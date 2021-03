Un groupe de cyberespionnage lié à la Chine a pillé à distance des boîtes de réception de courrier électronique en utilisant des failles récemment découvertes dans le logiciel de serveur de messagerie Microsoft, ont déclaré mardi la société et des chercheurs externes – un exemple de la façon dont des programmes couramment utilisés peuvent être exploités pour diffuser un large réseau en ligne. Dans un article de blog, Microsoft a déclaré que la campagne de piratage avait utilisé quatre vulnérabilités auparavant non détectées dans différentes versions du logiciel et était le travail d’un groupe qu’il surnomme HAFNIUM, qu’il a décrit comme une entité parrainée par l’État opérant en Chine.

Dans un article de blog séparé, la société de cybersécurité Volexity a déclaré qu’en janvier, elle avait vu les pirates utiliser l’une des vulnérabilités pour voler à distance «le contenu complet de plusieurs boîtes aux lettres d’utilisateurs». Tout ce qu’ils avaient besoin de savoir, c’était les détails du serveur Exchange et du compte qu’ils voulaient piller ses e-mails, a déclaré Volexity. L’ambassade de Chine à Washington n’a pas immédiatement renvoyé de messages demandant des commentaires. Pékin nie régulièrement avoir pratiqué le cyberespionnage malgré un battement de tambour d’allégations des États-Unis et d’autres.

Avant l’annonce de Microsoft, les mouvements de plus en plus agressifs des pirates ont commencé à attirer l’attention de la communauté de la cybersécurité.

Mike McLellan, directeur du renseignement pour Secureworks de Dell Technologies Inc., a déclaré avant l’annonce de Microsoft qu’il avait remarqué un pic d’activité soudain touchant les serveurs Exchange pendant la nuit de dimanche, avec une dizaine de clients affectés dans son entreprise.

La suite quasi omniprésente de produits de Microsoft fait l’objet d’un examen minutieux depuis le piratage de SolarWinds, la société de logiciels basée au Texas qui a servi de tremplin à plusieurs intrusions au sein du gouvernement et du secteur privé. Dans d’autres cas, les pirates ont profité de la façon dont les clients avaient configuré leurs services Microsoft pour compromettre leurs cibles ou plonger plus loin dans les réseaux affectés.

Les pirates informatiques qui ont attaqué SolarWinds ont également violé Microsoft lui-même, accédant et téléchargeant du code source – y compris des éléments d’Exchange, la messagerie électronique et le produit de calendrier de l’entreprise.

McLellan a déclaré que pour le moment, l’activité de piratage qu’il avait vue semblait se concentrer sur l’ensemencement de logiciels malveillants et préparer le terrain pour une intrusion potentiellement plus profonde plutôt que de se déplacer de manière agressive dans les réseaux tout de suite.

«Nous n’avons encore vu aucune activité de suivi», a-t-il déclaré. «Nous allons trouver de nombreuses entreprises touchées mais un plus petit nombre d’entreprises réellement exploitées.»

Microsoft a déclaré que les cibles comprenaient des chercheurs sur les maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion sur les politiques et des groupes non gouvernementaux.