Microsoft a déclaré jeudi 17 décembre que ses systèmes avaient été affectés par le piratage de SolarWinds, mais a démenti une information selon laquelle ses services auraient été détournés pour s’en prendre à ses propres clients.
Reuters a rapporté plus tôt dans la journée que Microsoft a été emporté par la cyberattaque de SolarWinds, rendant ses systèmes vulnérables aux personnes malintentionnées. De plus, selon Reuters, les produits de la société ont été compromis par les pirates, mettant potentiellement en danger les clients des produits Microsoft comme Office 365 ou Azure.
En réponse, le groupe a confirmé qu’il était affecté par la vaste cyberattaque provenant du logiciel informatique SolarWinds — mais a catégoriquement nié que les données des clients ou ses propres produits étaient en danger. « Nous pensons que les sources de l’information de Reuters sont mal informées ou interprètent mal leurs informations », a déclaré la société à Business Insider.
« Comme d’autres clients de SolarWinds, nous avons recherché activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés », a déclaré Frank Shaw, porte-parole de Microsoft, dans une déclaration supplémentaire jeudi après-midi. « Nous n’avons pas trouvé de preuve concernant l’accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n’ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d’autres personnes. »
Dans un long billet de blog publié jeudi soir, le président de Microsoft, Brad Smith, a écrit que SolarWinds « est effectivement une attaque contre les États-Unis ». Brad Smith a appelé à « un leadership plus efficace et collaboratif de la part du gouvernement et du secteur technologique ».
Microsoft a également réitéré ce qu’il a dit dans un billet de blog dimanche : « Nous voulons également rassurer nos clients en leur disant que nous n’avons pas identifié de vulnérabilités dans les produits ou services en ligne de Microsoft dans le cadre de ces enquêtes ». Dans cette même déclaration de dimanche, la société a déclaré : « nous sommes également à la recherche active d’indicateurs dans l’environnement Microsoft et, à ce jour, nous n’avons pas trouvé de preuves d’une attaque réussie ».
Plus tôt dans la journée de jeudi, la Cybersecurity and Infrastructure Security Agency (CISA), la principale agence de cybersécurité du pays, a déclaré dans une alerte qu’une autre société de cybersécurité avait trouvé des preuves que les pirates avaient trouvé un moyen de contourner un outil d’authentification pour accéder à l’application de messagerie électronique Outlook de Microsoft :
« Volexity (société spécialisée en cybersécurité, ndlr) a également rapporté publiquement qu’ils ont observé l’APT (menace persistante avancée, ndlr) en utilisant une clé secrète que l’APT avait précédemment volée afin de générer un cookie pour contourner l’authentification multi-facteur Duo protégeant l’accès à l’application Web Outlook », a écrit la CISA.
Les experts en cybersécurité estiment que Microsoft n’est pas nécessairement à l’abri de tout dommage supplémentaire causé par l’intrusion de SolarWinds. « Cela ne signifie pas qu’il n’y a pas un acteur encore menaçant », a déclaré Mike Hamilton, l’ancien chef du bureau de la sécurité de l’information de la ville de Seattle et le responsable de la sécurité des systèmes d’informationde CI Security, chargé de répondre aux incidents. « Ils avaient des méchants dans leurs réseaux. Et il est logique qu’ils soient touchés parce qu’ils sont une cible de grande valeur. »
« Je serais inquiet, compte tenu de la note de la CISA sur l’authentification à deux facteurs liée à Microsoft et du fait qu’ils signalent maintenant qu’il pourrait y avoir une vulnérabilité potentielle », a déclaré Frank Downs, un ancien analyste de la NSA et maintenant directeur de la réponse aux incidents de la société BlueVoyant, spécialisée dans la cybersécurité.
Les attaques, citées par de nombreux experts comme provenant d’un acteur étatique tel que la Russie, ont touché une liste croissante d’entreprises cette semaine. Des signes de piratage ont aussi été décelés jeudi au ministère de l’Energie des Etats-Unis.
BusinessInsider
