Des pirates informatiques ont lancé une cyberattaque de grande envergure exploitant une faille critique du logiciel SharePoint Server de Microsoft, largement utilisé.
Selon les autorités de l'État, cette faille a compromis des agences gouvernementales fédérales et étatiques américaines, des universités, des entreprises énergétiques et même des infrastructures de télécommunications en Asie.
La vulnérabilité réside dans les serveurs SharePoint locaux (systèmes utilisés en interne pour stocker et partager des documents), et non dans les services cloud de Microsoft comme Microsoft 365 , ce qui en fait des cibles privilégiées pour les attaquants.
Cette faille est qualifiée de vulnérabilité « zero-day », une nouvelle vulnérabilité logicielle pour laquelle Microsoft n'a pas encore publié de correctif. Les organisations n'ont eu aucun délai pour se préparer, exposant ainsi des milliers d'institutions à des attaques.
Selon des chercheurs en sécurité, les pirates informatiques ont pénétré les systèmes de plus de 50 organisations, dont plusieurs agences gouvernementales européennes, une entreprise énergétique d'un grand État américain et une université brésilienne.
Dans un État de l'est des États-Unis, des pirates informatiques ont pris le contrôle d'une quantité importante de documents destinés à être divulgués au public, puis les ont maintenus en suspens afin que l'agence ne puisse pas les récupérer et les supprimer.
Microsoft ne publie aucun correctif alors que la faille de sécurité s'étend
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ainsi que les autorités de cybersécurité du Canada et de l’Australie enquêtent activement sur cette faille de sécurité. Microsoft n’a pas encore publié de correctif pour la vulnérabilité du serveur SharePoint, obligeant les organisations concernées à recourir à des solutions temporaires, telles que la modification des configurations serveur ou la mise hors ligne des systèmes, afin d’atténuer les risques.
Microsoft a confirmé la faille de sécurité et publié une alerte, sans toutefois faire de déclaration publique. L'entreprise a exhorté les utilisateurs à activer les paramètres de verrouillage et à déconnecter d'Internet les serveurs exposés afin de limiter les risques.
Le Centre pour la sécurité Internet, qui collabore avec les collectivités locales à travers les États-Unis, a indiqué avoir envoyé des alertes à une centaine d'organisations potentiellement concernées, dont des écoles et des universités publiques. Cette réactivité a également été entravée par des coupes budgétaires récentes, qui ont réduit d'au moins 60 % les effectifs dédiés au renseignement sur les menaces et aux opérations de réponse.
Randy Rose, vice-dent du Centre pour la sécurité Internet, a déclaré qu'il avait fallu six heures samedi soir pour finaliser les notifications. Il a ajouté que le processus aurait été beaucoup plus rapide si leurs équipes n'avaient pas été réduites.
La CISA, actuellement dirigée par son directeur désigné par intérim en attendant sa confirmation, a affirmé que son personnel travaillait sans relâche. Marci McCarthy, porte-parole de l'agence, a déclaré que personne n'avait failli à sa mission.
Les failles de sécurité suscitent un examen de plus en plus minutieux de Microsoft
Ce dernierdent vient s'ajouter à une vague d'inquiétudes concernant la capacité de Microsoft à sécuriser ses logiciels, alors que l'entreprise demeure un fournisseur technologique majeur pour les gouvernements de nombreuses régions du monde.
Le département de la Sécurité intérieure a indiqué que les attaquants pourraient avoir exploité une vulnérabilité de SharePoint déjà corrigée. Cela met en lumière la stratégie récurrente de Microsoft, qui consiste à déployer des correctifs ciblés sans combler les failles connexes qui restent à exploiter.
Les professionnels de la sécurité informatique s'inquiètent des conséquences à long terme de cette faille. Une fois infiltrés dans les serveurs SharePoint internes, les attaquants peuvent accéder aux systèmes sensibles utilisés en entreprise, tels qu'Outlook, Teams et autres. Selon les informations disponibles, certains pirates ont dérobé des clés cryptographiques permettant de se réintroduire dans les serveurs, même après l'installation de correctifs.
Un chercheur impliqué dans la réponse, qui a demandé l'anonymat en raison de l'enquête fédérale en cours, a averti que la publication d'un correctif lundi ou mardi n'aiderait personne dont le système aurait déjà été compromis au cours des dernières 72 heures.
L'an dernier, une commission mandatée par le gouvernement américain a critiqué Microsoft pour sa gestion d'une cyberattaque chinoise ciblée contre les systèmes de messagerie fédéraux, notamment des messages émis par la secrétaire au Commerce de l'époque, Gina Raimondo. Dans ce cas précis, l'entreprise a reconnu que sa plateforme cloud avait été exploitée pour accéder illégalement à des communications sensibles.
L'entreprise a essuyé de nouvelles critiques la semaine dernière après la publication d'un article de ProPublica révélant que Microsoft avait embauché des ingénieurs en Chine pour travailler sur des projets cloud liés à l'armée américaine. Vendredi, Microsoft a annoncé qu'elle n'emploierait plus d'ingénieurs en Chine pour travailler sur des systèmes liés au Pentagone.
