L'Administration nationale de la sécurité nucléaire, qui supervise la conception et l'entretien de l'arsenal nucléaire américain, figure parmi les organismes dont les systèmes ont été compromis lors du récent piratage de Microsoft SharePoint.
une source anonyme au sein de la NNSA, aucune donnée classifiée ou sensible ne semble avoir été dérobée lors de la faille de sécurité. Interrogée à ce sujet, la NNSA a renvoyé toutes les questions au ministère de l'Énergie, qui supervise son administration dans le cadre de ses responsabilités plus générales.
« Le vendredi 18 juillet, l'exploitation d'une faille zero-day dans Microsoft SharePoint a commencé à affecter le ministère de l'Énergie », a déclaré un porte-parole de l'agence.
« Le département a été peu touché grâce à son utilisation généralisée du cloud Microsoft M365 et à ses systèmes de cybersécurité performants. Seul un petit nombre de systèmes ont été affectés. Tous les systèmes touchés sont en cours de restauration. »
L'Agence nationale de sécurité nucléaire (NNSA) remplit de nombreuses missions qui vont bien au-delà de la simple gestion des armes nucléaires. Elle construit des réacteurs navals pour la flotte de sous-marins de l'US Navy, intervient en cas d'urgence aux États-Unis et à l'étranger, contribue au transport sécurisé des armes nucléaires sur le territoire américain et soutient la lutte contre le terrorisme.
Ce n'était pas la première fois que des pirates informatiques s'introduisaient dans les réseaux liés à la NNSA via un outil tiers. En 2020, l'agence avait été la cible d'une attaque contre SolarWinds Corp., dont le logiciel est utilisé pour la gestion de réseaux. À l'époque, le ministère de l'Énergie avait déclaré que le logiciel malveillant était « limité aux réseaux d'entreprises »
Microsoft a accusé des pirates informatiques parrainés par l'État chinois
Cette faille de sécurité a exploité des vulnérabilités de la plateforme SharePoint et a touché des gouvernements et des entreprises du monde entier. Selon un précédent rapport de Bloomberg, dans certains cas, les attaquants ont dérobé des informations de connexion telles que les noms d'utilisateur et les mots de passe, ainsi que des jetons et des codes de hachage.
Au-delà du ministère de l'Énergie, cette faille s'est étendue aux systèmes des gouvernements nationaux du Moyen-Orient et de l'UE, ainsi qu'à plusieurs agences américaines, dont le ministère de l'Éducation, l'Assemblée générale de Rhode Island et le département des recettes de Floride.
Les enquêteurs indiquent que l'étendue exacte de l'intrusion est encore en cours d'évaluation. Les failles logicielles affectent les organisations qui utilisent SharePoint en local plutôt que via le service cloud de Microsoft, ce qui rend les installations sur site particulièrement vulnérables.
Dans un article de blog publié , Microsoft a nommé deux groupes de pirates informatiques liés à la Chine : Violet Typhoon et Linen Typhoon. L’article mentionnait également un troisième groupe, Storm-2603, utilisant des tactiques similaires pour infiltrer les systèmes.
Lundi, Charles Carmakal, directeur technique de Mandiant, une entreprise de cybersécurité appartenant à Google, a déclaré dans une publication LinkedIn : « Nous estimons qu'au moins un des acteurs responsables de l'exploitation précoce est un acteur de menace lié à la Chine. »
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a confirmé dimanche être « au courant de l’exploitation active » de la faille de sécurité de SharePoint. Microsoft a réagi en publiant des correctifs pour les versions locales de SharePoint, puis un troisième correctif lundi.
SharePoint est un élément essentiel de la suite Microsoft Office. Il sert de plateforme de collaboration, permettant aux employés d'une même organisation d'accéder aux fichiers et documents partagés via un portail centralisé.
Microsoft a déjà été la cible d'attaques menées par des équipes de pirates informatiques chinois
L'an dernier, le PDG de Microsoft, Satya Nadella, a déclaré que la cybersécurité était la priorité absolue de l'entreprise après qu'un rapport gouvernemental a fustigé la réponse de l'entreprise à une violation de données en Chine des comptes de messagerie appartenant à des responsables.
Plus tôt ce mois-ci, Microsoft a informé ses clients qu'elle ne ferait plus appel à des ingénieurs chinois pour les services cloud fournis au Pentagone, suite à des articles de presse indiquant que cette configuration aurait pu permettre des attaques contre des systèmes de défense américains.
En 2021, un autre groupe appelé Hafnium, lié à la Chine, a exploité une faille distincte du logiciel Exchange Server de Microsoft pour s'introduire dans les réseaux d'organisations du monde entier.
Dans un communiqué envoyé par courriel aux journalistes, l'ambassade de Chine à Washington a déclaré que Pékin s'opposait à « toutes les formes de cyberattaques » et a mis en garde contre « la diffamation d'autrui sans preuves solides »
Des chercheurs en sécurité ont découvert cette vulnérabilité en mai dernier lors d'un concours de piratage informatique organisé à Berlin par Trend Micro. L'événement offrait des prix cash aux participants capables de trouver des failles logicielles non divulguées. Le concours comprenait un prix de 100 000 $ pour les exploits zero-day ciblant SharePoint, soulignant ainsi les enjeux importants que peuvent représenter ces failles cachées.
