Ces problèmes gênants que révèle le piratage du Cloud de Microsoft par la Chine

Atlantico : Des pirates chinois ont réussi à accéder aux e-mails de plusieurs agences gouvernementales, selon Microsoft dans un billet de blog. Le gang de hackers, baptisé Storm-0558, a obtenu un accès à un total de 25 comptes de messagerie. Quels comptes auraient été visés et qu’est-ce qui aurait été piraté et dérobé comme informations ou données personnelles ?

Anthony Poncier : Une grande partie de l’administration américaine travaille sous Microsoft Outlook pour les mails. Des comptes, des adresses mails ont été dérobés via des cyberattaques. Des hauts fonctionnaires et des membres du gouvernement ont été ciblés, selon les médias américains. Ce piratage était donc de grande envergure.  

Que sait-on de ce groupe de pirates chinois, Storm-0558 ? Sont-ils vraiment spécialisés dans l’espionnage et la collecte de renseignements pour le compte de la Chine ?

Ce groupe de pirates est considéré comme étant rattaché à la Chine. Pékin dément ces allégations. Si l’on étudie les dernières attaques qui concernaient des Etats, les groupes sont définis comme étant rattachés aux services de renseignement militaires russes. Dans ce cas précis, il s’agit de l’équivalent pour la Chine.

Dans le cadre de la guerre asymétrique, le piratage, le hackage de comptes devient de plus en plus présent. Les questions de cyberdéfense et de cyberguerre se posent de plus en plus. Les Etats sont partie prenante comme le grand banditisme d’ailleurs.

Comment les pirates ont-ils réussi leur opération ? Quelles failles technologiques ont-ils exploité ?

Les pirates ont récupéré un token, un système de jetons d’identification, leur permettant d’accéder aux données et d’infiltrer l’ensemble du système. Microsoft est une cible majeure des pirates. Aux Etats-Unis, Microsoft reste le fournisseur dominant. Si les pirates trouvent une faille, ils sont alors en mesure de trouver le plus de monde possible, et pas uniquement à travers les mails. Plus de 1.200 failles ont été définies chez Microsoft cette année.

Pour les experts de cybersécurité, Microsoft n’a jamais été véritablement un modèle de sécurité. Ce constat peut donc simplifier le travail des hackers de par sa présence massive au niveau de différentes administrations ou entreprises et suite au fait que Microsoft n’est pas exempt d’un certain nombre de failles.

La clé compromise aurait également pu être utilisée pour créer des jetons d'accès pour d'autres services Microsoft, notamment SharePoint, Teams, OneDrive et des applications tierces créées par des clients. Faut-il s’alarmer d’un piratage beaucoup plus large mené par la Chine ? Quels sont les risques ?

Le jeton d’identification permet d’accéder au système. Il serait donc étonnant que l’accès soit limité aux mails. L’accès aux autres aspects de la suite Microsoft comme Teams, OneDrive a pu être possible pour les pirates.

Sur le plus long terme, cela permet de s’interroger sur le fait qu’avec ce premier essai, une bague d’or ait pu être laissée. Et cela aurait permis de revenir plus tard. Les lieux de stockage de données comme OneDrive pourraient être ciblés.

Ce cas remet-il en cause la sécurité des services cloud de Microsoft et d'autres plates-formes ?  Cela ne doit-il pas servir d'avertissement important pour d’autres firmes comme Google, Meta… ?

Le système de tokens est l’un des systèmes les plus répandus pour être reconnu et accéder à différents services. Ce qui est particulier chez Microsoft, même s’ils ne sont pas les seuls, c’est que pour accéder au log de sécurité, il faut payer un abonnement supplémentaire.

Microsoft vient de changer sa politique dans ce domaine. Il est possible d’accéder aux journaux des logs pour voir ce qu’il se passe. Ce qui concerne Microsoft peut potentiellement toucher d’autres entreprises. Microsoft étant plus répandu à l’échelle mondiale, il devient une cible privilégiée puisqu’il permet de toucher un plus grand nombre de monde plus rapidement.

Il y a donc la recherche d’un effet de masse. Microsoft est donc une porte d’entrée assez importante.

Le fait que ces pirates chinois passent à l’action via ce système de tokens n’est-il pas inquiétant, notamment après la polémique sur TikTok et les soupçons d’espionnage de la Chine ? Y a-t-il une recrudescence des attaques ?

Il n’y a pas eu de piratage pour TikTok. Ce sont les utilisateurs qui vont eux-mêmes communiquer leurs données. Il est possible de s’inquiéter d’une possible récupération par le gouvernement chinois mais cela ne relève pas d’un acte de piratage.

En revanche, un certain nombre de pays pour le moins autoritaire ont recours à des piratages pour des raisons industrielles ou pour des raisons politiques et géopolitiques (comme actuellement avec l’Ukraine et la Russie, avec la Chine et Taïwan). La question du hack va devenir de plus en plus importante.

Autant les Américains peuvent souvent dénoncer certains pays pour leurs ingérences ? La France choisissait de ne pas les nommer.

Il y a une démultiplication de ce type d’action. Et cela va devenir de plus en plus courant. Nous allons assister à une prolifération de ces opérations et de ces attaques.