Cet article a été publié à l'origine sur Security Magazine. Cliquez sur le lien ci-dessous pour accéder à la version intégrale.
L'attaque APT d'ASUS du mois dernier n'est pas une surprise pour tout observateur de l'industrie soucieux de la sécurité - elle met en évidence une faille de longue date dans de nombreuses chaînes d'approvisionnement software aujourd'hui. Depuis des années, les attaquants se livrent à l'usurpation de sites web, au vol d'informations d'identification et à l'obtention d'un accès non autorisé. L'injection de codes malveillants dans des outils légitimes conçus pour protéger représente la prochaine évolution dans la mise en danger des entreprises et de leurs clients. La signature de code a été établie comme un sceau numérique qui permet à une organisation de vérifier l'identité de l'éditeur de software et de s'assurer que le code n'a pas été altéré ou modifié avant le téléchargement. Toutefois, si les certificats de signature de code ne sont pas correctement gérés, il en résulte une attaque telle que le récent piratage d'ASUS (ou potentiellement pire).
Dans le cas d'ASUS, les attaquants ont exploité le code en implantant et en déployant des logiciels malveillants dans une mise à jour d'apparence légitime. Sans aucun moyen de savoir si les certificats signés valides contiennent de bonnes ou de mauvaises mises à jour, les entreprises consommant le site software et exécutant des mises à jour standard sont devenues vulnérables aux attaques.
