Microsoft confirme que les hackers ont pu accéder à son code source

Microsoft confirme que les hackers ont pu accéder à son code source

2020 s’est terminée par l’une des attaques les plus étendues et les plus sophistiquées de l’histoire de la cybersécurité. Microsoft a révélé que la dernière mise à jour du logiciel Orion, utilisée pour surveiller et gérer les réseaux, comprenait une porte dérobée. De cette manière, plus de 17 000 clients ont été touchés, parmi lesquels le Pentagone, des agences gouvernementales et des centaines de multinationales.

Bien que Microsoft ait découvert la faille grâce à des audits de plusieurs de ses clients, l’entreprise n’avait pas été touchée… Jusqu’à présent. Apparemment, ceux de Redmond utilisent également des logiciels développés par SolarWinds. De cette manière, plusieurs hackers ont pu accéder au code source développé par l’entreprise, bien que la portée soit inconnue.

Phase initiale de l'attaque Solarwinds contre Microsoft et d'autres clients
Phase initiale de l’attaque Solorigate

Microsoft indique que cette attaque ne présente pas de risque pour ses clients

Ceux de Redmond confirment que les attaquants ont pu «afficher le code source dans un certain nombre de référentiels». Cependant, ils n’indiquent pas le nombre de référentiels auxquels ils ont accédé, ni les logiciels d’entreprise que cela affecterait. La raison pourrait être que l’attaque fait toujours l’objet d’une enquête, de sorte que nous pourrions continuer à recevoir des informations sur la portée dans les mois à venir.

Ce que Microsoft a confirmé, c’est que le compte piraté n’aurait pas l’autorisation de modifier un code ou un système. De cette façon, nous voyons comment quelque chose d’aussi simple que de configurer correctement les autorisations des utilisateurs peut nous sauver d’un désastre beaucoup plus important. L’entreprise rassure également les clients en confirmant qu’aucune donnée client ou service n’a été consultée.

De plus, Microsoft indique que l’accès au code ne présente pas en soi un risque pour la sécurité du client. L’entreprise suppose que ses concurrents peuvent accéder à son code et il n’établit pas que la confidentialité de ce code soit l’une des bases de la sécurité. En fait, le plus grand exemple en est le logiciel open source, où l’offre du code n’est pas liée à une sécurité moindre.