Microsoft agit contre les récentes vagues de piratage

Cette semaine, Microsoft a pris une série de mesures draconiennes contre la récente attaque de la chaîne d’approvisionnement de SolarWinds. Par l’ampleur, la rapidité et la portée de ses actions, Microsoft a rappelé au monde qu’il peut encore rassembler une puissance de feu comme personne d’autre, une force presque écrasante.

Une réponse rapide et efficace

En quatre jours, Microsoft a fait appel à la force de son équipe juridique et à son contrôle du système d’exploitation Windows pour effacer presque totalement les actions de certains des pirates les plus sophistiqués. Dans ce cas, l’adversaire serait APT29, alias Cozy Bear, le groupe que beaucoup pensent être associé aux services de renseignement russes, et qui est surtout connu pour avoir réalisé le piratage de 2016 contre le Comité national démocratique (DNC).

Alors que les détails continuent d’émerger, l’attaque de la chaîne d’approvisionnement de SolarWinds est déjà la plus importante de mémoire récente. Selon SolarWinds, Microsoft, FireEye et la Cybersecurity and Infrastructure Security Agency (CISA), les attaquants ont compromis un serveur utilisé pour créer des mises à jour pour la plateforme SolarWinds Orion, un produit utilisé pour la gestion des infrastructures informatiques. Les attaquants ont utilisé ce serveur compromis pour insérer un logiciel malveillant dans le produit (appelé Solorigate par Microsoft ou SUNBURST par FireEye).

Des attaques en chaîne

Selon SolarWinds, ce malware était présent sous la forme d’un cheval de Troie dans les mises à jour de mars à juin 2020. Cela signifie que tous les clients qui ont téléchargé les mises à jour ont également reçu le logiciel malveillant. Bien que tous les clients qui ont reçu le malware n’aient pas vu qu’il était utilisé pour des attaques, il a été utilisé pour des attaques plus larges contre les réseaux de certaines organisations stratégiquement critiques et sensibles.

Parmi ces attaques figurent FireEye, le département du Trésor américain, la National Telecommunications and Information Administration (NTIA) du département du Commerce américain, les National Institutes of Health (NIH) du département de la Santé, la Cybersecurity and Infrastructure Agency (CISA), le département de la Sécurité intérieure (DHS) et le département d’État américain.

Tous ceux qui ont travaillé directement sur cette affaire ont parlé de la nature sophistiquée de l’attaque. L’ampleur, l’importance stratégique et les compétences des victimes en matière de sécurité le prouvent. Alors que presque tous les attentats sont qualifiés de « sophistiqués » par les victimes qui tentent de se protéger des critiques, la communauté de la sécurité est presque unanime dans son verdict que le terme est mérité dans ce cas.