Certaines boîtes mail de quelques dirigeants de Microsoft ont été piratées par le groupe Midnight Blizzard, affilié au Kremlin. Mais l’entreprise précise qu’un tout petit pourcentage des messageries a été touché, et qu’aucune vulnérabilité plus large n’a été détectée.

C’est Microsoft qui l’a annoncé : un groupe de hackers, affilié à l’État russe, a pu accéder à certaines boîtes mails de hauts cadres de l’entreprise, dans une opération menée depuis novembre 2023.

« L’équipe de sécurité de Microsoft a détecté une attaque d’un État-nation sur nos systèmes d’entreprise le 12 janvier 2024 et a immédiatement activé notre processus de réponse pour enquêter, interrompre l’activité malveillante, atténuer l’attaque et empêcher l’acteur de la menace d’accéder à d’autres systèmes », explique le Microsoft Security Response Center, dans un billet du 19 janvier.

Une cyberattaque par password spraying

Selon les recherches de Microsoft, la cyberattaque provenait de Midnight Blizzard, un groupe aussi appelé Nobelium et connu pour être sous la tutelle de l’État russe. Ce même groupe est aussi à l’origine d’une affaire ayant fait les gros titres en 2020 : l’implantation d’un malware d’espionnage intégré dans Orion, logiciel de gestion réseau de SolarWinds.

Microsoft précise que cette cyberattaque ne s’est pas engouffrée dans une brèche plus globale des produits ou services de l’entreprise, et rappelle que le groupe de hackers n’a pas eu accès aux environnements clients, aux systèmes de production, ni aux codes sources ou aux intelligences artificielles.

Les hackers russes ont utilisé la technique du password spraying. // Source : Montage par Nino Barbey pour Numerama
Les hackers russes ont utilisé la technique du password spraying. // Source : Montage par Nino Barbey pour Numerama

Les hackers ont utilisé une technique dite password spraying, de la « pulvérisation de mots de passe », qui consiste à utiliser des mots de passe très habituels pour accéder à un compte mal protégé par une entreprise. En l’occurrence, cela a permis de compromettre un compte de test qui n’était plus utilisé. Puis, grâce aux autorisations fournies par ce compte, les hackers ont accédé à « un très petit pourcentage de comptes de messagerie d’entreprise Microsoft », y compris « des membres de notre équipe de direction » — ainsi que des membres des services de sécurité et des services légaux.

Le géant de la tech relève que des courriels et des pièces jointes ont été « exfiltrés », mais l’entreprise note aussi que Midnight Blizzard semblait surtout chercher des informations concernant le groupe de hackers lui-même.

Même si le problème est désormais réglé et que le pourcentage d’accès restait minime selon l’entreprise, « cette attaque met en évidence le risque permanent que représente, pour toutes les organisations, la menace d’acteurs bien dotés en ressources par des États-nations, tels que Midnight Blizzard », alerte Microsoft, qui annonce par ailleurs agir dès maintenant pour appliquer ses nouvelles de norme de sécurité aussi aux anciens systèmes et à tous les processus internes de l’entreprise.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !