Microsoft a à nouveau été ciblé par le groupe pro russe Midnight Blizzard, anciennement connu sous le nom de Nobelium. Ces hackers sont également responsables de la cyberattaque SolarWinds de 2020, considérée comme « la plus sophistiquée de l’Histoire » par la firme de Redmond.
Une attaque par pulvérisation de mots de passe
Dans un billet de blog, Microsoft explique qu’en novembre, les cybercriminels ont eu accès à un « très petit pourcentage » de comptes de messagerie de ses employés, y compris certains de ses dirigeants. L’attaque, détectée le 12 janvier, ne résulte pas « d’une vulnérabilité dans les produits ou services Microsoft », a précisé l’entreprise.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les hackers ont exploité une technique d’attaque par pulvérisation de mots de passe, consistant à essayer des mots de passe communs sur une multitude de comptes. Grâce à cette méthode, ils ont réussi à identifier une vulnérabilité dans un compte antérieur lié à un système de test, exploitant par la suite les autorisations associées pour infiltrer les boîtes de messagerie de l’entreprise. Le groupe a perdu l’accès aux comptes « le 13 janvier ou aux alentours de cette date ».
Microsoft a identifié Midnight Blizzard comme l’auteur de cet assaut. Selon l’agence américaine de cybersécurité et de sécurité des infrastructures, le service russe de renseignement extérieur dirige le groupe, connu sous divers noms, depuis au moins 2008. Il a été à l’origine d’un certain nombre de piratages très médiatisés, à l’instar de la cyberattaque SolarWinds en 2020. Cette dernière a permis à la Russie de pénétrer dans les systèmes du département d’État, du département de la sécurité intérieure et de certaines parties du Pentagone.
En plus des courriels de certains cadres, les cybercriminels ont également consulté ceux d’employés des services de cybersécurité et juridiques. Ils se sont concentrés sur les informations détenues par Microsoft à leur sujet, et ont notamment saisi certains e-mails ainsi que des pièces jointes.
Microsoft doit « agir encore plus vite »
« À ce jour, rien ne prouve que l’auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d’intelligence artificielle », poursuit Microsoft. Cet incident met néanmoins en évidence « la nécessité urgente d’agir encore plus vite » face à la cybermenace.
En août dernier, Midnight Blizzard lançait des attaques de phishing ciblées en utilisant Microsoft Teams pour demander des informations d’identification. L’enquête avait alors révélé que moins de 40 organisations mondiales avaient été touchées.