Comment un groupe de hackers soutenu par la Chine a-t-il réussi à voler l’une des clés du royaume interne de Microsoft, leur permettant un accès presque illimité aux boîtes aux lettres du gouvernement américain ? C’est la question que posent les technophiles du monde entier après la révélation par Microsoft de cette opération de piratage. Mais la réponse à cette question demeure partiellement inconnue, alors que Microsoft essaie de retracer le déroulement du vol.
Rappelons que Microsoft a révélé en juillet que les pirates informatiques appelés Storm-0558, qu’elle suppose être soutenus par la Chine, ont « acquis » une clé de signature de courrier électronique que Microsoft utilise pour sécuriser les comptes de courrier électronique des consommateurs comme Outlook.com. Pourquoi est-ce important ? Car ils ont utilisé cette clé numérique maîtresse pour pénétrer à la fois les comptes de courrier électronique personnels et professionnels des fonctionnaires hébergés par Microsoft. Qui a été visé par cette campagne d’espionnage ciblée ? On parle notamment de la secrétaire américaine au Commerce, Gina Raimondo, et de l’ambassadeur des États-Unis en Chine, Nicholas Burns.
« Comment les pirates ont obtenu cette clé de signature de courrier électronique est resté un mystère pendant longtemps. »
En effet, la manière dont les pirates ont obtenu la clé de signature de courrier électronique est restée longtemps un mystère, y compris pour Microsoft. Ce n’est que cette semaine que le géant de la technologie a finalement exposé les cinq problèmes distincts qui ont conduit à la fuite de la clé. Le crash du système utilisé dans le processus de signature de clé du consommateur en avril 2021 a créé une image instantanée du système pour une analyse ultérieure. Qu’est-ce qui a mal tourné ? L’image instantanée comprenait une copie de la clé de signature du consommateur sans que Microsoft ne s’en rende compte.
Quel rôle a joué ce crash du système dans la fuite de la clé ? Et comment une image instantanée du système a-t-elle pu quitter l’environnement sécurisé pour se retrouver sur un réseau corporate connecté à Internet? Le puzzle reste à assembler. À un moment donné après le transfert de l’image instantanée sur le réseau corporate de Microsoft en avril 2021, Microsoft a déclaré que les pirates de Storm-0558 ont réussi à « compromettre » le compte corporate d’un ingénieur de Microsoft, qui avait accès à l’environnement de débogage où était stockée l’image contenant la clé de signature du consommateur. Est-ce par là que la clé a été volée ? Microsoft ne peut pas en être totalement sûr, faute de « journaux de bord avec des preuves spécifiques de cette exfiltration ».
Et comment la clé de signature du consommateur a-t-elle permis d’accéder aux comptes de courrier électronique d’entreprises et de départements gouvernementaux ? Selon Microsoft, son système de courrier électronique ne réalisait pas automatiquement ou correctement la validation des clés, ce qui signifie que le système de courrier électronique de Microsoft accepterait une demande de courrier électronique d’entreprise avec un jeton de sécurité signé avec la clé du consommateur. Le vol de cette clé a donc permis aux pirates d’accéder à des emails jusqu’alors sécurisés.
Cela dit, plusieurs questions restent en suspens. Comment exactement les intrus se sont-ils introduits dans Microsoft ? Quelle est la nature du malware qui a permis de voler le jeton ? Y a-t-il des failles dans la politique de sécurité du réseau de Microsoft à corriger ? L’incident montre que la cybersécurité est un défi complexe, même pour un géant corporate doté de ressources quasi illimitées. Devrions-nous repenser notre approche de la cybersécurité pour prévenir de tels incidents à l’avenir ?
Source : Techcrunch
