Le piratage du serveur Microsoft
a touché environ 100 organisations
- Les plus touchés se trouvaient aux États-Unis, en Allemagne et comprenaient des organisations gouvernementales – Shadowserver Foundation
- Un pirate informatique exploite une faille jusqu’alors inconnue dans le logiciel SharePoint
- Des milliers d’entités potentiellement désormais vulnérables aux attaques
Des pirates informatiques ont exploité une faille de sécurité majeure dans un logiciel serveur Microsoft largement utilisé pour lancer une attaque mondiale contre des agences gouvernementales et des entreprises au cours des derniers jours, piratant des agences fédérales et étatiques américaines, des universités, des sociétés énergétiques et une société de télécommunications asiatique, selon des responsables de l’État et des chercheurs privés.
L’attaque « zero-day », ainsi baptisée car elle ciblait une vulnérabilité jusqu’alors inconnue, n’est que le dernier embarras en date pour Microsoft en matière de cybersécurité. L’année dernière, l’entreprise a été accusée par un panel d’experts du gouvernement américain et du secteur d’avoir commis des erreurs ayant permis le piratage ciblé par la Chine en 2023 des courriels du gouvernement américain , notamment ceux de la secrétaire au Commerce de l’époque, Gina Raimondo.
Cette attaque récente ne concerne que les serveurs hébergés au sein d’une organisation, et non ceux hébergés dans le cloud, comme Microsoft 365, ont indiqué les responsables. Après avoir initialement suggéré aux utilisateurs de modifier ou simplement de déconnecter les programmes serveur SharePoint d’Internet, l’entreprise a publié dimanche soir un correctif pour une version du logiciel. Deux autres versions restent vulnérables et Microsoft a indiqué poursuivre le développement d’un correctif. L’entreprise a refusé de commenter davantage.
« Quiconque possède un serveur SharePoint hébergé est confronté à un problème », a déclaré Adam Meyers, vice-président senior de CrowdStrike, une entreprise de cybersécurité. « C’est une vulnérabilité importante. »
Le FBI a déclaré dans un communiqué être au courant de l’affaire. « Nous travaillons en étroite collaboration avec nos partenaires du gouvernement fédéral et du secteur privé », a-t-il ajouté.
« Nous constatons des tentatives d’exploitation de milliers de serveurs SharePoint dans le monde avant même qu’un correctif ne soit disponible », a déclaré Pete Renals, cadre supérieur de l’unité 42 de Palo Alto Networks. « Nous avons identifié des dizaines d’organisations compromises, tant dans les secteurs commercial que public. »
Grâce à l’accès à ces serveurs, souvent connectés à la messagerie Outlook, à Teams et à d’autres services essentiels, une faille de sécurité peut entraîner le vol de données sensibles ainsi que la récupération de mots de passe, a constaté le cabinet d’études Eye Security, basé aux Pays-Bas. Ce qui est également alarmant, selon les chercheurs, c’est que les pirates ont obtenu des clés qui pourraient leur permettre de regagner l’accès au système même après l’application d’un correctif.
« Donc, publier un correctif lundi ou mardi n’aide personne qui a été compromis au cours des 72 dernières heures », a déclaré un chercheur, qui s’est exprimé sous couvert d’anonymat car une enquête fédérale est en cours.
On ignore encore qui est derrière ce piratage d’envergure mondiale ni quel est son objectif ultime. Une société de recherche privée a découvert que les pirates ciblaient des serveurs en Chine ainsi qu’une assemblée législative d’État dans l’est des États-Unis. Eye Security a déclaré avoir recensé plus de 50 violations, notamment au sein d’une entreprise énergétique d’un grand État et de plusieurs agences gouvernementales européennes.
Au moins deux agences fédérales américaines ont vu leurs serveurs piratés, selon des chercheurs, qui ont déclaré que les accords de confidentialité des victimes les empêchent de nommer les cibles.
Un fonctionnaire de l’est des États-Unis a déclaré que les attaquants avaient « piraté » un dépôt de documents mis à la disposition du public pour aider les habitants à comprendre le fonctionnement de leur gouvernement. L’agence concernée n’a plus accès à ces documents, mais on ignore s’ils ont été supprimés.
