Microsoft enquête sur une faille de sécurité de SharePoint liée à des pirates informatiques chinois

Microsoft enquête pour savoir si une fuite de son programme Microsoft Active Protections Program (MAPP) — un système d'alerte précoce destiné aux partenaires de cybersécurité — a pu permettre à des pirates informatiques chinois d'exploiter des vulnérabilités non corrigées dans son logiciel serveur SharePoint.

Le dernier correctif déployé par l'entreprise technologique n'a pas permis de résoudre entièrement une faille critique, exposant ainsi les systèmes du géant technologique à une campagne mondiale sophistiquée de cyberespionnage.

Dans un article de blog publié mardi, Microsoft a déclaré que l'exploitation était menée par deux groupes affiliés à l'État chinois, Linen Typhoon et Violet Typhoon, ainsi que par un troisième groupe, également soupçonné d'être basé en Chine.

Microsoft enquête sur une fuite présumée provenant de son programme de partenariat en cybersécurité

L'entreprise enquête actuellement pour déterminer si des informations relatives à son programme MAPP — partagées avec ses partenaires avant la publication des correctifs — ont pu fuiter, accélérant ainsi la propagation de ces attaques.

Microsoft a confirmé qu’elle « évalue en permanence l’efficacité et la sécurité de tous ses programmes partenaires et apporte les améliorations nécessaires en fonction des besoins »

La vulnérabilité de SharePoint a été révélée en mai dernier lorsque le chercheur en sécurité vietnamien Dinh Ho Anh Khoa l'a démontrée lors de la conférence de cybersécurité Pwn2Own à Berlin, organisée par l'initiative Zero Day de Trend Micro. Khoa a reçu une récompense de 100 000 $ et Microsoft a publié un premier correctif en juillet.

Cependant, Dustin Childs, responsable de la sensibilisation aux menaces chez Trend Micro, a déclaré que les partenaires MAPP avaient été informés de la vulnérabilité en trois vagues successives : le 24 juin, le 3 juillet et le 7 juillet.dent, Microsoft a noté que les premières tentatives d’exploitation avaient commencé le 7 juillet.

Childs a suggéré que le scénario le plus probable est que « quelqu'un du programme MAPP a utilisé ces informations pour créer les failles de sécurité ». Bien qu'il n'ait nommé aucun fournisseur, il a noté que les tentatives d'exploitation provenaient principalement de Chine, ce qui rend « raisonnable de supposer » que la fuite provenait d'une entreprise de cette région.

Des pirates informatiques soutenus par l'État chinois exploitent une vulnérabilité non corrigée de SharePoint

Ce n'est pas la première fois que Microsoft est confrontée à une fuite de données de ce type liée à MAPP. Il y a dix ans, l'entreprise s'était séparée de la société chinoise Hangzhou DPTech Technologies Co., Ltd. pour violation de son accord de confidentialité. Microsoft avait alors reconnu l'existence de risques et était consciente du danger que représentaient ces données vulnérables.

Le programme MAPP, lancé en 2008, visait à informer les fournisseurs de solutions de sécurité en amont des détails techniques des vulnérabilités – et, parfois, à leur fournir des exemples de code de démonstration – afin qu'ils puissent mieux protéger leurs clients. Une fuite de données aujourd'hui irait directement à l'encontre de la mission du programme : renforcer la sécurité des défenseurs, et non celle des attaquants.

Microsoft n'a pas révélé s'il avaitdentla source de la fuite, mais a souligné que toute violation d'un accord de confidentialité serait prise au sérieux.

Des failles de sécurité passées refont surface alors que Microsoft réévalue l'intégrité du programme MAPP

En 2021, Microsoft soupçonnait au moins deux autres partenaires chinois du programme MAPP d'avoir divulgué des informations concernant des failles de sécurité dans ses serveurs Exchange. Cela a déclenché une campagne de piratage informatique mondiale que Microsoft a attribuée à un groupe d'espionnage chinois nommé Hafnium. Il s'agissait de l'une des pires violations de données jamais subies par l'entreprise : des dizaines de milliers de serveurs Exchange ont été piratés, notamment ceux de l'Autorité bancaire européenne et du Parlement norvégien.

Après l'dent, l'entreprise a envisagé de réviser le programme MAPP. Elle n'a cependant pas précisé si des modifications ont finalement été apportées ni si des fuites ont été découvertes.

En vertu d'une loi chinoise de 2021, les entreprises et les chercheurs en sécurité doivent signaler les vulnérabilités nouvellement découvertes au ministère de l'Industrie et des Technologies de l'information dans un délai de 48 heures, selon un rapport de l'Atlantic Council. Certaines entreprises chinoises participant encore au programme MAPP, telles que Beijing CyberKunlun Technology Co Ltd., sont également inscrites à la base de données nationale chinoise des vulnérabilités (CNVDB), gérée par le ministère de la Sécurité d'État, ce qui soulève des inquiétudes quant à cette double obligation de déclaration.

Eugenio Benincasa, chercheur au Centre d'études de sécurité de l'ETH Zurich, souligne le manque de transparence quant à la manière dont les entreprises chinoises concilient les règles dedentde Microsoft et les obligations de déclaration imposées par l'État. « Nous savons que certaines de ces entreprises collaborent avec des agences de sécurité, et la gestion des vulnérabilités en Chine est très centralisée », a-t-il déclaré. « Il s'agit d'un domaine qui nécessite clairement un examen plus approfondi. »