Des pirates informatiques russes soutenus par l’tat ont accd aux courriels de hauts responsables de Microsoft, selon l’entreprise.
Des pirates russes soutenus par des tats se sont introduits dans le systme de messagerie lectronique de Microsoft et ont accd aux comptes des membres de l’quipe dirigeante de l’entreprise, ainsi qu’ ceux des employs des quipes charges de la cyberscurit et des affaires juridiques, a dclar l’entreprise vendredi.
Dans un billet de blog, Microsoft indique que l’intrusion a commenc fin novembre et a t dcouverte le 12 janvier. L’quipe de pirates russes hautement qualifis l’origine de l’intrusion dans SolarWinds est responsable de cette intrusion.
Un « trs faible pourcentage » des comptes d’entreprise de Microsoft ont t consults, a dclar la socit, et certains courriels et documents joints ont t vols.
Un porte-parole de la socit a dclar que Microsoft n’avait pas de commentaire faire dans l’immdiat sur le nombre de membres de sa haute direction dont les comptes de messagerie ont t viols. Dans un document rglementaire dpos vendredi, Microsoft a dclar avoir pu supprimer l’accs des pirates aux comptes compromis le 13 janvier ou aux alentours de cette date.
« Nous sommes en train de notifier les employs dont les courriels ont t consults« , a dclar Microsoft, ajoutant que son enqute indique que les pirates ciblaient initialement les comptes de courriel pour y trouver des informations lies leurs activits.
La SEC (Securities and Exchange Commission) exige des entreprises qu’elles divulguent rapidement les failles de scurit
La divulgation de Microsoft intervient un mois aprs l’entre en vigueur d’une nouvelle rgle de la Securities and Exchange Commission (SEC), qui oblige les entreprises cotes en bourse divulguer les failles susceptibles d’avoir un impact ngatif sur leurs activits. Cette rgle leur donne quatre jours pour le faire, moins qu’elles n’obtiennent une drogation pour des raisons de scurit nationale.
Dans le document dpos vendredi auprs de la SEC, Microsoft a dclar qu' » la date de ce document, l’incident n’a pas eu d’impact matriel » sur ses activits. Elle a ajout qu’elle n’avait toutefois pas « dtermin si l’incident tait raisonnablement susceptible d’avoir un impact matriel » sur ses finances.
Microsoft, dont le sige se trouve Redmond, dans l’tat de Washington, a dclar que les pirates de l’agence russe de renseignement tranger SVR avaient russi accder au systme en compromettant les informations d’identification d’un compte de test « ancien », ce qui laissait supposer que le code tait obsolte. Aprs avoir pris pied, ils ont utilis les autorisations du compte pour accder aux comptes de l’quipe dirigeante et d’autres personnes. La technique d’attaque par force brute utilise par les pirates est appele « password spraying« .
L’acteur de la menace utilise un seul mot de passe commun pour tenter de se connecter plusieurs comptes. Dans un billet de blog publi en aot, Microsoft a dcrit comment son quipe de renseignement sur les menaces a dcouvert que la mme quipe de pirates russes avait utilis cette technique pour tenter de voler les informations d’identification d’au moins 40 organisations mondiales diffrentes par l’intermdiaire des chats Microsoft Teams.
« L’attaque n’tait pas le rsultat d’une vulnrabilit dans les produits ou services Microsoft« , a dclar l’entreprise sur son blog. « ce jour, rien ne prouve que l’auteur de la menace ait eu accs aux environnements des clients, aux systmes de production, au code source ou aux systmes d’intelligence artificielle. Nous informerons nos clients si une action est ncessaire.«
Microsoft appelle l’unit de piratage Midnight Blizzard. Avant de revoir sa nomenclature des acteurs de la menace l’anne dernire, elle appelait le groupe Nobelium. La socit de cyberscurit Mandiant, qui appartient Google, appelle le groupe Cozy Bear.
Dans un billet de blog datant de 2021, Microsoft a qualifi la campagne de piratage SolarWinds d' »attaque d’tat-nation la plus sophistique de l’histoire« . Outre les agences gouvernementales amricaines, dont les dpartements de la justice et du trsor, plus d’une centaine d’entreprises prives et de groupes de rflexion ont t compromis, notamment des fournisseurs de logiciels et de tlcommunications.
Le SVR se consacre principalement la collecte de renseignements. Il cible principalement les gouvernements, les diplomates, les groupes de rflexion et les fournisseurs de services informatiques aux tats-Unis et en Europe.
Mesures prises par Microsoft la suite d’une attaque perptre par un agent de l’tat Midnight Blizzard
L’quipe de scurit de Microsoft a dtect une attaque d’un tat-nation sur nos systmes d’entreprise le 12 janvier 2024 et a immdiatement activ notre processus de rponse pour enquter, interrompre l’activit malveillante, attnuer l’attaque et empcher l’acteur de la menace d’accder d’autres systmes. Microsoft a identifi l’acteur de la menace comme tant Midnight Blizzard, l’acteur parrain par l’tat russe galement connu sous le nom de Nobelium. Dans le cadre de notre engagement permanent en faveur d’une transparence responsable, rcemment affirm dans notre Secure Future Initiative (SFI), nous partageons cette mise jour.
partir de la fin novembre 2023, l’auteur de la menace a utilis une attaque par pulvrisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilis les autorisations du compte pour accder un trs petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre quipe de direction et des employs de nos fonctions de cyberscurit, juridiques et autres, et a exfiltr des courriels et des documents joints. L’enqute indique qu’ils ont d’abord cibl des comptes de messagerie pour y trouver des informations relatives Midnight Blizzard lui-mme. Nous sommes en train de notifier les employs dont les courriels ont t consults.
L’attaque ne rsulte pas d’une vulnrabilit dans les produits ou services de Microsoft. ce jour, rien ne prouve que l’auteur de la menace ait eu accs aux environnements des clients, aux systmes de production, au code source ou aux systmes d’intelligence artificielle. Nous informerons nos clients si des mesures doivent tre prises.
Cette attaque met en vidence le risque permanent que reprsentent pour toutes les organisations des acteurs de la menace bien financs par des tats-nations comme Midnight Blizzard.
Comme nous l’avons dit la fin de l’anne dernire lorsque nous avons annonc l’initiative Secure Future (SFI), compte tenu de la ralit des acteurs de la menace qui disposent de ressources et sont financs par des tats-nations, nous sommes en train de modifier l’quilibre que nous devons trouver entre la scurit et le risque commercial – le type de calcul traditionnel n’est tout simplement plus suffisant. Pour Microsoft, cet incident a mis en vidence la ncessit urgente d’agir encore plus vite. Nous allons agir immdiatement pour appliquer nos normes de scurit actuelles aux systmes hrits et aux processus commerciaux internes appartenant Microsoft, mme si ces changements risquent de perturber les processus commerciaux existants.
Cela entranera probablement un certain niveau de perturbation pendant que nous nous adaptons cette nouvelle ralit, mais il s’agit d’une tape ncessaire, et seulement la premire d’une srie de mesures que nous prendrons pour adopter cette philosophie.
Nous poursuivons notre enqute et prendrons des mesures supplmentaires en fonction des rsultats de cette enqute. Nous continuerons travailler avec les forces de l’ordre et les autorits de rgulation comptentes. Nous sommes fermement dcids partager davantage d’informations et nos enseignements, afin que la communaut puisse bnficier la fois de notre exprience et de nos observations sur l’acteur de la menace. Nous fournirons des dtails supplmentaires le cas chant.
Source : Microsoft
Et vous ?
Quel est votre avis sur la situation ?
Voir aussi :