Des pirates informatiques russes soutenus par l'État ont accédé aux courriels de hauts responsables de Microsoft, selon l'entreprise.Des pirates russes soutenus par des États se sont introduits dans le système de messagerie électronique de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante de l'entreprise, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques, a déclaré l'entreprise vendredi.
Dans un billet de blog, Microsoft indique que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. L'équipe de pirates russes hautement qualifiés à l'origine de l'intrusion dans SolarWinds est responsable de cette intrusion.
Un "très faible pourcentage" des comptes d'entreprise de Microsoft ont été consultés, a déclaré la société, et certains courriels et documents joints ont été volés.
Un porte-parole de la société a déclaré que Microsoft n'avait pas de commentaire à faire dans l'immédiat sur le nombre de membres de sa haute direction dont les comptes de messagerie ont été violés. Dans un document réglementaire déposé vendredi, Microsoft a déclaré avoir pu supprimer l'accès des pirates aux comptes compromis le 13 janvier ou aux alentours de cette date.
"Nous sommes en train de notifier les employés dont les courriels ont été consultés", a déclaré Microsoft, ajoutant que son enquête indique que les pirates ciblaient initialement les comptes de courriel pour y trouver des informations liées à leurs activités.
La SEC (Securities and Exchange Commission) exige des entreprises qu'elles divulguent rapidement les failles de sécurité
La divulgation de Microsoft intervient un mois après l'entrée en vigueur d'une nouvelle règle de la Securities and Exchange Commission (SEC), qui oblige les entreprises cotées en bourse à divulguer les failles susceptibles d'avoir un impact négatif sur leurs activités. Cette règle leur donne quatre jours pour le faire, à moins qu'elles n'obtiennent une dérogation pour des raisons de sécurité nationale.
Dans le document déposé vendredi auprès de la SEC, Microsoft a déclaré qu'"à la date de ce document, l'incident n'a pas eu d'impact matériel" sur ses activités. Elle a ajouté qu'elle n'avait toutefois pas "déterminé si l'incident était raisonnablement susceptible d'avoir un impact matériel" sur ses finances.
Microsoft, dont le siège se trouve à Redmond, dans l'État de Washington, a déclaré que les pirates de l'agence russe de renseignement étranger SVR avaient réussi à accéder au système en compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes. La technique d'attaque par force brute utilisée par les pirates est appelée "password spraying".
L'acteur de la menace utilise un seul mot de passe commun pour tenter de se connecter à plusieurs comptes. Dans un billet de blog publié en août, Microsoft a décrit comment son équipe de renseignement sur les menaces a découvert que la même équipe de pirates russes avait utilisé cette technique pour tenter de voler les informations d'identification d'au moins 40 organisations mondiales différentes par l'intermédiaire des chats Microsoft Teams.
"L'attaque n'était pas le résultat d'une vulnérabilité dans les produits ou services Microsoft", a déclaré l'entreprise sur son blog. "À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si une action est nécessaire."
Microsoft appelle l'unité de piratage Midnight Blizzard. Avant de revoir sa nomenclature des acteurs de la menace l'année dernière, elle appelait le groupe Nobelium. La société de cybersécurité Mandiant, qui appartient à Google, appelle le groupe Cozy Bear.
Dans un billet de blog datant de 2021, Microsoft a qualifié la campagne de piratage SolarWinds d'"attaque d'État-nation la plus sophistiquée de l'histoire". Outre les agences gouvernementales américaines, dont les départements de la justice et du trésor, plus d'une centaine d'entreprises privées et de groupes de réflexion ont été compromis, notamment des fournisseurs de logiciels et de télécommunications.
Le SVR se consacre principalement à la collecte de renseignements. Il cible principalement les gouvernements, les diplomates, les groupes de réflexion et les fournisseurs de services informatiques aux États-Unis et en Europe.
Mesures prises par Microsoft à la suite d'une attaque perpétrée par un agent de l'État Midnight Blizzard
L'équipe de sécurité de Microsoft a détecté une attaque d'un État-nation sur nos systèmes d'entreprise le 12 janvier 2024 et a immédiatement activé notre processus de réponse pour enquêter, interrompre l'activité malveillante, atténuer l'attaque et empêcher l'acteur de la menace d'accéder à d'autres systèmes. Microsoft a identifié l'acteur de la menace comme étant Midnight Blizzard, l'acteur parrainé par l'État russe également connu sous le nom de Nobelium. Dans le cadre de notre engagement permanent en faveur d'une transparence responsable, récemment affirmé dans notre Secure Future Initiative (SFI), nous partageons cette mise à jour.
À partir de la fin novembre 2023, l'auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d'entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints. L'enquête indique qu'ils ont d'abord ciblé des comptes de messagerie pour y trouver des informations relatives à Midnight Blizzard lui-même. Nous sommes en train de notifier les employés dont les courriels ont été consultés.
L'attaque ne résulte pas d'une vulnérabilité dans les produits ou services de Microsoft. À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si des mesures doivent être prises.
Cette attaque met en évidence le risque permanent que représentent pour toutes les organisations des acteurs de la menace bien financés par des États-nations comme Midnight Blizzard.
Comme nous l'avons dit à la fin de l'année dernière lorsque nous avons annoncé l'initiative Secure Future (SFI), compte tenu de la réalité des acteurs de la menace qui disposent de ressources et sont financés par des États-nations, nous sommes en train de modifier l'équilibre que nous devons trouver entre la sécurité et le risque commercial - le type de calcul traditionnel n'est tout simplement plus suffisant. Pour Microsoft, cet incident a mis en évidence la nécessité urgente d'agir encore plus vite. Nous allons agir immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes hérités et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants.
Cela entraînera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s'agit d'une étape nécessaire, et seulement la première d'une série de mesures que nous prendrons pour adopter cette philosophie.
Nous poursuivons notre enquête et prendrons des mesures supplémentaires en fonction des résultats de cette enquête. Nous continuerons à travailler avec les forces de l'ordre et les autorités de régulation compétentes. Nous sommes fermement décidés à partager davantage d'informations et nos enseignements, afin que la communauté puisse bénéficier à la fois de notre expérience et de nos observations sur l'acteur de la menace. Nous fournirons des détails supplémentaires le cas échéant.
L'équipe de sécurité de Microsoft a détecté une attaque d'un État-nation sur nos systèmes d'entreprise le 12 janvier 2024 et a immédiatement activé notre processus de réponse pour enquêter, interrompre l'activité malveillante, atténuer l'attaque et empêcher l'acteur de la menace d'accéder à d'autres systèmes. Microsoft a identifié l'acteur de la menace comme étant Midnight Blizzard, l'acteur parrainé par l'État russe également connu sous le nom de Nobelium. Dans le cadre de notre engagement permanent en faveur d'une transparence responsable, récemment affirmé dans notre Secure Future Initiative (SFI), nous partageons cette mise à jour.
À partir de la fin novembre 2023, l'auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d'entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints. L'enquête indique qu'ils ont d'abord ciblé des comptes de messagerie pour y trouver des informations relatives à Midnight Blizzard lui-même. Nous sommes en train de notifier les employés dont les courriels ont été consultés.
L'attaque ne résulte pas d'une vulnérabilité dans les produits ou services de Microsoft. À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si des mesures doivent être prises.
Cette attaque met en évidence le risque permanent que représentent pour toutes les organisations des acteurs de la menace bien financés par des États-nations comme Midnight Blizzard.
Comme nous l'avons dit à la fin de l'année dernière lorsque nous avons annoncé l'initiative Secure Future (SFI), compte tenu de la réalité des acteurs de la menace qui disposent de ressources et sont financés par des États-nations, nous sommes en train de modifier l'équilibre que nous devons trouver entre la sécurité et le risque commercial - le type de calcul traditionnel n'est tout simplement plus suffisant. Pour Microsoft, cet incident a mis en évidence la nécessité urgente d'agir encore plus vite. Nous allons agir immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes hérités et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants.
Cela entraînera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s'agit d'une étape nécessaire, et seulement la première d'une série de mesures que nous prendrons pour adopter cette philosophie.
Nous poursuivons notre enquête et prendrons des mesures supplémentaires en fonction des résultats de cette enquête. Nous continuerons à travailler avec les forces de l'ordre et les autorités de régulation compétentes. Nous sommes fermement décidés à partager davantage d'informations et nos enseignements, afin que la communauté puisse bénéficier à la fois de notre expérience et de nos observations sur l'acteur de la menace. Nous fournirons des détails supplémentaires le cas échéant.
Et vous ?
Quel est votre avis sur la situation ?Voir aussi :
Azure AD: un ingénieur Microsoft s'est fait pirater son compte et a exposé des utilisateurs de haut niveau, des hackers ont volé une clé de signature dans un crash dump Facebook et Microsoft sont les marques les plus usurpées par les cybercriminels pour leurs opérations de phishing, selon un rapport de Vade sur le premier semestre 2023 Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams 
Envoyé par Mathis Lucas
