Le groupe de pirates chinois surnomm « Storm-0558 » est parvenu accder plusieurs comptes de messagerie d’employs du gouvernement amricain en exploitant une faille de scurit dans le cloud de Microsoft. L’incident a t rvl cette semaine par Microsoft et des responsables amricains chargs de la scurit nationale des tats-Unis. Le rapport indique qu’il s’agit d’une vaste opration d’espionnage qui a touch plus de deux douzaines d’agences gouvernementales en Europe et aux tats-Unis. La menace a t contenue peu de temps aprs son premier en juin, mais les donnes suggrent que les pirates avaient accs aux systmes gouvernementaux depuis au moins mai 2023.
Selon un billet de blogue publi mardi par Microsoft, Storm-0558 a compromis environ 25 comptes de messagerie, y compris des agences gouvernementales, ainsi que des comptes de consommateurs lis des personnes associes ces organisations. « Storm » est un terme utilis par la firme de Redmond pour rpertorier les groupes de pirates informatiques qui sont nouveaux, mergents ou « en cours de dveloppement ». Microsoft n’a pas identifi les agences gouvernementales vises par Storm-0558. Adam Hodge, porte-parole du Conseil national de scurit de la Maison Blanche, a confirm que les agences gouvernementales avaient t touches.
Le mois dernier, les mesures de protection du gouvernement amricain ont identifi une intrusion dans la scurit du cloud de Microsoft, qui a affect des systmes non classifis. Les fonctionnaires ont immdiatement contact Microsoft pour trouver la source et la vulnrabilit de leur service cloud. Nous continuons exiger des fournisseurs du gouvernement amricain qu’ils respectent un seuil de scurit lev , a dclar Hodge. Certaines sources, dont le Wall Street Journal (WSJ), indiquent que le dpartement amricain d’tat est l’une des agences fdrales dont les donnes ont t compromises. L’agence a ensuite alert Microsoft de la faille.
L’enqute de Microsoft a dtermin que le groupe Storm-0558 a accd des comptes de messagerie utilisant Outlook Web Access dans Exchange Online (OWA) et « Outlook.com » en falsifiant des jetons d’authentification pour accder des comptes d’utilisateurs. Dans son analyse technique de l’attaque, Microsoft explique que les pirates ont utilis une cl de signature du consommateur Microsoft acquise pour falsifier les jetons d’accs OWA et « Outlook.com ». Ensuite, les pirates ont exploit un problme de validation de jeton pour se faire passer pour des utilisateurs Azure AD (Active Directory) et accder aux comptes de messagerie de l’entreprise.
La compromission a t « attnue » par les quipes de cyberscurit de Microsoft aprs avoir t signale pour la premire fois la socit la mi-juin 2023. Toutefois, Microsoft a prcis que l’activit malveillante de Storm-0885 est passe inaperue pendant environ un mois, jusqu’ ce que des clients attirent son attention sur une activit de messagerie anormale. Microsoft a dclar que l’attaque a t attnue avec succs et que les pirates n’ont plus accs aux comptes compromis. Toutefois, il n’a pas prcis si des donnes sensibles avaient t exfiltres au cours de la priode d’un mois pendant laquelle les attaquants ont eu accs ces comptes.
Nous estimons que cet adversaire se concentre sur l’espionnage, notamment en accdant des systmes de messagerie pour collecter des renseignements. Ce type d’adversaire motiv par l’espionnage cherche abuser des informations d’identification et accder des donnes rsidant dans des systmes sensibles , a dclar Charlie Bell, membre de l’quipe de cyberscurit de Microsoft. L’agence amricaine de cyberscurit CISA (Cybersecurity and Infrastructure Security Agency) a publi un avis selon lequel les acteurs malveillants avaient accd des donnes de messagerie non classifies, ce qui suggre que les donnes sont moins sensibles.
De son ct, le FBI, qui a dcrit l’intrusion d’un mois comme une « campagne cible », a refus de confirmer le nombre total de victimes, mais a dclar que le nombre d’agences gouvernementales touches tait » un chiffre ». L’agence a toutefois refus de nommer les agences touches. La CISA et le FBI demandent instamment toute organisation qui dtecte une activit anormale dans Microsoft 365 de la signaler aux agences. Selon plusieurs rapports, c’est la deuxime fois au cours des derniers mois que des reprsentants du gouvernement reconnaissent une cyberattaque chinoise contre des infrastructures gouvernementales amricaines.
Storm-0885 serait un groupe de pirates bass en Chine et Microsoft le dcrit comme un adversaire « disposant de ressources importantes ». Il s’agissait d’une technique trs avance utilise par l’acteur de la menace contre un nombre limit de cibles de grande valeur. Chaque fois que cette technique a t utilise, elle a augment les chances de l’acteur de la menace de se faire prendre. Flicitations Microsoft pour s’tre occup du problme, l’avoir rsolu rapidement et pour avoir collabor avec ses partenaires et pour avoir fait preuve de transparence , a dclar Charles Carmakal de Mandiant, une filiale de Google qui est spcialise dans la cyberscurit.
Microsoft est l’un des principaux fournisseurs du gouvernement, et son logiciel Exchange est utilis presque partout par les clients des secteurs public et priv. Mais il fait rgulirement l’objet d’attaques. Ainsi, en 2021, au moins 30 000 organisations amricaines auraient t compromises d’une manire ou d’une autre par les pirates la suite de l’exploitation d’une faille dans Microsoft Exchange. Les victimes comprennent un nombre impressionnant de petites entreprises, de villes et de gouvernements locaux. C’est un exemple typique de la menace contre laquelle les responsables de la scurit nationale des tats-Unis mettent en garde depuis des annes.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de ce nouveau piratage des serveurs de messagerie de Microsoft ?
Quels sont les risques pour les organisations europennes utilisant les outils de Microsoft ?
Pensez-vous que les organisations europennes doivent continuer utiliser les logiciels amricains ?
L’attrait des organisations de l’UE pour les produits US est-il li un manque d’alternatives europennes ?
Sinon, selon vous, qu’est-ce qui limite ou empche l’adoption des alternatives europennes ?
Voir aussi