Le groupe de piratage à l’origine du compromis SolarWinds a pu pénétrer dans Microsoft Corp et accéder à une partie de son code source, a déclaré Microsoft jeudi, ce que les experts ont déclaré avoir envoyé un signal inquiétant sur l’ambition des espions. Le code source – l’ensemble d’instructions sous-jacent qui exécutent un logiciel ou un système d’exploitation – fait généralement partie des secrets les plus étroitement gardés d’une entreprise technologique et Microsoft a toujours été particulièrement attentif à le protéger.

On ne sait pas combien ni à quelles parties des référentiels de code source de Microsoft les pirates ont pu accéder, mais la divulgation suggère que les pirates qui ont utilisé la société de logiciels SolarWinds comme tremplin pour pénétrer dans les réseaux sensibles du gouvernement américain avaient également intérêt à découvrir le fonctionnement interne des produits Microsoft. Microsoft avait déjà révélé qu’à l’instar d’autres entreprises, il avait trouvé des versions malveillantes du logiciel SolarWinds dans son réseau, mais la divulgation du code source – faite dans un article de blog – est nouvelle. Après que Reuters eut signalé une violation il y a deux semaines, Microsoft a déclaré qu’il n’avait « trouvé aucune preuve d’accès aux services de production ».

Trois personnes informées sur la question ont déclaré que Microsoft savait depuis des jours que le code source avait été consulté. Un porte-parole de Microsoft a déclaré que les employés de la sécurité travaillaient «24 heures sur 24» et que «lorsqu’il y a des informations exploitables à partager, ils les ont publiées et partagées». Le piratage de SolarWinds fait partie des cyber-opérations les plus ambitieuses jamais divulguées, compromettant au moins une demi-douzaine d’agences fédérales et potentiellement des milliers d’entreprises et d’autres institutions. Les enquêteurs américains et privés ont passé les vacances à parcourir les journaux pour tenter de comprendre si leurs données ont été volées ou modifiées.

La modification du code source – ce que Microsoft a déclaré que les pirates n’ont pas fait – pourrait avoir des conséquences potentiellement désastreuses étant donné l’omniprésence des produits Microsoft, qui incluent la suite de productivité Office et le système d’exploitation Windows. Mais les experts ont déclaré que le simple fait de pouvoir réviser le code pouvait offrir aux pirates des informations susceptibles de les aider à subvertir les produits ou services Microsoft. «Le code source est le modèle architectural de la façon dont le logiciel est construit», a déclaré Andrew Fife de Cycode, une société de protection du code source basée en Israël. « Si vous avez le plan directeur, il est beaucoup plus facile de concevoir des attaques. »

Matt Tait, un chercheur indépendant en cybersécurité, a convenu que le code source pourrait être utilisé comme feuille de route pour aider à pirater les produits Microsoft, mais il a également averti que des éléments du code source de la société étaient déjà largement partagés – par exemple avec les gouvernements étrangers. Il a dit qu’il doutait que Microsoft ait commis l’erreur courante de laisser des clés cryptographiques ou des mots de passe dans le code. « Cela n’affectera pas la sécurité de leurs clients, du moins pas de manière substantielle », a déclaré Tait.

Microsoft a noté qu’il autorise un large accès interne à son code, et les anciens employés ont convenu qu’il était plus ouvert que les autres entreprises. Dans son article de blog, Microsoft a déclaré n’avoir trouvé aucune preuve d’accès « aux services de production ou aux données clients ».

« L’enquête, qui est en cours, n’a également trouvé aucune indication que nos systèmes ont été utilisés pour attaquer d’autres personnes », a-t-il déclaré.

Reuters a rapporté il y a une semaine que des revendeurs agréés par Microsoft ont été piratés et que leur accès aux programmes de productivité à l’intérieur des cibles a été exploité pour tenter de lire des e-mails. Microsoft a reconnu que certains accès de fournisseurs avaient été mal utilisés, mais n’a pas indiqué combien de revendeurs ou de clients pouvaient avoir été violés. Il n’y a pas eu de réponse aux demandes de commentaires du FBI, qui enquête sur la campagne de piratage informatique, ou de la Cybsersecurity and Infrastructure Security Agency du Department of Homeland Security. Les responsables américains ont attribué la campagne de piratage de SolarWinds à la Russie, une allégation que le Kremlin nie.

Tait et Ronen Slavin, directeur de la technologie de Cycode, ont déclaré qu’une des principales questions restées sans réponse était de savoir quels référentiels de code source ont été consultés. Microsoft propose une vaste gamme de produits, allant de Windows largement utilisé à des logiciels moins connus tels que l’application de réseau social Yammer et l’application de conception Sway. Slavin s’est dit préoccupé par la possibilité que les pirates de SolarWinds se penchent sur le code source de Microsoft en prélude à une offensive beaucoup plus ambitieuse.

« Pour moi, la plus grande question est: » Était-ce une reconnaissance pour la prochaine grande opération? « , At-il dit.