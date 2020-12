Microsoft Corp a déclaré jeudi avoir trouvé des logiciels malveillants dans ses systèmes liés à une campagne de piratage massive révélée par des responsables américains cette semaine, ajoutant une cible technologique de premier plan à une liste croissante d’agences gouvernementales attaquées. La société de Redmond, Washington est un utilisateur d’Orion, le logiciel de gestion de réseau largement déployé de SolarWinds Corp qui a été utilisé dans les attaques russes présumées contre des agences américaines vitales et d’autres. Microsoft a également exploité ses propres produits pour attaquer les victimes, ont déclaré des personnes familiarisées avec le sujet. La National Security Agency des États-Unis a publié jeudi un rare «avis de cybersécurité» détaillant comment certains services cloud de Microsoft Azure ont pu être compromis par des pirates et demandant aux utilisateurs de verrouiller leurs systèmes.

«Comme d’autres clients de SolarWinds, nous recherchons activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires Solar Winds malveillants dans notre environnement, que nous avons isolés et supprimés», a déclaré un porte-parole de Microsoft, ajoutant que la société avait trouvé «non indications que nos systèmes ont été utilisés pour attaquer les autres. » L’une des personnes familiarisées avec la frénésie de piratage a déclaré que les pirates avaient utilisé les offres cloud de Microsoft tout en évitant l’infrastructure d’entreprise de Microsoft.

Microsoft n’a pas immédiatement répondu aux questions sur la technique. Pourtant, une autre personne familière avec la question a déclaré que le Département de la sécurité intérieure (DHS) ne pensait pas que Microsoft était un moyen clé de nouvelles infections. Microsoft et le DHS, qui ont déclaré jeudi plus tôt que les pirates avaient utilisé plusieurs méthodes d’entrée, continuent d’enquêter.

Le FBI et d’autres agences ont programmé un briefing classifié pour les membres du Congrès vendredi. Le département américain de l’énergie a également déclaré qu’il avait des preuves que des pirates informatiques avaient eu accès à ses réseaux dans le cadre de la campagne. Politico avait précédemment signalé que la National Nuclear Security Administration (NNSA), qui gère le stock d’armes nucléaires du pays, avait été ciblée.

Une porte-parole du ministère de l’Énergie a déclaré que les logiciels malveillants « ont été isolés uniquement sur les réseaux commerciaux » et n’ont pas eu d’impact sur la sécurité nationale américaine, y compris la NNSA. Le DHS a déclaré dans un bulletin jeudi que les pirates avaient utilisé d’autres techniques en plus de corrompre les mises à jour du logiciel de gestion de réseau par SolarWinds qui est utilisé par des centaines de milliers d’entreprises et d’agences gouvernementales. CISA a exhorté les enquêteurs à ne pas supposer que leurs organisations étaient en sécurité si elles n’utilisaient pas les versions récentes du logiciel SolarWinds, tout en soulignant également que les pirates n’ont pas exploité tous les réseaux auxquels ils avaient accès.

CISA a déclaré qu’il continuait d’analyser les autres voies utilisées par les assaillants. Jusqu’à présent, les pirates sont connus pour avoir au moins surveillé les e-mails ou d’autres données au sein des départements américains de la Défense, de l’État, du Trésor, de la Sécurité intérieure et du Commerce. Jusqu’à 18 000 clients Orion ont téléchargé les mises à jour qui contenaient une porte dérobée, a déclaré SolarWinds. Depuis la découverte de la campagne, les éditeurs de logiciels ont coupé la communication entre ces portes dérobées et les ordinateurs gérés par les pirates.

Mais les attaquants pourraient avoir installé des moyens supplémentaires de maintenir l’accès, selon CISA, dans ce que certains ont appelé le plus grand piratage en une décennie. Le ministère de la Justice, le FBI et le ministère de la Défense, entre autres, ont transféré des communications de routine sur des réseaux classifiés dont on pense qu’ils n’ont pas été violés, selon deux personnes informées des mesures. Ils supposent que les réseaux non classifiés ont été consultés, ont déclaré les gens. CISA et des entreprises privées, dont FireEye Inc, qui a été la première à découvrir et à révéler qu’elle avait été piratée, ont publié une série d’indices que les organisations doivent rechercher pour voir si elles ont été touchées.

Mais les attaquants sont très prudents et ont supprimé les journaux, les empreintes électroniques ou les fichiers auxquels ils ont accédé, ont déclaré des experts en sécurité. Cela rend difficile de savoir ce qui a été pris.

Certaines grandes entreprises ont déclaré qu’elles n’avaient «aucune preuve» de leur pénétration, mais dans certains cas, cela peut être dû uniquement au fait que les preuves ont été supprimées.

Dans la plupart des réseaux, les attaquants auraient également été en mesure de créer de fausses données, mais jusqu’à présent, il semble qu’ils n’étaient intéressés que par l’obtention de données réelles, ont déclaré des personnes qui suivaient les sondes.

Pendant ce temps, les membres du Congrès demandent plus d’informations sur ce qui a pu être pris et comment, ainsi que sur qui était derrière. Le comité de la sécurité intérieure et le comité de surveillance de la Chambre ont annoncé jeudi une enquête, tandis que les sénateurs ont insisté pour savoir si des informations fiscales individuelles avaient été obtenues. Dans un communiqué, le président élu Joe Biden a déclaré qu’il «élèverait la cybersécurité comme un impératif dans tout le gouvernement» et «perturberait et dissuaderait nos adversaires» d’entreprendre de tels hacks majeurs.