Le hack de SolarWinds est-il beaucoup plus grave que prévu ? Selon The New York Times (NYT), le nombre d’organisations piratées dépasse désormais les 250 dans le monde. Jusqu’à présent, Microsoft avait estimé le nombre de victimes à une quarantaine. L’éditeur de Redmond se retrouve désormais au centre de l’affaire, car non seulement ses systèmes ont bel et bien été piratés, mais en plus les hackers russes ont pu accéder à des codes sources. Jusqu’à présent, Microsoft avait juste confirmé la présence de la backdoor de SolarWinds dans son réseau, mais pas son utilisation par les pirates.
« Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et après examen, nous avons découvert qu’un compte avait été utilisé pour afficher le code source dans un certain nombre de dépôts de code source. Le compte n’était pas autorisé à modifier le code ou les systèmes d’ingénierie et notre enquête a confirmé qu’aucune modification n’avait été apportée. Ces comptes ont été étudiés et corrigés », explique Microsoft dans une note de blog.
Microsoft ne précise pas de quels codes sources il s’agit, mais estime que l’accès à ces données ne représente pas de risque particulier. « Nous ne nous fions pas au secret du code source pour la sécurité des produits, et nos modèles de menaces supposent que les attaquants ont connaissance du code source. L’accès au code source ne représente donc pas une élévation du risque », souligne l’éditeur. Ce dernier précise par ailleurs que ses services de production et ses données client n’ont pas été compromis, et que son infrastructure n’a pas été utilisée pour pirater d’autres organisations.
Des revendeurs Microsoft comme tremplin d’attaque
En revanche, il s’avère que des revendeurs de produits Microsoft ont été utilisés comme source d’attaque. Il y a quelques jours, le spécialiste de cybersécurité Crowdstrike a ainsi révélé que les hackers de Solarwinds ont essayé d’accéder à son système de messagerie par le biais d’un partenaire Microsoft qui lui vend des produits Office. Les hackers ont utilisé un compte d’administration Azure de ce revendeur pour tenter d’accéder aux e-mails d’Office 365 de Crowdstrike, mais en vain, car ce dernier n’est pas client de ce service.
Tous ces nouveaux éléments montrent que ce piratage est très inquiétant, surtout pour les États-Unis. Selon NYT, la motivation des pirates russes ne se limiterait pas à du cyberespionnage. Il s’agirait aussi de démontrer leur capacité de nuisance cybernétique et, ainsi, de peser sur les négociations politiques avec la future administration de la Maison Blanche.
Sources : NYT, Microsoft, Crowdstrike
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
