Victime de dysfonctionnements multiples ces dernières semaines, Microsoft oublie ses engagements de transparence et se montre peu bavarde sur l’origine de ses pépins et les revendications d’attaques DDoS de ses infrastructures Cloud par des groupuscules cybercriminels.
Que les multiples services des différents hyperscalers connaissent des dératés, c’est un fait assez courant. En règle générale, les événements sont localisés et suffisamment brefs pour ne pas impacter significativement les clients dans la durée.
Mais depuis deux semaines environ, les dysfonctionnements se multiplient : Teams, AzureDev Ops, Outlook.com, OneDrive, le portail Azure. Des incidents multiples et variés empêchant des milliers d’utilisateurs de se connecter à ces services ont été repérés par Downdetector et confirmés par les utilisateurs sur les réseaux sociaux.
Si au moins l’un des incidents (celui d’Azure DevOps) semble lié à une mise à jour qui a mal tourné (faute à une erreur de frappe), Microsoft s’est montré beaucoup moins transparent et informatif sur les autres. Or, presque systématiquement, dans le même temps, le groupe Anonymous Sudan – qui serait en réalité probablement d’origine Russe selon plusieurs analystes cyber-sécurité – revendiquait une attaque DDoS contre le géant américain. De telles auto-déclarations sont toujours à prendre avec précaution. On a déjà vu des groupuscules s’attirer les regards en revendiquant être à l’origine d’incidents dès lors qu’ils étaient répertoriés par Downdetector.
Par trois fois, pour Outlook.com, OneDrive et dernièrement le portail Azure, le groupe hacktiviste a revendiqué des attaques DDoS contre les infrastructures Microsoft pour « protester contre l’ingérence américaine dans les affaires internes Soudanaises ».
Lors de l’attaque contre Outlook.com, le groupe s’est montré plus virulent. « Microsoft, aujourd’hui nous avons joué au football avec vos services… Le destin de vos services, qui sont utilisés par des centaines de millions de personnes chaque jour, est sous notre domination et notre choix », a publié Anonymous Sudan sur son canal Telegram comme le révèle BleepingComputer.
Quelques jours plus tard, un nouveau message précisait « Microsoft, vous pensiez que nous vous avions oubliés ? Nous sommes motivés pour vous donner, à vous les menteurs, une très bonne leçon d’honnêteté qu’aucun de vos parents ne vous a jamais enseignée. Onedrive a été mis hors service. Voyons maintenant votre nouvelle excuse ».
Dans chacun de ces incidents, Microsoft n’a pas fait preuve d’une communication très claire. Se contentant d’informer ses utilisateurs sur l’existence de perturbation et l’avancée de la remédiation, l’éditeur a mollement réagi aux demandes d’éclaircissement se contentant de préciser « nous sommes au courant des allégations et poursuivons nos enquêtes. Nous prenons les mesures nécessaires pour protéger nos clients et garantir la stabilité de nos services ». Sur un des messages d’état de service, l’éditeur précise néanmoins « avoir appliqué plus de load balancing » sur le service impacté ce qui tend en faveur d’une attaque DDoS.
Dans une analyse préliminaire de l’incident Azure, publiée mardi soir, le géant américain explique qu’un afflux de demandes a conduit Azure à afficher un message « service indisponible » dans plusieurs pays durant la journée de vendredi. Microsoft, qui a résolu le problème dans les deux heures qui ont suivi, explique que « l’analyse du trafic a montré un pic anormal dans les requêtes HTTP émises contre le portail Azure, contournant la mesure préventive automatique existante et déclenchant la réponse d’indisponibilité du service ».
L’éditeur annonce parallèlement qu’il publiera une enquête complète avec plus de détails sur la panne d’Azure dans les deux prochaines semaines.
En attendant, Anonymous Sudan a continué de titiller la firme sur Telegram : « Nous continuerons l’attaque jusqu’à ce que nous soyons fatigués et que nous allions dormir, nous profitons actuellement de l’ambiance avec du cola et de la musique, pendant que Microsoft souffre ». Apparemment, le groupe cybercriminel aurait aussi réclamé une rançon d’un million de dollars et affirme avoir dérobé les données de 30 millions de clients Microsoft. Pour rappel, Anonymous Sudan serait aussi à l’origine de l’attaque DDoS contre Scandinavian Airlines en février dernier et d’attaques contre le service Lyft fin mai.
puis