Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

En colmatant les vulnérabilités de Exchange, Microsoft a attiré la convoitise des hackers

Depuis que Microsoft a publié un correctif pour une série de quatre vulnérabilités dans son logiciel Microsoft Exchange, les hackers s'intéressent plus que jamais à ces failles. C'est un paradoxe habituel dans la cybersécurité. Les éditeurs de logiciel doivent réparer les vulnérabilités lorsqu'elles sont exploitées, ou pour éviter qu'elles ne le soient. Mais ce faisant, elles alertent sur l'existence des failles. Le message sera reçu par les utilisateurs, mais aussi par les cybercriminels. En conséquence, une course contre-la-montre est engagée entre les organisations qui doivent patcher leur logiciel et les malfaiteurs qui veulent créer des outils pour exploiter les vulnérabilités.

Si vous n'avez pas suivi le début de l’affaire, Exchange est un service utilisé par les organisations pour gérer les adresses email, les carnets de contact et les agendas de leurs employés. La chaîne de vulnérabilité, désormais connue sous le nom de ProxyLogon, permet de mettre la main sur toutes les communications de la victime, et de se servir de son service d'email comme moyen de propagation d'autres malwares. De quoi attirer les convoitises.

« Au moins 10 » groupes de hackers avancés attaquent les utilisateurs de Microsoft Exchange

Lorsque Microsoft a publié ses correctifs, il accusait Hafnium, un groupe de hackers affilié à la Chine, d'avoir exploité la faille. Hafnium est un APT (advanced persistent threat), un type de groupe d'élite financé par un État. La finalité de ses opérations s'approche de celle d'une agence de renseignement (espionnage, dissuasion...) là où les groupes de cybercriminels cherchent avant tout le profit financier. Si Hafnium semble avoir découvert ProxyLogon en premier et l'a exploité dès janvier 2021, « au moins 10 APT » prennent désormais d'assaut les serveurs non patchés de Microsoft Exchange, estiment les chercheurs de ESET le 10 mars 2021.

Les APT ont de nombreuses cibles à disposition : selon les estimations, plusieurs dizaines de milliers de serveurs sont encore vulnérables. Déployer un patch n'est pas une tâche très difficile, mais elle reste plus complexe qu'une simple mise à jour de Windows ou macOS sur votre ordinateur. Certaines organisations, plus petites ou moins bien financées, n'ont pas forcément les compétences ou les outils en interne pour réagir rapidement.

Et ce n'est pas tout. Comme si la situation n'était pas assez critique, des chercheurs en cybersécurité peu précautionneux commencent à donner de plus amples détails sur les vulnérabilités. Un chercheur vietnamien a même publié sur GitHub une preuve de concept (PoC) de l'attaque. Autrement dit, il démontre comment exploiter ProxyLogon. The Record a interrogé plusieurs experts sur la qualité de son outil : tous expliquent qu'ils ont dû l'ajuster, mais qu'il fonctionne. C'est un vrai problème : même si le chercheur n'a pas de mauvaise intention, les « méchants hackers » lisent autant ce genre de publications que les « gentils hackers ». En présentant son PoC, il donne des armes aux cybercriminels qui n'avaient pas suffisamment de compétences pour les créer eux-mêmes.

La crainte rançongiciel

Justement, les chercheurs craignent qu'en plus des APT, des cybercriminels moins experts commencent à exploiter la faille. Ils songent notamment aux opérateurs de rançongiciels, qui pourraient utiliser ProxyLogon comme point d'entrée sur les réseaux de leurs victimes, avant de déployer leurs malwares capables de paralyser toute l'organisation. Mais pour l'instant, ces craintes ne se sont pas réalisées. C'est tout juste si Dave Kennedy fondateur de TrustedSec, affirme avoir détecté que des malfaiteurs utilisent la vulnérabilité pour installer des malwares de minages de cryptomonnaies. Ces logiciels malveillants exploitent la puissance de calcul des machines de la victime pour participer à la blockchain et ainsi récolter des cryptomonnaies sans frais.

Pour l'instant les victimes de l'attaque se murent pour la plupart dans le silence. Le parlement norvégien fait partie des exceptions : il a affirmé le 10 mars que des hackers étaient parvenus à exploiter les vulnérabilités pour s'introduire dans son réseau informatique, et voler des données. Il pourrait être le premier d'une longue série.