Microsoft a déclaré vendredi soir avoir été victime d’une cyberattaque d’origine russe. Les hackers sont parvenus à entrer dans le système de messagerie, jusqu’à la haute direction de l’entreprise.
Voilà une attaque que le géant américain Microsoft ne prend et ne doit pas prendre à la légère. Vendredi, la firme à la fenêtre a révélé que des pirates informatiques russes, soutenus par Moscou, ont réussi à pénétrer dans son système de messagerie, accédant aux comptes de plusieurs de ses dirigeants. L’entreprise indique que l’incident, débuté fin novembre, n’a été détecté qu’un mois et demi plus tard, le 12 janvier.
Une dangereuse intrusion chez Microsoft détectée tardivement, mais contenue
Les hackers russes, liés au Service des renseignements extérieurs de la fédération de Russie, le SVR, ont exploité un compte test obsolète pour accéder aux comptes des membres de la direction et des équipes des sections cybersécurité et juridique de l’entreprise.
L’attaque repose sur la technique dite de « pulvérisation de mots de passe », le password spraying. Plutôt que d’essayer divers mots de passe pour un seul compte, cette technique vise à contourner les mesures de sécurité en utilisant un mot de passe couramment employé sur plusieurs comptes, augmentant ainsi les chances de succès.
Elle expose toute de suite les faiblesses des utilisateurs adoptant des mots de passe communs et souligne l’importance de la sécurité des mots de passe.
Quoi qu’il en soit, l’attaque dont a été victime Microsoft a permis d’accéder à un « très petit pourcentage » des comptes, mais cela a été suffisant pour voler certains e-mails et documents joints. Et si la société indique que l’incident n’a pas eu d’impact matériel sur ses opérations, les nouvelles règles de l’agence américaine de réglementation et de contrôle des marchés financiers lui imposent, comme nous Européens avec le RGPD, de divulguer toute violation de ce type.
Une cyberattaque qui vise la collecte de renseignements
Les pirates ont pu exploiter un compte obsolète qui met en lumière la nécessité d’une vigilance constante. Microsoft a bien confirmé que l’attaque n’a pas exploité de vulnérabilités dans ses produits ou services, se concentrant plutôt sur la compromission d’informations d’identification. Autrement dit : à ce stade, aucun utilisateur final n’a été impacté.
En ce qui concerne l’aspect politique de la cyberattaque, Microsoft l’attribue aujourd’hui au groupe russe Midnight Blizzard, que l’on connaît mieux sous le nom de Cozy Bear, grâce à l’entreprise cyber de Google, Mandiant. Si vous avez bonne mémoire, vous vous souviendrez que c’est ce même collectif de hackers qui était impliqué dans la sophistication de la campagne de piratage SolaWinds en 2021.
L’attaque avait touché de nombreuses agences gouvernementales américaines et entreprises.
S’agissant du soutien enfin dont bénéficie ce groupe, on rappellera que le SVR, l’agence russe, vise principalement la collecte de renseignements. Alors forcément, espionner les messageries de dirigeants de Microsoft était bien vu. Mais l’entreprise affirme qu’aucun accès aux environnements clients, code source, systèmes de production, ou systèmes d’intelligence artificielle, n’a été démontré.
Reuters