Microsoft serait de nouveau confront aux actions de pirates informatiques affilis la Russie. L’entreprise a rvl en dbut d’anne que des acteurs de la menace ont tent de s’introduire dans ses systmes dans le but de voler ses secrets ainsi que les secrets partags entre Microsoft et ses clients. Elle vient d’annoncer dans un nouveau rapport que l’attaque a conduit au vol d’une partie de son code source. Le rapport initial indiquait que des pirates russes avaient espionn les comptes de courriel de certains membres de son quipe dirigeante. L’attaque serait toujours en cours et Microsoft l’attribue au mme groupe que celui l’origine de piratage SolarWinds en 2020.
Fin janvier, Microsoft a dclar dans un rapport que des pirates informatiques affilis l’tat russe se sont introduits dans le systme de messagerie lectronique interne de Microsoft et ont accd aux comptes des membres de l’quipe dirigeante, ainsi qu’ ceux des employs des quipes charges de la cyberscurit et des affaires juridiques. Microsoft ajoute que l’intrusion a commenc fin novembre et a t dcouverte le 12 janvier. L’ampleur de l’attaque reste indtermine, mme si, dans son premier rapport, Microsoft a prcis qu’un trs faible pourcentage des comptes d’entreprise de Microsoft avaient t consults.
Microsoft attribue l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifis parrains par l’tat russe et qui sont l’origine de l’intrusion dans les systmes de SolarWinds il y a quelques annes. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient dsormais afin de farfouiller dans les systmes de Microsoft. En effet, l’entreprise a publi vendredi un autre rapport qui rvle que le groupe a galement vol du code source et qu’il est peut-tre encore en train de fouiller dans ses systmes informatiques internes.
Ces dernires semaines, nous avons constat que Midnight Blizzard utilisait des informations initialement exfiltres de nos systmes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un accs non autoris. Cela inclut l’accs certains rfrentiels de code source de Microsoft et des systmes internes. ce jour, nous n’avons trouv aucune preuve que les systmes clients hbergs par Microsoft ont t compromis , explique Microsoft dans un billet de blogue. L’on ne sait pas exactement quel code source Microsoft fait allusion, mais l’entreprise affirme que les pirates poursuivent leurs tentatives.
Le groupe tenterait notamment d’utiliser « les secrets de diffrents types qu’il a trouvs » pour compromettre davantage Microsoft et potentiellement ses clients. Certains de ces secrets ont t partags entre des clients et Microsoft dans des courriels, et mesure que nous les dcouvrons dans nos courriels exfiltrs, nous avons pris contact avec ces clients pour les aider prendre des mesures d’attnuation , prcise Microsoft. Il faut rappeler que l’attaque massive de SolarWinds en 2020 a compromis des milliers d’organisations, y compris des entits publiques amricaines, dont les dpartements du Trsor et du Commerce.
L’obtention du code source est une grande victoire pour les pirates, car elle leur permet de dcouvrir le fonctionnement d’un logiciel et d’en dtecter les faiblesses. Ces connaissances peuvent tre utilises ensuite pour lancer des attaques de suivi de manire inattendue. Microsoft est un gant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utiliss, y compris par l’establishment et agence de scurit nationale. Ainsi, cette rvlation a alarm certains analystes qui ont fait part de leurs inquitudes croissantes quant la scurit des systmes et des services de Microsoft.
Certains analystes se sont inquits des risques pour la scurit nationale amricaine. Le fait que l’un des plus grands fournisseurs de logiciels soit lui-mme en train d’apprendre les choses au fur et mesure est un peu effrayant. Vous n’avez pas l’assurance, en tant que client, qu’il ne se passe pas quelque chose de plus grave. Ces attaques tmoignent galement de l’agressivit des pirates , a dclar Jerome Segura, chercheur principal chercheur en menace de la socit de cyberscurit Malwarebytes. Segura a ajout qu’il est dconcertant que l’attaque soit toujours en cours malgr les efforts dploys par Microsoft.
C’est le genre de chose qui nous inquite vraiment. L’acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pntrer dans les environnements de production, puis compromettre les logiciels et installer des portes drobes et d’autres choses de ce genre , a dclar Segura. Dans un document dpos auprs de la Securities and Exchange Commission (SEC), Microsoft a dclar que l’attaque n’avait pas eu d’impact matriel sur ses activits, mais a averti que cela restait une possibilit, malgr des investissements accrus en matire de scurit et la coordination avec les autorits charges de l’application de la loi.
L’attaque aurait eu lieu quelques jours seulement aprs que Microsoft a annonc son plan de refonte de la scurit de ses logiciels la suite d’attaques critiques contre sa plateforme de cloud Azure. Microsoft a t confront plusieurs cyberattaques trs mdiatises ces dernires annes, notamment le piratage de son serveur de messagerie Exchange qui a compromis environ 30 000 organisations en 2021 et la violation par des pirates affilis l’tat chinois des courriels du gouvernement amricain l’anne dernire. Ce qui a pouss les experts remettre en cause les pratiques en matire de scurit chez Microsoft.
Il semble qu’il s’agisse de quelque chose de trs cibl, et si les pirates sont si profondment implants dans Microsoft, et que Microsoft n’a pas t en mesure de les faire sortir en deux mois, alors il y a une norme inquitude , a dclar du nouvel incident Adam Meyers, vice-prsident senior de la socit de cyberscurit Crowdstrike. Selon les experts, l’objectif principal de pirates Nobelium est la collecte de renseignements. Nobelium ciblerait le plus souvent des gouvernements, des groupes de rflexion, des fournisseurs de services informatiques et des diplomates, en particulier aux tats-Unis et en Europe.
Certains experts affirment que Nobelium partage les informations collectes avec les services de renseignements trangers de la Russie. L’ambassade de Russie Washington n’a pas comment les rcentes dclarations de Microsoft et n’a pas non plus rpondu aux prcdentes dclarations de Microsoft sur l’activit de Nobelium. Par ailleurs, les mthodes utilises par Microsoft pour identifier les auteurs des attaques ou pour attribuer les attaques au groupe Nobelium ne sont pas claires ; et l’entreprise n’a pas fourni d’amples informations ce sujet dans son nouveau rapport.
Microsoft a dclar qu’il continue d’enquter sur les dernires attaques de Nobelium et a ajout qu’il continuera partager des mises jour sur l’incident. Nos enqutes actives sur les activits de Midnight Blizzard sont en cours, et les rsultats de nos investigations continueront d’voluer. Nous restons dtermins partager ce que nous apprenons , a dclar la firme de Redmond dans son billet de blogue.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des cyberattaques qui ciblent les systmes de Microsoft ?
Pourquoi Microsoft ne parvient-il pas mettre fin la violation de plusieurs mois ?
Selon vous, les pratiques en matire de scurit du gant de Redmond sont-elles en cause ?
Quels impacts cette violation de donnes pourrait avoir sur Microsoft et l’ensemble de ces clients ?
Craignez-vous une violation de la mme ampleur que celle du piratage de SolarWinds ou de Microsoft Exchange ?
Voir aussi