Microsoft serait de nouveau confronté aux actions de pirates informatiques affiliés à la Russie. L’entreprise a révélé en début d’année que des acteurs de la menace ont tenté de s’introduire dans ses systèmes dans le but de voler ses secrets ainsi que les secrets partagés entre Microsoft et ses clients. Elle vient d’annoncer dans un nouveau rapport que l’attaque a conduit au vol d’une partie de son code source. Le rapport initial indiquait que des pirates russes avaient espionné les comptes de courriel de certains membres de son équipe dirigeante. L’attaque serait toujours en cours et Microsoft l’attribue au même groupe que celui à l’origine de piratage SolarWinds en 2020.
Fin janvier, Microsoft a déclaré dans un rapport que des pirates informatiques affiliés à l’État russe se sont introduits dans le système de messagerie électronique interne de Microsoft et ont accédé aux comptes des membres de l’équipe dirigeante, ainsi qu’à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft ajoute que l’intrusion a commencé fin novembre et a été découverte le 12 janvier. L’ampleur de l’attaque reste indéterminée, même si, dans son premier rapport, Microsoft a précisé qu’un très faible pourcentage des comptes d’entreprise de Microsoft avaient été consultés.
Microsoft attribue l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifiés parrainés par l’État russe et qui sont à l’origine de l’intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. En effet, l’entreprise a publié vendredi un autre rapport qui révèle que le groupe a également volé du code source et qu’il est peut-être encore en train de fouiller dans ses systèmes informatiques internes.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un accès non autorisé. Cela inclut l’accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n’avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blogue. L’on ne sait pas exactement à quel code source Microsoft fait allusion, mais l’entreprise affirme que les pirates poursuivent leurs tentatives.
Le groupe tenterait notamment d’utiliser « les secrets de différents types qu’il a trouvés » pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d’atténuation », précise Microsoft. Il faut rappeler que l’attaque massive de SolarWinds en 2020 a compromis des milliers d’organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.
L’obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d’un logiciel et d’en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l’establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.
Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l’un des plus grands fournisseurs de logiciels soit lui-même en train d’apprendre les choses au fur et à mesure est un peu effrayant. Vous n’avez pas l’assurance, en tant que client, qu’il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l’agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu’il est déconcertant que l’attaque soit toujours en cours malgré les efforts déployés par Microsoft.
« C’est le genre de chose qui nous inquiète vraiment. L’acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d’autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l’attaque n’avait pas eu d’impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l’application de la loi.
L’attaque aurait eu lieu quelques jours seulement après que Microsoft a annoncé son plan de refonte de la sécurité de ses logiciels à la suite d’attaques critiques contre sa plateforme de cloud Azure. Microsoft a été confronté à plusieurs cyberattaques très médiatisées ces dernières années, notamment le piratage de son serveur de messagerie Exchange qui a compromis environ 30 000 organisations en 2021 et la violation par des pirates affiliés à l’État chinois des courriels du gouvernement américain l’année dernière. Ce qui a poussé les experts à remettre en cause les pratiques en matière de sécurité chez Microsoft.
« Il semble qu’il s’agisse de quelque chose de très ciblé, et si les pirates sont si profondément implantés dans Microsoft, et que Microsoft n’a pas été en mesure de les faire sortir en deux mois, alors il y a une énorme inquiétude », a déclaré du nouvel incident Adam Meyers, vice-président senior de la société de cybersécurité Crowdstrike. Selon les experts, l’objectif principal de pirates Nobelium est la collecte de renseignements. Nobelium ciblerait le plus souvent des gouvernements, des groupes de réflexion, des fournisseurs de services informatiques et des diplomates, en particulier aux États-Unis et en Europe.
Certains experts affirment que Nobelium partage les informations collectées avec les services de renseignements étrangers de la Russie. L’ambassade de Russie à Washington n’a pas commenté les récentes déclarations de Microsoft et n’a pas non plus répondu aux précédentes déclarations de Microsoft sur l’activité de Nobelium. Par ailleurs, les méthodes utilisées par Microsoft pour identifier les auteurs des attaques ou pour attribuer les attaques au groupe Nobelium ne sont pas claires ; et l’entreprise n’a pas fourni d’amples informations à ce sujet dans son nouveau rapport.
Microsoft a déclaré qu’il continue d’enquêter sur les dernières attaques de Nobelium et a ajouté qu’il continuera à partager des mises à jour sur l’incident. « Nos enquêtes actives sur les activités de Midnight Blizzard sont en cours, et les résultats de nos investigations continueront d’évoluer. Nous restons déterminés à partager ce que nous apprenons », a déclaré la firme de Redmond dans son billet de blogue.
Source : Microsoft