Un mois après avoir annoncé que des pirates russes s’étaient introduits dans des comptes de messagerie internes, Microsoft ne sait toujours pas comment se débarrasser des visiteurs parasites. Les experts en sécurité sont (à nouveau) sévères avec Microsoft.
Fin janvier, Microsoft a avoué que des pirates russes du collectif Midnight Blizzard s’étaient introduits dans son propre réseau interne. En utilisant une attaque par pulvérisation de mot de passe, ou password spray attack en anglais, ils ont pu s’introduire dans les comptes de messagerie de certains cadres supérieurs. Ces intrusions ont également donné accès à certains dépôts de code source et systèmes internes de la société, a indiqué cette dernière dans une mise à jour sur le sujet.
Même si Microsoft a d’abord indiqué qu’elle avait déjà bloqué l’accès des intrus aux comptes de messagerie le 13 janvier, il semble finalement que les pirates sont plus résistants que jamais. Midnight Blizzard essaierait toujours de s’introduire dans le système : les tentatives d’attaques ont été multipliées par dix depuis le mois de février. Pour le moment, la société continue de réconforter les clients en leur disant qu’ils n’ont pas à s’inquiéter.
« L’attaque permanente de Midnight Blizzard se caractérise par un effort soutenu et substantiel en termes de ressources, de coordination et de concentration. Cela reflète un paysage mondial des menaces sans précédent, notamment en termes d’attaques sophistiquées par des États-nations », déclare l’équipe de sécurité de Microsoft.
Danger des attaques contre la chaîne d’approvisionnement
Les experts en cybersécurité sont très inquiets de ce qui se passe chez Microsoft. Par le passé, le fabricant de logiciels a été critiqué à maintes reprises pour ses pratiques en matière de sécurité. De plus, Midnight Blizzard n’est pas un inconnu pour Microsoft : le groupe a utilisé les services de Microsoft pour cibler des victimes à plusieurs reprises par le passé. C’est également Midnight Blizzard qui est derrière le célèbre piratage de SolarWinds.
« Il est plutôt inquiétant que l’un des plus grands fournisseurs de logiciels au monde apprenne encore lui-même des choses en matière de sécurité », déclare Jerome Segura, de Malwarebytes, à l’agence Reuters. « Les clients de Microsoft ne savent pas s’il ne se passe pas quelque chose d’encore plus grave. Les attaquants pourraient utiliser les secrets de Microsoft pour s’introduire dans des environnements de production et placer des portes dérobées chez les clients. »
Adam Meyers, de Crowdstrike, est du même avis. « Il semble qu’il s’agisse de quelque chose de très ciblé. Si les pirates se cachent aussi profondément dans l’environnement interne de Microsoft et que cette dernière ne parvient pas à les éliminer en deux mois, la situation est très alarmante », dit-il à Reuters.
« Tout le monde devrait être scandalisé par le fait que cela se produise encore aujourd’hui. Ces incidents sont liés entre eux et les pratiques de sécurité douteuses et les déclarations trompeuses de Microsoft masquent délibérément toute la vérité. » Amin Yoran de Tenable lance enfin une attaque virulente contre Microsoft dans le journal britannique The Independent.