En bref : Microsoft a confirmé les affirmations faites plus tôt cette semaine par le groupe de piratage Lapsus$ selon lesquelles il aurait été victime d’un incident de cybersécurité. Redmond a apparemment rejeté la question comme n’étant pas grave, notant qu’il examinait déjà le problème avant que le groupe ne devienne public et minimisait l’importance du code source sécurisé.
Un article de blog traitant de la question note que l’enquête de Microsoft a révélé qu’un seul compte avait été compromis, ce qui a accordé à l’attaquant un « accès limité ». Selon Microsoft, leur équipe enquêtait déjà sur le compte compromis lorsque Lapsus$ a révélé publiquement l’intrusion.
Si vous vous souvenez, le groupe a publié un vidage plus tôt cette semaine contenant environ 37 Go de données Microsoft. Le transport aurait inclus des portions de code source pour Bing, Bing Maps et Cortana.
Microsoft Security a suivi l’acteur criminel DEV-0537 (LAPSUS$) ciblant les organisations avec des exfiltrations de données et des attaques destructrices – y compris Microsoft. Analyse et conseils dans notre dernier blog : https://t.co/gTMXJCoPY5
— Sécurité Microsoft (@msftsecurity) 22 mars 2022
Microsoft a déclaré qu’il « ne s’appuie pas sur le secret du code comme mesure de sécurité », ajoutant que la visualisation du code source n’entraîne pas une élévation du risque.
Microsoft a également évoqué certaines des tactiques préférées du groupe, dont beaucoup ne sont pas si courantes parmi les acteurs de la menace. Les exemples incluent l’ingénierie sociale basée sur le téléphone, l’échange de cartes SIM, l’accès aux comptes de messagerie personnels et même le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour l’accès aux informations d’identification ou l’approbation de l’authentification multifacteur (MFA).
Redmond a également fourni des conseils que les organisations et les particuliers peuvent utiliser pour se protéger, notamment en utilisant MFA, en évitant les méthodes MFA basées sur le téléphone et en tirant parti de l’authentification sans mot de passe comme Windows Hello, Microsoft Authenticator ou les jetons FIDO.
Lapsus$ a été extrêmement occupé cette année, ayant déjà atteint de grandes cibles technologiques, notamment Nvidia, Samsung et Vodafone. La société d’authentification Okta a également été victime, la société mettant à jour sa déclaration pour confirmer qu’environ 2,5% de ses clients ont potentiellement été touchés et dont les données peuvent avoir été consultées ou « agies ».
Crédit image Aktar Hossain