Microsoft a terminé son enquête interne sur la cyberattaque de SolarWinds et conclut que les hackers, présumés russes, ont téléchargé des bouts de code du service cloud Azure, de la messagerie Exchange et du gestionnaire de terminaux Intune. « Il n’y a pas eu d’accès à la majeure partie du code source », affirme Microsoft dans un communiqué publié le 18 février 2021.
L’entreprise de Redmond déclare n’avoir trouvé aucune preuve d’intrusion sur les données des clients finaux. « Pour la quasi majorité des codes recueillis et consultés, seuls quelques dossiers individuels ont été consultés à la suite d’une recherche dans le référentiel », certifie le communiqué de Microsoft.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
L’enquête interne, officiellement ouverte à la mi-décembre, n’a pour autant pas dissuadé les pirates à entrer dans les comptes de Microsoft. Selon l’entreprise, les hackers ont continué leurs tentatives d’intrusion jusqu’en janvier 2021. L’objectif des pirates tiendrait dans la récupération d’identifiants et de codes secrets… pourtant inexistants au sein de l’entreprise selon le communiqué : « Notre politique de développement interdit l’intégration de codes secrets et nous avons des outils automatisés qui permettent de le vérifier ».
Cette enquête intervient suite à la découverte d’une brèche dans le logiciel SolarWinds, par laquelle un logiciel malveillant a été inséré dans la plateforme Orion, un service déployé en interne par Microsoft, édité par SolarWinds. Le 31 décembre 2020, les premiers résultats de l’enquête démontraient que les hackers avaient intégré le réseau interne de Microsoft par Orion. C’est donc par ce chemin que les hackers ont capté des bribes de code source Azure, Exchange et Intune.
D’après les États-Unis, l’attaque SolarWinds a touché plus d’une centaine de structures du secteur privé et 9 agences fédérales. Lors d’une conférence de presse, la conseillère en cybersécurité de la maison blanche, Anne Neuberger, a estimé « des mois de préparation » pour mettre en place l’attaque qui aurait été lancée directement depuis le sol américain. Quant à Microsoft, il considère que plus d’un millier de développeurs y ont participé.
Microsoft a refusé de répondre aux questions de Reuters concernant les parties des codes ayant été téléchargées et les éventuels changements à venir des codes source. Le département de la sécurité intérieure s’est également passé de commentaires.
Selon Reuters, le 26 février 2021, la chambre des représentants et le département de la sécurité intérieure tiendront une audition. Des cadres dirigeants de SolarWinds, FireEye et Microsoft seront appelés à y témoigner.