Microsoft a reconnu un piratage le concernant, mais minimise l’ampleur de l’incident. Du code source de plusieurs projets clés s’est retrouvé dans la nature.

Il y a donc bien du code source de Microsoft qui se balade désormais dans la nature. Dans un message publié le 22 mars, l’entreprise américaine a reconnu qu’un compte important de la plateforme Azure DevOps, sur laquelle figurent diverses ressources internes de la société, a été piraté. Les responsables sont tout désignés : il s’agit du groupe Lapsus$.

Lapsus$ est un collectif de cybercriminels dont la médiatisation est devenue notable depuis plusieurs mois, compte tenu de l’importance de leurs cibles : le poids lourd de l’électronique grand public Samsung, le spécialiste des cartes graphiques Nvidia, le studio de jeux vidéo Ubisoft, le géant des télécoms Vodafone et maintenant l’un des plus gros éditeurs de logiciels, Microsoft.

Le mode opératoire de Lapsus$ consiste à compromettre le système informatique de leur cible, en trouvant une faille ou bien en dérobant des identifiants à une victime. Le groupe dérobe ensuite des informations confidentielles (codes sources, bases de données, listings, etc.). Ce butin sert ensuite à Lapsus$ pour menacer la société de tout divulguer si une rançon n’est pas versée.

L’approche est, dans l’idée, un peu similaire aux rançongiciels (ransomwares), sauf que Lapsus$ — qui est affublé du nom de code de Dev-0537 par Microsoft — n’agit pas en déployant un logiciel malveillant dans les systèmes informatiques pour bloquer les fichiers et les dossiers : il opère un accès frauduleux et récupère les données, au lieu de les figer sur place.

De larges pans de code source exposés

Dans le cas de Microsoft, le volume de données dérobées atteindrait le poids remarquable de 37 Go. Partagées via BitTorrent, un protocole d’échange pair-à-pair, elles contiendraient, selon Lapsus$, 90 % du code source de Bing, le moteur de recherche de Microsoft, et 45 % de Bing Maps et de Cortana, l’assistant virtuel de la société américaine.

De toute évidence, certains autres projets très stratégiques pour Microsoft ne sont pas touchés. On pense évidemment à son système d’exploitation Windows (tout particulièrement aux éditions 10 et 11, les plus récents), mais aussi à sa suite bureautique Microsoft Office, à Windows Server ou bien à d’autres outils clés, comme ceux servant à la sécurité informatique.

Microsoft a confirmé la survenue d’un accès frauduleux, mais s’est gardé de dire précisément quels projets ont été affectés et dans quelles proportions. La firme de Redmond a préféré publier une analyse de la situation et ajouter un commentaire se voulant très rassurant : certes, du code source se trouve désormais dans la nature, mais cela ne veut pas dire que c’est dangereux.

Bing accueil
Bing est le moteur de recherche de Microsoft, qu’il cherche à rendre compétitif face à Google.

« Aucun code ou donnée client n’a été impliqué dans les activités observées. Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité », déclare l’entreprise, qui ajoute que le secret du code source ne constitue pas un élément de sa sécurité. En conséquence, il n’y a pas d’augmentation spécifique du risque — une assertion déjà formulée par le passé.

Les certitudes de Microsoft seront toutefois mises à l’épreuve dans les jours et les semaines à venir, si justement rien de très compromettant ne sort. On sait que des éléments parfois très sensibles (clés API, jetons d’accès, identifiants de connexion, etc.) peuvent s’y trouver. De fait, des répercussions ultérieures, peut-être encore plus embêtantes pour Microsoft, ne sont pas à écarter.

Le piratage de Microsoft, d’ailleurs, aurait pu être encore plus critique. De l’aveu même de Microsoft, des renseignements obtenus il y a quelque temps lui ont permis d’apprendre l’existence d’un compte compromis de son côté. Une enquête était alors déjà en cours au moment où Lapsus$ a médiatisé son intrusion. Microsoft a alors mis les bouchées doubles pour colmater la brèche.