janvier 17, 2025
Kinshasa, RD Congo
Cybersécurité & Sécurité Informatique Technologie & Innovation

Microsoft dévoile comment des hackers chinois ont piraté Outlook

Microsoft a été la cible d’une attaque de hackers chinois au début de l’été. Suite à une enquête approfondie, le géant de Redmond a découvert comment ces hackers ont réussi à dérober une clé de signature publique, une donnée critique qui s’est malheureusement retrouvée au mauvais endroit au mauvais moment.

Début juillet, Microsoft a révélé qu’un groupe de hackers chinois, baptisé Storm-0558, avait réussi à infiltrer les boîtes de réception Outlook d’environ 25 organisations gouvernementales américaines. Pendant un mois, ces pirates ont eu accès à toutes les conversations de plusieurs agences, dont les ministères du Commerce et de l’État. Des agences gouvernementales européennes ont également été touchées.

Plus de deux mois après cette attaque, Microsoft a publié un rapport détaillé sur les circonstances de l’incident. L’enquête menée par la société indique que les premières phases de ce piratage remontent à avril 2021.

Microsoft a identifié l’origine de cette intrusion. À cette époque, une défaillance dans le système de signature publique, qui est responsable de la vérification de l’authenticité et de l’intégrité des messages et des documents numériques, a provoqué la création involontaire d’une copie de l’état du système à un moment donné. Cette copie a généré un fichier de débogage, appelé « crash dump, » qui enregistre l’état d’un système informatique lorsqu’il rencontre une erreur fatale. Malheureusement, ce fichier, créé automatiquement, contenait une clé de signature publique de Microsoft.

Selon l’entreprise, ce fichier ne devait en aucun cas contenir des informations sensibles. Depuis cet incident, Microsoft affirme avoir corrigé cette faille. En théorie, les clés de signature ne devraient plus se retrouver dans les fichiers générés lors d’un « crash dump ». C’est grâce à cette clé de signature que les hackers du groupe Storm-0558 ont pu mener à bien leur opération. Ils ont utilisé cette clé pour générer des « jetons d’authentification » qui leur ont permis de s’authentifier auprès des serveurs en tant qu’utilisateurs légitimes de la messagerie, leur ouvrant ainsi l’accès aux comptes Outlook visés.

Cependant, la manière dont Storm-0558 a obtenu cette clé de signature reste mystérieuse. L’enquête de Microsoft révèle que le fichier « crash dump » contenant les données sensibles a été transféré du « mode de débogage » vers le réseau de l’entreprise, qui est connecté à Internet.

Apparemment, les hackers ont pris le contrôle du compte d’un ingénieur de Microsoft pour déplacer le fichier peu de temps après sa création. Ce compte, compromis à un stade antérieur, avait accès au « mode de débogage ». À partir de là, les pirates ont tout simplement extrait les données sensibles via Internet. La clé de signature n’a été exploitée que deux ans plus tard. On peut supposer que les hackers sont tombés sur la clé de chiffrement par hasard en fouillant dans le compte de l’ingénieur. Toutes les failles ont depuis été corrigées, selon les assurances de Microsoft, qui précise ne pas disposer de preuves concrètes concernant le mode opératoire des attaquants :

Nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel il a acquis la clé.

Tout fois, Microsoft a apporté des améliorations significatives à ses systèmes de sécurité à la suite de cette attaque. Le groupe a notamment renforcé l’analyse des « informations d’identification » pour mieux détecter la présence de la clé de signature dans l’environnement de débogage. De plus, Microsoft travaille activement pour éviter que des données sensibles ne se retrouvent à nouveau dans des fichiers automatiquement générés en cas de panne.

Laisser un commentaire à ce sujet

  • Quality
  • Price
  • Service

POSITIF

+
Ajouter un champ

NÉGATIF

+
Ajouter un champ
Choisir une image
fr_FRFrançais