Microsoft a été victime d’une vaste cyberattaque touchant son service Microsoft Exchange. Un groupe de hackers chinois connu sous le nom de Hafnium a réussi à exploiter une faille « zero day » dans le logiciel, pour accéder aux serveurs d’Exchange. Pour bien comprendre cette attaque, revenons sur la chronologie des faits.

Une première phase d’alerte

Voici les différentes étapes du piratage de Microsoft Exchange : le 5 janvier, Orange Tsai, un chercheur en cybersécurité chez Devcore, pense avoir découvert une faille de sécurité et alerte Microsoft de ses découvertes. Ce jour-là, il a même tweeté à propos de sa découverte, sans jamais citer Microsoft Exchange.

Le 6 janvier, une autre société du nom de Volexity repère cette même attaque et prévient à son tour Microsoft. Le 8 janvier, Devcore déclare que Microsoft a pris en compte son signalement. Le 27 janvier, la société Dubex alerte à son tour Microsoft. Le 29 janvier, Trend Micro a publié un article sur son site à propos de ce que le rédacteur pensait être un simple bug d’Exchange

Le 2 février, Volexity revient vers Microsoft pour mettre la société en garde contre des « attaques actives » sur des vulnérabilités d’Exchange jusqu’alors inconnues. Le 8 février la division cybersécurité de Microsoft indique à Dubex avoir parcouru son rapport.

Le 18 février Microsoft se met d’accord avec Devcore pour publier le 9 mars des mises à jour de sécurité sur Exchange. Les 26 et 27 février, l’attaque devient mondiale, les hackers pénètrent les serveurs vulnérables. Finalement, Microsoft n’attend pas et publie ses mises à jour dès le 2 mars en précisant qu’il s’agit de la correction de 4 failles de sécurité inédites.

Quand le piratage de Microsoft Exchange devient mondial

C’est à partir du 3 mars que nous prenons réellement l’ampleur des dégâts… En effet, des dizaines de milliers de serveurs ont été compromis dans le monde entier, et des milliers d’autres continuent d’être piratés au fil des heures qui passent. Le 4 mars, le conseiller à la sécurité nationale de la Maison Blanche Jake Sullivan a tweeté pour mettre en garde les entreprises privées à propos de cette faille d’Exchange. Il invite les entreprises qui travaillent avec ce logiciel à détecter une éventuelle faille :

Le 5 mars à 18h26 (heure de Paris) l’attachée de presse de la Maison Blanche Jen Paski exprime en direct son inquiétude quant à l’ampleur du piratage de Microsoft Exchange. À 22h07 le même jour, KrebsOnSecurity annonce qu’au moins 30 000 organisations aux États-Unis, et des centaines de milliers dans le monde, dont l’Autorité bancaire européenne, ont été touchées par l’attaque. À 00h56, Wired confirme le nombre de victimes signalées.

Le 6 mars à 02h04, Chris Krebs, ancien responsable de la Cybersecurity and Infrastructure Security Agency (CISA), partagent les premiers chiffres des victimes dans un tweet. Le 6 mars, la CISA déclare à son tour être consciente du piratage de Microsoft Exchange et de son ampleur au niveau national et international. Depuis le 7 mars, les experts en sécurité poursuivent leurs efforts pour avertir les victimes, coordonner les mesures correctives et rester vigilants pour une éventuelle phase 2 de cette attaque…