Est-ce que Microsoft sait réellement comment les pirates soutenus par la Chine ont volé une clé leur permettant de s’infiltrer discrètement dans des dizaines de boîtes de réception courriel? Bien qu’il semble qu’ils ne le savent pas, veulent-ils vraiment partager cette information?
C’est la question que Microsoft s’est posée dans un article de blog publié vendredi dernier, affirmant qu’il s’agissait d’une « enquête en cours ». Comment les pirates ont-ils obtenu une clé de signature de Microsoft qui a été utilisée pour forger des jetons d’authentification, leur permettant ainsi de s’introduire dans les boîtes de réception comme s’ils en étaient les véritables propriétaires?
L’incident a été rendu public mardi dernier par Microsoft, qui attribue cette activité, qui dure depuis un mois, à un nouveau groupe d’espionnage qu’il a nommé Storm-0558.
Il semble que ce groupe entretient un lien étroit avec la Chine. Il est difficile de ne pas se demander si la Chine n’a-t-elle pas utilisé des vulnérabilités inconnues pour pirater individuellement des serveurs de messagerie alimentés par Microsoft pour voler des données d’entreprise. Ce groupe de piratage est-il allé directement à la source en ciblant de nouvelles vulnérabilités non divulguées dans le cloud de Microsoft?
Microsoft a indiqué dans son post de blog que les pirates avaient acquis l’une de ses clés de signature de consommateur, connue sous le nom de clé MSA, que l’entreprise utilise pour sécuriser les comptes de messagerie des consommateurs. Alors qu’au départ, Microsoft pensait que les pirates forgeaient des jetons d’authentification à l’aide d’une clé de signature d’entreprise acquise, plus tard, ils ont découvert que les pirates utilisaient cette clé MSA de consommateur pour forger des jetons qui leur permettaient de s’introduire dans les boîtes de réception des entreprises.
On peut se demander comment Microsoft a perdu le contrôle de ses propres clés. Alors qu’ils affirment avoir renforcé leurs systèmes d’émission de clés pour empêcher les pirates de créer une autre clé de squelette numérique, il n’est pas certain que cela soit suffisant. Comment peuvent-ils être sûrs que l’incident est réellement terminé et que les pirates ont vraiment perdu l’accès?
Microsoft a du mal à gérer cet incident, qui serait la plus grande violation des données non classifiées du gouvernement depuis la campagne d’espionnage russe qui a piraté SolarWinds en 2020. Cette affaire suscite-t-elle une remise en question des méthodes de sécurité de Microsoft et de leur gestion des incidents de sécurité?
Même si la menace immédiate semble être passée, Microsoft doit maintenant répondre à ces questions et bien d’autres encore. Le géant de la technologie est-il prêt à répondre à ces questions ou a-t-il encore des enquêtes à mener?
Source : Techcrunch
