Monde

Microsoft a été victimes d’un piratage informatique par la Chine

Les pirates ont commencé leur attaque en janvier

Des milliers de clients de Microsoft pourraient avoir été victimes d’un piratage informatique lié à la Chine

Les pirates ont commencé leur attaque en janvier mais ont intensifié leurs efforts ces dernières semaines, selon les experts en sécurité. Les entreprises et les agences gouvernementales ont été touchées.

Les entreprises et les agences gouvernementales des États-Unis qui utilisent un service de messagerie électronique de Microsoft ont été compromises dans une campagne de piratage agressive qui était probablement parrainée par le gouvernement chinois, a déclaré Microsoft.

Le nombre de victimes est estimé à plusieurs dizaines de milliers et pourrait augmenter, selon certains experts en sécurité, à mesure que l’enquête sur la brèche se poursuit. Les pirates informatiques avaient furtivement attaqué plusieurs cibles en janvier, selon Volexity, la société de cybersécurité qui a découvert le piratage, mais ils ont intensifié leurs efforts ces dernières semaines alors que Microsoft s’efforçait de réparer les vulnérabilités exploitées lors de l’attaque.

L’agence de cybersécurité du gouvernement américain a émis un avertissement d’urgence mercredi, au milieu des inquiétudes que la campagne de piratage ait touché un grand nombre de cibles. L’alerte a exhorté les agences fédérales à réparer immédiatement leurs systèmes. Vendredi, le journaliste Brian Krebs, spécialiste de la cybersécurité, a indiqué que l’attaque avait touché au moins 30 000 clients de Microsoft.

« Nous sommes préoccupés par le grand nombre de victimes », a déclaré l’attachée de presse de la Maison Blanche, Jen Psaki, lors d’un point de presse vendredi. L’attentat « pourrait avoir des répercussions de grande envergure », a-t-elle ajouté.

Les fonctionnaires fédéraux avaient du mal à comprendre comment le dernier piratage se comparait à l’intrusion de pirates informatiques russes dans diverses agences fédérales et systèmes d’entreprise l’année dernière dans ce qui est devenu l’attaque de SolarWinds. Lors de cet incident, les pirates russes ont introduit du code dans une mise à jour du logiciel de gestion de réseau SolarWinds. Alors qu’environ 18 000 clients de l’entreprise ont téléchargé le code, il n’existe jusqu’à présent que des preuves que les pirates russes ont volé du matériel de neuf agences gouvernementales et d’une centaine d’entreprises.

Dans le piratage que Microsoft a attribué aux Chinois, on estime qu’environ 30 000 clients ont été touchés lorsque les pirates ont exploité des trous dans Exchange, un serveur de messagerie et de calendrier créé par Microsoft. Ces systèmes sont utilisés par un large éventail de clients, des petites entreprises aux gouvernements locaux et nationaux, en passant par certains entrepreneurs militaires. Les pirates ont pu voler des courriels et installer des logiciels malveillants afin de continuer à surveiller leurs cibles, a déclaré Microsoft dans un article de blog, mais l’entreprise n’avait aucune idée de l’ampleur du vol.

L’ambassade de Chine à Washington n’a pas répondu immédiatement à une demande de commentaires.

La campagne a été détectée en janvier, a déclaré Steven Adair, le fondateur de Volexity. Les pirates ont discrètement volé les courriels de plusieurs cibles, en exploitant un bug qui leur permettait d’accéder aux serveurs de messagerie sans mot de passe.

« C’est ce que nous considérons comme de la furtivité », a déclaré M. Adair, ajoutant que la découverte a déclenché une enquête frénétique. « Cela nous a fait commencer à tout déchirer. » Volexity a fait part de ses conclusions à Microsoft et au gouvernement américain, a-t-il ajouté.

Mais fin février, l’attaque s’est intensifiée. Les pirates ont commencé à tisser de multiples vulnérabilités et à attaquer un groupe plus large de victimes. « Nous savions que ce que nous avions signalé et vu utilisé très furtivement était maintenant combiné et enchaîné avec un autre exploit », a déclaré M. Adair. « C’était de pire en pire ».

Les pirates informatiques ont ciblé autant de victimes qu’ils ont pu trouver sur Internet, frappant les petites entreprises, les gouvernements locaux et les grandes coopératives de crédit, selon un chercheur en cybersécurité qui a étudié l’enquête américaine sur les pirates informatiques et qui n’est pas autorisé à parler publiquement de cette affaire. Les failles utilisées par les pirates, connues sous le nom de « zero-days », étaient auparavant inconnues de Microsoft.

« Nous suivons de près le correctif d’urgence de Microsoft pour les vulnérabilités précédemment inconnues du logiciel Exchange Server et les rapports sur les compromissions potentielles des groupes de réflexion américains et des entités de la base industrielle de défense », a déclaré Jake Sullivan, le conseiller de la Maison Blanche pour la sécurité nationale.

« C’est la réalité », a tweeté Christopher Krebs, l’ancien directeur de l’Agence américaine de cybersécurité et d’infrastructure. (M. Krebs n’est pas lié au journaliste de la cybersécurité qui a révélé le nombre de victimes).

M. Krebs a ajouté que les entreprises et les organisations qui utilisent le programme Exchange de Microsoft devraient supposer qu’elles ont été piratées entre le 26 février et le 3 mars, et travailler rapidement pour installer les correctifs publiés la semaine dernière par Microsoft.

Dans une déclaration, Jeff Jones, directeur principal chez Microsoft, a déclaré : « Nous travaillons en étroite collaboration avec la C.I.S.A., d’autres agences gouvernementales et des sociétés de sécurité pour nous assurer que nous fournissons les meilleurs conseils et mesures d’atténuation possibles à nos clients ».

Microsoft a déclaré qu’un groupe de piratage chinois connu sous le nom de Hafnium, « un groupe évalué comme étant parrainé par l’État et opérant à partir de la Chine », était derrière le piratage.

Depuis que l’entreprise a révélé l’attaque, d’autres pirates informatiques non affiliés à Hafnium ont commencé à exploiter les vulnérabilités pour cibler des organisations qui n’avaient pas mis à jour leurs systèmes, a déclaré Microsoft. « Microsoft continue de voir une utilisation accrue de ces vulnérabilités dans les attaques ciblant des systèmes non patchés par de multiples acteurs malveillants », a déclaré la société.

La mise à jour de ces systèmes n’est pas une tâche facile. Les serveurs de messagerie sont difficiles à maintenir, même pour les professionnels de la sécurité, et de nombreuses organisations n’ont pas l’expertise nécessaire pour héberger leurs propres serveurs en toute sécurité. Depuis des années, Microsoft pousse ces clients à passer au « cloud », où Microsoft peut gérer la sécurité pour eux. Les experts du secteur ont déclaré que les incidents de sécurité pourraient encourager les clients à passer au cloud et constituer une aubaine financière pour Microsoft.

En raison de l’ampleur de l’attaque, de nombreux utilisateurs d’Exchange sont probablement compromis, a déclaré M. Adair. « Même pour les personnes qui ont corrigé ce problème le plus rapidement possible, il y a de fortes chances qu’elles soient déjà compromises ».

David SCHMIDT

David SCHMIDT

Journaliste reporter sur Davidschmidt.fr. Chroniqueur radio sur Form.fr.

Donnez-nous votre avis sur cette article !

Bouton retour en haut de la page