Microsoft a récemment révélé que les criminels russes qui ont compromis ses systèmes plus tôt cette année ont volé encore plus d’e-mails que ce qui avait été initialement admis. L’attaque numérique orchestrée par des espions du Kremlin a permis aux pirates d’accéder au code source, aux e-mails des cadres et à des données sensibles du gouvernement américain. Cette situation a suscité des inquiétudes quant à la sécurité nationale des États-Unis, et le président de Microsoft, Brad Smith, a dû s’expliquer devant le Congrès.
Une attaque par pulvérisation de mots de passe
L'attaque a commencé à la fin du mois de novembre 2023. Malgré la longue période de présence des attaquants dans le système, Microsoft a d'abord insisté sur le fait que seul un « très faible pourcentage » de comptes d'entreprise avait été compromis. Cependant, les attaquants ont réussi à voler des courriels et des documents joints au cours de l'incident.
La violation a été facilitée par une technique de pulvérisation de mot de passe, que les pirates ont utilisée pour accéder à un « ancien compte de locataire de test non productif » avec un code obsolète. Les pirates ont utilisé les autorisations de ce compte pour infiltrer des comptes appartenant à des dirigeants de Microsoft et à d'autres employés ciblés.
La pulvérisation de mots de passe est un type d'attaque par force brute au cours de laquelle un acteur malveillant tente d'utiliser le même mot de passe sur plusieurs comptes avant d'en essayer un autre. Les attaques par pulvérisation de mots de passe sont souvent efficaces, car de nombreux utilisateurs utilisent des mots de passe simples et faciles à deviner, comme « motdepasse » ou encore « 123456 ».
Dans de nombreuses organisations, les utilisateurs sont bloqués après un certain nombre de tentatives de connexion infructueuses. Comme les attaques par pulvérisation de mots de passe consistent à essayer un seul mot de passe sur plusieurs comptes, elles évitent les blocages de compte qui se produisent généralement lors d'une attaque par force brute d'un seul compte avec plusieurs mots de passe.
La pulvérisation de mots de passe se distingue par le fait qu'elle peut cibler des milliers, voire des millions d'utilisateurs différents en même temps, plutôt qu'un seul compte. Le processus est souvent automatisé et peut s'étaler dans le temps pour échapper à la détection.
Les attaques par pulvérisation de mots de passe ont souvent lieu lorsque l'application ou l'administrateur d'une organisation particulière définit un mot de passe par défaut pour les nouveaux utilisateurs. L'authentification unique et les plateformes basées sur le cloud peuvent également s'avérer particulièrement vulnérables.
Si la pulvérisation de mots de passe peut sembler simpliste par rapport à d'autres types de cyberattaques, même des groupes cybercriminels avertis y ont recours. Par exemple, en 2022, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une alerte sur les cyberacteurs parrainés par des États, énumérant les différentes tactiques qu'ils utilisent pour accéder à des réseaux ciblés – et la pulvérisation de mots de passe en faisait partie.
Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard
Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.
Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques internes.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », expliquait alors Microsoft dans un billet de blog.
Le groupe tenterait notamment d'utiliser « les secrets de différents types qu'il a trouvés » pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », précise Microsoft. Il faut rappeler que l'attaque massive de SolarWinds en 2020 a compromis des milliers d'organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.
L'obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d'un logiciel et d'en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l'establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.
Une attaque d'une ampleur plus importante
En parcourant les courriels des dirigeants de Microsoft, les pirates ont trouvé des messages échangés avec d'autres entreprises et organisations, et Microsoft notifie maintenant à ses clients les courriels auxquels ils ont eu accès, a déclaré un porte-parole. Certains de ces clients avaient déjà été avertis par Microsoft qu'ils étaient concernés, tandis que d'autres l'apprennent pour la première fois maintenant que Microsoft a eu plus de temps pour évaluer les dégâts. La société a refusé de préciser quels clients recevaient des notifications.
« Cette semaine, nous continuons de notifier les clients qui ont correspondu avec des comptes de messagerie d'entreprise Microsoft qui ont été exfiltrés par l'acteur de menace Midnight Blizzard, et nous fournissons aux clients la correspondance électronique à laquelle cet acteur a eu accès », selon une déclaration d'un porte-parole de Microsoft. « Il s'agit de détails supplémentaires pour les clients qui ont déjà été notifiés et de nouvelles notifications ».
Dans les notifications par courrier électronique, Microsoft a donné aux clients un lien leur permettant de désigner une personne chargée d'examiner les messages compromis dans un système personnalisé et sécurisé.
« Vous recevez cette notification parce que des courriels ont été échangés entre Microsoft et des comptes de votre organisation, et que ces courriels ont été consultés par l'acteur de la menace Midnight Blizzard dans le cadre de sa cyberattaque contre Microsoft », indique l'e-mail. Ce message a suscité l'inquiétude de certains clients de Microsoft, qui se sont rendus sur le site de médias sociaux pour savoir s'il s'agissait d'une tentative d'hameçonnage.
Ce piratage est le dernier en date d'une série de failles de sécurité très médiatisées et préjudiciables au géant du logiciel basé à Redmond, dans l'État de Washington, qui doit maintenant faire face à une condamnation sévère de la part du gouvernement américain. En avril, le gouvernement américain a publié un rapport cinglant critiquant Microsoft pour sa culture de sécurité « inadéquate » et citant Midnight Blizzard comme preuve que l'entreprise n'avait pas encore résolu le problème.
Microsoft est en train de procéder à la plus grande refonte de la sécurité depuis des décennies. Au début du mois, le président de Microsoft, Brad Smith, s'est montré contrit lors d'une audition de la commission de la sécurité intérieure de la Chambre des représentants sur ces questions, déclarant que l'entreprise assumait l'entière responsabilité de ses manquements.
Midnight Blizzard
Le groupe de pirates informatiques russes Midnight Blizzard, également connu sous les noms de Nobelium, APT29 et Cozy Bear, est tristement célèbre pour ses attaques sophistiquées. Microsoft, tout comme le gouvernement américain, considère que ce groupe fait partie du Service de renseignement extérieur russe (SVR).
C'est ce même groupe que les autorités américaines et britanniques tiennent pour responsable de l'attaque de la chaîne d'approvisionnement de SolarWinds en 2020. Lors de cette attaque, un code malveillant avait été intégré à une mise à jour logicielle, ce qui avait permis aux attaquants d'accéder aux systèmes des clients. L'attaque de SolarWinds a finalement ciblé près de 100 entreprises et neuf agences fédérales pour d'autres intrusions.
Midnight Blizzard/Nobelium s'est également attaqué à la société de cybersécurité FireEye, à des agences gouvernementales et à des fournisseurs de services informatiques, et a lancé plusieurs attaques contre le gouvernement ukrainien dans le cadre de la guerre en cours.
Cette dernière révélation vient s'ajouter à la pression à laquelle Microsoft doit faire face concernant ses pratiques en matière de cybersécurité.
En avril, un rapport très critique du US Cyber Safety Review Board a critiqué la réponse de l'entreprise à un incident distinct survenu en 2023, au cours duquel des pirates chinois ont accédé aux courriels de hauts fonctionnaires du gouvernement américain. Le rapport critique la « cascade de défaillances de sécurité » de Microsoft et une culture qui minimise les investissements en matière de sécurité au profit de nouveaux produits.
« Microsoft n'a pas suffisamment donné la priorité à la réorganisation de son infrastructure existante pour faire face au paysage actuel des menaces », indique le rapport.
L'urgence de la situation a incité les agences fédérales américaines à prendre des mesures en avril.
Une directive d'urgence a été émise par l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), demandant aux agences gouvernementales d'analyser les courriels, de réinitialiser les identifiants compromis et de renforcer les mesures de sécurité pour les comptes Microsoft dans le cloud, craignant que les pirates de Midnight Blizzard n'accèdent à des communications sensibles.
La CISA a même déclaré que le piratage de Microsoft représentait un « risque grave et inacceptable » pour les agences gouvernementales.
Sources : rapport CISA , Microsoft
Et vous ?
Avez-vous déjà reçu une notification de violation de données de la part d’une entreprise technologique ? Partagez votre expérience et discutez des mesures que vous avez prises pour protéger vos informations personnelles.
Comment pensez-vous que les entreprises devraient améliorer leur communication avec les clients concernant les violations de données ? Quelles stratégies ou pratiques vous semblent les plus efficaces pour informer les utilisateurs de manière transparente et proactive ?