Microsoft assure que rien ne prouve, pour le moment, que le groupe de pirates Midnight Blizzard ait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA.
Microsoft a prévenu, vendredi 19 janvier, que des comptes messagerie d’entreprises ont été piratés et que des données ont été volées par Midnight Blizzard, un groupe de pirates parrainé par la Russie et suspecté d’être lié aux renseignements extérieurs russes (SVR).
L’attaque a été détectée par la firme dès le 12 janvier. Dans la foulée, une réponse à l'incident a directement été activée. L’attaque n’est pas la conséquence d’une vulnérabilité. Dès fin novembre 2023, les cybercriminels ont utilisé une attaque par pulvérisation de mot de passe afin de compromettre un ancien compte de test hors production et ont ainsi pu accéder à « un très petit pourcentage de comptes de messageries d’entreprises Microsoft », précise l’entreprise dans un billet de blog. Ces comptes appartenaient à des employés des équipes de cybersécurité et juridiques, entre autres.
Pas de 2FA ni MFA
Si les pirates ont pu accéder au compte compromis, celui-ci n’était pas protégé par une authentification à double facteur (2FA) ou multifacteur (MFA). « L'enquête indique qu'ils ciblaient initialement les comptes de messagerie pour obtenir des informations liées à Midnight Blizzard lui-même. », explique Microsoft, qui a informé les employés concernés. Le géant ajoute que rien ne prouve, pour le moment, que les cybercriminels ont eu accès aux environnements clients, systèmes de production, au code source ou aux systèmes d’IA.
« Nous agirons immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes existants et aux processus métier internes appartenant à Microsoft, même si ces changements pourraient perturber les processus métier existants. », a prévenu Microsoft. La firme s’attend en effet à quelques perturbations. Dans un document envoyé à la SEC, Microsoft a assuré que l’attaque n’avait pas eu d’impact matériel sur ses opérations.