Le piratage de Microsoft réalisé par les hackers russes du groupe Midnight Blizzard réalisé en début d'année n'en finit pas de faire des vagues. L'attaque a permis aux pirates d'accéder à des dépôts de code source et à des emails échangés entre des clients et la firme.
Le CISA (Cybersecurity and Infrastructure Security Agency) alerte maintenant sur le fait que les hackers russes ont eu accès aux emails échangés entre l'entreprise et plusieurs agences gouvernementales.
Des agences gouvernementales US concernées
Ils utilisent les informations recueillies dans ces emails pour cibler des comptes, récupérer des identifiants et continuer de s'infiltrer dans les réseaux de Microsoft. Le bulletin de sécurité ne cite pas les agences concernées mais travaille avec les entités concernées pour limiter les risques qui exploitent largement les outils et serveurs de messagerie de la firme de Redmond.
Certaines données d'identifications (mots de passe, tokens, éléments d'authentificaiton) ont pu être récupérés et les agences gouvernementales doivent donc étudier finement les contenus potentiellement volés et modifier rapidement tous les éléments d'authentification qui pourraient être utilisés de façon frauduleuse.
Le CISA relève qu'il reste possible que les hackers aient aussi eu accès aux emails d'entreprises et d'agence non gouvernementales en relation avec Microsoft mais n'en dit pas plus sur l'étendue du piratage.
Microsoft critiquée sur l'application des mesures de sécurité
Ces multiples désagréments font tache alors qu'un rapport étudiant les conséquences d'une autre cyberattaque contre Microsoft 365, cette fois attribuée à la Chine mais qui a aussi permis un accès à des emails de responsables du gouvernement US, a conclu à des manquements dans la mise en application des défenses contre les cyberattaques, ce qui a permis aux hackers de trouver des failles, concluant qu'une telle attaque n'aurait jamais dû fonctionner.
Les infiltrations n'auraient donc pas eu recours à des techniques inédites mais aurait simplement exploité des maillons faibles dans le système de sécurité de Microsoft, associé à des méthodes d'obtention de mots de passe par force brute.
Dans le cas du piratage russe, le point de faiblesse était un compte de test sur lequel n'avait pas appliquée une authentification à plusieurs facteurs. A partir de là, les hackers ont pu remonter de plus en plus haut dans l'infrastructure grâce à des applications frauduleuses
La bonne nouvelle reste que le CISA n'a pas détecté pour le moment d'actions frauduleuses dans les systèmes d'information des agences gouvernementales touchées par la cyberattaque de Midnight Blizzard.
