2. Technos & Medias

  3. Informatique

Cyberattaque : les courriers électroniques de cadres de Microsoft piratés par des hackers liés à l'Etat russe

En novembre dernier, des pirates en lien avec les services de renseignements russes sont parvenus à accéder à certains comptes de salariés du géant de l'informatique, notamment ceux de dirigeants et de membres de l'équipe de sécurité, et ont récupéré des courriels et des pièces jointes. L'objectif du groupe responsable de la cyberattaque : « collecter des renseignements en espionnant des intérêts étrangers sur le long terme », selon Microsoft.
latribune.fr
Ce n'est pas la première fois que Microsoft est victime d'une cyberattaque.
Ce n'est pas la première fois que Microsoft est victime d'une cyberattaque. (Crédits : DADO RUVIC)

Des cadres supérieurs de Microsoft ont vu leurs courriers électroniques piratés. L'équipe de sécurité de l'entreprise a détecté la dernière attaque le 12 janvier, déclenchant des défenses qui ont bloqué l'accès ultérieur des pirates. Mais elles avaient commencé en novembre dernier, lorsque les pirates ont essayé un mot de passe sur une série de comptes et ont ainsi réussi à accéder à un ancien compte de test, a expliqué Microsoft dans un document judiciaire. Les pirates ont ensuite utilisé ce « point d'appui » pour accéder à certains comptes de salariés de Microsoft, notamment ceux de dirigeants et de membres de l'équipe de sécurité, et ont récupéré des courriels et des pièces jointes.

Les responsables de cette cyberattaques sont des pirates informatiques liés au service de renseignement russes. C'est ce qu'indique le document judiciaire déposé par le géant américain de l'informatique. Plus précisément, l'auteur de la cyberattaque est « Midnight Blizzard », selon Microsoft, un groupe qui agit en lien avec les services de renseignement extérieur de la Russie, d'après Washington et Londres.

« L'enquête indique que les pirates ont d'abord ciblé les comptes de messagerie pour y trouver des informations relatives à Midnight Blizzard lui-même », a, en effet, indiqué Microsoft.

Cibler les Etats, entités diplomatique, ONG et fournisseurs de services informatiques

Dans un billet de blog datant du mois d'août, portant sur une cyberattaque antérieure, le groupe expliquait que « cet acteur est connu pour cibler principalement les Etats, les entités diplomatiques, les organisations non gouvernementales et les fournisseurs de services informatiques, aux Etats-Unis et en Europe. » « Ils cherchent à collecter des renseignements en espionnant des intérêts étrangers sur le long terme », ajoutait-il. Les activités de « Midnight Blizzard », également connu sous le nom de « Nobelium », ont été retracées jusqu'au début de l'année 2018, toujours selon Microsoft.

Lire aussi« Il faut s'attendre à des cyberattaques entièrement automatisées par l'IA générative » (Mikko Hyppönen)

Pour autant, l'entreprise estime que rien ne prouve que les pirates ont accédé à des comptes clients, à des systèmes de production, à du code source ou à des logiciels d'intelligence artificielle chez Microsoft. « Compte tenu de la réalité des acteurs malveillants qui disposent de ressources et sont financés par des Etats, nous sommes en train de chercher un nouvel équilibre entre les risques pour la sécurité et pour les affaires », a souligné Microsoft. Et d'ajouter : « Nous agirons immédiatement pour appliquer nos normes de sécurité actuelles aux anciens systèmes et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants ».

De précédentes attaques

Ce n'est pas la première fois que Microsoft est victime d'une telle attaque. En juillet 2023, l'entreprise ainsi que l'Agence de cybersécurité et de sécurité des infrastructures (CISA) avaient fait état d'une cyberattaque réussie ayant touché plusieurs clients des services de messagerie de Microsoft Exchange Online et Outlook. Or, ce piratage avait, notamment, touché des membres hauts placés du gouvernement dont l'ambassadeur américain en Chine, Nicholas Burns, ainsi que Gina Raimondo, la secrétaire du commerce, et un membre du département d'État dont le nom n'avait pas été révélé. L'attaque avait alors été attribuée à un groupe chinois non identifié, baptisé Storm-0558, bien qu'un officiel chinois avait nié toute responsabilité de son pays dans l'attaque.

Lire aussiPiratage de Microsoft par des hackers chinois : que s'est-il passé ?

En septembre 2022, ce sont des chercheurs de l'entreprise GSTC qui avaient averti de la présence de deux nouvelles vulnérabilités dites « zero day », c'est-à-dire sans correctif, exploitées par des hackers pour espionner les emails relayés par Microsoft Exchange. Des révélations faisant écho à celles de Microsoft, lui-même, en mars 2021, au sujet de hackers chinois qui avaient exploité des failles de son logiciel Exchange, rapidement baptisées Proxylogon, pour voler des données à plusieurs de ses clients.

Suite à cet incident, l'entreprise avait pourtant mis en place un nouvel outil de sécurité, nommé Microsoft Exchange Emergency Mitigation Service (EM), déployé par défaut sur les instances de Microsoft Exchange qui avaient effectué la dernière mise à jour. Ce dispositif permet à l'éditeur de faire des modifications automatiques sur le système de ses clients, en cas d'urgence similaire à Proxylogon. Une mesure radicale qui constituait également une première dans l'industrie du logiciel.

(Avec AFP)

latribune.fr

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 20/01/2024 à 20:02
Signaler
bonjour, l attaque à donc été confirmée par la victime , l ensemble des compétitions sportives en Europe sont copiées hiver jeunesse familles ......
à écrit le 20/01/2024 à 16:01
Signaler
La meilleure manière de combattre une cyberattaque c'est de la rendre inutile ! ;-)

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.