En début de mois, Outlook, Teams, OneDrive for Business, SharePoint Online, Azure et d'autres services Microsoft 365 ont été touchés par une série de pannes au cours de plusieurs heures. Le retour à la normale pour tous a été compliqué. Il s'est étalé entre le 5 juin et le 8 juin.

Tous les utilisateurs n'ont pas nécessairement été affectés par des interruptions de services. Microsoft avait simplement laissé entendre un incident technique sous surveillance et pour lequel des mesures d'atténuation ont été déployées.

Une explication est désormais fournie par Microsoft. Il s'agissait d'attaques DDoS (Distributed Denial of Service). De plusieurs types, ces cyberattaques ont été lancées pour cibler la couche 7 du modèle OSI. Une couche supérieure qui fait référence à la couche applicative et non pas la couche réseau.

Avec des botnets et outils dédiés

" Ces attaques reposent probablement sur l'accès à de multiples serveurs privés virtuels (VPS) en conjonction avec une infrastructure cloud louée, des proxies ouverts et des outils DDoS ", écrit Microsoft qui ajoute : " Nous n'avons vu aucune preuve que les données des clients ont été consultées ou compromises. "

ddos

En soulignant qu'une solution WAF (Web Application Firewall) contribue à une meilleure protection des clients contre l'impact de telles attaques DDoS, le groupe de Redmond n'entre pas vraiment dans les détails.

Les cyberattaques sont en tout cas attribuées à un groupe Storm-1359 qui aurait essentiellement cherché à se faire de la publicité, en plus de perturber des services.

Storm-1359 ou Anonymous Sudan

Storm-1359 est le nom donné par Microsoft. Les attaques DDoS avaient été revendiquées par un groupe se présentant sous l'identité de Anonymous Sudan. Actif depuis janvier 2023, il n'a aucun lien avec le collectif Anonymous.

Le groupe Anonymous Sudan prétend être formé d'hacktivistes à motivation politique et originaires du Soudan. Selon BleepingComputer, l'action visant Microsoft a été légitimée en protestation de l'implication des États-Unis dans la politique soudanaise.

Des experts en cybersécurité estiment que Anonymous Sudan n'a en réalité aucun rapport avec le Soudan. Il aurait par contre des liens étroits avec… la Russie.