines de vote ou plus réparties dans tout le pays. Vous pourriez créer des scripts pour télécharger des données ou charger des données rapidement en quelques secondes. Les services et les comptes de SolarWinds bénéficient d'autorisations élevées sur les équipements pour effectuer ces tâches. Les pirates informatiques pourraient s'emparer du serveur de gestion SolarWinds d'une entreprise pour l'utiliser comme un "zombie" et orchestrer des attaques sur les machines de vote de partout, ce qui le rendrait difficile à suivre.

Si les versions de SolarWinds n'étaient pas mises à jour en temps voulu, ce problème avec SolarWinds serait en place pendant toute la durée des élections et permettrait donc une fraude électorale en utilisant les machines de vote de Dominion.

La question qui devrait donc être posée est de savoir si SolarWinds et Dominion étaient au courant de la brèche et travaillaient avec l'adversaire étranger pour s'assurer que la porte dérobée reste ouverte lors des élections de 2020 afin qu'ils puissent voler l'élection pour Joe Biden ?


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Élie Guckert, le complotisme d’un anti-complotiste

Par -
Image
  J eune journaliste peu expérimenté mais  très marqué politiquement à l’extrême-gauche , Élie Guckert entreprend de décerner bons ou mauvais points à ceux dont les opinions politiques ne correspondent pas à son orientation idéologique. Nous livrons à nos lecteurs des échanges entre ce militant vaguement journaliste et Éric Denécé, directeur du Centre Français de Recherche sur le Renseignement (CF2R). Il voit des nains partout Obnubilé par l’extrême-droite, à l’image de l’équipe de  Conspiracy Watch  avec laquelle il collabore, il voit de dangereux suppôts du fascisme partout, surtout là où il n’y en a pas. Par exemple, en mai 2022, il a accusé sans vergogne Éric Denécé, le directeur du Centre Français de Recherche sur le Renseignement (CF2R) d’être un des maîtres à penser d’Égalité et Réconciliation, d’Alain Soral, avec pour argument – tenez-vous bien – que ce site, au cours des dernières années,  a cité à plusieurs reprises des analyses du CF2R . Avec ce type ...
Lire la suite