La news insolite de la semaine : Des hackers du groupe russe Nobelium ont pénétré les comptes emails de quelques hauts responsables de Microsoft pour savoir ce que l’éditeur savait sur eux…
Dans un tour de force qui apparemment n’arrive pas que dans les romans d’espionnage, un groupe de hackers russes, baptisé « Midnight Blizzard » (rattaché au tristement célèbre Nobelium/APT29 à qui l’on doit l’attaque SolarWinds) a réussi à s’introduire dans les messageries email de quelques-uns des plus hauts responsables de Microsoft. Une intrusion qui aurait débuté fin Novembre par une banale attaque ‘Brute Force’ (ce qui laisse à penser qu’il y a comme un laisser-aller dans l’application du MFA même chez les hauts stratèges du leader de la cybersécurité) mais qui n’a été découverte que le 12 janvier dernier.
L’attaque n’a pas directement eu lieu sur les comptes email : les attaquants ont réussi en réalité à compromettre un vieux compte de test pour prendre pied dans un environnement de test ancestral et accéder à un petit nombre de comptes de messagerie appartenant à quelques hauts directeurs mais aussi des employés des services juridiques et cybersécurité du groupe. Dit autrement, les hackers sont allés attaquer un système « legacy » qui trainait dans un coin et ne bénéficiait pas des protections habituelles (d’où l’absence de MFA). Ils ont ainsi pu ensuite exfiltrer quelques emails et pièces attachées.
L’éditeur a rapidement activé son processus de réponse à incident pour enquêter, perturber les activités malveillantes, atténuer l’attaque et priver les pirates de tout accès ultérieur. Il a également informé les employés dont les courriels ont été compromis.
Le plus étonnant dans cette affaire, c’est que les attaquants cherchaient spécifiquement à savoir ce que ces employés de Microsoft savaient sur eux, autrement dit sur Midnight Blizzard/Nobelium.
Microsoft tient à préciser que « cette attaque ne résulte pas d’une vulnérabilité dans les produits ou services de Microsoft. À ce jour, rien ne prouve que l’auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, aux codes sources ou aux systèmes d’intelligence artificielle. »
L’éditeur insiste toutefois sur le fait que cette attaque met une nouvelle fois en évidence le risque permanent que représentent pour toutes les organisations les attaques sponsorisées par des États-nations et bénéficiant donc d’abondantes ressources.
Pour Microsoft, il n’est plus question pour les entreprises de continuer à mettre en balance le risque business face au risque cybersécurité. L’éditeur explique avoir décidé d’appliquer désormais ses standards de sécurité actuels même aux systèmes et processus métiers ancestraux quand bien même ces changements viendraient perturber des processus existants. L’éditeur considère qu’il doit – comme toutes les entreprises – accepter un certain niveau de perturbations durant cette période car il s’agit d’une étape désormais nécessaire.
Une décision alignée sur sa « Secure Future Initiative » lancée en novembre dernier. Cette initiative lancée à travers toute l’entreprise Microsoft vise à améliorer la cybersécurité de l’éditeur dans l’ensemble des services. Elle a été édictée en réaction à l’accentuation des attaques contre le groupe (notamment d’attaques sponsorisées par des Etats) et suite au déclenchement d’une investigation du CSRB (l’organe américain chargé d’examiner les incidents majeurs de cybersécurité) sur les pratiques de cybersécurité du groupe.