On apprenait hier que le groupe de pirates avait probablement réussi à obtenir des données confidentielles chez Microsoft, plus précisément du code source liés à des produits comme Bing et Cortana.
Selon Cyber Kendra, Lapsus a publié momentanément un fichier torrent contenant 37 Go d’informations liées à 258 projets, dont Bing et Bing Maps.
Dans une fiche technique publiée hier, Microsoft confirme le piratage : « Notre enquête a montré qu’un seul compte avait été compromis, n’offrant qu’un accès limité. Notre équipe […] a rapidement réparé le compte et prévenu toute activité ultérieure. Microsoft ne s’appuie pas sur le secret du code en tant que mesure de sécurité, voir le code source ne mène pas à une élévation des risques ».
L’éditeur assure qu’aucune information liée à des utilisateurs n’a été dérobée. L’article offre également un résumé intéressant sur les tactiques utilisées par Lapsus, que Microsoft nomme DEV-0537.
Le groupe utiliserait fréquemment l’ingénierie sociale, le SIM-swapping, l’extorsion d’identifiants, l’achat d’identifiants déjà volés sur des forums criminels, les menaces aux employés pour qu’ils servent de maillon dans l’authentification à facteurs multiples, l’installation de programmes dérobant les mots de passe.
Une fois qu’un accès a été obtenu, Lapsus se sert d’AD Explorer pour créer une liste des utilisateurs dans l’organisation ciblée. Le groupe navigue alors dans les plateformes de collaboration comme Slack, SharePoint, Teams, GitLab, Jira, et Confluence pour y récolter un maximum d’informations, idéalement sensibles.
Lapsus se sert également de vulnérabilités dans la plateforme visée pour obtenir une escalade des privilèges. Il lui arrive même d’appeler le service client de l’entreprise visée pour… demander une réinitialisation du mot de passe, en se faisant passer pour un compte spécifique qui l’intéresse car disposant des privilèges recherchés.
Sur ce point, Microsoft indique que la personne au téléphone parlait un anglais impeccable et était capable de répondre aux questions visant à prouver son identité, signe d’une grande préparation.
L’éditeur n’indique pas cependant quelles techniques ont été utilisées dans l’attaque contre ses propres infrastructures. Elle ne confirme pas non plus les chiffres avancés par Cyber Kendra ni ne donne de détails sur les données dérobées.
Microsoft indique que ce type d’opération ne peut être contrecarré qu’avec des mécanismes MFA plus forts, des terminaux de confiance, une sensibilisation des employés à l’ingénierie sociale, une surveillance des moyens de cybersécurité mis en oeuvre et l’utilisation d’options d’authentification modernes pour les VPN.
Bien entendu, il devient un peu plus compliqué de donner une leçon de sécurité quand on vient soi-même d’être attaqué, avec dégâts confirmés. Mais comme la campagne actuelle de Lapsus a le mérite de le prouver, aucune société ne peut se prévaloir d’une sécurité à toute épreuve, même les plus importantes.
Commentaires (29)
#1
Ben voyons.
Diriez-vous cela aussi de l’ANSSI si elle avait été compromise de l’intérieur ? Oh, wait. https://www.zdnet.fr/actualites/la-condamnation-d-un-ancien-auditeur-de-l-anssi-devoile-des-dysfonctionnements-internes-39938905.htm
Les clients attendent ce genre de recommandations, parce que dans n’importe quelle organisation, il est possible de compromettre un individu prêt à monnayer ses accès et son identité.
#1.1
Bien dit!
#2
Il faudrait presque une sorte de 2FA par téléphone
#3
Petite correction:
“Microsoft ne s’appuie
pasplus sur le secret du code en tant que mesure de sécurité”Ce qui ne les empêche pas de rester eux-mêmes: Toujours poutrés!
#4
Effectivement: L’humain est un maillon faible. L’ingénierie sociale a encore de beaux jours devant elle. En parlant de piratage, mot trop générique à mon goût, il serait utile de faire le distinguo entre une intrusion via l’infrastructure technique et une attaque ciblant l’humain. Madame MICHU, qui ne comprends pas grand chose à la technique, est persuadé que les logiciels de l’entreprise (ayant subi l’attaque) sont pourris dans les deux cas, ce qui n’est le cas en l’espèce
#5
#6
Ah je comprends mieux.
Ce sont eux, Lapsus, qui ont mis de la pub dans l’explorer en version insider. D’où le nom du groupe.
Tout s’explique, #noussachions.
#7
Les méthodes et la coordination sont juste impressionnantes, on a pas l’air d’être face à des gars un peu rebelles dans un garage.
#8
Les 7 utilisateurs de Bing vont-ils devoir être prévenus ?
#9
Presque un honey pot donc
#10
J’ai bien aimé ce réaction dans TheVerge ce matin.
J’ai envie de dire : OK, donc go pour un Windows open source sur GitHub. Allez, chiche !
C’est pas comme si cette argument était répété en boucle par les détracteurs de l’open-source.
#10.1
Windows est déjà sur GitHub x)
#11
Ils pourraient répondre que c’est pas une question de “mesure de sécurité” mais simplement de secret industriel. Rajouter une couche de com.
La réponse de ms c’est juste de la communication, pour pas faire flipper quelques utilisateurs et actionnaires. Faut pas cherché plus loint.
#12
Pas la peine, dans quelques années, WINE sera capable de faire tourner les applications Windows sans aucun problèmes sous Linux, un système bien plus sécurisé et libre, où l’on peut faire ce que l’on veut, sans être pisté par l’éditeur de la distribution (sauf si elle s’appelle Ubuntu).
#13
“Microsoft ne s’appuie pas sur le secret du code en tant que mesure de sécurité”
C’est pas vraiment la réputation que j’ai retenue de la part de Microsoft.
#13.1
Le secret du code n’est pas une source de sécurité pour Microsoft, je ne vois pas ce qui permet d’affirmer le contraire ; c’est d’ailleurs pour ça qu’il y a des composants de sécurité matériel (TPM), software (azure key vault par exemple) ou des scanners de code.
Tu peux avoir le code, mais tu n’auras pas les différents “secrets” (clé d’API, certificats…) qui sont décorrélés.
#14
Je t’invite à regarder de plus près les alertes de sécurité CERT avant d’avancer cette affirmation (sans preuves)
#15
Il faudra le dire à tous les fanatiques de la marque qui nous rabâchent depuis l’éternité que Windows est plus sécurisé parce que le code est fermé.
#16
les fanatiques ne racontent que des conneries, d’un côté comme de l’autre. Evitons donc les extrêmes
#17
ça existe des fanatiques de Windows, 1ère nouvelle
#17.1
Pourtant ça pullule au niveau des décideurs dans les services IT… Tu peux aussi y rajouter tous ceux qui font du F.U.D. sur le libre ainsi que les jvachez-like qui vont te sortir qu’un produit open-source a forcément plus de failles qu’un closed-source parce que n’importe qui peut lire le code source.
#18
Fait pas semblant de sortir d’une grotte, merci par avance.
#19
N’importe quoi et pourquoi pas des fanatiques d’Orange !
#20
O scour ! Lapsus m’habite !
#21
Les décideurs font ce qu’ils veulent, c’est leur problème. Il y a bien plus de fanatiques mac ou free que de fanatiques Windows.
Tout système est faillible de toute façon
#22
Tu niais leur existence plus haut.
Tu pourrais être plus discret quand tu trolles.
#22.1
Existe t’il des sites style univers freebox ou mac4ever, macgeneration, macbidouille consacré à Windows peuplé de fanatiques au QI de moule ?
#22.2
Here ?
Désolé
Dans les sites dont tu parles, j’en ai pratiqué certains et ils sont loin d’être des sites de fanatiques.
A une époque, tu trouvais facilement le même style de site pour Windows (exemple Génération NT). Maintenant ceux qui restent se sont diversifié, ça se ressent moins. Dans chaque communauté tu trouveras des fanatiques. Peut-être un peu plus visible sur Mac car y a un effet de marque encore très entretenu, Apple ayant pas mal “travaillé” dessus a une époque. C’est une chose qui n’existe pas vraiment pour windows ou linux,.
#23
Faut voir les commentaires, Samsung que des copieurs etc etc . Les pires ce sont les fanboys de free et leurs pseudos journalistes, là il y a du lourd, du très très lourd et de tous les âges, un sociologue devrait les étudier ainsi qu’un psy.