Microsoft a révélé qu’un groupe de hackeurs ont accédé, en mai dernier, aux boîtes mails de plusieurs membres d’organisations gouvernementales américaines ou européennes. Le 12 juillet 2023, le géant technologique a mis en lumière le procédé utilisé par les cyberassaillants pour arriver à leurs fins.
Une cyberattaque tournée vers l’espionnage de boîtes mail
Dans un communiqué, Charlie Bell, vice-président exécutif de la branche cybersécurité de Microsoft, a présenté le groupe à l’origine de ces attaques informatiques, surnommé Storm-0558, comme étant « un groupe d’activités d’État-nation basé en Chine » dont l’action se concentre « sur l’espionnage, le vol de données et l’accès aux informations d’identification ». La Chine est régulièrement désignée par les autorités américaines comme l’acteur le plus actif dans le domaine du cyberespionnage.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Charlie Bell décrit sur sa note de blog un accès « à des comptes e-mail d’environ 25 organisations, y compris des agences gouvernementales, ainsi qu’à des comptes de consommateurs probablement associés à ces organisations ». Peu de détails ont été dévoilés sur les victimes aux États-Unis et en Europe, ou sur la nature des données dérobées. Les centres de veille d’alerte et de réponse aux cyberattaques française et de l’Union européenne n’en ont, pour l’heure, pas fait mention.
Microsoft s’est activée pour mettre fin à l’attaque et rétablir la situation
La Cybersecurity and Infrastructure Security Agency (CISA), l’agence chargée de la cyberdéfense Outre-Atlantique, rapporte simplement qu’une agence fédérale civile, sous sa protection, « a identifié une activité suspecte dans son environnement cloud Microsoft 365 » et lui a signalé ainsi qu’à Microsoft.
Le 15 mai 2023, les hackeurs de Storm-0558 ont eu accès aux données de ces boîtes mail en falsifiant des jetons d’authentification. Ils permettent de forcer l’accès à des comptes e-mail utilisant Outlook. Ce n’est qu’un mois plus tard, le 16 juin 2023, que plusieurs cibles ont remarqué que certaines de leurs adresses mail avaient été piratées. La CISA rapporte « que les acteurs de la menace persistante avancée (APT) avaient accédé et exfiltré des données Exchange Online Outlook non classifiées ». Adam Hodge, porte-parole du Conseil de sécurité nationale de la Maison-Blanche, a confirmé à la presse américaine qu’aucun réseau classifié n’a été touché. La société dirigée par Satya Nadella affirme avoir réussi à atténuer ces attaques.