Microsoft a annoncé aujourd’hui avoir découvert une attaque d’État-nation contre ses systèmes d’entreprise par le même groupe de pirates informatiques parrainés par l’État russe qui était responsable de l’attaque sophistiquée de SolarWinds.
Microsoft victime d’une cyberattaque par des pirates russes
Microsoft affirme que les pirates, connus sous le nom de Nobelium, ont pu accéder aux comptes de messagerie de certains membres de son équipe de direction à la fin de l’année dernière.
« À partir de fin novembre 2023, l’acteur malveillant a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris les membres de notre équipe de direction et de nos employés dans nos fonctions de cybersécurité, juridiques et autres, et a exfiltré certains e-mails et documents joints », a déclaré le Microsoft Security Response Center dans un article de blog publié vendredi soir.
Microsoft affirme que le groupe « ciblait initialement les comptes de messagerie » pour obtenir des informations les concernant, mais il n’est pas clair quels autres e-mails et documents ont été volés au cours du processus. Microsoft n’a découvert l’attaque que la semaine dernière, le 12 janvier, et la société n’a pas révélé combien de temps les attaquants ont pu accéder à ses systèmes.
« L’attaque n’était pas le résultat d’une vulnérabilité dans les produits ou services Microsoft. À ce jour, rien ne prouve que l’auteur de la menace ait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA », a déclaré Microsoft.
L’attaque a eu lieu quelques jours seulement après que Microsoft a annoncé son intention de repenser la sécurité de ses logiciels à la suite d’attaques majeures sur le cloud Azure. Bien que les clients Microsoft ne semblent pas avoir été touchés par ce nouvel incident et que cela ne soit pas le résultat d’une vulnérabilité Microsoft, il s’agit néanmoins du dernier d’une série d’incidents de cybersécurité pour Microsoft.
Il s’est retrouvé au centre de l’attaque SolarWinds il y a près de trois ans, puis 30 000 serveurs de messagerie d’organisations ont été piratés en 2021 en raison d’une faille du serveur Microsoft Exchange, et des pirates chinois ont piraté les e-mails du gouvernement américain via un exploit du cloud Microsoft l’année dernière.
Microsoft change désormais la façon dont il conçoit, construit, teste et exploite ses logiciels et services. Il s’agit du changement le plus important apporté à son approche en matière de sécurité depuis que la société a annoncé son cycle de développement de sécurité (SDL) en 2004, après que d’énormes failles de Windows XP ont mis les PC hors ligne.
Commentaires
« Il est clair que Microsoft est une cible privilégiée pour les cyberattaques d’État-nation », a déclaré Kevin Beaumont, un chercheur en sécurité indépendant. « L’attaque de Nobelium est un autre rappel que les entreprises doivent être proactives en matière de sécurité et prendre des mesures pour se protéger contre les menaces avancées ».
« Microsoft fait des progrès dans la sécurisation de ses produits et services, mais il est clair qu’il reste encore du travail à faire », a déclaré John Hultquist, directeur de la recherche chez Mandiant. « L’attaque de Nobelium montre que les acteurs étatiques sont capables de surmonter même les défenses les plus robustes ».
Source : The verge