IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque
L'intrusion a commencé fin novembre et a été découverte le 12 janvier

Le , par Sandra Coret

13PARTAGES

8  0 
Des pirates informatiques russes soutenus par l'État ont accédé aux courriels de hauts responsables de Microsoft, selon l'entreprise.

Des pirates russes soutenus par des États se sont introduits dans le système de messagerie électronique de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante de l'entreprise, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques, a déclaré l'entreprise vendredi.

Dans un billet de blog, Microsoft indique que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. L'équipe de pirates russes hautement qualifiés à l'origine de l'intrusion dans SolarWinds est responsable de cette intrusion.

Un "très faible pourcentage" des comptes d'entreprise de Microsoft ont été consultés, a déclaré la société, et certains courriels et documents joints ont été volés.

Un porte-parole de la société a déclaré que Microsoft n'avait pas de commentaire à faire dans l'immédiat sur le nombre de membres de sa haute direction dont les comptes de messagerie ont été violés. Dans un document réglementaire déposé vendredi, Microsoft a déclaré avoir pu supprimer l'accès des pirates aux comptes compromis le 13 janvier ou aux alentours de cette date.

"Nous sommes en train de notifier les employés dont les courriels ont été consultés", a déclaré Microsoft, ajoutant que son enquête indique que les pirates ciblaient initialement les comptes de courriel pour y trouver des informations liées à leurs activités.

La SEC (Securities and Exchange Commission) exige des entreprises qu'elles divulguent rapidement les failles de sécurité

La divulgation de Microsoft intervient un mois après l'entrée en vigueur d'une nouvelle règle de la Securities and Exchange Commission (SEC), qui oblige les entreprises cotées en bourse à divulguer les failles susceptibles d'avoir un impact négatif sur leurs activités. Cette règle leur donne quatre jours pour le faire, à moins qu'elles n'obtiennent une dérogation pour des raisons de sécurité nationale.

Dans le document déposé vendredi auprès de la SEC, Microsoft a déclaré qu'"à la date de ce document, l'incident n'a pas eu d'impact matériel" sur ses activités. Elle a ajouté qu'elle n'avait toutefois pas "déterminé si l'incident était raisonnablement susceptible d'avoir un impact matériel" sur ses finances.

Microsoft, dont le siège se trouve à Redmond, dans l'État de Washington, a déclaré que les pirates de l'agence russe de renseignement étranger SVR avaient réussi à accéder au système en compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes. La technique d'attaque par force brute utilisée par les pirates est appelée "password spraying".

L'acteur de la menace utilise un seul mot de passe commun pour tenter de se connecter à plusieurs comptes. Dans un billet de blog publié en août, Microsoft a décrit comment son équipe de renseignement sur les menaces a découvert que la même équipe de pirates russes avait utilisé cette technique pour tenter de voler les informations d'identification d'au moins 40 organisations mondiales différentes par l'intermédiaire des chats Microsoft Teams.

"L'attaque n'était pas le résultat d'une vulnérabilité dans les produits ou services Microsoft", a déclaré l'entreprise sur son blog. "À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si une action est nécessaire."

Microsoft appelle l'unité de piratage Midnight Blizzard. Avant de revoir sa nomenclature des acteurs de la menace l'année dernière, elle appelait le groupe Nobelium. La société de cybersécurité Mandiant, qui appartient à Google, appelle le groupe Cozy Bear.

Dans un billet de blog datant de 2021, Microsoft a qualifié la campagne de piratage SolarWinds d'"attaque d'État-nation la plus sophistiquée de l'histoire". Outre les agences gouvernementales américaines, dont les départements de la justice et du trésor, plus d'une centaine d'entreprises privées et de groupes de réflexion ont été compromis, notamment des fournisseurs de logiciels et de télécommunications.

Le SVR se consacre principalement à la collecte de renseignements. Il cible principalement les gouvernements, les diplomates, les groupes de réflexion et les fournisseurs de services informatiques aux États-Unis et en Europe.

Mesures prises par Microsoft à la suite d'une attaque perpétrée par un agent de l'État Midnight Blizzard

L'équipe de sécurité de Microsoft a détecté une attaque d'un État-nation sur nos systèmes d'entreprise le 12 janvier 2024 et a immédiatement activé notre processus de réponse pour enquêter, interrompre l'activité malveillante, atténuer l'attaque et empêcher l'acteur de la menace d'accéder à d'autres systèmes. Microsoft a identifié l'acteur de la menace comme étant Midnight Blizzard, l'acteur parrainé par l'État russe également connu sous le nom de Nobelium. Dans le cadre de notre engagement permanent en faveur d'une transparence responsable, récemment affirmé dans notre Secure Future Initiative (SFI), nous partageons cette mise à jour.

À partir de la fin novembre 2023, l'auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d'entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints. L'enquête indique qu'ils ont d'abord ciblé des comptes de messagerie pour y trouver des informations relatives à Midnight Blizzard lui-même. Nous sommes en train de notifier les employés dont les courriels ont été consultés.

L'attaque ne résulte pas d'une vulnérabilité dans les produits ou services de Microsoft. À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si des mesures doivent être prises.

Cette attaque met en évidence le risque permanent que représentent pour toutes les organisations des acteurs de la menace bien financés par des États-nations comme Midnight Blizzard.

Comme nous l'avons dit à la fin de l'année dernière lorsque nous avons annoncé l'initiative Secure Future (SFI), compte tenu de la réalité des acteurs de la menace qui disposent de ressources et sont financés par des États-nations, nous sommes en train de modifier l'équilibre que nous devons trouver entre la sécurité et le risque commercial - le type de calcul traditionnel n'est tout simplement plus suffisant. Pour Microsoft, cet incident a mis en évidence la nécessité urgente d'agir encore plus vite. Nous allons agir immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes hérités et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants.

Cela entraînera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s'agit d'une étape nécessaire, et seulement la première d'une série de mesures que nous prendrons pour adopter cette philosophie.

Nous poursuivons notre enquête et prendrons des mesures supplémentaires en fonction des résultats de cette enquête. Nous continuerons à travailler avec les forces de l'ordre et les autorités de régulation compétentes. Nous sommes fermement décidés à partager davantage d'informations et nos enseignements, afin que la communauté puisse bénéficier à la fois de notre expérience et de nos observations sur l'acteur de la menace. Nous fournirons des détails supplémentaires le cas échéant.
Source : Microsoft

Et vous ?

Quel est votre avis sur la situation ?

Voir aussi :

Azure AD: un ingénieur Microsoft s'est fait pirater son compte et a exposé des utilisateurs de haut niveau, des hackers ont volé une clé de signature dans un crash dump

Facebook et Microsoft sont les marques les plus usurpées par les cybercriminels pour leurs opérations de phishing, selon un rapport de Vade sur le premier semestre 2023

Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de sami_c
Membre averti https://www.developpez.com
Le 24/04/2024 à 19:04
Citation Envoyé par Mathis Lucas  Voir le message
[B][SIZE=4]
Pourquoi n'a pas informé les utilisateurs que la vulnérabilité CVE-2022-38028 faisait l'objet d'une exploitation active ?

Peut être parce qu’il s'agit d'une porte dérobée en cours d'exploitation par la NSA et le FBI ? ...
7  0 
Avatar de unanonyme
Membre éclairé https://www.developpez.com
Le 22/01/2024 à 13:15
Bonjour,

sur quelle base l'attribution des attaquants est réalisée ?
sur quelle base est déterminée le niveau de technicité des attaquants ?

...compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes...
Donc en réussissant à déterminer le mot de passe d'un compte test,
ils ont réussit à déterminer les mots de passe des dirigeants
avec une technique de force brute

Il n'existait donc aucune politique de sécurité par gestion de domaine,
de pare feu etc

Et cette société est dans le top 5 des capitalisations mondiale ?



Bonne journée.
5  1 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 22/01/2024 à 16:24
Citation Envoyé par unanonyme Voir le message

Il n'existait donc aucune politique de sécurité par gestion de domaine,
de pare feu etc

Et cette société est dans le top 5 des capitalisations mondiale ?



Bonne journée.
Et cette société est à l'origine de solutions avec des configurations par défaut et des recommandations pour toutes les autres sociétés du monde, ou presque.
5  1 
Avatar de gibus92
Membre à l'essai https://www.developpez.com
Le 02/02/2024 à 7:26
Dans n'importe quelle organisation, il est nécessaire de réaliser une revue des comptes et des privilèges. Pour limiter les risques de sécurité, il est nécessaire de n'utiliser les comptes invités et les comptes de test à la durée strictement nécessaire à l'opération. Ils doivent être désactivés ensuite. Il s'agit de précautions de sécurité élémentaires. Croire que le modèle de sécurité d'un OS suffit à régler les problèmes de sécurité magiquement est soit d'une naiveté épouvantable, soit d'une incompétence incroyable, soit d'un manque de ressources et/ou d'automatisation des tâches fondamentales de sécurité : le même genre de problèmes peut arriver à des comptes laissés en déshérence sur des OS Linux. Trop de clients réduisent les coûts au delà du raisonnable et limitent leurs personnels (nombre/compétences/attributions) au point de ne plus administrer correctement leur sécurité et de tolérer de réaliser des tests sur une plateforme de production.
4  0 
Avatar de Le Graouli
Membre à l'essai https://www.developpez.com
Le 19/02/2024 à 11:35
Moi ce qui me plaît le plus, c’est ce message rassurant qui s'affiche, parfois avec insistance, sur l’écran de mon PC lorsque je connecte sur un site «*Le respect de votre vie privée est notre priorité, nous en prenons soin*» pour m’insérer à tout prix des Cookies totalement inutiles. Certains sites respectent votre choix mais beaucoup trop vous imposent le leur.
4  0 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 25/04/2024 à 11:32
Deux ans plus tard, les États-Unis ont inculpé les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l'Union européenne a également sanctionné les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fédéral allemand.
C'est sur que les Américains ça les saoules, ils déploient le virus Microsoft Office avec le ver "cloud" dans le calme le plus total dans leur colonie logicielle européenne... alors que les Russes jouent au plus malin ça les dépasses !
4  0 
Avatar de Artemus24
Expert éminent sénior https://www.developpez.com
Le 31/01/2024 à 23:27
Salut à tous.

Bravo pour la sécurité chez Microsoft !

@+
3  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 06/05/2024 à 12:59
Il y a des métiers payés au moins en partie au résultat. En dehors d'un éventuel aspect moralité ça peut faire sens. D'un autre coté, le salarié n'est pas obligé d'accepter cette modification de son contrat de travail, du moins chez nous.
Comme le dit Jules, cela peut impacter le climat social.

Microsoft reste responsable comme toute entreprise est responsable de ce que fait ses employés.

Soit il manquent d'experts en sécurité pour valider avant publication, soit le marketing fait pression pour qu'un produit sorte même si il n'a pas été validé.

L'aspect sécurité représente un cout, et les couts les actionnaires n'aiment pas.
3  0 
Avatar de e-ric
Membre expert https://www.developpez.com
Le 25/04/2024 à 14:27
Sacrés Russes, ils doivent adorer les Américains en leur jouant l'arroseur arrosé.
2  0 
Avatar de rached2005
Membre à l'essai https://www.developpez.com
Le 06/05/2024 à 12:30
C'est un rappel crucial de renforcer nos mesures de sécurité, surtout en utilisant des mots de passe forts et en évitant les pièges du phishing. Il est également important de suivre de près les mises à jour de sécurité et d'avoir une stratégie de réponse aux incidents bien définie en cas de compromission.
2  0