Une mauvaise configuration sécurisée a exposé le géant des logiciels et de l’IA à l’exfiltration d’informations
Paume faciale : Même s’ils peuvent désormais choisir parmi une liste remarquablement longue d’attaques contre les réseaux d’entreprise, les cybercriminels ont souvent recours à des méthodes « plus simples » comme la recherche de mots de passe par force brute. Après tout, personne n’est à l’abri des comptes de messagerie non sécurisés.
Microsoft a récemment détecté une attaque d’un État-nation contre son réseau de messagerie d’entreprise, identifiant le coupable probable comme étant Midnight Blizzard. Également connu sous les noms d’Apt29, Nobelium et Cozy Bear, le tristement célèbre gang de cybercriminalité russe est bien connu pour être directement lié aux activités de renseignement offensives du Kremlin contre Microsoft et d’autres grandes organisations occidentales.
L’attaque a commencé fin novembre 2023, a révélé Microsoft, lorsque Midnight Blizzard a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de test hors production. La pulvérisation de mots de passe est une attaque par force brute par excellence dans laquelle un cybercriminel tente de deviner le mot de passe d’un utilisateur connu à partir d’une liste de mots de passe courants. L’attaque est souvent automatisée et se déroule lentement, car l’auteur de la menace tente de passer inaperçu.
Une fois qu’ils ont pris pied sur le compte « test », les cybercriminels russes ont exploité ses autorisations pour accéder à un « très faible » pourcentage des comptes d’entreprise. Des membres de l’équipe de direction de l’entreprise, des employés des services de cybersécurité, juridiques et autres ont été touchés, et certains e-mails et documents joints ont été exfiltrés.
Les pirates informatiques russes étaient en fin de compte intéressés par des informations concernant leurs propres activités, a déclaré Microsoft. Il n’y avait aucune preuve que les intrus avaient potentiellement accès aux environnements clients, aux systèmes de production, au code source ou aux « systèmes d’IA ». La société réitère également que l’attaque n’est pas le résultat d’une vulnérabilité dans ses produits ou services, mais elle informera ses clients si le besoin s’en fait sentir.
L’attaque met en évidence à quel point les acteurs étatiques russes (et Midnight Blizzard en particulier) continuent d’être dangereux pour toutes les organisations informatiques. Microsoft a informé les employés concernés et a refusé aux pirates informatiques un « accès supplémentaire » à ses réseaux. La société prépare également des changements importants dans la façon dont les questions de sécurité sont gérées en interne, conformément à la Secure Future Initiative (SFI) récemment annoncée.
Microsoft emploiera des mécanismes de cyberdéfense « basés sur l’IA » et imposera une application plus stricte des normes internes aux applications existantes (et à tout le reste) pour tenter d’éviter une nouvelle incursion russe dans ses systèmes. Le géant de Redmond affirme vouloir modifier l’équilibre entre sécurité et risque commercial, car l’approche traditionnelle n’est plus suffisante dans un paysage en évolution rapide. Un certain niveau de perturbation est attendu mais sera résolu, a déclaré Microsoft.