Microsoft, lun des gants de la technologie, a rcemment fait face une situation alarmante : des criminels russes ont compromis ses systmes et vol encore plus de-mails que ce qui avait t initialement admis. Cette attaque numrique a eu des rpercussions importantes, suscitant des inquitudes quant la scurit nationale des tats-Unis et mettant en lumire limportance de la protection des donnes.
Microsoft a rcemment rvl que les criminels russes qui ont compromis ses systmes plus tt cette anne ont vol encore plus de-mails que ce qui avait t initialement admis. Lattaque numrique orchestre par des espions du Kremlin a permis aux pirates daccder au code source, aux e-mails des cadres et des donnes sensibles du gouvernement amricain. Cette situation a suscit des inquitudes quant la scurit nationale des tats-Unis, et le prsident de Microsoft, Brad Smith, a d sexpliquer devant le Congrs.
Une attaque par pulvrisation de mots de passe
L’attaque a commenc la fin du mois de novembre 2023. Malgr la longue priode de prsence des attaquants dans le systme, Microsoft a d’abord insist sur le fait que seul un trs faible pourcentage de comptes d’entreprise avait t compromis. Cependant, les attaquants ont russi voler des courriels et des documents joints au cours de l’incident.
La violation a t facilite par une technique de pulvrisation de mot de passe, que les pirates ont utilise pour accder un ancien compte de locataire de test non productif avec un code obsolte. Les pirates ont utilis les autorisations de ce compte pour infiltrer des comptes appartenant des dirigeants de Microsoft et d’autres employs cibls.
La pulvrisation de mots de passe est un type d’attaque par force brute au cours de laquelle un acteur malveillant tente d’utiliser le mme mot de passe sur plusieurs comptes avant d’en essayer un autre. Les attaques par pulvrisation de mots de passe sont souvent efficaces, car de nombreux utilisateurs utilisent des mots de passe simples et faciles deviner, comme motdepasse ou encore 123456 .
Dans de nombreuses organisations, les utilisateurs sont bloqus aprs un certain nombre de tentatives de connexion infructueuses. Comme les attaques par pulvrisation de mots de passe consistent essayer un seul mot de passe sur plusieurs comptes, elles vitent les blocages de compte qui se produisent gnralement lors d’une attaque par force brute d’un seul compte avec plusieurs mots de passe.
La pulvrisation de mots de passe se distingue par le fait qu’elle peut cibler des milliers, voire des millions d’utilisateurs diffrents en mme temps, plutt qu’un seul compte. Le processus est souvent automatis et peut s’taler dans le temps pour chapper la dtection.
Les attaques par pulvrisation de mots de passe ont souvent lieu lorsque l’application ou l’administrateur d’une organisation particulire dfinit un mot de passe par dfaut pour les nouveaux utilisateurs. L’authentification unique et les plateformes bases sur le cloud peuvent galement s’avrer particulirement vulnrables.
Si la pulvrisation de mots de passe peut sembler simpliste par rapport d’autres types de cyberattaques, mme des groupes cybercriminels avertis y ont recours. Par exemple, en 2022, l’Agence amricaine de cyberscurit et de scurit des infrastructures (CISA) a publi une alerte sur les cyberacteurs parrains par des tats, numrant les diffrentes tactiques qu’ils utilisent pour accder des rseaux cibls et la pulvrisation de mots de passe en faisait partie.
Microsoft a attribu l’attaque au groupe de pirates Midnight Blizzard
Fin janvier, Microsoft a reconnu une nouvelle violation de donnes, dclarant dans un rapport que des pirates informatiques affilis l’tat russe se sont introduits dans son systme de messagerie lectronique interne et ont accd aux comptes des membres de l’quipe dirigeante, ainsi qu’ ceux des employs des quipes charges de la cyberscurit et des affaires juridiques. Microsoft a ajout que l’intrusion a commenc fin novembre et a t dcouverte le 12 janvier.
Microsoft a attribu l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifis parrains par l’tat russe et qui sont l’origine de l’intrusion dans les systmes de SolarWinds il y a quelques annes. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient dsormais afin de farfouiller dans les systmes de Microsoft. L’entreprise a publi en mars un autre rapport qui rvle que le groupe a galement vol du code source et qu’il tait peut-tre encore en train de fouiller dans ses systmes informatiques internes.
Ces dernires semaines, nous avons constat que Midnight Blizzard utilisait des informations initialement exfiltres de nos systmes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un accs non autoris. Cela inclut l’accs certains rfrentiels de code source de Microsoft et des systmes internes. ce jour, nous n’avons trouv aucune preuve que les systmes clients hbergs par Microsoft ont t compromis , expliquait alors Microsoft dans un billet de blog.
Le groupe tenterait notamment d’utiliser les secrets de diffrents types qu’il a trouvs pour compromettre davantage Microsoft et potentiellement ses clients. Certains de ces secrets ont t partags entre des clients et Microsoft dans des courriels, et mesure que nous les dcouvrons dans nos courriels exfiltrs, nous avons pris contact avec ces clients pour les aider prendre des mesures d’attnuation , prcise Microsoft. Il faut rappeler que l’attaque massive de SolarWinds en 2020 a compromis des milliers d’organisations, y compris des entits publiques amricaines, dont les dpartements du Trsor et du Commerce.
L’obtention du code source est une grande victoire pour les pirates, car elle leur permet de dcouvrir le fonctionnement d’un logiciel et d’en dtecter les faiblesses. Ces connaissances peuvent tre utilises ensuite pour lancer des attaques de suivi de manire inattendue. Microsoft est un gant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utiliss, y compris par l’establishment et agence de scurit nationale. Ainsi, cette rvlation a alarm certains analystes qui ont fait part de leurs inquitudes croissantes quant la scurit des systmes et des services de Microsoft.
Une attaque d’une ampleur plus importante
En parcourant les courriels des dirigeants de Microsoft, les pirates ont trouv des messages changs avec d’autres entreprises et organisations, et Microsoft notifie maintenant ses clients les courriels auxquels ils ont eu accs, a dclar un porte-parole. Certains de ces clients avaient dj t avertis par Microsoft qu’ils taient concerns, tandis que d’autres l’apprennent pour la premire fois maintenant que Microsoft a eu plus de temps pour valuer les dgts. La socit a refus de prciser quels clients recevaient des notifications.
Cette semaine, nous continuons de notifier les clients qui ont correspondu avec des comptes de messagerie d’entreprise Microsoft qui ont t exfiltrs par l’acteur de menace Midnight Blizzard, et nous fournissons aux clients la correspondance lectronique laquelle cet acteur a eu accs , selon une dclaration d’un porte-parole de Microsoft. Il s’agit de dtails supplmentaires pour les clients qui ont dj t notifis et de nouvelles notifications .
Dans les notifications par courrier lectronique, Microsoft a donn aux clients un lien leur permettant de dsigner une personne charge d’examiner les messages compromis dans un systme personnalis et scuris.
Vous recevez cette notification parce que des courriels ont t changs entre Microsoft et des comptes de votre organisation, et que ces courriels ont t consults par l’acteur de la menace Midnight Blizzard dans le cadre de sa cyberattaque contre Microsoft , indique l’e-mail. Ce message a suscit l’inquitude de certains clients de Microsoft, qui se sont rendus sur le site de mdias sociaux pour savoir s’il s’agissait d’une tentative d’hameonnage.
Ce piratage est le dernier en date d’une srie de failles de scurit trs mdiatises et prjudiciables au gant du logiciel bas Redmond, dans l’tat de Washington, qui doit maintenant faire face une condamnation svre de la part du gouvernement amricain. En avril, le gouvernement amricain a publi un rapport cinglant critiquant Microsoft pour sa culture de scurit inadquate et citant Midnight Blizzard comme preuve que l’entreprise n’avait pas encore rsolu le problme.
Microsoft est en train de procder la plus grande refonte de la scurit depuis des dcennies. Au dbut du mois, le prsident de Microsoft, Brad Smith, s’est montr contrit lors d’une audition de la commission de la scurit intrieure de la Chambre des reprsentants sur ces questions, dclarant que l’entreprise assumait l’entire responsabilit de ses manquements.
Midnight Blizzard
Le groupe de pirates informatiques russes Midnight Blizzard, galement connu sous les noms de Nobelium, APT29 et Cozy Bear, est tristement clbre pour ses attaques sophistiques. Microsoft, tout comme le gouvernement amricain, considre que ce groupe fait partie du Service de renseignement extrieur russe (SVR).
C’est ce mme groupe que les autorits amricaines et britanniques tiennent pour responsable de l’attaque de la chane d’approvisionnement de SolarWinds en 2020. Lors de cette attaque, un code malveillant avait t intgr une mise jour logicielle, ce qui avait permis aux attaquants d’accder aux systmes des clients. L’attaque de SolarWinds a finalement cibl prs de 100 entreprises et neuf agences fdrales pour d’autres intrusions.
Midnight Blizzard/Nobelium s’est galement attaqu la socit de cyberscurit FireEye, des agences gouvernementales et des fournisseurs de services informatiques, et a lanc plusieurs attaques contre le gouvernement ukrainien dans le cadre de la guerre en cours.
Cette dernire rvlation vient s’ajouter la pression laquelle Microsoft doit faire face concernant ses pratiques en matire de cyberscurit.
En avril, un rapport trs critique du US Cyber Safety Review Board a critiqu la rponse de l’entreprise un incident distinct survenu en 2023, au cours duquel des pirates chinois ont accd aux courriels de hauts fonctionnaires du gouvernement amricain. Le rapport critique la cascade de dfaillances de scurit de Microsoft et une culture qui minimise les investissements en matire de scurit au profit de nouveaux produits.
Microsoft n’a pas suffisamment donn la priorit la rorganisation de son infrastructure existante pour faire face au paysage actuel des menaces , indique le rapport.
L’urgence de la situation a incit les agences fdrales amricaines prendre des mesures en avril.
Une directive d’urgence a t mise par l’agence amricaine de cyberscurit et de scurit des infrastructures (CISA), demandant aux agences gouvernementales d’analyser les courriels, de rinitialiser les identifiants compromis et de renforcer les mesures de scurit pour les comptes Microsoft dans le cloud, craignant que les pirates de Midnight Blizzard n’accdent des communications sensibles.
La CISA a mme dclar que le piratage de Microsoft reprsentait un risque grave et inacceptable pour les agences gouvernementales.
Sources : rapport CISA , Microsoft
Et vous ?
Avez-vous dj reu une notification de violation de donnes de la part dune entreprise technologique ? Partagez votre exprience et discutez des mesures que vous avez prises pour protger vos informations personnelles.
Comment pensez-vous que les entreprises devraient amliorer leur communication avec les clients concernant les violations de donnes ? Quelles stratgies ou pratiques vous semblent les plus efficaces pour informer les utilisateurs de manire transparente et proactive ?