Il y a quelques jours, on apprenait que des pirates avaient réussi à exploiter d’une autre manière deux failles auparavant corrigées par Microsoft dans plusieurs versions de SharePoint sur site. Les attaques ont commencé durant le week-end du 19 - 20 juillet.
Depuis, la campagne a pris de l’ampleur. Alors qu’aucun signe particulier ne pointait en direction d’une attaque coordonnée, on peut en effet parler de campagne. Selon les informations fournies par Microsoft et Eye Security, l’exploitation des failles est utilisée depuis plusieurs jours pour automatiser l’installation de rançongiciels. Contrairement aux attaques observées au départ, il ne s’agit donc plus de dérober des informations, mais de bloquer leur accès, à moins de payer une somme d’argent, sous forme le plus souvent de cryptoactifs.
Selon Eye Security, cité par Reuters, le chiffre serait désormais d’au moins 400 victimes. Un nombre sous-estimé selon la société de sécurité, car une partie des attaques ne laisse visiblement pas de traces exploitables, selon les vecteurs utilisés.
On sait également que le profil des cibles est devenu plus élevé. Toujours selon Reuters, qui cite le Washington Post, un représentant du National Institutes of Health américain a confirmé qu’au moins un des serveurs de l’organisme avait été compromis, et que d’autres avaient été « isolés par précaution ». Selon NextGov, le ministère américain de la Sécurité intérieure (DHS) a été touché, ainsi que cinq à douze autres agences gouvernementales. Une information qu'appuie Politico.
Selon Microsoft, une partie des attaques serait directement imputable à plusieurs groupes étatiques de pirates chinois : Linen Typhoon, Violet Typhoon et Storm-2603. L’objectif serait toujours le même, déployer le rançongiciel Warlock.
Les solutions proposées sont les mêmes que dans notre article originel : appliquer les correctifs aussi rapidement que possible et procéder au renouvellement des clés sur les serveurs, ainsi qu’un redémarrage. Microsoft avait fourni également une méthode pour automatiser la recherche des traces de compromission.
Commentaires (27)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 25/07/2025 à 21h53
Le 25/07/2025 à 22h27
Cyberattaque chez POST : le Luxembourg en état d’alerte - L'essentielincident initial : Internet au Luxembourg: Panne du réseau de Post - L'essentielun commentaire du premier article dit ceci. Les bornes ont besoin d'internet ou réseau mobile ?
Le 26/07/2025 à 07h32
Le 26/07/2025 à 08h16
Est ce que cette méthode là est possible avec des bornes full automatiques ?
Le 26/07/2025 à 08h56
Le 26/07/2025 à 08h56
Le 26/07/2025 à 09h03
Le 26/07/2025 à 11h13
Le 26/07/2025 à 11h46
En tout cas pas "un truc qui fait tout".
Par exemple, pour la collaboration sur des tableaux de données, les quelques fois que j'ai utilisé SmartSheets, ça me semblait plus efficace que des tableaux Excel parce que ça ne tente pas en même temps d'inclure une présentation powerpoint dans une cellule. Et ce même si je suis tombé sur quelques limitations effarantes (on peut mettre des dates, mais pas des dates+heures... sauf dans la colonne "dernière modification")
Réponse sarcastique à prendre au second degré, voire plus :
Toute solution bricolée par deux amateurs dans leur garage, dont le petit neveu du patron qui doit être bon en informatique vu qu'il a une console de jeu.
Ce truc sera tellement pourri et bordélique que si des pirates arrivent à s'introduire sur le site, ils croiront que le site a déjà été piraté. S'ils continuent, ils ne trouveront de toute façon jamais le hook à appeler pour lancer le crypto. Et s'ils arrivent quand-même à cryptolocker les documents, les utilisateurs ne se rendront compte de rien puisque de toute façon ils n'arrivaient déjà pas à retrouver les données quand le système était "en ordre de marche".
Le 26/07/2025 à 13h47
Le 26/07/2025 à 17h07
Ou sinon pour faire simple un bon vieux SMB et un VPN pour y accéder à distance (pas expert de samba niveau sécu pour ma part)
Le 26/07/2025 à 18h39
Modifié le 27/07/2025 à 10h56
C'est justement la première question à se poser quand on remet en cause une solution dans le SI : quelles fonctionnalités métier celle-ci couvre-t-elle aujourd'hui ?
Modifié le 27/07/2025 à 10h53
Plus qu'un troupeau d'outil, c'est surtout la gestion du cycle de vie et du maintien en condition opérationnelle de ceux-ci qui sont importants.
Toutes ces solutions sont autant à risque que Sharepoint.
Le 28/07/2025 à 10h53
Le 26/07/2025 à 09h40
A chacun ses points de vue, objectifs et priorités...
Modifié le 26/07/2025 à 09h56
Le 26/07/2025 à 10h36
Le 26/07/2025 à 23h51
Le 26/07/2025 à 16h50
Le 26/07/2025 à 18h49
Le 28/07/2025 à 09h21
Après sur du poste utilisateurs effectivement, ce n'est pas virtualisé, donc si ça plante c'est galère, sur un serveur virtuel :
Snapshot
MAJ
Test
Rollback (si nécessaire)
Problème réglé. Et encore là c'est pour un serveur unique/non-redondé, si c'est redondé le serveur pourrait tomber que le service tournerait toujours.
Sur serveur les problèmes viennent surtout des interactions entre les apps/versions (régressions et/ou une autre apps qui ne fonctionnent plus qu'on a pas remarqué tout de suite), pas vraiment de problème avec le serveur lui-même. Ou alors juste le responsable métier qui ne veut pas que son app soit indisponible 10mins parce que X ou Y.
Modifié le 28/07/2025 à 10h19
Et quand bien même, comme les problèmes peuvent mettre plusieurs jours à apparaitre (ex : une feature utilisée une fois par trimestre est cassée), cela nécessite une surveillance à long terme et donc cela rend la mise à jour couteuse quoi qu'il en soit.
Je me fais pas l'avocat de pas garder des softs pas à jour, mais la réalité est parfois plus complexe. D'autant plus que la plupart des cultures d'entreprise (surtout les grosses) privilégient le status-quo. Dans ces boites là, tu seras rarement reconnu pour maintenir correctement le SI à jour par contre tout le monde te cassera les c le jour où "tu" casses un truc. Et quand je dis "tu", ça peut être l'employé mais aussi tout un département qui a pour ordre de ne rien toucher "tant que ça marche" parce que quelqu'un plus haut dans la chaine aime bien ne pas avoir de problèmes.
Même le plus consciencieux des employés veut pas être celui qui devra faire une update empêchant potentiellement des milliers de personnes de travailler si derrière t'as pas les process pour assurer ton cul techniquement (procédures de rollback) et humainement (que ce soit pas considéré comme ta faute).
Modifié le 28/07/2025 à 10h31
Le patching automatique, c'est bien dans une architecture stateless ou microservice ou si c'est supporté par les applications. Dès qu'on entre dans du plus monolithique, la moindre mise à jour est un événement pour lequel il faut orchestrer un arrêt de service.
On va me dire : yaka avoir une architecture redondante (Oracle dataguard, peu importe). Oui, mais pour ça il faut la payer.
Le 28/07/2025 à 11h10
SI c'est pas clair : sarcasme.
Le 28/07/2025 à 11h02
On ne peut donc pas "simplement" laisser les mises à jour s'installer automatiquement en tâche de fond, ce qui est la question à laquelle je répondais. CQFD et merci pour cet exemple magistral.
Le 28/07/2025 à 22h24
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?