Ce n’est pas une petite cyberattaque anodine dont les États-Unis sont les victimes depuis mars 2020. Non, c’est certainement la plus vaste opération de cyberespionnage de tous les temps. Alors que des hackers russes frappent de nombreuses agences gouvernementales et sociétés américaines depuis des mois, Microsoft vient de confirmer avoir été également victime d’un logiciel malveillant en provenance de SolarWinds. Une action menée par des hackers du groupe APT29 soutenu par la Russie.

Microsoft a été victime d’un malware en provenance de SolarWinds

Selon la Cybersecurity and Infrastructure Security Agency (CISA) : « cette menace représente un risque grave pour le gouvernement fédéral et les administrations locales ainsi que pour les infrastructures essentielles et le secteur privé. Nous avons à faire à un adversaire patient, concentré et aux ressources financières importantes, qui mène des activités de cyberespionnage depuis une longue période ».

La mauvaise nouvelle du jour c’est que Microsoft vient d’annoncer avoir découvert des intrusions sur ses logiciels grâce à Microsoft Defender, un antivirus gratuit intégré sur toutes les installations de Windows. C’est une mauvaise nouvelle car cela signifie que les hackers ont probablement utilisé les produits et les logiciels de Microsoft pour accentuer leurs opérations contre d’autres entreprises.

Un porte-parole de Microsoft précise que : « comme tous les clients de SolarWinds, nous pouvons confirmer que nous avons détecté des binaires Solar Winds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n’avons trouvé aucune preuve d’accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n’ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d’autres personnes ».

Des agences gouvernementales sensibles ont été touchées

Brad Smith, le président de Microsoft a pris la parole à ce propos. Il affirme que : « nous notifions actuellement toutes les organisations concernées, dont 80 % sont situées aux Etats-Unis, le reste étant réparti dans sept autres pays. À savoir au Canada, au Mexique, en Belgique, en Espagne, au Royaume-Uni, en Israël et aux Emirats arabes unis ». De nombreuses agences gouvernementales ont été touchées mais le président de Microsoft estime que ces entités ne représentent pas la majorité des victimes.

Parmi les agences sensibles touchées, nous retrouvons : le département du Trésor américain, l’Administration nationale des télécommunications et de l’information (NTIA), les Instituts nationaux de la santé (NIH), l’Agence de la cybersécurité et des infrastructures (CISA), le Département de la sécurité intérieure (DHS), le Département d’État américain, l’administration nationale de la sécurité nucléaire (NNSA), le ministère américain de l’énergie (DOE), trois États américains, ou encore la Ville d’Austin.

Des institutions particulièrement sensibles effectivement, mais qui ne représenteraient que 18% des victimes. Les entreprises privées ont très certainement été massivement touchées. C’est par exemple le cas de FireEye, un mastodonte de la cybersécurité. Il s’agit pour le moment, aux côtés de Microsoft, de la seule entreprise privée qui a reconnu avoir été piratée à travers SolarWinds. Selon Microsoft, le plus inquiétant est que cette opération serait toujours en cours.