Posté le juillet 19, 2023 à 7:54
DES HACKERS CHINOIS PARRAINÉS PAR L’ÉTAT ONT VOLÉ UNE CLÉ LEUR PERMETTANT DE PÉNÉTRER DANS DES AGENCES GOUVERNEMENTALES IMPORTANTES
Microsoft a été victime d’une campagne de piratage menée par des hackers parrainés par l’État Chinois. Les hackers en question ont volé une clé qui leur a permis d’accéder furtivement à des dizaines d’e-mails. La faille a également touché certaines agences du gouvernement fédéral Américain dont les courriels ont aussi été violés par les hackers.
Des hackers Chinois ont volé une clé Microsoft pour pirater le gouvernement
Microsoft a publié vendredi un billet de blog indiquant qu’elle enquêtait sur la manière dont les hackers à l’origine de la violation avaient eu accès à une clé de signature Microsoft qui a ensuite été exploitée pour falsifier les jetons d’authentification, ce qui a permis aux acteurs de la menace d’accéder aux boîtes de réception des e-mails sans être détectés.
Les rapports publiés sur la question ont indiqué que certaines des agences fédérales qui ont été ciblées par les hackers comprennent le Département d’État. La secrétaire Américaine au commerce, Gina Raimondo, a également été visée par les hackers. Un grand nombre d’organisations qui n’ont pas été révélées ont aussi été touchées par la violation.
L’incident a été signalé par Microsoft la semaine dernière, le géant de la technologie attribuant la campagne de piratage à un groupe d’espionnage connu sous le nom de Storm-0558. Selon Microsoft, ce groupe de hackers entretient des liens étroits avec la Chine.
La CISA a déjà reconnu les attaques de piratage qui auraient commencé à la mi-mai, au cours desquelles les hackers ont volé des données de courrier électronique non classifiées. Le principal ministère des affaires étrangères Chinois a déjà démenti les allégations selon lesquelles le pays serait à l’origine des attaques de piratage.
La Chine s’est vue attribuer plusieurs vulnérabilités inconnues par le passé, l’objectif principal de ces attaques étant l’espionnage. Cependant, contrairement aux attaques passées où les hackers ont eu accès à des serveurs de messagerie alimentés par Microsoft, le groupe de hackers est allé directement à la source après avoir ciblé de nouvelles failles non divulguées au sein de Microsoft Cloud.
Microsoft a publié un billet de blog indiquant que les hackers ont eu accès à une clé de signature client qui est utilisée par l’entreprise pour sécuriser les comptes de messagerie. Selon Microsoft, il avait d’abord cru que les hackers avaient forgé les jetons d’authentification par le biais d’une clé de signature d’entreprise acquise, utilisée pour sécuriser les comptes de messagerie d’entreprise et de société.
Selon Microsoft, les hackers ont utilisé les clés MSA grand public pour forger des jetons, ce qui leur a permis d’accéder aux boîtes de réception des entreprises. L’entreprise a également déclaré avoir bloqué toutes les activités liées au groupe d’acteurs de la menace concernant l’incident. Elle a en outre déclaré avoir amélioré les systèmes d’émission de clés pour empêcher les hackers de mener une autre campagne.
Microsoft a en outre précisé que les hackers ont utilisé une seule clé pour obtenir l’accès à différentes boîtes de réception. Selon l’entreprise, cette mesure a permis aux enquêteurs de surveiller toutes les demandes d’accès de l’acteur de la menace, ce qui lui a permis de connaître les clients qui ont été compromis et ceux qui ne l’ont pas été.
Microsoft est critiqué pour sa mauvaise gestion de la faille
On pense que le piratage immédiat est terminé, Microsoft faisant actuellement l’objet d’un examen minutieux pour sa gestion de l’incident. Le piratage serait la plus grande compromission de données gouvernementales non classifiées depuis la campagne d’espionnage russe qui a ciblé SolarWinds en 2020.
Dan Goodin, d’Ars Technica, a déclaré que l’entreprise technologique avait tenté de limiter les dégâts. L’entreprise n’a pas mentionné que l’exploit était dû à une faille zero day. Au lieu de cela, elle s’est contentée de la qualifier de vulnérabilité.
Microsoft est également critiquée pour sa politique en matière de journaux de sécurité. Les comptes gouvernementaux paient généralement pour l’offre de niveau supérieur, ce qui leur permet de détecter facilement la faille. Toutefois, cette politique n’a pas été étendue aux autres, ce qui a rendu impossible la détection d’activités malveillantes par les utilisateurs de l’offre la plus élevée.
Selon CNN, le département d’État a d’abord détecté la faille avant de la signaler à Microsoft. Cependant, tous les ministères n’ont pas eu accès à la journalisation de sécurité permise par l’offre de premier niveau,
Un billet de blog d’une société de consultance note que les progiciels de niveau inférieur offrent un certain niveau de journalisation, mais ne parviennent pas à suivre les données des boîtes de messagerie qui auraient autrement été révélées dans l’exploit. Un fonctionnaire de la CISA a également critiqué l’absence de journalisation. Les experts estiment que si les journaux de sécurité étaient accessibles à tous, cela aurait permis de minimiser les effets de la faille.
À la suite de cet incident, Microsoft a étendu la divulgation et partagé des détails techniques supplémentaires sur la campagne de piratage. Les chercheurs en sécurité peuvent vérifier ces détails pour déterminer si leurs réseaux ont été ciblés.
Compte tenu des critiques adressées à Microsoft au sujet de la politique d’enregistrement des données de sécurité et du manque de clarté sur la manière dont les hackers ont accédé à la clé, le géant de la technologie pourrait être confronté à une enquête qui pourrait s’éterniser.
