Véritable piratage de Microsoft ou simple esbroufe ? Le groupe pirate Lapsus$ affirme avoir réussi à pirater une plateforme de Microsoft sur laquelle se trouve des dépôts de code source. Microsoft enquête.

Microsoft, nouvelle victime de Lapsus$ ? C’est l’hypothèse qui a émergé au cours des derniers jours, avec la publication d’une capture d’écran montrant certaines des entrailles de l’entreprise américaine. Ce screenshot, qui a été partagé initialement sur Telegram, et retiré depuis, fait apparaître des ressources internes de la société, suggérant un piratage de la plateforme Azure DevOps.

Azure DevOps

La capture en question montre des projets liés à Bing, le moteur de recherche de Microsoft : l’un d’eux concerne le code source, un autre l’expérience utilisateur. On voit d’autres rubriques d’ingénierie, mais aussi un dossier concernant Cortana, l’outil conçu par Microsoft pour servir d’assistant virtuel. D’autres répertoires sont visibles dans la barre latérale, mais sans que l’on en voit le contenu.

Que cherche Lapsus$ ?

Si Lapsus$ a manifestement changé d’avis et retiré cette capture d’écran, elle a eu largement le temps d’être récupérée et repartagée sur le net, comme ici le 20 mars 2022. Et déjà, les questions se posent, car la capture s’avère assez étonnante : on peut en effet voir en haut à droite les initiales du compte Azure DevOps compromis, ce qui ne peut qu’aiguiller Microsoft pour savoir où chercher pour sécuriser l’accès.

« Pourquoi révéler cet accès s’ils n’ont pas déjà atteint leurs objectifs / volé les données qu’ils voulaient ? Cela semble être un risque complètement inutile, à moins bien sûr qu’ils ne se soucient pas d’être pris à ce stade », se demande ainsi Bill Demirkapi, un ingénieur spécialisé en sécurité informatique qui est l’un de ceux qui a récupéré la fameuse capture d’écran.

Seules des suppositions peuvent être faites à ce stade : une gaffe, l’envie de se faire mousser auprès des autres groupes de pirates, pour démontrer leur niveau, autre chose ? Lapsus$ ne semble en tout cas pas reparti les mains vides, car le groupe a mis en partage des fichiers contenant, selon lui, du code source de Bing, mais aussi de Cortana et de Bing Maps, l’outil cartographique de Microsoft.

Lapsus$ est lié à des attaques ayant touché Nvidia, Vodafone, Ubisoft ou encore Samsung

Le nom de Lapsus$ a gagné en visibilité ces derniers mois, car il a été associé à des attaques ayant visé de grands groupes comme l’Américain Nvidia, le Sud-Coréen Samsung, le Français Ubisoft et le Britannique Vodafone, un géant des télécoms. À cette liste s’ajoute donc Microsoft, une autre cible très prestigieuse compte tenu de son poids dans la tech.

Comme tout incident de sécurité réel ou supposé, Microsoft a évidemment lancé des investigations pour vérifier s’il y a un danger crédible ou non. Mais comme le pointe le site Bleeping Computer, la firme de Redmond a considéré par le passé que la fuite du code source n’entraine pas forcément une aggravation du risque de sécurité pour le groupe.

« Chez Microsoft, […] nous ne nous appuyons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menace supposent que les attaquants ont connaissance du code source », déclarait la société fin 2020 lors de Solarwinds, qui a été l’une des grandes menaces cyber ces dernières années. « La consultation du code source n’est donc pas liée à l’élévation du risque. »

C’est une lecture très optimiste : Bleeping Computer signale qu’on peut trouver parfois des éléments sensibles dans le code source : des jetons d’accès (tokens), des clés API, des informations utiles pour s’identifier ou même des certificats de signature de code. Un problème de ce genre avait été observé par exemple avec le piratage de Twitch et des codes d’accès à AWS.