Microsoft confirme avoir été piratée par le groupe Lapsus
Le 23 mars 2022 à 09h20
3 min
Internet
Internet
On apprenait hier que le groupe de pirates avait probablement réussi à obtenir des données confidentielles chez Microsoft, plus précisément du code source liés à des produits comme Bing et Cortana.
Selon Cyber Kendra, Lapsus a publié momentanément un fichier torrent contenant 37 Go d’informations liées à 258 projets, dont Bing et Bing Maps.
Dans une fiche technique publiée hier, Microsoft confirme le piratage : « Notre enquête a montré qu’un seul compte avait été compromis, n’offrant qu’un accès limité. Notre équipe […] a rapidement réparé le compte et prévenu toute activité ultérieure. Microsoft ne s’appuie pas sur le secret du code en tant que mesure de sécurité, voir le code source ne mène pas à une élévation des risques ».
L’éditeur assure qu’aucune information liée à des utilisateurs n’a été dérobée. L’article offre également un résumé intéressant sur les tactiques utilisées par Lapsus, que Microsoft nomme DEV-0537.
Le groupe utiliserait fréquemment l’ingénierie sociale, le SIM-swapping, l’extorsion d’identifiants, l’achat d’identifiants déjà volés sur des forums criminels, les menaces aux employés pour qu’ils servent de maillon dans l’authentification à facteurs multiples, l’installation de programmes dérobant les mots de passe.
Une fois qu’un accès a été obtenu, Lapsus se sert d’AD Explorer pour créer une liste des utilisateurs dans l’organisation ciblée. Le groupe navigue alors dans les plateformes de collaboration comme Slack, SharePoint, Teams, GitLab, Jira, et Confluence pour y récolter un maximum d’informations, idéalement sensibles.
Lapsus se sert également de vulnérabilités dans la plateforme visée pour obtenir une escalade des privilèges. Il lui arrive même d’appeler le service client de l’entreprise visée pour… demander une réinitialisation du mot de passe, en se faisant passer pour un compte spécifique qui l’intéresse car disposant des privilèges recherchés.
Sur ce point, Microsoft indique que la personne au téléphone parlait un anglais impeccable et était capable de répondre aux questions visant à prouver son identité, signe d’une grande préparation.
L’éditeur n’indique pas cependant quelles techniques ont été utilisées dans l’attaque contre ses propres infrastructures. Elle ne confirme pas non plus les chiffres avancés par Cyber Kendra ni ne donne de détails sur les données dérobées.
Microsoft indique que ce type d’opération ne peut être contrecarré qu’avec des mécanismes MFA plus forts, des terminaux de confiance, une sensibilisation des employés à l’ingénierie sociale, une surveillance des moyens de cybersécurité mis en oeuvre et l’utilisation d’options d’authentification modernes pour les VPN.
Bien entendu, il devient un peu plus compliqué de donner une leçon de sécurité quand on vient soi-même d’être attaqué, avec dégâts confirmés. Mais comme la campagne actuelle de Lapsus a le mérite de le prouver, aucune société ne peut se prévaloir d’une sécurité à toute épreuve, même les plus importantes.
Le 23 mars 2022 à 09h20
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/03/2022 à 09h41
Ben voyons.
Diriez-vous cela aussi de l’ANSSI si elle avait été compromise de l’intérieur ? Oh, wait. https://www.zdnet.fr/actualites/la-condamnation-d-un-ancien-auditeur-de-l-anssi-devoile-des-dysfonctionnements-internes-39938905.htm
Les clients attendent ce genre de recommandations, parce que dans n’importe quelle organisation, il est possible de compromettre un individu prêt à monnayer ses accès et son identité.
Le 23/03/2022 à 10h15
Bien dit!
Le 23/03/2022 à 09h56
Il faudrait presque une sorte de 2FA par téléphone
Le 23/03/2022 à 09h58
Petite correction:
“Microsoft ne s’appuie
pasplus sur le secret du code en tant que mesure de sécurité”Ce qui ne les empêche pas de rester eux-mêmes: Toujours poutrés!
Le 23/03/2022 à 10h03
Effectivement: L’humain est un maillon faible. L’ingénierie sociale a encore de beaux jours devant elle. En parlant de piratage, mot trop générique à mon goût, il serait utile de faire le distinguo entre une intrusion via l’infrastructure technique et une attaque ciblant l’humain. Madame MICHU, qui ne comprends pas grand chose à la technique, est persuadé que les logiciels de l’entreprise (ayant subi l’attaque) sont pourris dans les deux cas, ce qui n’est le cas en l’espèce
Le 23/03/2022 à 10h09
Le 23/03/2022 à 10h20
Ah je comprends mieux.
Ce sont eux, Lapsus, qui ont mis de la pub dans l’explorer en version insider. D’où le nom du groupe.
Tout s’explique, #noussachions.
Le 23/03/2022 à 10h43
Les méthodes et la coordination sont juste impressionnantes, on a pas l’air d’être face à des gars un peu rebelles dans un garage.
Le 23/03/2022 à 10h47
Les 7 utilisateurs de Bing vont-ils devoir être prévenus ?
Le 23/03/2022 à 11h10
Presque un honey pot donc
Le 23/03/2022 à 12h34
J’ai bien aimé ce réaction dans TheVerge ce matin.
J’ai envie de dire : OK, donc go pour un Windows open source sur GitHub. Allez, chiche !
C’est pas comme si cette argument était répété en boucle par les détracteurs de l’open-source.
Le 23/03/2022 à 22h20
Windows est déjà sur GitHub x)
Le 23/03/2022 à 12h52
Ils pourraient répondre que c’est pas une question de “mesure de sécurité” mais simplement de secret industriel. Rajouter une couche de com.
La réponse de ms c’est juste de la communication, pour pas faire flipper quelques utilisateurs et actionnaires. Faut pas cherché plus loint.
Le 23/03/2022 à 13h04
Pas la peine, dans quelques années, WINE sera capable de faire tourner les applications Windows sans aucun problèmes sous Linux, un système bien plus sécurisé et libre, où l’on peut faire ce que l’on veut, sans être pisté par l’éditeur de la distribution (sauf si elle s’appelle Ubuntu).
Le 23/03/2022 à 13h23
“Microsoft ne s’appuie pas sur le secret du code en tant que mesure de sécurité”
C’est pas vraiment la réputation que j’ai retenue de la part de Microsoft.
Le 23/03/2022 à 13h37
Le secret du code n’est pas une source de sécurité pour Microsoft, je ne vois pas ce qui permet d’affirmer le contraire ; c’est d’ailleurs pour ça qu’il y a des composants de sécurité matériel (TPM), software (azure key vault par exemple) ou des scanners de code.
Tu peux avoir le code, mais tu n’auras pas les différents “secrets” (clé d’API, certificats…) qui sont décorrélés.
Le 23/03/2022 à 13h27
Je t’invite à regarder de plus près les alertes de sécurité CERT avant d’avancer cette affirmation (sans preuves)
Le 23/03/2022 à 13h44
Il faudra le dire à tous les fanatiques de la marque qui nous rabâchent depuis l’éternité que Windows est plus sécurisé parce que le code est fermé.
Le 23/03/2022 à 13h47
les fanatiques ne racontent que des conneries, d’un côté comme de l’autre. Evitons donc les extrêmes
Le 23/03/2022 à 15h40
ça existe des fanatiques de Windows, 1ère nouvelle
Le 23/03/2022 à 15h51
Pourtant ça pullule au niveau des décideurs dans les services IT… Tu peux aussi y rajouter tous ceux qui font du F.U.D. sur le libre ainsi que les jvachez-like qui vont te sortir qu’un produit open-source a forcément plus de failles qu’un closed-source parce que n’importe qui peut lire le code source.
Le 23/03/2022 à 15h52
Fait pas semblant de sortir d’une grotte, merci par avance.
Le 23/03/2022 à 16h02
N’importe quoi et pourquoi pas des fanatiques d’Orange !
Le 23/03/2022 à 16h09
O scour ! Lapsus m’habite !
Le 23/03/2022 à 16h12
Les décideurs font ce qu’ils veulent, c’est leur problème. Il y a bien plus de fanatiques mac ou free que de fanatiques Windows.
Tout système est faillible de toute façon
Le 23/03/2022 à 16h15
Tu niais leur existence plus haut.
Tu pourrais être plus discret quand tu trolles.
Le 24/03/2022 à 05h56
Existe t’il des sites style univers freebox ou mac4ever, macgeneration, macbidouille consacré à Windows peuplé de fanatiques au QI de moule ?
Le 24/03/2022 à 08h34
Here ?
Désolé
Dans les sites dont tu parles, j’en ai pratiqué certains et ils sont loin d’être des sites de fanatiques.
A une époque, tu trouvais facilement le même style de site pour Windows (exemple Génération NT). Maintenant ceux qui restent se sont diversifié, ça se ressent moins. Dans chaque communauté tu trouveras des fanatiques. Peut-être un peu plus visible sur Mac car y a un effet de marque encore très entretenu, Apple ayant pas mal “travaillé” dessus a une époque. C’est une chose qui n’existe pas vraiment pour windows ou linux,.
Le 24/03/2022 à 15h14
Faut voir les commentaires, Samsung que des copieurs etc etc . Les pires ce sont les fanboys de free et leurs pseudos journalistes, là il y a du lourd, du très très lourd et de tous les âges, un sociologue devrait les étudier ainsi qu’un psy.