Microsoft a été piraté au début de l’été. Après enquête, le géant de Redmond a découvert que des hackers chinois sont parvenus à voler une clé de signature grand public. Cette donnée sensible s’est retrouvée au mauvais endroit au mauvais moment…
Début juillet, Microsoft révélait avoir été victime d’un groupe de hackers chinois, baptisé Storm-0558. Les pirates sont parvenus à pénétrer dans les boîtes mails Outlook d’environ 25 organisations gouvernementales américaines. Pendant un mois, ils ont pu consulter toutes les conversations de plusieurs agences, dont les ministères du Commerce et de l’État. Des agences gouvernementales européennes ont aussi été compromises.
Plus de deux mois après les faits, Microsoft est longuement revenu sur les circonstances de l’attaque dans un rapport sur son site web. L’enquête du géant américain indique que les premières phases du piratage remontent au mois d’avril 2021.
À lire aussi : Un malware chinois pourrait couper l’électricité, l’eau et les communications aux États-Unis
Microsoft a découvert l’origine du hack
Ce mois-là, « une panne du système de signature grand public », le mécanisme qui permet de vérifier l’authenticité et l’intégrité d’un message ou d’un document numérique, a abouti à une copie de l’état du système à un instant T. Celle-ci alors généré un « crash dump », un fichier qui enregistre l’état d’un système informatique au moment où il rencontre un bug fatal. Malheureusement, ce fichier, généré automatiquement, contenait une clé de signature grand public Microsoft.
Comme l’explique l’entreprise, le fichier ne devait pas contenir d’informations sensibles. Depuis cet incident, Microsoft assure d’ailleurs avoir corrigé la faille. En théorie, des clés de signature ne se retrouvent plus dans les fichiers produits dans le cadre d’un « crash dump ». Pour mémoire, c’est grâce à la clé de signature que les hackers de Storm-0558 ont pu orchestrer toute l’opération. Grâce à la clé, les pirates ont généré « jetons d’authentification », qui attestent auprès d’un serveur qu’en tant que détenteur légitime d’une messagerie, un utilisateur est autorisé à y accéder. Ils ont alors pu pénétrer dans les comptes Outlook qu’ils visaient.
Reste à savoir comment Storm-0558 a pu mettre la main sur cette clé de signature. L’enquête Microsoft révèle que le « crash dump » contenant les données sensibles a ensuite été transféré « de l’environnement de débogage » vers le réseau de l’entreprise, relié à Internet.
Apparemment, les pirates ont pris le contrôle du compte d’un ingénieur de Microsoft pour déplacer le fichier, peu après sa création. Ce compte, compromis en amont, avait en effet accès à l’environnement de débogage. À partir de là, les hackers ont simplement exfiltré les données sensibles par le biais d’Internet. La clé a été exploitée deux ans plus tard. On peut supposer que les pirates sont tombés sur la clé de chiffrement par hasard en fouillant dans le compte de l’ingénieur. Toutes les brèches ont depuis été corrigées, rassure Microsoft, qui précise n’avoir pas de preuves tangibles du mode opératoire des attaquants :
« Nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel il a acquis la clé ».
Quoi qu’il en soit, Microsoft a apporté des améliorations de taille à ses systèmes de sécurité à la suite de l’attaque. Le groupe précise notamment avoir amélioré l’analyse « des informations d’identification pour mieux détecter la présence de la clé de signature dans l’environnement de débogage ». De même, Microsoft fait son possible pour éviter que des données sensibles se retrouvent à nouveau dans des fichiers automatiques générés lors d’une panne.
Source :
Microsoft