Des pirates informatiques attaquent les logiciels Microsoft et s'introduisent dans des dizaines d'entreprises à travers le monde.

Des pirates informatiques ont exploité une faille de sécurité dans le logiciel Microsoft utilisé dans le monde entier pour lancer une offensive contre des agences gouvernementales et des entreprises ces derniers jours, s'introduisant dans des agences fédérales et étatiques américaines, des universités (y compris une université brésilienne non nommée) et des entreprises, selon les autorités et les chercheurs.

Le gouvernement américain et ses partenaires canadiens et australiens enquêtent sur une faille de sécurité affectant les serveurs SharePoint locaux, une plateforme de partage et de gestion de documents dans le cloud. Des dizaines de milliers de ces serveurs sont menacés, selon les experts.

L'attaque a été identifiée vendredi (18) par Eye Security, une société de cybersécurité basée aux Pays-Bas. On ignore encore l'identité de l'organisation responsable et son objectif.

Microsoft a émis un avertissement concernant des « attaques actives » visant ses logiciels samedi (19), précisant que les vulnérabilités ne concernent que les serveurs SharePoint utilisés au sein des organisations. SharePoint Online, hébergé dans le cloud, n'a pas été affecté par ces attaques.

Google, qui surveille d'importants volumes de trafic Internet, a déclaré lundi (21) avoir lié au moins certaines des attaques à un acteur malveillant lié à la Chine.

Dans l'alerte de samedi, Microsoft a déclaré qu'une vulnérabilité « permet à un attaquant autorisé d'usurper un réseau » et a émis des recommandations pour empêcher les attaquants de l'exploiter.

Lors d'une attaque par usurpation d'identité, un acteur peut manipuler les marchés financiers ou les agences en masquant son identité et en se faisant passer pour une personne, une organisation ou un site Web de confiance.

« Nous travaillons en étroite collaboration avec la CISA [l'Agence américaine de cybersécurité et de sécurité des infrastructures], le commandement de la cyberdéfense du DOD et les principaux partenaires de cybersécurité du monde entier tout au long de notre réponse », a déclaré un porte-parole de Microsoft.

L'entreprise affirme avoir publié des mises à jour de sécurité et a vivement recommandé à ses clients de les installer immédiatement. Selon Microsoft, les utilisateurs devraient modifier les programmes du serveur SharePoint ou simplement les déconnecter d'Internet pour contenir la faille.

Le FBI a déclaré dimanche (20) qu'il était au courant des attaques et qu'il travaillait en étroite collaboration avec ses partenaires fédéraux et du secteur privé, mais n'a pas fourni d'autres détails.

Selon le Washington Post, l'attaque dite « Zero Day » — ainsi nommée parce qu'elle ciblait une vulnérabilité inconnue — a permis aux espions de pénétrer dans des serveurs vulnérables et de potentiellement créer une porte dérobée pour garantir un accès continu aux organisations victimes.

Avec l'accès à ces serveurs, qui se connectent souvent à la messagerie Outlook, à Teams et à d'autres services essentiels, une violation pourrait entraîner le vol de données sensibles ainsi que la collecte de mots de passe, a noté Eye Security.

Les chercheurs ont également averti que des pirates informatiques ont obtenu l’accès à des clés qui pourraient leur permettre de retrouver l’accès même après la mise à jour d’un système.

Selon les experts en cybersécurité, la faille aurait pu compromettre des milliers de données. « Tout utilisateur d'un serveur SharePoint hébergé a un problème », a déclaré Adam Meyers, vice-président senior de l'entreprise de cybersécurité CrowdStrike. « C'est une vulnérabilité importante. »

« Nous avons identifié des dizaines d'organisations compromises couvrant les secteurs commercial et gouvernemental », a déclaré Pete Renals, directeur principal de l'unité 42 chez Palo Alto Networks.

Eye Security et la Shadowserver Foundation, deux sociétés de cybersécurité qui ont aidé à identifier l'attaque, ont déclaré que le nombre d'organisations touchées atteignait 100. Shadowserver a déclaré que la majorité des personnes touchées se trouvaient aux États-Unis et en Allemagne.

Des experts en cybersécurité interrogés par le Washington Post ont indiqué qu'une université brésilienne et une agence gouvernementale espagnole avaient également été attaquées. L'identité des organisations touchées n'a pas été révélée, mais les deux entreprises ont alerté les autorités de chaque pays.

Selon Vaisha Bernard, responsable du piratage chez Eye Security, une campagne de piratage ciblant l'un de ses clients a été découverte vendredi (18). Des mesures ont été prises pour contenir l'attaque, mais l'entreprise a déclaré ignorer ce qui avait pu se passer entre-temps.

« Qui sait ce que d'autres adversaires ont fait depuis pour installer d'autres portes dérobées ? », a commenté Bernard dans une interview accordée à l'agence de presse Reuters. Un chercheur interrogé par le Washington Post a averti que le retard de Microsoft à diffuser l'alerte pourrait avoir encore aggravé la situation.

Selon le Washington Post, on ignore qui a mené l'attaque ni quel en était le but ultime. Un cabinet d'études privé a découvert que les pirates visaient des serveurs en Chine, ainsi qu'une assemblée législative d'État dans l'est des États-Unis.

Eye Security a déclaré avoir détecté environ 100 violations, notamment dans une société énergétique d'un grand État américain et dans plusieurs agences gouvernementales européennes.

Au moins deux agences fédérales américaines ont vu leurs serveurs piratés, selon des chercheurs, qui ont déclaré que les accords de confidentialité avec les victimes les empêchent de nommer les cibles.

Un responsable d'État de l'est des États-Unis a déclaré que des attaquants avaient piraté un dépôt de documents mis à la disposition du public pour aider les habitants à comprendre le fonctionnement de leur gouvernement. L'agence concernée n'a plus accès à ces documents, mais on ignore s'ils ont été supprimés.

De telles attaques par « effacement » sont rares, et celle-ci a alarmé les autorités d'autres États lorsque la nouvelle s'est répandue. Certaines entreprises de sécurité ont déclaré n'avoir constaté aucune suppression lors des attaques SharePoint, seulement le vol de clés cryptographiques permettant aux pirates de pénétrer à nouveau dans les serveurs.

En Arizona, des responsables de la cybersécurité ont rencontré les autorités étatiques, locales et tribales afin d'évaluer les vulnérabilités potentielles et de partager des informations. Une source proche du dossier a déclaré au Washington Post qu'une « ruée folle » était en cours aux États-Unis pour résoudre le problème.

Ces failles de sécurité ont été commises après que Microsoft a corrigé une faille de sécurité ce mois-ci. Selon l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du Département de la Sécurité intérieure, les pirates informatiques ont réalisé qu'ils pouvaient exploiter une vulnérabilité similaire.

La porte-parole de la CISA, Marci McCarthy, a déclaré que l'agence avait été alertée du problème vendredi par une société de recherche en cybersécurité et avait immédiatement contacté Microsoft.

Microsoft a été critiqué par le passé pour avoir publié des correctifs très étroitement conçus et laissé des voies similaires ouvertes aux attaques.

Comptant parmi les plus importants fournisseurs de technologies pour les gouvernements, le géant de la technologie a été confronté à d'autres problèmes majeurs ces deux dernières années, notamment des violations de ses propres réseaux d'entreprise et des e-mails de ses dirigeants. Une faille de programmation dans ses services cloud a également permis à des pirates informatiques soutenus par la Chine de voler les e-mails d'employés fédéraux.

Vendredi, Microsoft a annoncé qu'il cesserait d'utiliser des ingénieurs basés en Chine pour soutenir les programmes de cloud computing du ministère de la Défense après qu'un rapport du média d'investigation ProPublica a révélé cette pratique, incitant le secrétaire à la Défense Pete Hegseth à ordonner une révision des accords de cloud computing du Pentagone.

Le Centre pour la sécurité sur Internet, une organisation à but non lucratif qui gère un groupe de partage d'informations pour les gouvernements des États et les collectivités locales aux États-Unis, a signalé une centaine d'organisations vulnérables et potentiellement compromises, a déclaré Randy Rose, vice-président de l'organisation. Parmi les personnes alertées figuraient des écoles publiques et des universités.

Le processus a duré six heures samedi soir, bien plus longtemps que d'habitude, car les équipes de renseignement sur les menaces et de réponse aux incidents ont été réduites de 65 pour cent alors que la CISA a réduit son financement, a déclaré Rose.

Bien que la CISA soit dirigée par un directeur par intérim, la nomination de Sean Plankey n'ayant pas été confirmée, le personnel de l'agence travaille sans relâche sur le dossier, a déclaré une porte-parole. « Personne ne s'est endormi au volant. »

Outre des entreprises aux États-Unis et en Allemagne et l'université brésilienne, une agence gouvernementale espagnole a également été ciblée, selon des chercheurs en cybersécurité interrogés par le Washington Post.

Le Centre national de cybersécurité du Royaume-Uni a déclaré dans un communiqué qu'il avait connaissance d'un « nombre limité » de cibles au Royaume-Uni.