Dans un long billet de blog, la firme de Redmond confirme avoir été hackée par le groupe de cybercriminels Lapsus$. Ce dernier a ciblé plusieurs entreprises ces dernières semaines, avec l’objectif « d’exfiltrer et de détruire des données », selon Microsoft.
Le groupe de hackers venait justement de publier un fichier contenant une partie des codes sources de Bing et Cortana .
Microsoft observe Lapsus$ depuis plusieurs semaines
Microsoft a déclaré que Lapsus$, qu’il nomme « DEV-0537 », était parvenu à compromettre un seul compte de son entreprise, lui permettant d’avoir accès à une partie du code de certains de ses produits. La société explique avoir suivi activement la « campagne d’ingénierie sociale et d’extorsion à grande échelle contre plusieurs organisations » menée par les cybercriminels depuis plusieurs semaines.
Récemment, NVIDIA , Ubisoft , Samsung ou encore Okta ont été victimes de Lapsus$. Comme l’explique Microsoft, le groupe agit de différentes manières afin d’accéder aux données des entreprises qu’il cible, notamment « l’échange de cartes SIM pour faciliter la prise de contrôle de comptes, l’accès aux comptes de messagerie personnelle des employés des organisations cibles, le paiement des employés, fournisseurs ou partenaires commerciaux des organisations cibles pour l’accès aux informations d’identification et l’approbation de l’authentification multifacteurs, ainsi que l’intrusion dans les appels de communication de crise de leurs cibles ».
En plus d’exploiter des vulnérabilités non corrigées sur des serveurs accessibles en interne à l’instar de JIRA, de Gitlab ou de Confluence, les hackers recherchent également des informations d’identification dans les dépôts de code et les plateformes de collaboration de l’entreprise comme Slack ou Teams .
« Pas d’augmentation du risque », assure Redmond
Concernant l’accès aux codes sources de Bing et Cortana, Microsoft se veut rassurant auprès de ses utilisateurs :
« Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité. Nos équipes de réponse en matière de cybersécurité se sont rapidement engagées à remédier au compte compromis et à empêcher toute autre activité. Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et la consultation du code source n’entraîne pas d’augmentation du risque ».
La firme de Redmond assure par ailleurs qu’aucune donnée sur ses utilisateurs ou clients n’a été volée. Elle livre en outre des conseils aux entreprises afin de mieux se protéger face à de telles cyberattaques. Par exemple, en exigeant une authentification multifacteurs tout en évitant les méthodes d’authentification « faibles » comme les SMS ou les courriels secondaires. Microsoft préconise également de sensibiliser ses équipes au potentiel des attaques d’ingénierie sociale, et en créant des processus pour les réponses potentielles aux attaques du groupe Lapsus$.
Microsoft indique continuer à suivre Lapsus$ et garder un œil sur toutes les attaques qu’il mène sur ses clients.